지속 불가능한 보안 운영의 주요 4가지 원인

다음은 보안 팀이 현재 극복하기 위해 고군분투하고 있는 주요 SecOps 과제입니다.

조직들이 우수한 보안 운영 방식을 구축하고 유지하는 데 어려움을 겪고 있다는 것은 놀라운 일이 아닙니다. 사실, 보안 리더 78% 조직의 보안 태세에 대한 확신이 부족하다.

그렇다면 대다수 조직이 효과적인 보안 방법을 구현하지 못하게 만드는 원인은 무엇일까요? 업계 분석가들은 네 가지 주요 과제를 지적합니다. 보안 운영 센터(SOC) 이는 운영을 방해하고 지속적인 어려움을 초래합니다.

지속 불가능한 보안 작전의 네 가지 원인을 좀 더 자세히 살펴보겠습니다.

지속 불가능한 운영: 무슨 일이 벌어지고 있는가?

조직이 견고한 사이버 보안 전략을 수립하는 데에는 여러 어려움이 있습니다. 거시적인 관점에서 이러한 요인들은 조직을 지속 불가능한 보안 운영 상황으로 몰아넣습니다.

SOC 분석가 늘어나는 공격량으로 인해 심각한 경고 피로감을 느끼고 있습니다. SOC 관리자 부서 간 장벽이 높은 도구와 부서들을 연결하여 팀의 업무 효율성을 높이는 데 어려움을 겪고 있습니다. CISO와 보안 책임자들은 보안의 비즈니스 가치를 강조하려고 노력하지만, 말처럼 쉽지는 않습니다.

이러한 문제들이 보안 운영에 그토록 큰 영향을 미치는 이유는 무엇일까요? SOC에서는 모든 것이 확장되고 있습니다. 데이터 유출 사고도 증가했습니다. 2018년부터 11% 2014년 이후 671건의 TP3T 침해 사례가 발생했습니다. 데이터 유출로 인한 비용은 그 어느 때보다 높습니다. $424만. 랜섬웨어 공격 435%만큼 증가했습니다. 2019년부터 2020년까지만 해도 상황이 심각했습니다. 수동 보안 운영으로는 이러한 증가세를 따라잡을 수 없습니다.

지속 불가능한 보안 운영의 원인들을 하나씩 자세히 살펴보겠습니다.

전례 없는 규모의 공격 및 데이터 유출 발생

최근 들어 기업을 대상으로 하는 사이버 공격 건수는 매년 증가해 왔습니다. 이러한 공격량 증가와 더불어 공격 및 취약점 데이터를 탐지하고 식별하는 데 사용되는 수많은 모니터링 기술로 인해 기업들은 매일 수만 건의 경보에 직면하고 있습니다.

사이버 공격은 피싱 사기, 랜섬웨어 공격부터 민감한 정보를 탈취하거나 중요 기반 시설을 마비시키도록 설계된 더욱 정교하고 표적화된 공격에 이르기까지 다양한 형태로 나타납니다. 이러한 공격의 빈도와 영향력이 증가함에 따라 사이버 보안 조치에 대한 지출도 늘어났지만, 위협은 계속해서 진화하고 있으며 이를 방어하기 위해 마련된 시스템을 앞지르고 있습니다.

경계 피로 및 사이버 보안 인력 부족

경보 발생 건수가 증가하면서 업계에서는 다음과 같은 현상이 나타나고 있다고 많은 사람들이 설명합니다. 경계 피로 또는 상용 및 오픈 소스 제공업체를 통해 제공되는 위협 인텔리전스를 포함하여 필요한 대응 활동을 따라잡으려 애쓰는 기업들이 느끼는 피로감도 한몫합니다. 보안 운영 팀이 처리해야 하는 엄청난 양의 데이터, 특히 구식 도구에 의존하여 작업을 수행하는 경우라면 더욱 지쳐버리는 것은 당연한 일입니다.

