모래시계의 모래처럼, 우리 SOC의 하루하루도 그렇게 흘러갑니다….
경고가 발생하고, 즉시 심각한 사건을 알리지는 않지만 주의가 필요할 만큼 충분히 애매합니다. 분석가는 조사를 시작하고 상황 정보를 모으고, 인증 활동을 검토하고, 엔드포인트 데이터로 전환한 뒤 클라우드 환경의 관련 변경 사항을 확인합니다. 뭔가 약간 이상한 점이 있지만, 즉각적인 격리가 필요할 정도는 아니어서 조사는 계속됩니다. 팀원 한 명이 해석을 검증하고, 범위를 확인하기 위해 다른 로그를 조회하며, 팀은 체계적으로 결론을 향해 나아갑니다.
이 과정에는 잘못된 점이 전혀 없습니다. 사실, 이는 보안팀이 훈련받는 방식과 정확히 일치합니다. 하지만 조사가 진행되는 동안에도 시간은 계속 흘러갑니다.
개별 단계만 보면 성실해 보이는 일이, 사건의 전체 수명주기로 보면 종종 지연으로 이어집니다.
문제는 더 이상 가시성이 아닙니다
수년간 보안 운영에는 가시성이 부족했습니다. 팀들은 점점 더 복잡해지는 환경에서 무슨 일이 일어나고 있는지 이해하는 데 어려움을 겪었고, 이에 업계는 텔레메트리, 탐지 로직 및 중앙 집중식 가시성 플랫폼에 대규모 투자를 했습니다.
그 투자는 결실을 맺었습니다.
현대의 보안팀은 어둠 속에서 일하는 것이 아닙니다. 로그는 환경의 거의 모든 계층에서 인증 이벤트, 구성 변경, API 활동 및 사용자 행동을 기록합니다. 탐지 규칙은 신호를 신속하게 포착하고, 경고는 거의 실시간으로 생성됩니다.
‘무슨 일이 일어났는가’라는 질문은 대부분의 경우 답할 수 있습니다.
하지만 가시성이 높아진 속도만큼 결과가 개선되지는 않았습니다.
IBM Security에 따르면 조직은 여전히 침해를 식별하고 차단하는 데 평균 277일이 걸립니다, 한편 Mandiant의 연구는 공격자가 초기 침해 이후 며칠 또는 몇 주 동안 탐지되지 않은 채 활동하는 경우가 많다는 것을 계속 보여줍니다. 이러한 격차는 팀이 그 모든 데이터를 의사 결정으로 전환하는 데 시간이 걸리기 때문입니다.
마찰은 움직임을 지연으로 바꾸는 요소입니다
조사 중에 실제로 시간이 낭비되는 부분을 살펴보면, 일반적으로 단일 고장이나 신호 누락으로 인해 시간이 사라지는 것은 아닙니다. 대신, 이는 전반적인 진행 속도를 늦추기에 충분한 멈춤을 도입하는 일련의 작고 합리적인 결정들의 축적으로 발생합니다.
혼란의 비용과 침해 가능성을 저울질해야 하기 때문에 대응 여부를 두고 논의가 이어집니다. 팀 간의 조율을 위해 실행이 약간 지연됩니다.
이러한 각각의 순간은 적절한 판단력을 보여줍니다.
그러나 이러한 순간들이 연속적으로 이어지면 보안 마찰 계수라고 설명할 수 있는 것이 생성됩니다. 이는 작업이 신호에서 이해, 그리고 행동으로 이동하는 과정에서 누적되는 지연을 의미합니다.
마찰은 복잡성, 파편화, 그리고 압박 속에서 확실성을 필요로 하는 것의 자연스러운 부산물입니다. 하지만 보안 운영에서는 그 누적된 지연이 바로 위험을 정의하는 요소가 됩니다.
산업계는 마찰을 제거하지 못했습니다. 그 마찰을 다른 곳으로 옮겨 놓았을 뿐입니다.
시간이 지남에 따라 업계는 역량을 강화함으로써 이러한 문제를 해결하려고 시도했습니다. 탐지 범위를 개선하고, 맥락을 풍부하게 하고, 분석을 자동화하고, 대응을 조율하기 위한 더 많은 도구가 도입되었습니다. 각각의 도입은 특정 문제를 해결하기 위해 설계되었으며, 개별적으로 보면 많은 도구가 실제로 그러한 역할을 수행했습니다.
