결과 요약
문제점
DXL은 온프레미스 인프라 관리로 인해 그 운영 속도가 저하되고 있었습니다. 따라서 성장하는 환경을 제대로 감당할 수 있는 클라우드 네이티브 SIEM을 찾고 있었습니다
다섯 명의 엔지니어로 구성된 소규모의 DXL 보안팀은 기존 온프레미스 SIEM 솔루션인 LogRhythm을 유지하는 것만으로도 벅찼습니다. 때때로 제품을 수작업으로 업데이트하는 도중 시스템 다운타임이 발생했고, 스토리지 한계로 인해 데이터 보존 기간도 제한되었습니다. 하드웨어 문제 해결 역시 보안팀의 몫이었습니다. 비즈니스가 확장되고 더 많은 최신 클라우드 기반 서비스를 도입함에 따라 기존 온프레미스 도구로는 이를 더 이상 감당할 수 없었습니다.
DXL의 사이버보안 및 네트워킹 디렉터인 존 사체티(John Sacchetti)는 클라우드 네이티브 SIEM이 필요하다는 사실을 알고 있었습니다. 보안팀에는 이와 함께 조직과 함께 성장할 수 있도록 확장 가능하고, 단편화된 도구들을 통합하며, 현대화된 보안 운영으로 나아가는 여정을 지원할 수 있는 SIEM이 필요했습니다.
솔루션
새로운 SIEM 솔루션을 찾는 과정에서 사체티는 로그 분석 시간을 획기적으로 단축하고, 더 빠르게 대응할 수 있도록 하며, 증가하는 서드파티 도구 생태계와 자연스럽게 통합되는 솔루션을 원했습니다. Google Security Operations, Splunk 및 기타 SIEM 플랫폼을 평가한 끝에 그는 Sumo Logic Cloud SIEM에서 답을 찾았습니다.
단일 중앙 플랫폼에서 구현되는 자연스러운 서드파티 통합
서드파티 도구의 수가 많고 지속적으로 새로운 기술에 투자하고 있는 DXL에게는 여러 출처의 데이터를 통합·중앙화할 수 있는 플랫폼이 최우선 과제였습니다.
Sumo Logic은 다양한 플랫폼의 로그를 수집하고 이를 연관시켜 분석할 수 있는 능력이 뛰어났습니다. 사체티는 실시간 모니터링 및 위협 탐지를 위해 주요 콘텐츠 전송 네트워크(CDN)인 Akamai를 비롯해 Azure AD, AWS와 같은 인증 도구와 기타 플랫폼 등 여러 중요 시스템의 데이터가 단일 플랫폼으로 쉽게 수집되기를 원했습니다.
“비즈니스는 지속적으로 변화하고 있으며, 매출 발생을 위해 고객을 위한 신규 서비스, 웹사이트 업데이트 및 다양한 통합이 필요합니다. Sumo Logic이라는 도구를 갖추고 있으므로 어떤 로그든 수집하고, 보고서를 작성하며, 이를 검색할 수 있습니다. Sumo Logic에서 현재 지원하는 서드파티가 아니더라도 데이터를 입력하기만 하면 정규화할 수 있으므로 어떤 곳에서도 보고를 구성할 수 있습니다.”라고 사체티는 말합니다.
내장 앱을 통해 간소화된 PCI 규정 준수
DXL이 요구한 조건 중 하나는 규정 준수를 더 쉽게, 부담 없이 충족할 수 있도록 지원하는 솔루션이었습니다. Sumo Logic에 내장된 PCI 규정 준수 애플리케이션은 DXL이 Sumo Logic 플랫폼을 선택한 주요 이유였습니다. “DXL은 대형 기업과 동일한 수준의 PCI 규정 준수를 유지해야 합니다. 하지만 DXL에는 동일한 수준의 리소스가 없습니다. Sumo Logic은 이러한 격차를 해소하는 데 도움이 되고 있습니다.”
Microsoft Windows 로그, AWS 로그, 방화벽 이벤트 등을 포괄하는 기본 제공 대시보드를 통해 사체티의 보안팀은 수작업 없이도 비정상적인 인바운드·아웃바운드 트래픽이나 무단 서버 액세스 등 잠재적 규정 준수 문제를 쉽게 탐지할 수 있습니다.
