5가지 SecOps 문제를 해결하는 방법

이 블로그는 2022년 4월 12일에 Siemplify에 최초 게시 되었으며  2022년 7월 20일 Google Cloud 블로그(영문)에 게재되었습니다. 

자동화, 머신러닝, 인공지능이 활발하게 도입되고 있지만 오늘날 보안 운영 센터의 성공은 여전히 사람에 크게 좌우되는 실정입니다. 주된 이유는 공격 표면이 계속 늘어나고 클라우드 채택이 급증하여 기업 경계가 허물어지면서 보안 운영 센터에서 수집해야 할 데이터 양이 매우 많기 때문입니다.

지금도 수많은 알림이 수신되는 것은 인간이 사전 예방과 사후 대응을 위해 내리는 의사 결정이 여전히 중요하다는 뜻입니다.

미국 뉴스에서 발표한 오늘날 100대 최고 직업 순위에서 정보 보안 분석가가 1위로 선정된 것은 놀라운 일이 아닙니다. 이 순위는 "미국 노동통계국(Bureau of Labor Statistics)에서 2030년까지 채용 인원수와 채용률이 가장 높을 것으로 예상되는 직업을 파악하여 산정한 것입니다." 감지와 대응을 비롯한 보안은 기업의 시급한 과제일 뿐 아니라 CEO가 우려하는 최대 걱정거리입니다.

하지만 Tines가 새로 발표한 'SOC 분석가 의견' 조사에 따르면 보안 분석가는 가장 그만두고 싶은 전문직 중 하나이기도 합니다.

어떻게 된 일인가요? 이직률 문제는 해결 기미가 보이지 않는 몇 가지 주요 SecOps 문제에서 원인을 찾을 수 있습니다.

1) 지나치게 많은 알림: 너무 많은 스팸메일을 받아 새 메시지를 아예 무시하게 되고 이로 인해 중요한 메시지를 놓친 적이 있나요? 알림에 관해서도 이런 일이 발생합니다. 노이즈가 지나치게 많은 상황을 계속해서 감당하기는 어려우며, 특히 경계가 확장되고 클라우드 도입이 증가하는 환경에서는 실제 위협을 놓칠 수 있습니다.

2) 이질적인 도구: 이미 많은 지점 감지 도구를 사용하고 있는 회사의 보안 운영 전문가도 원격 근무로 클라우드에 대한 수요가 증가함에 따라 새로운 도구를 도입하고 있습니다. 최신 수치에 따르면 기업은 평균 75개 이상의 보안 도구를 관리해야 합니다.

3) 수동 프로세스: 프로세스의 일관성과 반복 가능성을 저해하는 사용 사례별 절차로 인해 대응 시간에 병목 현상이 발생하고 SecOps팀의 부담이 가중될 수 있습니다. SOC의 모든 작업을 자동화할 필요성이나 당위성이 있는 것은 아니지만 많은 부분을 자동화할 수 있습니다. 이를 통해 분석가와 엔지니어는 우선순위가 더 높은 작업에 주력하고 신입 직원 교육도 훨씬 더 수월해질 수 있습니다.

4) 인재 부족: 모든 것이 불확실한 이 세상에서도 죽음이 찾아오고 세금을 내야 하며 사이버 보안 기술이 부족하다는 것만은 확실합니다. 사이버 보안 위협에 대응하려면 숙련된 인재가 필요하다는 것도 해가 동쪽에서 뜨는 것만큼이나 당연합니다. 하지만 인재를 충분히 확보하지 못하면 어떻게 될까요? 팀에서 이를 보완하는 노력을 기울여야 합니다.

5) 가시성 부족: 보안 운영 측정항목은 생산성을 높이고 경영진의 승인과 지원을 얻는 데 핵심적인 요소이지만, SecOps의 성공을 확인하기는 어렵습니다. 관련 보고서를 작성하려면 상당한 양의 업무를 수행해야 하기 때문입니다.

거의 대부분의 SecOps팀에는 항상 위와 같은 문제가 존재합니다. 이러한 제약을 극복하기 위해 기업이 즉각 취할 수 있는 조치 중 일부는 사람에 기반한 문제 해결 프로세스와 기술에 초점을 맞춥니다.

