결과 요약
문제점
소규모 보안팀으로 운영되는 이 회사는 실시간 가시성을 강화하여 보안 태세를 개선해야 했습니다.
호주, 뉴질랜드, 캐나다, 싱가포르 고객을 대상으로 서비스를 제공하는 금융 서비스 기업인 Latitude Financial은 여러 지역의 규정 준수 요건을 준수해야 합니다. 이로 인해 회사는 IT 보안 투자와 프로세스를 재검토해야 했습니다.
당시 보안팀에는 분석가가 세 명 있었고, 전체 보안 운영은 외부 관리형 보안 서비스 제공업체(Managed Security Services Provider, MSSP)에 상당 부분 의존하고 있었습니다. 내부적으로는 로그 관리 목적으로 Sumo Logic을 도입한 상태였지만, 보안 측면에서는 보안 정보 및 이벤트 관리(Security Information and Event Management, SIEM) 솔루션이 없었고 환경의 보안 상태를 처음부터 끝까지 실시간으로 파악할 가시성이 확보되어 있지 않았습니다.
솔루션
Latitude Financial은 사내 보안 운영 센터(Security Operations Center, SOC)를 구축한다는 목표 아래 여러 SIEM 솔루션을 평가한 끝에 Sumo Logic 클라우드 SIEM을 최우선 선택지로 결정했습니다. Sumo Logic 도입을 결정하는 과정에서 보안팀의 눈에 띈 요인은 다음과 같습니다.
- 뛰어난 벤더의 참여도와 높은 수준의 지원
- 며칠 만에 완료되는 신속한 도입
- 다른 도구로 전환할 필요 없이 엔티티 정보를 간단하게 조사하고 심층적으로 분석할 수 있는 사용자 친화적인 인터페이스
- 백업 관리 필요성을 덜어주는 클라우드 네이티브 아키텍처와 스토리지
“이제 저희는 전통적인 SIEM 도구보다 훨씬 견고하고 안정적인 솔루션을 갖추게 되었습니다. Sumo Logic의 강력한 대시보드와 함께 사용하면 여러 도구 사이를 오갈 필요가 없고, 이 솔루션 덕분에 SOC의 탐지 및 대응 역량이 성숙해졌습니다.”
—폴 매딕스(Paul Maddicks), 시니어 보안 운영 분석가
결과
가시성과 실행 가능한 인사이트로 강화된 보안
보안팀이 취한 첫 번째 단계는 Sumo Logic 클라우드 SIEM을 도입해 회사 인프라 전반에 대한 가시성을 확보하는 것이었습니다. Latitude Financial에는 여러 지역에서 근무하는 3,000명의 직원이 있으며, 온프레미스와 AWS 클라우드 환경에서 모두 실행되는 다양한 워크스테이션, 서버 및 기타 도구를 사용하고 있습니다. 환경에서 나오는 텔레메트리 데이터를 인제스트하도록 통합을 설정하는 것은 간단한 과정이었으며, 현재 회사는 Sumo Logic이 분석하여 SOC 대시보드에 제공하는 46개의 보안 소스를 보유하고 있습니다.
보안 분석을 위해 데이터를 Sumo Logic으로 중앙 집중화함으로써 Latitude Financial은 전체 인프라 및 보안 스택 전반에 걸쳐 실시간 보안 인사이트를 확보하게 되었습니다. Sumo Logic이 하루 100GB의 데이터를 인제스트하면 6,100만 개의 레코드와 10만 개가 넘는 시그널이 생성됩니다. 이 데이터를 통해 보안팀은 매일 8~10건의 실행 가능한 인사이트를 얻습니다.
클라우드 SIEM의 강력한 상관관계 분석 및 분석 기능 덕분에 주의를 기울여야 하는 일상적인 인사이트에 효율적으로 집중할 수 있습니다. 기본 제공 솔루션과 사용자 지정 대시보드로 무장한 보안팀은 조사 프로세스를 쉽게 관리할 수 있게 해주는 184개의 보안 대시보드를 활용하고 있습니다. 대시보드는 ‘클릭 한 번’으로 심층 조사를 위한 상세 정보까지 분석할 수 있는 인터랙티브형이고, 통합된 도구에서 엔티티 세부 정보까지 가져와 확인할 수 있습니다. 이러한 효율성과 사용 편의성 덕분에 조사 워크플로를 빠르게 완료할 수 있습니다.
“이제 저희는 전통적인 SIEM 도구보다 훨씬 견고하고 안정적인 솔루션을 갖추게 되었습니다. Sumo Logic의 강력한 대시보드와 함께 사용하면 여러 도구 사이를 오갈 필요가 없고, 이 솔루션 덕분에 SOC의 탐지 및 대응 역량이 한층 성숙해졌습니다.”라고 Latitude Financial의 시니어 보안 운영 분석가인 폴 매딕스(Paul Maddicks)는 말했습니다.
Sumo Logic 인증을 통한 팀 역량 강화
Latitude Financial의 SOC팀에는 현재 열 명의 숙련된 보안 분석가가 있으며, 이들을 통해 팀의 보안 역량을 향상 및 심화시키는 다양한 이니셔티브에 집중할 수 있게 되었습니다. 팀 개발의 일부는 Sumo Logic의 교육 및 인증 프로그램을 적극적으로 활용함으로써 가능해졌습니다. Latitude Financial은 인터랙티브 교육과 가상 인증 세션을 통해 상당한 성과를 거두었기에 자사 보안 분석가들에게 해당 교육을 이수하고 필수 인증을 취득하는 것을 필수 요건으로 정했습니다.
“Sumo Logic 교육 인증을 통해 분석가들의 역량이 향상되었고, 제품에 대한 지식이 늘었으며, 자신감도 커졌습니다. 그 결과 더 효율적으로 업무를 수행하고, 인사이트에 신속하게 대응하고 빠르게 분류 및 조사할 수 있게 되었습니다.”라고 매딕스는 말했습니다.
애자일 위협 헌팅을 통한 IOC 조사, 검증 및 대응
Latitude Financial은 Sumo Logic 클라우드 SIEM을 활용하여 자사 SOC 플레이북과 프로세스를 지속적으로 발전시키고 있습니다. 보안팀은 엄격한 위협 헌팅 절차를 적용하여 침해 지표(Indicators of Compromise, IOC)를 찾아낼 뿐만 아니라, 클라우드 SIEM의 탐지 기능을 튜닝 및 강화할 기회도 함께 발굴하고 있습니다. 플랫폼의 종합적인 데이터와 간단한 쿼리 언어가 결합되어 위협 헌팅 전문가들이 의심스러운 활동을 손쉽고 강력하게 검색 및 탐지할 수 있습니다.
예를 들어, 매딕스는 “Sumo Logic이 승인되지 않은 원격 액세스 도구에 대한 인사이트를 생성했고, 이를 계기로 팀의 위협 헌팅 활동이 시작되었습니다. 노트북에 설치된 TeamViewer 인스턴스를 신속하게 찾아냈고, Sumo Logic의 로그 데이터를 심층 분석하여 노트북 이름, 사용자 이름, IP 주소, 해당 노트북이 비컨 신호를 보내는 대상까지 파악했습니다.”라고 설명합니다. 이내 위협 헌터들은 잠재적 IOC에 대한 인사이트가 실제 위협임을 확인했고, 이를 성공적으로 해결했습니다.