• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

보안 관제 센터, 올바르게 활용하면 “복이 와요” 2016.12.20

관제 센터, 보안 독립성 키워주고 가시성 향상시켜

[보안뉴스 문가용 기자] 보안의 전략들이 계속해서 실패하고 있는 것처럼 보이는 가운데, 단 한 가지, 보안 관제 센터의 존재감만큼은 확실하게 빛나고 있는 듯 하다. 최근 맥아피(McAfee)에서 캐나다, 독일, 영국, 미국의 보안 담당자 400명을 대상으로 조사해 발표한 2016 위협 보고서(2016 Threat Report)에 의하면, 이미 상업 조직들 중 84%, 대기업들 중 91%가 관제 센터를 활용하고 있다고 한다.

▲ 위험? 내가 다 보여줄게...


흔히 SOC라고도 불리는 보안 관제 센터는 다양한 형태로 존재한다. 보안 관제만을 위해 아예 별도 건물이 있을 정도인 조직도 있고, 가상 공간에서만 기능을 발휘하는 SOC도 있다. 그리고 그 중간 단계의 형태를 가지고 있는 SOC가 가장 많다. 보안 관제 센터의 특장점이자 핵심은 1) IT 기능과 정보보안 기능의 확실한 분리, 2) 중앙집권화 된 구조, 3) 네트워크 내 이벤트들을 지속적으로 모니터링하고 사건에 대응할 수 있는 전담 요원의 배치라고 요약할 수 있다.

이런 핵심 내용을 잘 간직하고 있는 보안 관제 센터라면 무엇보다 보안 담당자에게 좋은 가시성을 제공한다. 이번 연구에 참여한 400명 중 67%가 최근 사이버 공격의 증가를 체험하고 있다고 답했는데, 대부분이 그 이유에 대해 1) 실제 공격이 증가했거나 2) 공격에 대한 가시성이 과거보다 더 좋아졌기 때문이라고 답했다. 공격이 줄어든 것 같다고 느낀 응답자는 7%에 그쳤는데 이들 대부분은 보안의 기술과 대응 절차가 향상되었기 때문이라고 답했다.

이러한 사실들을 통해 이 보고서는 한 가지 문제점을 자연스럽게 도출한다. 1) 관제 센터가 가시성을 높여주는 기능을 하고 있고, 2) 그 관제 센터를 도입하고 있는 조직이 80~90%에 달한다면, 도대체 왜 보안 사고들이 터지냐는 것이다. 이는 즉 적절한 데이터를 가지고도 조직 차원에서 활용을 하고 있지 못하다는 걸 의미한다.

과연 해당 보고서는 25%의 조직들이 보안 경보들을 보지도 못한다고 밝히고 있다. 그렇게 하고도 운이 좋아 보안 사고를 겪지 않거나 경영에 별 다른 영향을 받지 않은 조직들은 22%에 그친다는 사실도 지적하고 있다. 나머지는 대단히 큰 보안 사고를 한 번 이상 겪었다고 한다.

하지만 이것은 단순히 조직들이 보안을 경시하고 있거나 무능력해서 그렇다고만은 볼 수 없다. 오히려 전 세계적으로 보안 인력이 부족하기 때문에 이런 현상이 나타난다고 맥아피는 보고서를 통해 설명한다. 내부 인원을 충원할 수 없어 현재 조직들 대부분이 선택한 것은 외부 관제 센터 서비스의 이용이다. 외주 인력을 사용하는 업무 중 가장 많은 것은 지속적인 모니터링을 담당하는 요원이다. 그 다음으로는 고급 위협 탐지 기술, 사건 대응, 위협 사냥이 차지했다. 조직이 크면 클수록 외주 서비스 활용이 줄어드는 추세를 보였다.

이 중 눈에 띄는 건 위협 사냥 활동의 증가다. 관제 시스템 기능을 갖춘 조직 중 65%가 전담 위협 사냥 팀을 꾸리고 있었다. 위협 사냥이란 위협이 될 만한 요소들을 능동적, 선제적으로 먼저 찾아 방어하는 것으로, 보복 해킹과는 다른 개념이다.

보안 관제 센터를 효과적으로 관리하려면 ‘실질적’이 되어야 한다. 즉, 완벽히 방어할 수 있는 보안이란 있을 수 없다는 걸 인정하는 것에서부터 시작해야 한다는 것이다. 그러니 탐지와 대응의 속도, 이를 위한 가시성 확보에 더 집중할 수밖에 없다. 관제 센터에서 흔히 사용되는 툴들로 SIEM, 데이터 분석 툴, 블랙리스트 및 화이트리스트 데이터 피드, 취약점 정보 등이 있는 것도 이 때문이다. 여기에 첩보에 대한 올바른 판단과 우선순위 정립을 도와주는 콘텍스트 정보까지 있으면 금상첨화다.

현재 보안 관제 센터의 구축은 활발히 진행되고 있다. 특히 사업의 생산 기능을 저해하지 않는 선에서 보안 관제가 이뤄지도록 하는 조직들의 연구도 활발하다. 투자의 우선순위는 1) 확실시 되는 공격에 대한 대응 능력 향상, 2) 공격의 신호들을 탐지할 수 있는 능력 향상, 3) 공격이 발생한 후 수사를 진행할 수 있는 능력 향상이 될 것으로 보인다.

보고서 원문은 여기를 통해 열람이 가능하다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>