3min. read

전부 수집하는 것이 중요한 것이 아닙니다. 중요한 것은 필요한 것을 수집하여 적절한 인력, 프로세스와 기술을 사용해 사이버 보안 성과를 개선하는 것입니다.

최근 몇 년간은 다양한 규모의 기업에서 여러 가지 디바이스, 로그와 서비스로부터 점점 더 많은 양의 트래픽과 애플리케이션 텔레메트리를 수집해 왔습니다. 그중 대부분은 운영이나 전략적 의사결정에 필요한 정보를 제공하는 데 활용되었습니다. 그러나 이러한 데이터를 효과적으로 처리하고 사용하면 기업의 보안 태세를 크게 강화할 수도 있습니다.

사이버 보안을 강화하기 위해, 기업에서 자사 환경의 내부 상태를 파악하기 위해 수집할 수 있고, 실제로 수집하는 요소는 매우 많습니다. 이런 데이터의 출처는 로그 파일, 시스템 이벤트, 네트워크 트래픽, 애플리케이션, 위협 탐지 시스템, 인텔리전스 피드를 비롯하여 무수히 많습니다. 다만 데이터의 양이 워낙 많기 때문에 보안 정책, 위협 탐지와 리스크 요소 완화를 위해 필요한 정보를 수집하여 가치를 추출하고자 하는 기업에는 양 자체만으로 큰 난제입니다.

시스템이 수집한 데이터를 처리할 수 없다면, 데이터의 의미를 이해할 수도 없고 상황의 상관관계를 정립할 수도 없습니다. 그런 경우, 사실상 '죽은' 로그를 보관하고 있는 것과 다름없습니다. 게다가 수집한 데이터는 사일로화된 경우가 많으므로 보안 전문가가 단편적인 사실을 연결하여 잠재적인 문제점을 파악하기 어렵습니다. 애널리스트가 수동으로 연결 관계를 파악하기 위해 화면 25개를 모두 살펴보아서야 안 될 일입니다. 이런 방식은 추가적인 시간과 수고가 소요되므로 실제로 위협을 확인하는 근본적인 목표로부터 주의를 분산시킵니다.

사이버 보안이라는 업종은 기업에서 보유한 솔루션이 매우 많기 때문에 기업에서 온갖 다양한 솔루션을 서로 연결하며, 사실상 일종의 배관공 역할을 할 수밖에 없는 상황을 조성했습니다. 지금 시중에서 사용 중인 도구 중에는 상호운용성과 통합성을 전혀 고려하지 않고 설계된 제품이 많으므로, 이제는 좀 더 자동화되고 통합된 방식을 찾을 방법을 고민해볼 때가 된 것 같습니다.

자동화와 플레이북으로 데이터에서 더 큰 가치 추출

적절한 데이터를 수집하여 해당 데이터에서 최대한의 가치를 추출하는 것은 그저 하나의 태스크나 작업에 그치는 것이 아니라, 여러 가지 구성 요소가 포함된 일종의 여정이라고 보아야 합니다.

기술. 기술적인 관점에서, 자사에서 실제로 보유한 데이터를 살펴보도록 하겠습니다. 일단, 지금 보유한 도구는 실제로 최신 위협을 파악할 수 있습니까? 불가능하다면, 정보를 바탕으로 의사결정을 내리는 데 도움이 되는 로그와 텔레메트리를 수집할 가능성이 작기 때문에 어려운 상황에 직면하게 됩니다.

자동화는 데이터에서 더 큰 가치를 추출하는 데도 큰 역할을 합니다. 수집하는 데이터의 양이 워낙 많기 때문에, 데이터 자체가 모두 적절한 데이터라 하더라도 개개인이 인력으로는 도저히 따라잡을 수 없습니다. 단순한 로그 데이터의 상관관계를 정립하고 이를 강화하며 인사이트를 제공하여 데이터에서 고부가가치 인시던트를 파악하는 작업을 자동화하는 것이 중요한 구성 요소입니다.

인력. 자동화는 데이터에서 최대한의 가치를 창출하기 위한 사람의 관점과 직결됩니다. 대다수의 기업에는 보안 운영 센터(SOC)가 있어 수많은 IT 전문가가 이곳에서 8시간씩 교대로 근무하며 계속해서 새로고침을 클릭하고, 단순히 로그를 추적하기도 합