[보안 101] 더보기 ▶

매달 하나의 주제를 선정해 질문을 던지며, 보안에 한 걸음 더 가까이 다가갑니다.
복잡하고 어렵게 느껴질 수 있는 보안 지식을 초보자도 쉽게 이해할 수 있도록, 기초 개념부터 최신 이슈까지 차근차근 풀어갑니다.

보안이 알고 싶을 땐, 보안 101으로 시작해 보세요.
물음표를 느낌표로 바꾸는 여정을 이글루코퍼레이션이 함께합니다.

01. 보안관제의 필요성

디지털 전환이 가속화됨에 따라, 보안 관리자들의 고민은 더욱 깊어지고 있습니다. 지능적인 공격 방법을 동원해 기업의 약점을 파고드는 공격자들이 증가하고 있기 때문입니다. 이들은 수많은 기업 인프라의 보안 취약점을 뚫고 침입하여 주요 정보를 탈취하거나 시스템을 마비시켜 서비스 중단을 초래하는 등, 기업과 기관의 경영 활동과 지속 가능성에 악영향을 미치는 사이버 공격을 지속적으로 감행하고 있습니다.

이와 같은 배경에서 기업·기관의 IT 인프라가 보안 위협에 노출되지 않도록 지켜보고, 위험 요소 발견 시 즉각 대처할 수 있도록 정보보호시스템의 운영·관리를 대행하는 보안관제 서비스에 대한 수요가 점점 높아지고 있습니다. 다년간 축적된 경험과 전문 지식에 기반하여 기업 전반에 걸친 가시성을 확보하고, 보안 관리의 복잡성을 해소하며, 위협에 맞서 정확하고 신속한 의사결정을 내리기 위함입니다.

02. 보안관제 정의

보안관제는 조직의 정보자산을 보호하기 위해 네트워크와 시스템 전반에 걸쳐 발생하는 이상 징후를 탐지·분석·대응하는 일련의 활동을 말합니다. 단순히 공격을 감지하는 것에 그치지 않고, 다양한 보안 장비로부터 수집된 로그를 실시간으로 모니터링하고, 위협을 분석하여 빠르게 조치를 취함으로써 피해를 최소화하는 것이 목적입니다.

오늘날의 IT 환경에서는 예측이 어려운 위기 상황이 수시로 발생할 수 있습니다. 보안관제는 이러한 위협에 맞서 조직 데이터와 자산을 보호하는 최전선의 방어선 역할을 수행합니다. 고도화된 분석 기술, 체계적인 대응 프로세스, 숙력된 인력은 보안관제의 필수 요소입니다. 이 요소들이 유기적으로 결합되어 24시간 365일 중단 없이 운영될 때, 비로소 강력한 보안관제 체계를 구축할 수 있습니다.

03. 보안관제 업무

보안관제 업무는 크게 세 가지로 구분할 수 있습니다.

운영 및 관리 업무

보안 장비 및 시스템의 장애를 신속히 파악하고 이력을 점검하며, 보안 규제 준수 여부를 점검하는 활동을 포함합니다. 각종 보안 장비가 기업의 IT 환경에 적절하게 적용되어 정상적으로 작동하는지 확인하고, 정책이 올바르게 설정되어 있는지 수시로 점검하며 장비를 적절히 운용할 수 있어야 합니다. 이를 위해서는 보안 장비에 대한 지식과 사용 경험, 그리고 최신 보안 규제에 대한 이해가 필수적입니다.

탐지/분석/대응 업무

공격자의 행위를 신속하게 탐지하고 우선적으로 처리해야 할 위협 요소나 사고를 판별하여 적절히 대응하는 것입니다. 최근의 공격은 매우 지능화되고 다양화되고 있어, 침해사고 발생 여부, 악성코드나 악성 링크가 포함된 이메일 발신 여부, 내부 정보 유출 가능성, 디도스(DDoS) 공격 감행 여부 등 네트워크 전반에 걸친 모든 정보를 빠르고 정확하게 파악하여 다양한 위협에 효과적으로 대응해야 합니다.

예방 업무

이는 사고 발생을 사전에 방지하고, 사고가 발생하더라도 빠르게 대응하여 피해를 최소화하는 것을 목표로 합니다. 이를 위해 알려지지 않은 위협에도 신속하게 대응할 수 있도록 서버, 애플리케이션, 네트워크, 소프트웨어의 취약점을 점검하고, 유해 IP 및 악성 URL 등의 최신 위협 정보를 지속적으로 업데이트하며, 임직원을 대상으로 한 모의 훈련을 실시함으로써 고도화된 위협에 대한 방어력을 강화하고 정보보안 인식을 제고하는 데 중점을 두고 있습니다.

04. 보안관제 프로세스

기존 보안관제는'24시간 365일 사이버 위협 대응’을 기반으로, 사전 예방 → 실시간 탐지 및 분석 → 초동 대응 → 보고 및 관리의 단계로 구성됩니다. 이 과정은 다음과 같은 흐름으로 전개됩니다.

1) 사전 예방

최신 사이버 위협에 대한 정보를 신속히 공유하고 취약점을 사전에 점검합니다.
보안 정책을 최신화하며 보안 상태를 점검해 공격 가능성을 줄입니다.

