결과 요약
문제점
Endowus(엔도워스)가 직면한 과제는 보안 태세 강화와 도구의 간소화, 그리고 경보로 인한 피로도 경감이었습니다.
3년 전 보안 스택 구축을 시작한 Endowus는 곧 보안 도구가 심각하게 난립하는 상황에 맞닥뜨려야 했습니다. 이메일 보안, 데이터 손실 방지(DLP) 솔루션 등 다양한 도구가 도입되면서 여러 소스에서 쏟아지는 경보는 물론 감당하기 어려울 정도의 알림과 ping으로 인해 어려움을 겪고 있었습니다. 여기에 보안팀은 여러 대시보드 전반에서 경보 시스템을 지속적으로 모니터링하고 튜닝해야 했으며, 이로 인해 보안 관리가 복잡하고 시간이 많이 소요되는 상황이었습니다.
이에 가시성을 되찾고 효율성을 높이기 위해 Endowus의 정보보안 총괄 책임자인 앨빈 림(Alvin Lim)은 여러 보안 도구를 단일 중앙 플랫폼으로 통합할 수 있는 클라우드 SIEM 솔루션을 모색하고 있었습니다.
솔루션
Endowus는 로그 솔루션 3종을 검토하고 2종에 대한 개념 증명(POC)을 진행한 끝에 통합의 용이성, 유지 관리 편의성, 고급 경보 튜닝 기능이라는 세 가지 핵심 이유로 Sumo Logic을 선택했습니다.
기존 도구와의 통합의 용이성
Sumo Logic의 클라우드 네이티브 아키텍처 덕분에 Endowus는 AWS, SentinelOne, Google Workspace, 보안 웹 게이트웨이 등 주요 데이터 소스를 손쉽게 통합할 수 있었습니다. 복잡한 설정과 추가 우회 작업이 필요한 다른 벤더와 달리 Sumo Logic은 보안 환경 전반에서 로그 수집을 간소화하고 지속적인 가시성을 확보했습니다.
앨빈 림은 “우리가 평가한 다른 벤더는 클라우드 네이티브가 아니어서 로그 데이터를 제대로 수집하기 위해 더 많은 절차가 필요했습니다. 그러나 Sumo Logic을 도입한 이후로는 통합이 매우 매끄러웠습니다.”라고 말했습니다.
경보 조정 및 조사 시간 단축
Sumo Logic 도입 전 Endowus 보안팀은 잦은 경보로 인한 피로에 시달렸으며, 경보 한 건을 조사하는 데 약 한 시간이 소요되었습니다. 당시를 회상하며 앨빈 림은 “실행 가능한지조차 알 수 없는 경보가 쏟아지는 상황에서 에스컬레이션 필요 여부를 판단하지 못해 팀원들이 큰 스트레스를 받았습니다. Sumo Logic을 사용하면서 상황을 명확히 파악할 수 있게 되었고 조사 시간이 크게 줄었습니다.”라고 밝혔습니다.
클라우드 네이티브 유연성 및 확장성
두 명의 엔지니어로 구성된 소규모 팀인 Endowus는 추가 운영 부담 없이 쉽게 관리할 수 있는 솔루션이 필요했습니다. Sumo Logic 플랫폼은 직관적인 플랫폼, 즉시 사용이 가능한(OOTB) 규칙, 자동화된 규칙 유지 관리 기능 덕분에 고도의 기술 전문성이 없는 팀 구성원들도 보안 운영에 기여할 수 있었습니다.
강력한 ROI와 타당한 투자 가치
Endowus가 보안 솔루션을 선택함에 있어 핵심 기준은 비용 효율성이었습니다. 기능과 성능을 넘어, 투자 대비 효과(ROI)가 충분히 정당화될 수 있어야 했습니다. Sumo Logic은 포괄적인 보안 기능뿐만 아니라, 대안 대비 합리적인 가격도 돋보였습니다.