그러나 시스템 수준에서는 다른 패턴이 나타났습니다.
기능이 향상됨에 따라 도구 파편화도 심화되었습니다.
데이터는 종종 하나의 플랫폼에 저장되는 반면, 컨텍스트는 다른 플랫폼에서 구성됩니다. 의사 결정은 다양한 도구와 사람 간의 협업을 통해 이루어지며, 조치는 종종 별도의 시스템이나 워크플로로 전환해서 수행해야 합니다. 잘 설계된 환경에서도 이러한 분리는 핸드오프를 유발하며, 각 핸드오프는 지연 시간을 추가합니다.
Gartner는 통합 격차가 운영 오버헤드의 주요 원인이라고 지속적으로 지적해 왔으며, Splunk를 비롯한 여러 업체는 보안 팀이 조사 과정에서 다뤄야 하는 도구의 수가 증가하고 있음을 강조했습니다.
이렇게 광범위하게 퍼져 있다 보니 조사 과정에서 연속성이 부족합니다.
그렇다면 AI가 해결책일까요?
이로써 우리는 현재 보안 운영 분야에서 많은 논의를 이끌고 있는 질문으로 넘어갑니다.
마찰이 문제라면, AI가 해결책일까요?
워크플로를 고려하지 않고 적용할 경우 AI는 마찰을 줄이기보다는 오히려 증가시킬 수 있습니다. 요약, 상관관계 또는 권장 사항의 형태로 출력 레이어를 하나 더 추가한다고 해서 의사 결정 속도가 본질적으로 빨라지는 것은 아닙니다. 많은 경우, 이는 추가적인 해석 단계를 도입하여 확신에 찬 결론에 도달하는 데 필요한 시간을 늘리고 또 다른 지연 지점이 될 수 있습니다.
분석가가 시스템 간에 전환할 필요 없이 관련 컨텍스트를 AI가 모아 제공할 수 있다면 마찰이 줄어듭니다. 팀이 더 빠르고 명확하며 방어 가능한 결론에 더 빨리 도달하는 데 도움이 된다면 마찰을 줄일 수 있습니다. 조사의 흐름을 방해하지 않고 결정에서 실행으로의 전환을 지원한다면 마찰을 줄일 수 있습니다.
AI를 적용하는 것만으로는 어떤 것도 해결되지 않습니다. 마찰을 줄이는 데 기여하는 범위에서만 가치가 있습니다.
마찰이 줄어들면 무엇이 달라질까요?
데이터, 의사 결정, 실행 계층 전반에 걸쳐 마찰이 체계적으로 감소하면 팀은 더 빠르게 움직이고, 더 명확하고 덜 주저하며 더 일찍 의사 결정에 도달할 수 있습니다.
조사에는 더 적은 전환이 필요합니다. 에스컬레이션 주기가 더 짧고 더 목적 지향적으로 바뀝니다. 신호를 식별하는 것과 그에 따라 행동하는 것 사이의 거리가 줄어들기 시작합니다.
여기에서 ‘결정까지의 속도’를 높인다는 개념이 현실이 됩니다.
보안 팀은 무모하게 움직이거나 속도만을 최적화하려는 것이 아닙니다. 그들이 필요한 것은 사건의 라이프사이클 초기, 즉 영향을 억제할 기회가 아직 남아 있을 때 확신 있는 결론에 도달할 수 있는 능력입니다.
실제로 위험은 사건이 발생했다는 이유만으로 증가하는 것은 아닙니다.
어떻게 대응할지 결정하는 데 걸리는 시간 동안 증가합니다.
마지막 관점
인텔리전스나 가시성의 부족이 보안 운영을 제약하는 것은 아닙니다.
마찰이 지연을 발생시키는 요인이고, 이는 모든 조사, 모든 에스컬레이션, 모든 대응에 존재합니다.
AI는 이를 해결하는 데 기여할 수 있지만, 정확하고 명확한 의도를 가지고 정밀하게 적용될 때에만 가능합니다.
결국 결정적인 이점은 가장 많은 것을 보는 조직에 돌아가는 것이 아닙니다. 지연이 결과로 이어지기 전에 결정하고 행동할 수 있는 조직에 돌아갑니다.
Sumo Logic이 이 문제를 해결하는 데 어떻게 도움이 되는지 확인해 보세요. 데모를 요청하세요.