기본 제공 및 사용자 정의 대시보드
여러 SIEM 솔루션을 평가하는 과정에서 사체티는 대시보드의 사용 편의성과 유연성을 가장 중요하게 생각했습니다. 기본 제공 대시보드는 물론 고유한 요구사항에 맞춰 사용자 정의한 뷰까지 모두 지원할 수 있는 도구가 필요했고, Sumo Logic은 그 요구를 충족했습니다. 경영진이 특정 데이터를 요청할 때 여러 도구를 전환하거나 정보를 수작업으로 이어 붙일 필요 없이 실시간 인사이트를 즉시 제공할 수 있습니다.
특정 플랫폼의 로그 데이터가 필요하든, 보안 지표에 대한 높은 수준의 개요가 필요하든, DXL 보안팀은 이해하기 쉬운 형식으로 관련 보고서를 신속하게 작성할 수 있었으며, 구성원들의 선호도와 우선순위에 맞춰 결과를 맞춤화할 수도 있었습니다.
사체티는 Sumo Logic이 어떤 요구든 유연하게 받아들일 수 있다는 점을 높이 평가했습니다. “Sumo Logic이 대시보드 구성이나 필드 추출 규칙과 같은 무거운 작업과 번거로운 작업을 미리 처리해 준다는 점은 큰 장점입니다. 그 덕분에 업무 부담이 줄었고, 조직 전반에 보안 인사이트를 훨씬 효과적으로 전달할 수 있게 되었습니다.”
“Sumo Logic은 제가 어떤 요청을 해도 처리하지 못한 적이 없습니다. 기술 스택이 단순하든 복잡하든 상관없이 데이터를 필요한 방식대로 수집·정규화·보고해 주는 덕분에 작업이 훨씬 수월해졌습니다. 그리고 그 과정에서 받은 지원은 어떤 제품과 협업했을 때보다 최고 수준이었습니다.”
—존 사체티, 사이버보안 및 네트워킹 디렉터
결과
실시간 인사이트로 로그 분석 시간을 5분에서 몇 초로 단축
Sumo Logic을 통해 DXL 보안팀은 내부 팀과 이해관계자에게 중요한 인사이트를 수집하고 전달하는 데 걸리는 시간을 대폭 줄였습니다. 모든 데이터가 Sumo Logic으로 중앙화되면서, 몇 번의 클릭만으로 검색을 실행하고 보고서를 생성하며 대시보드를 손쉽게 맞춤 설정할 수 있게 되었습니다.
기존에는 SaaS 플랫폼의 시각적 화면에 로그가 표시되기까지 5분이 걸렸지만, 이제는 즉시 확인할 수 있습니다. 지연에 대응하느라 시간을 낭비하는 대신, 보안팀은 문제를 몇 초 만에 파악하고 대응할 수 있게 되었습니다. 이는 매 순간이 중요한 보안 분야의 판도를 바꿀 수 있는 큰 장점입니다.
사체티는 “분석 과정의 상당 부분을 단축할 수 있게 되었습니다”라고 말합니다. “Sumo Logic을 단일한 진실의 원천(source of truth)으로 활용하면 데이터를 바로 가져오고, 검색을 저장한 뒤, 요청에 따라 손쉽게 조정할 수 있습니다. 매번 처음부터 다시 시작할 필요가 없습니다.”
효율적인 로그 검색과 상관 분석
이전 환경에서는 로그 검색과 분석에 많은 시간이 소요되었습니다. 눈에 띄지 않았을 잠재적 위협을 조사하기 위해 여러 도구를 일일이 살펴봐야 했지만, 이제는 Sumo Logic 덕분에 훨씬 수월해졌습니다.
사체티는 다음과 같이 설명합니다. “몇 번의 클릭만으로 공격 시도가 있는 트래픽이 발생하고 있는지, 사용자가 어디로 이동하고 있는지, 트래픽이 어디에 집중되는지를 확인할 수 있습니다. 특히 CDN을 통해 유입되는 트래픽의 양을 살펴볼 때, 로그 검색의 상관 분석 기능은 매우 강력하여 현재 우리가 가장 자주 사용하는 핵심 기능이 되었습니다.”