앨빈 림은 또한 Sumo Logic Flex Licensing을 활용해 데이터 수집량이 아니라 인사이트 및 분석 처리량 기반으로 비용으로 산정하여 변화하는 요구에 따라 비용을 확장하거나 축소할 수 있도록 했습니다. 이 유연성 덕분에 Endowus는 사용 사례 변화에 맞춰 확장하거나 축소할 수 있었으며, 새로운 요구 사항에도 비용을 통제하면서 대응할 수 있었습니다.
“새로운 도구에 대한 예산 승인 과정은 언제나 까다롭습니다. 보안 리더로서 우리는 타당한 투자에 대해 직접 설득해야 합니다. Sumo Logic은 서비스 가치가 명확하게 보였기 때문에 자연스러운 선택이었습니다.:라고 앨빈 림은 밝혔습니다.
“Sumo Logic은 중요한 인사이트를 빠르게 식별하고, 조사 및 대응까지의 명확한 경로를 제시해 보안 효과를 가속화하도록 돕습니다. 이 모든 것을 통합되고 간소화된 클라우드 SIEM 플랫폼에서 제공합니다.”
—앨빈 림(Alvin Lim)정보 보안 책임자
결과
경보 조사 시간 90% 단축
Endowus의 보안팀은 Sumo Logic Cloud SIEM을 통해 의심스러운 활동을 신속하게 식별하고, 오탐을 줄이며, 모든 경보가 실행 가능한지 명확히 판단할 수 있게 되었습니다. 이전에는 개별 경보 한 건을 조사하는 데 약 한 시간이나 걸렸습니다. 이제는 문제없는 경보를 5~10분 내에 처리할 수 있어 팀은 실제 위협에 더 집중할 수 있습니다.
사고 탐지 및 대응 능력 향상
데이터 사일로를 제거함으로써 Endowus는 전체 보안 환경을 종합적으로 파악할 수 있게 되었고 공격 벡터를 추적하거나 사고의 근본 원인을 파악하는 능력이 크게 향상되었습니다.
한 사례에서 Sumo Logic은 Endowus가 피싱 공격을 중대한 피해가 발생하기 전 조기에 발견하도록 도왔습니다. 여러 도구에서 들어오는 데이터를 Sumo Logic에 통합한 덕분에 팀은 의심스러운 행동을 빠르게 파악하고 피해가 발생하기 전에 위협을 완화할 수 있었습니다.
앨빈 림은 이 사례를 회상하며 이렇게 말했습니다. “Sumo Logic 덕분에 공격의 근원을 조기에 파악하고 실질적인 피해가 발생하기 전에 대응할 수 있었습니다. 또한 여러 도구를 Sumo Logic에 연동한 덕분에 피해의 전체 범위를 신속하게 평가하고 즉시 조치할 수 있었습니다.”
Sumo Logic의 사용자 친화적이고 게임 UI와 유사한 대시보드는 Endowus 보안팀이 사고 진행 상황을 쉽게 추적하고 다양한 데이터 포인트 간 연관성을 빠르게 파악하는 데 도움이 되었습니다. 전문가가 아닌 사용자라도 시스템을 쉽게 탐색할 수 있어 조사 속도와 효율성이 크게 향상되었습니다.
앨빈 림은 다음과 같이 강조했습니다. “Sumo Logic 플랫폼은 시각적으로 뛰어나고 반응성이 좋아 대규모 데이터를 관리하고 처리하며 분석하기 매우 용이했습니다. 이로 인해 프로세스에서 발생할 수 있는 지연과 마찰이 최소화되었습니다. 전체 UI가 매우 빠르고 직관적이어서 팀의 몰입도와 추진력을 유지할 수 있었습니다.”
리스크 허용 범위에 기반한 맞춤형 경보 관리
Endowus는 Sumo Logic의 맞춤형 경보 관리 기능을 활용해 보안 모니터링을 회사의 고유한 요구 사항에 더욱 효과적으로 맞추고 있습니다. 데이터 소스별로 임계값을 조정함으로써 Endowus는 경보 피로도를 최소화하고 실행 가능하고 의미 있는 경보만이 수신되도록 합니다.