2)실시간 탐지 및 분석

보안 이벤트를 실시간으로 수집하고 분석합니다.
수신된 공격 이벤트를 기반으로 위협을 탐지하고, 정밀 분석을 수행합니다.
침해 여부를 판단해 필요한 경우 즉각적인 대응을 시행합니다.

3) 초동 대응 및 조치

침해가 확인되면, 상황에 맞는 대응 조치를 수행하고 관련 시스템을 보호합니다.
위협 요소를 차단하거나, 정책을 변경하여 재발을 방지합니다.

4) 각종 결과 보고서 작성

보안관제 과정에서의 분석 결과는 다양한 형태의 보고서로 고객사에 제공됩니다.

05. 이글루코퍼레이션은 어떤 보안관제서비스를 제공하고 있나요?

디지털 전환 가속화로 공격 표면이 넓어지면서, 보안 경보는 늘어났고 보안관제센터(SOC)에서 사용하는 보안 도구들은 복잡해졌습니다. 이로 인해 피로한 보안 담당자들이 경보에 점점 둔감해지면서, 주의를 기울여야 하는 경보를 놓치는 일이 종종 발생하고 있습니다.

이러한 경보 피로(alert fatigue)와 SOC의 복잡성을 해소하고자, 이글루코퍼레이션은 기존 보안 프로세스에 인공지능(AI)과 자동화 기술을 적용하여 보안 위협 분석 및 대응의 효율성을 극대화하고 있습니다.

1) AI 기반 정·오탐 식별, 사고 예측 및 이상행위 판별로 분석 및 탐지 효율성 증대

이글루코퍼레이션은 보안 공격과 대응에 특화된 AI 기술을 도입하여, 보안관제의 효율성과 정밀도를 높이고 있습니다. 기존 보안관제 이벤트에서 발생한 데이터를 수집 및 정제, 샘플링, 레이블링하여 AI 학습에 활용하는 것입니다. 양질의 보안 데이터를 학습한 AI 알고리즘은 보안 경보의 정·오탐 여부 및 우선순위를 구분할 수 있습니다. 보안 담당자들은 대규모의 보안 이벤트를 동적 분산 처리함으로써, 경보에 대한 대응 속도와 효율성을 높일 수 있습니다.

또한, 양질의 보안 데이터를 학습한 AI 알고리즘은 알려지지 않은 혹은 기존의 패턴을 벗어나는 새로운 유형의 위협을 탐지할 수 있습니다. 이상 행위와 공격자 특성 등에 대한 비지도 학습을 수행한 머신러닝 알고리즘이 스스로 만든 판단 기준에 따라 정상 범위를 벗어나는 행위를 분류하게 하는 것입니다. 보안 담당자들은 수많은 이벤트 속에 숨겨져 있었던 이상 행위를 심층 분석함으로써, 보안 공백을 최소화할 수 있습니다.

2) SOAR 위협 분석 및 대응 자동화 보안관제 체계 완성

이글루코퍼레이션은 AI 기반 분석·탐지에 자동화 기술을 결합하며, SOC의 성숙도를 높이고 있습니다. 보안 운영·위협 대응 자동화(SOAR) 솔루션을 활용하여, AI 기반 보안 정보 및 이벤트 관리(SIEM) 솔루션이 발견한 공격에 자동대응하는 것입니다. 이글루코퍼레이션은 보안 위협 유형별 최적의 대응 방안을 매뉴얼화한 ‘플레이북’을 토대로 위협 탐지부터 대응까지의 전 과정을 단축하고, 업무의 일관성과 정확성을 강화하고 있습니다.

실제로 이글루코퍼레이션은 AI와 SOAR 기술이 융합된 자동화된 보안관제 수행을 통해, 보안관제 업무의 효율성을 높이고 비용을 절감하고 있습니다. 이글루코퍼레이션 분석에 따르면, 기존에는 보안관제 인력이 100% 수작업으로 처리하던 업무 중 83%를 자동 대응할 수 있었습니다. 하루 평균 200건에서 3000건으로 대응 건수도 증가했습니다. 무엇보다, 탐지부터 분석, 보고서 발송까지의 위협 대응 시간이 크게 단축되었습니다. 기존에는 보안관제 인력이 평균 30분을 투입해 대응했던 작업을 플레이북 기반 자동 대응을 통해 평균 12초 이내 처리할 수 있게 되었습니다.

3) 생성형 AI 활용으로 보안 담당자 역량 향상

이글루코퍼레이션은 분류형·설명형 AI 기술과 더불어 설명형 AI 기술을 보안관제센터에 적용하여, 보안 담당자의 역량을 확장하고 있습니다. AI와 보안 분석가 간의 소통 격차를 좁히는 ‘AI 보안 어시스턴트’ 적용을 통해, 보안관제 요원들이 현장에서 발생한 이벤트에 대한 AI의 예측 결과와 그 판단 근거에 대한 이해도를 높일 수 있게 지원합니다. 보안관제 요원들은 AI 답변에 대한 신뢰를 토대로, 보안 위협에 보다 기민하게 대응할 수 있습니다.

💌 후속 콘텐츠, 계속 받아보세요 ▶