분당 50~100건의 액세스 거부 오류 탐지 및 해결
Sumo Logic의 Logs for Security(보안용 로그)는 자칫 눈에 띄지 않아 큰 보안 사고로 이어질 수 있는 설정 오류를 탐지하고 해결하는 데 도움을 줍니다. DXL 보안팀은 AWS CloudTrail 로그에서 분당 50~100건의 ‘액세스 거부(access denied)’ 오류를 발생시키는 설정 오류를 발견했는데, 소규모 팀 규모를 고려하면 이를 수작업으로 찾아내기는 쉽지 않았을 것입니다.
사체티는 “Sumo Logic은 설정 오류나 잠재적인 보안 사고를 찾아내는 감사(auditor)의 역할을 합니다”라고 말하며, 이 솔루션을 통해 비정상적인 패턴을 손쉽게 탐지할 수 있다고 설명합니다.
액세스 거부 오류뿐 아니라 트래픽 변동이나 오류 급증을 탐지할 수 있는 기능은 문제가 악의적인 공격인지, 단순한 설정 이슈인지를 판단하는 데에도 도움이 됩니다. 문제를 조기에 해결함으로써 DXL은 보안을 강화하는 동시에 비효율적인 프로세스로 인해 발생할 수 있는 불필요한 클라우드 비용도 줄일 수 있었습니다.
컨텍스트 기반 검색과 통합을 통한 더 빠른 위협 조사
사체티는 Sumo Logic Cloud SIEM을 활용해 IP 주소를 컨텍스트 기반으로 검색함으로써 잠재적 위협을 탐지하는 데 집중하고 있습니다. VirusTotal, AbuseIPDB와 같은 서비스와의 내장 통합을 통해 의심스러운 IP의 평판을 즉시 평가할 수 있습니다.
여러 도구를 오가며 수작업으로 조사할 필요 없이, 악성 트래픽 차단과 같은 결정을 훨씬 빠르게 내릴 수 있습니다. 사체티는 이러한 기능이 조사 과정을 크게 간소화하며, 향후에는 Sumo Logic의 API와 방화벽을 활용해 더욱 자동화할 수도 있다고 강조합니다.
도구 통합으로 인해 간소화된 보안 운영
Sumo Logic 도입 이전에는 DXL 보안팀이 온프레미스와 클라우드 환경 전반에서 로그 상관 분석, 그룹 정책 변경 추적, 사용자 및 그룹 변경 사항 모니터링을 위해 여러 도구를 동시에 활용해야 했습니다.
이제 모든 데이터가 Sumo Logic으로 중앙화되면서, 보안 분석과 조사에 필요한 단일한 진실의 원천을 확보하게 되었습니다.
지속적인 고객 지원과 파트너십
기술 자체를 넘어, 사체티는 Sumo Logic에 처음 투자한 이후 지금까지 제공받아 온 고객 지원을 특히 강조합니다. 온보딩 단계부터 일상적인 운영에 이르기까지, Sumo Logic의 고객 성공 팀은 항상 신속하게 대응하며 DXL의 성공을 위해 적극적으로 투자하고 있다고 사체티는 전합니다.
경험이 풍부한 팀원과 신규 팀원 모두 Sumo Logic 인증 프로그램과 매월 진행되는 브라운백 세션 등 무료 학습 도구를 통해 제품에 대한 이해를 높이고, 지속적으로 역량을 키워 나갈 수 있었습니다.
사체티는 다음과 같이 강조합니다. “Sumo Logic은 제가 어떤 요청을 해도 처리하지 못한 적이 없습니다. 기술 스택이 단순하든 복잡하든 상관없이 데이터를 필요한 방식대로 수집·정규화·보고해 주는 덕분에 작업이 훨씬 수월해졌습니다. 그리고 그 과정에서 받은 지원은 어떤 제품과 협업했을 때보다 최고 수준이었습니다.”
