[전문가 기고] 2분 7초 안에 사이버 공격에 맞서는 보안 운영 혁신

파비오 프라투첼로(Fabio Fratucello) 크라우드스트라이크 최고기술책임자(CTO). [사진=크라우드스트라이크]

끊임없이 변화하는 사이버 보안 위협 환경에서 기업들은 더욱 빠르고 정교한 공격자들에 대응해야 하는 과제에 직면해 있다. 이에 더해 인공지능(AI) 기술의 발달로 고도화된 사이버 보안 위협 또한 점점 커지고 있다.

크라우드스트라이크 조사에 따르면 위협 행위자들은 전체 공격의 75%에서 악성코드를 사용하지 않고도 초기 접근 권한을 획득했다. 이는 공격 기법이 갈수록 고도화되고 있음을 보여준다. 특히나 침입 성공 이후 공격이 내부 네트워크로 확산하는 데 걸리는 평균 시간은 62분으로, 최단 기록은 단 2분 7초에 불과했다.

이러한 최신 보안 위협을 차단하려면 보안팀이 위협 행위자의 공격 속도만큼 신속하게 대응해야 한다. 그러나 안타깝게도 기존 보안 정보·이벤트 관리(SIEM) 시스템은 이를 저해하고 있다. 기존 SIEM은 상대적으로 적은 로그 데이터와 느린 공격 속도를 전제로 설계돼 있다. 이 때문에 다루는 데이터가 현저하게 많아지고, 공격 속도도 빨라진 정교한 공격 기법을 효과적으로 처리하기 어렵다. 그 결과 보안팀은 구식 SIEM, 방대한 데이터레이크, 분산된 분석 도구로 구성된 패치워크를 관리해야 하며 이는 신속한 공격 조사와 대응을 어렵게 만든다.

기존 SIEM은 데이터의 블랙홀로 전락하고 있다. 점점 더 많은 원격 측정 데이터를 흡수하고, 대량의 오탐 경보(잘못된 정보로 인해 발생한 경보)를 생성해 대응 시간 지연, 운영 비효율, 비용 급증이라는 악순환을 초래한다. 이를 보완한 차세대 SIEM은 보안팀이 최신 위협에 효과적으로 대응할 수 있도록 지원하는 해결책이다. 처음부터 데이터, AI, 워크플로 자동화를 단일 사이버 보안 플랫폼에 통합하도록 설계된 차세대 SIEM은 보안팀이 더욱 신속하고 효율적으로 운영할 수 있도록 하며 궁극적으로 공격 차단이라는 핵심 목표를 달성할 수 있도록 돕는다.

보안 운영 센터(SOC) 내 다양한 역할을 수행하는 보안 전문가들은 차세대 SIEM을 통해 업무 효율성과 효과를 극대화할 수 있다. 장기간의 데이터 마이그레이션, 복잡한 아키텍처 관리 문제를 겪던 보안 엔지니어들은 탐지·대응 관점에서 가장 중요한 정보를 얻으며 네트워크 지연, 데이터 수집 병목 현상에서 벗어나 데이터 관리가 아닌 실제 위협 대응에 집중 가능하다.

여러 도구와 콘솔을 오가며 데이터를 해석했던 보안 분석가는 낮은 신뢰도의 경고와 수동 프로세스로 인해 조사 속도가 느려지고 공격을 놓칠 수 있었다. 차세대 SIEM은 단일 플랫폼에서 워크플로를 자동화해 프로세스를 간소화하고 위협 대응 속도를 높여 보안 분석가들이 우선순위가 높은 작업에 집중할 수 있도록 한다.

공격자가 피해를 발생시키기 전에 이를 찾아내야 하는 위협 사냥꾼들은 끊임없는 시간과의 싸움을 벌였다. 차세대 SIEM은 기존 대비 최대 150배 빠르게 위협을 검색하고 숨겨진 위협을 식별할 수 있는 통찰력을 제공한다. 궁극적으로 최고정보보호책임자(CISO)는 보안 위협이 증가하는 현 상황에서 효율적으로 조직의 보안 수준을 강화할 수 있다. 또 단일 플랫폼으로 통합을 통해 조직 구조 복잡성과 관리 오버헤드를 줄이는 것도 가능하다.

차세대 SIEM은 폭발적으로 증가하는 데이터와 점점 더 빠르고 정교해지는 보안 위협에 맞설 수 있는 대응 속도, 효율성, 비용을 제공한다. 보안 기술의 혁신적 진보의 결과물인 차세대 SIEM을 사용한다면 공격자보다 앞서 나갈 수 있는 경쟁력을 확보할 수 있을 것이다.