기술 분야에서 지속적인 관계의 진정한 증거는 인프라에 있습니다. 첫 단계부터 파이프라인, 보안 서비스, 로그 흐름까지 모두 원활하게 함께 작동하여 결과를 도출할 수 있어야 합니다.
이것이 바로 Sumo Logic과 AWS가 구축해 온 관계입니다. OCSF(Open Cybersecurity Schema Framework)와 같은 오픈 표준에 부합하며, Security Hub와 GuardDuty 같은 서비스와 통합되고, 공유 텔레메트리로 연결되어 있어 대규모 클라우드 보안과 옵저버빌리티를 확보할 수 있습니다. 이는 단순한 우연이거나 일회성 관계가 아니라, 고객이 진짜 중요한 업무에 집중할 수 있도록 도구 공유, 일관된 기대치, 파이프라인 문제 해결 등 어려운 부분을 함께 해결해 온 장기적인 엔지니어링 파트너십입니다.
양사의 협력 과정에서 AWS에서 발견한 사항이 OCSF를 통해 Sumo Logic으로 네이티브하게 유입되도록 함으로써 사용자 정의 매핑의 필요성이 감소했습니다. 또한 Amazon Security Lake와 연동함으로써 고객이 데이터를 자체 파이프라인으로 구성하지 않아도 클라우드 텔레메트리를 중앙화할 수 있도록 지원했습니다. 그리고 Amazon Bedrock과 같은 서비스를 활용해 AI와 ML 영역에서도 공동 역량을 확장하여 신뢰할 수 있는 기반 위에서 더 빠른 탐지, 조사, 대응을 가능하게 했습니다. 이는 단순한 한 지점의 통합이 아니라 보안 및 옵저버빌리티 팀이 데이터 처리에 들이는 시간을 줄이고 방어·구축·전달에 더 많은 시간을 할애할 수 있도록 수년간의 조정을 통해 이루어진 결과입니다.
Security Hub의 변경 사항 및 그 중요성
AWS는 보안 팀이 매일 직면하는 세 가지 실질적인 문제인 신호의 파편화, 컨텍스트 부족, 커스텀 매핑 비용에 초점을 맞췄습니다.
첫째, 이제 Security Hub에서 노출 결과(Exposure Findings)가 만들어집니다. 이때 사일로(silo)화된 알림 대신 GuardDuty, Inspector, Macie의 결과를 상호 연관시켜 어떤 노출이 실제로 중요한지를 강조해 줍니다. 우선순위 결정 요소에는 악용 가능성, 영향력, 리소스 노출이 포함되며, 이를 통해 쏟아지는 노이즈가 명확한 실행 목록으로 정리됩니다. 예를 들어 GuardDuty가 비정상적인 API 호출을 탐지하여 플래그를 지정하고, Inspector가 심각한 취약점을 보여주며, Macie가 민감 데이터를 식별한다고 가정해 보겠습니다. 이 경우 Security Hub에서 노출 결과가 만들어집니다. 인터넷에 노출된 이 EC2 인스턴스는 민감 정보를 보유하고 있지만 취약하여 현재 정찰 대상이 되고 있습니다. Sumo Logic에서는 해당 결과가 엔터티의 컨텍스트로 직접 유입되어 사용자 행동 및 기타 텔레메트리와 연결되므로 분석팀은 전체 위험 상황을 한 화면에서 확인할 수 있습니다.
둘째, Security Hub는 서비스 전반에서 발견한 결과를 그룹화하여 담당팀에게 위협·취약점·구성 오류 간의 연관성을 보여줍니다. 상호 연관된 인사이트는 초기 분류 과정에서 문제 해결로 나아갈 수 있도록 컨텍스트를 담당팀에 제공합니다. 예를 들어 GuardDuty의 의심스러운 스캐닝 경고, Inspector의 SSH 포트 오픈 탐지 결과, Config의 IAM 권한 설정 오류가 결합되면 해당 자산이 취약하거나 잘못 구성되었거나 집중 공격 대상이 되고 있을 가능성이 있다는 내러티브가 생성됩니다. Sumo Logic은 그룹화된 뷰(View)를 수집해 MITRE ATT&CK 기술에 부합하도록 조율한 뒤 워크플로 및 플레이북에 연결함으로써 분석팀이 ‘발생한 일 파악’에서 ‘해결 방안 실행’으로 신속하게 전환할 수 있도록 합니다.
