보안 운영팀이 직면한 과제

대부분의 조직에서 데이터 유출로 인한 막대한 재정적 손실을 막는 유일한 방어벽은 보안 운영(SecOps) 팀입니다. 이들은 매일같이 증가하는 사이버 위협을 식별, 분류 및 해결해야 하는 임무를 맡고 있으며, 따라서 효율적이고 반복 가능한 프로세스가 필수적입니다. 하지만 위협의 양이 폭발적으로 증가함에 따라 이러한 과제는 점점 더 어려워지고 있습니다.

이해를 돕기 위해 설명드리자면, AV-TEST 연구소 매일 39만 개 이상의 새로운 악성 프로그램이 등록되고 있습니다. 하지만 대부분의 보안 운영(SecOps) 그룹은 숙련된 전문가 부족과 비효율적이고 반복 불가능한 사고 대응 프로세스로 인해 어려움을 겪고 있습니다.

보안운영(SecOps) 인력 부족 현상이 특히 심각해지고 있다. 페닌슐라 프레스 (스탠포드 저널리즘 스쿨의 한 프로젝트에 따르면) 미국에서 현재 20만 9천 개 이상의 사이버 보안 관련 일자리가 공석이며, 지난 5년간 채용 공고는 74만 1천 3백 개 증가했습니다. 이러한 고용 시장에서 단순히 인력을 늘려 증가하는 위험에 대응하는 것은 현실적인 해결책이 아닙니다.

보안 운영 전문가들의 일일 업무량이 증가하면서 인력 부족 현상이 더욱 심화되고 있습니다. 최근 한 보고서에 따르면 포네몬 연구 평균적인 보안 운영팀은 매주 거의 17,000건의 경고를 수신한다는 것을 보여줍니다. 예를 들어, 전담 보안 분석가가 5명 있는 조직의 경우 각 분석가는 매주 거의 3,400건의 경고를 검토해야 합니다. 대부분의 조직에서는 기존 프로세스와 도구로는 이것이 불가능하기 때문에 어떤 경고에 주의를 기울일지 선별해야 합니다. 또 다른 자료에 따르면, 보안 운영팀은 매주 거의 17,000건의 경고를 수신합니다. 따라서 보안 분석가 5명이 매주 약 3,400건의 경고를 검토해야 합니다. 대부분의 조직에서는 기존 프로세스와 도구로는 이것이 불가능하기 때문에 어떤 경고에 주의를 기울여야 할지 선별해야 합니다. 포네몬 한 연구에 따르면 전체 경고 중 단 29%만이 조사되는 것으로 나타났습니다. 또한 같은 연구에서 조직의 68%가 오탐을 추적하는 데 상당한 시간을 소비하는 것으로 밝혀졌습니다.

보안 운영팀은 잠재적 위협의 상당 부분을 놓칠 뿐만 아니라, 조사되는 위협조차도 대부분 시간 낭비로 이어집니다. 주요 원인 중 하나는 기존의 악성코드 탐지 도구들이 적절한 대응에 필요한 맥락과 정보를 충분히 제공하지 못해, 시간 소모적인 수동 개입과 조사가 필요하다는 점입니다. 조사에 따르면 현재 사용 중인 악성코드 탐지 도구의 82%는 각 사건에 대한 잠재적 위험 수준조차 제공하지 않아, 경보 분류 책임을 분석가에게 떠넘기고 있습니다.

인력 부족과 감당하기 어려운 업무량으로 인해 보안 운영팀이 효과적으로 운영될 수 있도록 더 나은 접근 방식이 필요합니다. 자동화 보안 오케스트레이션 그리고사고 대응해답은 바로 이것입니다. 수동 개입 없이 미리 정의된 프로세스와 워크플로우를 실행할 수 있는 능력은 현재 및 미래의 위협에 대응하는 데 필요한 확장성을 제공합니다. 또한 직접적인 대응이 필요한 경우, 관련 위협 인텔리전스를 포함한 모든 보안 이벤트 세부 정보에 즉시 접근할 수 있어야 효율적인 대응이 가능합니다. 이 두 가지 기능은 인력 부족과 증가하는 위협에 직면한 보안 운영팀이 유지해야 할 "더 나은 프로세스"의 기반을 형성합니다.