사이버 보안 성과 개선
보유한 데이터에서 더 큰 가치 추출
전부 수집하는 것이 중요한 것이 아닙니다. 중요한 것은 필요한 것을 수집하여 적절한 인력, 프로세스와 기술을 사용해 사이버 보안 성과를 개선하는 것입니다.
최근 몇 년간은 다양한 규모의 기업에서 여러 가지 디바이스, 로그와 서비스로부터 점점 더 많은 양의 트래픽과 애플리케이션 텔레메트리를 수집해 왔습니다. 그중 대부분은 운영이나 전략적 의사결정에 필요한 정보를 제공하는 데 활용되었습니다. 그러나 이러한 데이터를 효과적으로 처리하고 사용하면 기업의 보안 태세를 크게 강화할 수도 있습니다.
사이버 보안을 강화하기 위해, 기업에서 자사 환경의 내부 상태를 파악하기 위해 수집할 수 있고, 실제로 수집하는 요소는 매우 많습니다. 이런 데이터의 출처는 로그 파일, 시스템 이벤트, 네트워크 트래픽, 애플리케이션, 위협 탐지 시스템, 인텔리전스 피드를 비롯하여 무수히 많습니다. 다만 데이터의 양이 워낙 많기 때문에 보안 정책, 위협 탐지와 리스크 요소 완화를 위해 필요한 정보를 수집하여 가치를 추출하고자 하는 기업에는 양 자체만으로 큰 난제입니다.
시스템이 수집한 데이터를 처리할 수 없다면, 데이터의 의미를 이해할 수도 없고 상황의 상관관계를 정립할 수도 없습니다. 그런 경우, 사실상 '죽은' 로그를 보관하고 있는 것과 다름없습니다. 게다가 수집한 데이터는 사일로화된 경우가 많으므로 보안 전문가가 단편적인 사실을 연결하여 잠재적인 문제점을 파악하기 어렵습니다. 애널리스트가 수동으로 연결 관계를 파악하기 위해 화면 25개를 모두 살펴보아서야 안 될 일입니다. 이런 방식은 추가적인 시간과 수고가 소요되므로 실제로 위협을 확인하는 근본적인 목표로부터 주의를 분산시킵니다.
사이버 보안이라는 업종은 기업에서 보유한 솔루션이 매우 많기 때문에 기업에서 온갖 다양한 솔루션을 서로 연결하며, 사실상 일종의 배관공 역할을 할 수밖에 없는 상황을 조성했습니다. 지금 시중에서 사용 중인 도구 중에는 상호운용성과 통합성을 전혀 고려하지 않고 설계된 제품이 많으므로, 이제는 좀 더 자동화되고 통합된 방식을 찾을 방법을 고민해볼 때가 된 것 같습니다.
자동화와 플레이북으로 데이터에서 더 큰 가치 추출
적절한 데이터를 수집하여 해당 데이터에서 최대한의 가치를 추출하는 것은 그저 하나의 태스크나 작업에 그치는 것이 아니라, 여러 가지 구성 요소가 포함된 일종의 여정이라고 보아야 합니다.
기술. 기술적인 관점에서, 자사에서 실제로 보유한 데이터를 살펴보도록 하겠습니다. 일단, 지금 보유한 도구는 실제로 최신 위협을 파악할 수 있습니까? 불가능하다면, 정보를 바탕으로 의사결정을 내리는 데 도움이 되는 로그와 텔레메트리를 수집할 가능성이 작기 때문에 어려운 상황에 직면하게 됩니다.
자동화는 데이터에서 더 큰 가치를 추출하는 데도 큰 역할을 합니다. 수집하는 데이터의 양이 워낙 많기 때문에, 데이터 자체가 모두 적절한 데이터라 하더라도 개개인이 인력으로는 도저히 따라잡을 수 없습니다. 단순한 로그 데이터의 상관관계를 정립하고 이를 강화하며 인사이트를 제공하여 데이터에서 고부가가치 인시던트를 파악하는 작업을 자동화하는 것이 중요한 구성 요소입니다.
인력. 자동화는 데이터에서 최대한의 가치를 창출하기 위한 사람의 관점과 직결됩니다. 대다수의 기업에는 보안 운영 센터(SOC)가 있어 수많은 IT 전문가가 이곳에서 8시간씩 교대로 근무하며 계속해서 새로고침을 클릭하고, 단순히 로그를 추적하기도 합니다. 그런데 이것만으로는 사실 무언가를 검색하는 데 크게 도움이 되지 않습니다.
설상가상으로, 데이터의 1차 방어선 겸 분석 첫 단계는 보통 초보 애널리스트입니다. 이런 인력은 계속 밀려드는 로그를 걸러내며 에스컬레이션해야 하는 항목을 결정하는 단조로운 업무로 인해 일 년 내로 번아웃이 생기는 경우가 많습니다. 논리적으로 생각해보면, 가장 경험이 적고 급여가 낮은 사람이 실제로 상급자에게 인시던트를 에스컬레이션해야 할지 여부를 판단하는 결정권자입니다. 이것은 이치에 닿지 않으며, 이러한 모델을 바꿀 때가 되었습니다.
자동화를 활용하여 데이터 폭주를 처리하고 에스컬레이션해야 할지 여부를 판단할 1차 결정선 역할을 하면 사람은 위협 헌팅과 같이 좀 더 복잡한 문제에 집중할 수 있습니다. 위협 헌터가 한가할수록 좋습니다. 즉 알림과 대규모 로그를 샅샅이 살펴 추려내는 데 그치지 않고, 서로 다른 데이터 소스를 모두 연결하여 잠재적인 위험을 추적할 수 있어야 합니다.
프로세스. 마지막으로, 지속적인 개선을 이루고 데이터에서 추출한 데이터를 항상 최적화하는 데는 프로세스가 무엇보다 중요합니다. 항상 처음부터 다시 시작해야 하며, 이미 구비된 데이터와 기술도 계속해서 조정해야 합니다. 기업에서는 꾸준히 플레이북을 만들어 자동화를 지원해야 합니다. 반복 가능한 태스크라면 모두 최대한 자동화해야 합니다.
최신 엔터프라이즈에서 이용할 수 있는 보안 데이터 출처가 매우 많으므로, 무엇부터 해야 할지 감을 잡기 어려울 수 있습니다. 기업에서 보유한 보안 데이터 소스를 먼저 파악하고 자동화와 플레이북으로 프로세스를 간소화하며 기술을 활용해 모든 것을 취합하여 통합된 관점을 만든다면 보안 성과를 대폭 개선할 수 있습니다