셋째, AWS는 OCSF를 흐름 전체에 적용했습니다. 파인딩은 OCSF 형식으로 전달되며, 자동화 규칙은 사용자 지정 파싱 없이 해당 속성에 직접 작동할 수 있습니다. 예를 들어 ‘심각도 = 높음, 리소스 유형 = EC2’라면 인스턴스를 격리할 수 있습니다. Sumo Logic이 OCSF를 네이티브로 지원하기 때문에 이러한 속성이 대시보드, 분석 및 자동화로 깔끔하게 스트리밍되고 AWS 및 하이브리드 환경 전체에서 일관된 대응을 할 수 있게 됩니다.
OCSF: 실질적으로 중요한 파이프라인
OCSF는 이벤트와 파인딩의 형식을 버전 관리하고 예측 가능하도록 만드는 오픈 스키마입니다. AWS와 다른 업계 참여자들은 OCSF를 Security Lake와 Security Hub 같은 서비스에 적극 도입해 텔레메트리가 더 이르고 더 일관된 시점에서 정규화될 수 있도록 노력해 왔습니다. 로그와 파인딩이 표준 스키마를 따르게 되면 통합 작업은 더 이상 일회성 엔지니어링 프로젝트가 아닙니다.
고객에게는 즉각적으로 다음 세 가지 효과가 있습니다.
- 엔지니어링 취약점 개선. 새로운 소스나 벤더마다 수십 개의 사용자 정의 파서를 만들 필요가 없습니다.
- 인사이트 도출 시간 단축. 정규화된 데이터는 탐지, 대시보드, 분석에 즉시 사용할 수 있습니다.
- 자동화 기능 향상. 자동화 규칙이 예측 가능한 필드를 기반으로 작동할 때 플레이북은 안정적으로 실행됩니다.
OCSF의 모멘텀은 AWS 안팎에서 확인할 수 있습니다. AWS Security Lake는 로그를 OCSF 클래스로 정규화하고 있으며 광범위한 커뮤니티는 스키마가 소비자에게 피해를 주지 않고 발전할 수 있도록 거버넌스를 위해 노력하고 있습니다. 지금 OCSF를 도입하는 것은 단순히 편리함을 넘어 미래를 대비하는 일입니다.
Sumo Logic, 포맷을 늘리는 식상함이 아닌 실제 결과를 제공
Sumo Logic의 Security Hub 파인딩에 대한 네이티브 OCSF 지원은 고객이 직접 이를 분석할 필요가 없다는 뜻입니다. 파인딩은 이미 OCSF에 매핑된 상태로 Sumo Logic에 유입되어 다음과 같은 실제적 이점을 제공합니다.
- 즉시 사용 가능 별도의 사용자 지정 변환 없이도 즉시 파인딩을 탐지, 조사 및 보고서에 사용할 수 있습니다.
- 컨텍스트 상관관계. Security Hub 파인딩은 로그, VPC 흐름, CloudTrail 이벤트 및 기타 텔레메트리와 함께 Sumo Logic에 표시되므로 분석팀은 전체를 한눈에 파악할 수 있습니다.
- 표준 부합을 위한 조정 데이터가 OCSF를 따르기 때문에 고객은 여러 도구에서 동일한 파이프라인과 자동화를 재사용할 수 있으며 벤더 종속을 피할 수 있습니다.
