4min. read

기존의 보안 운영 센터(SOC)는 수십 년간 지속된 모델에 기반을 두고 있지만, 이 모델은 더 이상 효과적이지 않습니다. 급변하는 기업과 사이버 위협 상황에서는 오래된 운영 방식을 유지할 수 없기 때문입니다.

이제 최신 SOC를 개선하고 통합해야 할 때입니다. 신속한 복구 업데이트를 통해 더 나은 성과를 달성하고, 리스크를 줄이며, 전반적으로 더욱 강력한 보안 태세를 갖춰야 합니다.

SOC는 정확히 어떻게 바뀌었을까요?

기존 SOC에서는 IT 보안 직원들이 나란히 모니터 앞에 앉아서 근무했습니다. 모니터 화면은 수많은 세부 정보로 가득했고, 수십 개의 보안 도구에서 나오는 데이터와 끝없이 이어지는 알림창 스크롤이 보였습니다. 이 전통적인 SOC 모델은 항상 무수한 알림과 리소스 제약에 맞서 이길 수 없는 싸움을 계속하고 있었습니다.

팬데믹은 기존 SOC 모델이 가진 여러 가지 문제를 악화시켰습니다. 인력은 점점 더 부족해졌으며, 모든 직원이 물리적인 SOC 공간 안에서 근무하는 것이 불가능해졌습니다. 동시에 사이버 위협은 극에 달해, 중대한 사이버 공격 건수가 기록적인 속도로 증가했습니다.

이 새로운 현실에 대처하기 위해서는 최신 SOC를 통합하여 자원을 줄이는 동시에 효율성을 높여야 합니다. 또한 운영 관행을 최적화하여 현재와 미래의 실질적인 요구 사항을 반영해야 합니다.

기존 SOC 운영을 어렵게 만드는 3가지 문제

기존 SOC 내에서 부진한 성과와 보안 시스템 약화를 초래하는 3가지 주요 문제는 다음과 같습니다.

너무 많은 알림

간단히 말해, 기존 SOC는 감당할 수 없을 만큼 많은 양의 알림을 관리하고 있습니다. 이 엄청난 양의 알림은 피로를 유발하고 기업의 속도를 둔화시킵니다. 게다가 알림이 너무 많아서 잠재적으로 중요한 문제가 대량의 노이즈에 묻혀 놓치기 쉽습니다.

과도한 알림 문제에 관한 솔루션은 정확도를 개선하여 중요한 문제에만 알림이 생성되도록 하는 것입니다. 정확도를 개선하려면 SOC가 소화하는 로그 및 데이터를 최적화하기 위한 적절한 프로세스와 도구가 필요합니다.

너무 많은 보안 제품

우리가 반복적으로 겪는 주된 문제는 바로 SOC가 많은 보안 제품을 사용한다는 것입니다. 실제로 기업들은 평균 수십 개의 사이버 보안 제품을 구축합니다.

우리는 엔드포인트 보안을 위해 4~5개의 에이전트와 여러 종류의 방화벽을 사용하는 기업을 만나봤습니다. 이러한 무분별한 사용이 초래하는 혼돈은 이루 말할 수 없습니다. 각기 다른 보안 자산은 서로 소통할 수 없기 때문에 엄청난 혼란이 발생합니다. 또한 이 모든 툴을 관리하는 데 필요한 작업은 그렇지 않아도 과중한 업무에 불필요한 부담을 안겨줍니다.

성공적인 SOC는 프로세스의 우선순위를 설정하고 사용 중인 툴을 과감하게 정리합니다. SOC는 어떤 결과를 달성하고자 하는지를 파악한 다음, 원하는 결과에 필요한 플랫폼과 솔루션을 결정해야 합니다. 모든 툴이 같은 언어를 사용하고 서로 소통할 수 있는 공통된 플랫폼을 갖는 것이 SOC 성공의 지름길입니다.

너무 많은 수동 프로세스

기존 SOC는 대부분 일상 업무뿐만 아니라 사고가 발생했을 때도 수동 프로세스에 의존합니다. 대량의 수작업에는 사람 간의 번거로운 상호작용과 지루한 노동이 필요합니다. 사고가 발생할 경우, 기존 SOC는 수작업 매뉴얼을 참조하여 지난번 비슷한 사고가 일어났을 때 취했던 수동적 조치를 몇 번이고 다시 반복합니다.

수동 프로세스는 확장이 불가능하므로 SOC 애널리스트의 피로도를 최대치에 달하게 하며, 최신 SOC의 높은 활동량을 따라가지 못합니다. 수동 프로세스로는 신속한 공격 감지 및 민첩한 대응 시간을 효과적으로 달성할 수 없습니다.

대규모 프로세스에 필요한 것은 지능형 머신 러닝과 자동화 기능이며, 이를 통해 인력 자원을 중요한 작업에 집중적으로 배치할 수 있습니다.