다음은 Google Cloud 및 Deloitte에서 공동 작성한 최근 보고서의 내용입니다.

가장 모호한 보안 신호(기존의 SOC 수준 3+와 유사)를 최종 분류하고 일종의 위협 사냥(예: 알림이 실행되지 않은 위협 찾기)을 수행하기 위해서는 지금도, 앞으로도 인간의 손길이 필요합니다.

머신은 규칙과 알고리즘을 사용하여 데이터를 보다 체계적인 형태(알림 스토리)로, 높은 감지 품질로 인간에게 제공하면서 동시에 새로운 IT 환경을 아우르는 역할을 합니다.

수작업과 자동화가 혼합된 워크플로에서 인간과 머신이 함께 작업해야 합니다.

그렇다면 보안 운영 개선을 위해서는 궁극적으로 어떻게 해야 할까요? 5가지 실질적인 권장사항을 소개합니다.

더 효율적으로 위협 감지하기

SOC의 효율성을 높이려면대규모 위협을 실시간으로 자동 감지하는SIEM 솔루션을 도입해야 합니다. 최적의 플랫폼은 대량의 데이터 수집과 저장을 지원하고, 기존 비용 및 확장 제약을 해소하며, 이상치 감지와 머신러닝/AI 기반 감지의 범위를 확대합니다. 데이터 저장과 분석이 한곳에서 이루어지므로 보안팀은 더욱 효과적으로 위협을 조사 및 감지할 수 있습니다.

자동으로 위협에 대응하기

SOAR은 업무량을 줄이고 더 빠르게 (특히 위협 인텔리전스와 통합하면 더 스마트하게) 대응할 수 있으므로 획기적인 변화를 이룰 수 있습니다. 하지만 성급하게 자동화를 추진하기 전에 프로세스를 고려하고, 달성하고 싶은 결과(예: MTTD 감소)를 검토한 다음, 자동화하고 싶은 부분을 정확하게 파악해야 합니다(SOAR 사용 시 많은 부분을 자동화하고 싶을 수 있습니다). 자동화가 도움이 될 프로세스가 결정되면 SOC 담당자는 더욱 창의적인 업무에 역량을 집중할 수 있습니다.

로그 우선순위 지정하기

진행 중인 공격의 해결 단서를 로그에서 찾을 수 있는 경우가 많은데도 대부분의 팀에는 로그를 수집하고 분석하고 우선순위를 정하는 전략이 부족합니다. 아래의 두 개 요약본에 모니터링이 필요한 중요 로그가 나와 있으므로 도움이 될 것입니다.

직접 수행할 수 없는 작업 아웃소싱

프로세스를 개선하면 인력 부족난을 해소하는 데 도움이 됩니다. 예를 들어 잘못 구성된 모니터링 도구를 수정하면 알림 노이즈가 줄어들게 됩니다. 물론, 많은 조직은 24시간 모니터링 등의 작업, 위협 사냥과 같은 특별한 기능을 수행하기 위해 추가로 인간의 손길을 필요로 합니다. 이런 점 때문에 관리형 보안 서비스 제공업체 또는 관리형 감지 제공업체가 도움이 될 수 있습니다. 그러나 몇 가지 솔루션을 사내에 도입하게 될 수 있기 때문에 현실적으로 예산을 고려해야 합니다.

경력 개발 모델 도입

2022년 SANS 보안 운영 센터 설문조사에서 SOC 모델의 완벽한 작동을 가로막는 4번째 주요 방해 요인으로 관리 지원 부족을 꼽았습니다. 이를 해결하기 위해 SecOps 리더는 워크플로 절차를 개선하고, 혁신을 보호하며, 팀이 단순 작업이 아니라 영감과 영향력을 주는 작업에 주력하고, 직원들과 유연하게 협업하며, 교육 및 경력 개발 기회를 얻도록 지원해야 합니다. 결국에는 SOC의 중심에 인간이 있으며 성공과 실패를 가르는 결정적인 요인도 인간이기 때문입니다.