해답은 사이버 보안 인력을 더 고용하는 것이 아닙니다. 왜냐하면 그런 인력이 부족하기 때문입니다. 앞으로 사이버 보안 인력 부족 현상이 더욱 심화될 것으로 예상됩니다. 350만 개의 사이버 보안 관련 일자리가 공석입니다. 2025년까지 전 세계적으로 사이버 보안 사용자 수는 2021년과 거의 비슷한 수준으로 증가할 것으로 예상됩니다. 조직이 직면한 가장 중요하고 어려운 과제는 자격을 갖춘 인력 부족입니다. 특히 이직률이 비정상적으로 높은 상황에서는 사이버 보안 전문가를 발굴하고 육성하며 유지하는 것이 어려울 수 있습니다.

서로 다른 기술과 분리된 팀

예를 들어 오래된 티켓팅 시스템이나 자체 개발한 보안 솔루션이 조직의 보안 조치 또는 요구 사항을 더 이상 지원하지 못하는 경우일 수 있습니다. 어떤 경우든, 기존 기술은 조직이 구현하려는 사용 사례를 관리하고 지원하는 데 어려움을 초래합니다. 실제로 시스코의 조사에 따르면 "최신" 보안 도구를 갖추고 있다고 응답한 조직은 59%에 불과하며, 이는 전년 대비 5% 감소한 수치입니다.

서로 다른 보안 팀이나 부서가 독립적으로 운영될 경우, 조정 부족으로 이어지고 조직 경계를 넘나드는 사건에 효과적으로 대응할 수 없게 될 수 있습니다.

성과 및 비즈니스 가치에 대한 가시성 부족

보안 성능 지표와 KPI는 SOC의 건전성을 파악하는 데 핵심적인 요소입니다. 잠재적 위협은 얼마나 빨리 탐지되는가? 평균 탐지 시간(MTTD)과 복구 시간(MTTR)은 얼마인가? 오탐률은 어떠한가? 의사 결정 속도는 어떠한가? 보안 책임자는 이러한 요소들을 명확하게 파악해야 합니다. 사고 대응 지표 이를 통해 SecOps의 비즈니스 가치를 더 쉽게 정량화할 수 있습니다.

보안 성능에 대한 가시성이 제한적일 경우 다음과 같은 상황이 발생할 수 있습니다.

표준화 부족: 표준화된 프로세스와 프로토콜이 부족하면 혼란과 비효율이 발생하여 보안 사고에 시의적절하고 효과적으로 대응하기가 더욱 어려워집니다.

의사소통 부족: 조직 내 각 부서 간의 효과적인 의사소통 부족은 보안 위험 및 사고에 대한 가시성 부족으로 이어질 수 있습니다. 이는 시의적절하고 효과적인 대응을 더욱 어렵게 만듭니다.

비효율적인 사고 대응 계획: 효과적인 사고 대응 계획이 부족하면 보안 사고에 대한 대응이 느리고 비효율적일 수 있습니다. 이는 사고의 부정적인 영향을 더욱 악화시킬 수 있습니다.

가시성 부족은 보안 팀이 보안 사고에 대응하고, 향후 사고 발생을 예방하며, 조직 내 다른 부서에 업무의 가치를 입증하는 데 어려움을 초래할 수 있습니다. 이러한 문제를 해결하려면 적절한 기술과 도구에 대한 투자, 표준화에 대한 노력, 그리고 조직 내 여러 부서 간의 효과적인 협업이 필요합니다.

앞으로 나아가기 위해서는 이러한 과제들을 정면으로 해결하여 조직의 지속 가능한 운영 체계를 구축해야 합니다. 보다 지속 가능한 보안 접근 방식을 채택하는 것은 직원 생산성을 저해하지 않으면서 현재와 미래의 위협에 효과적으로 대응할 수 있는 조직의 역량을 향상시키는 좋은 방법입니다. 극복해야 할 과제는 많지만, 적절한 도구를 활용하면 조직의 보안 위험 대응 능력을 강화하고 더 많은 위협을 더 빠르게 차단할 수 있습니다.