사고 대응에 들어가는 예산, 높일 필요성을 깨달은 기업들

통합 분석 사용하니 사고 대응 시간 줄고 정확성도 높아져

[보안뉴스 주소형] 미국의 산스 연구소(SANS Institute)가 새로운 사고 대응 보고서를 발간했다. 해당 보고서에는 보안 전문가와 실무자 모두에게 유용한 내용들이 담겨 있다.

각종 통계 데이터를 기반으로 하고 있는 보고서를 살펴보니 먼저 긍정적인 결과를 발견할 수 있었다. 바로 통합 분석이 사고 대응에 큰 실효성을 거두고 있다는 것. 보고서에 따르면 올해 현시점 기준으로 지난해와 비교했을 때 특히 지난여름부터 사고 대응 시간이 확연하게 줄어든 것으로 나타났다. 여기서 사고 대응 시간이라 함은 사건사고를 감지하고 치료하는 데까지 소요된 시간을 의미한다.

또한 보고서는 실시간 분석이 이러한 긍정적인 결과 도출을 견인하고 있다고 설명하고 있다. “이번 보고서에서 눈에 띄는 점은 응답자의 42%가 대응을 위한 분석에 자사의 사고 대응 종합체계(IR ecosystem)에 보안정보이벤트관리(SIEM)을 흡수시켜 완전히 통합하고 있으며, 33%는 부분적으로 통합하고 있다고 답한 것이다.

또한 사이버위협정보(CTI) 툴 및 서비스를 함께 사용하고 이들도 적지 않은 것으로 조사됐다. 기능에 CTI를 완벽하게 통합시켰다고 답한 비중이 26%, 부분적으로 통합하여 사용하고 있다고 답한 비중은 28%로 집계됐다. 한편 13%의 경우 현재 SIEM과 같은 기능을 전혀 통합 분석에 활용하지 않는 상황이지만 향후 사회간접자본(Social Overhead Capital)과 사고 대응 프로세스 개선을 위해 도입을 고려하고 있다고 답했다.”

분석을 통합하고 SIEM 등을 활용하는 가장 큰 이유는 시간을 절약할 수 있다는 점이다. 물론 최종적인 결정은 사람이 해야 한다. 하지만 사람이 꼭 해야 하는 업무량을 줄이고 그 과정을 간소화하는 데는 통합분석과 각종 애플리케이션의 도움이 필요하다는 것. 여기에 자동화 기능까지 장착되면 시간은 더욱 단축될 수 있다. 그리고 SIEM, EDR, 통합 정책 관리 시스템 등은 이미 모두 통합 분석 및 자동화 기능을 갖추고 있다.

사용되는 각종 툴들을 모아 접속을 간소화시키고 실행을 효율적으로 만드는 데 도움이 된다는 것이다. 특히 그렇게 집중화된 툴은 리소스 관리 등과 같은 사람이 해야 하는 업무를 보다 편리하게 돕고 업무에 대한 정확성까지 높일 수 있다. 게다가 여기에 자동화까지 더해지면 원하는 결과를 얻어내기까지 소요되는 시간까지 단축될 수 있다. SIEM, EDR, 통합 정책 관리 시스템 등은 모두 이 같은 집중화와 자동화의 기능을 갖추고 있다.  

대부분의 기업들은 현재 사고 대응 예산을 상향 조정해야 한다는 데 공감하고 있다. 따라서 각 기업의 사고 대응 부서는 취약점 및 위협에 대한 시각을 넓히고, 이와 관련된 요소들에 대한 탐지를 최적화하는 것에 대한 계획을 갖추고 있어야 할 것이다.

그렇다면 이를 위해 향후 1년 동안 사고 대응 부서가 취해야 하는 자세는 무엇일까? 보고서에 따르면 기업들은 현재 갖추고 있는 SIEM의 활용을 보완시켜 전체적인 보안 작업 환경 향상에 집중해야 한다.

한편 산스의 보고서는 여기를 누르면 연결된다.

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 주소형 기자(sochu@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>