바로 이 점이 핵심입니다. 정규화를 엔지니어링 비용으로 취급하는 일을 멈추는 것입니다. 분석팀에게는 분석을 맡겨야 합니다. 규칙 조정은 탐지 엔지니어의 몫입니다. SRE와 클라우드 팀은 노출 문제를 해결하는 데 집중해야 합니다. Sumo Logic과 AWS는 협력하여 ‘파이프라인의 장애물’을 제거해 흐름이 자연스럽게 이어지도록 합니다.
보안 운영 리더에게 의미하는 바
이 업데이트가 경영진에게 중요한 이유는 경영진이 가장 신경 쓰는 핵심 지표인 평균 탐지 시간(MTTD), 평균 응답 시간(MTTR) 및 전체 운영 비용 등에 직접적으로 영향을 미치기 때문입니다.
- POC와 체험판이 더 빠르게 실행됩니다. AWS는 고객 평가에서 가장 먼저 검토되는 플랫폼인 경우가 많습니다. Security Hub에서 Sumo Logic으로 이어지는 경로에 추가 매핑 작업이 필요하지 않으면 POC는 더 적은 리소스로 더 빠르게 가치를 입증합니다.
- 엔지니어링 부담이 감소합니다. 엔지니어는 더 이상 취약한 ETL 스크립트를 유지보수할 필요가 없으며 더 높은 가치의 자동화에 집중할 수 있습니다.
- 규정 준수 보고 과정이 더욱 깔끔해집니다. 표준화된 파인딩을 감사 보고서와 규정 준수 대시보드에 훨씬 쉽게 통합할 수 있습니다.
- 도구 간 상호 운용성 향상. OCSF에 부합하도록 조율하면 각 영역의 최고 도구를 비싼 맞춤형 통합 작업 없이도 조합해 사용할 수 있게 합니다.
이는 보안 팀이 클라우드 속도에 맞춰 운영하면서도 실제 작업을 맡는 인력의 소진을 막아줍니다.
진정한 협업의 힘
Sumo Logic과 AWS는 고객 결과를 최우선으로 두고 오랜 기간 협력 관계를 구축해 왔습니다. Sumo Logic은 보안 및 생성 AI 역량을 모두 보유한 AWS의 출시 파트너로서 OCSF와 같은 표준에 부합하도록 조율하고 Security Hub 및 Security Lake에서 파인딩을 직접 스트리밍하며 GuardDuty·Amazon Bedrock·Amazon Nova 모델과 통합하는 등 중요한 엔지니어링 세부 사항에 집중해 왔습니다.
이러한 파이프라인 구축 작업은 고객에게 실질적 이점을 제공합니다. 담당 팀은 포맷과 콘솔을 계속해서 전환하는 대신 상호 연관된 파인딩과 명확한 우선순위, 자동화에 바로 사용할 수 있는 데이터를 통해 조사와 대응 속도를 가속화할 수 있으며 클라우드 보안과 분석이 하나의 시스템처럼 운영될 수 있습니다.
AWS는 클라우드에서 발생하는 신호를 정교하게 만듭니다. OCSF는 이러한 신호에 문법을 부여합니다. Sumo Logic은 그 문법을 바탕으로 해답을 만들어냅니다. 보안 팀에게 이것이 의미하는 바는 파서를 작성하며 밤을 새우는 시간이 줄어들고, 실제 위협을 헌팅하는 데 더 많은 시간을 쓸 수 있다는 것입니다. Security Hub를 운영 중이라면 이는 일상 경험을 바꾸는 실용적 업그레이드입니다. 클라우드 보안 플랫폼을 평가하고 있다면 이미 OCSF를 지원하는 솔루션을 우선적으로 고려해야 합니다. 규모 확장이 필요한 탐지, 조사, 대응 환경에서는 표준이 중요합니다. 그리고 표준이 실제로 중요한 순간은 문서가 아니라 조직의 팀이 매일 수행하는 업무의 형태에서 드러납니다.
Sumo Logic의 우수함을 직접 확인해 보세요. 무료 데모를 신청하세요.