앨빈 림은 “우리는 각 도구와 데이터 소스별로 임계값을 조정해 리스크 허용 범위와 일치시키고 싶었습니다. 예를 들어 Google Drive에서 사용자 행동을 추적해 팀이 보안을 저해하지 않는 범위 내에서 유연하게 대응할 수 있도록 합니다. 사용자가 짧은 시간 안에 민감한 데이터를 과도하게 다운로드하면 경보가 발생하고 즉시 조사할 수 있습니다.”라고 설명합니다.
향후 앨빈 림은 Sumo Logic의 UEBA와 자동화와 AI를 활용해 경보 관리를 강화하기를 기대하고 있습니다.
“임계값을 직접 조정하는 것만으로도 경보의 수준이 이미 향상된 것이 확인됩니다. Endowus의 프로세스를 더 효율적으로 만들 수 있는 Sumo Logic의 AI 기능의 잠재력이 기대됩니다. 이러한 기능을 통해 보안팀은 잠재적 위협을 식별·분석·조치하는 능력을 강화하게 될 것입니다. 보안팀은 커버리지를 확대하고 더 신속하게 대응할 수 있기를 원하며, Sumo Logic이 이러한 목표 달성을 위해 기능을 확장해 나가는 모습을 보며 매우 만족하고 있습니다.”
직원 만족도 향상
Endowus는 Sumo Logic 도입 이후 팀의 전반적인 만족도가 향상된 것을 확인했습니다. 앨빈 림은 Sumo Logic으로 전환한 이후 보안 운영이 더욱 효율적이 되었고 팀의 사기가 높아졌다고 말합니다.
“좌절감이 크게 줄었습니다.”라고 앨빈 림은 말합니다. “이전에는 6-7 건의 경보를 일일이 살핀다면, 그중 5 건은 도움이 되지 않는 경보였습니다. 이제는 Sumo Logic 덕분에 그런 일이 없습니다. 보안팀은 서비스의 기능을 탐구하며 더 나은 결과를 내는 데 열의를 보이고 있습니다. 이 도구는 팀이 이전보다 더 효과적으로 일할 수 있도록 힘을 실어주고 있습니다.”
가시성의 향상과 안도감
Sumo Logic 도입 전, Endowus는 중대한 과제에 직면해 있었습니다. AWS 보안 경보에 대한 가시성이 부족해 보안팀이 철저한 조사를 수행하기 어려웠고, 그 결과 지속적인 불안감이 남았습니다.
앨빈 림은 그 당시를 “그전에는 경보가 너무 많아 감당하기 어려웠습니다.”라고 회상했습니다. “처리하지 못하는 경보가 쌓이면서 불안감이 컸습니다. 더 우려스러운 것은 실제 위협이 우리 모르게 지나가고 있을 가능성이었습니다.”라고 덧붙였습니다.
Sumo Logic은 이러한 상황을 완전히 바꿔놓았습니다. AWS CloudTrail 로그를 클라우드 SIEM에 연동함으로써 Endowus는 복잡한 규칙을 직접 유지하지 않아도 보안 이벤트에 대한 깊은 가시성을 확보하게 되었습니다. 또한 클라우드 SIEM이 경보를 MITRE ATT&CK 같은 보안 프레임워크와 자동으로 상관 분석하면서 발생한 사건과 잠재적으로 발생할 수 있는 위협, 그리고 이를 완화하기 위한 대응 조치까지 포함한 실행 가능한 인사이트와 필요한 대응 조치까지 제공받고 있습니다.
“Sumo Logic은 중요한 인사이트를 빠르게 식별하고, 조사 및 대응까지의 명확한 경로를 제시해 보안 효과가 더욱 빨리 나타나도록 합니다. 이 모든 것이 통합되고 간소화된 클라우드 SIEM 플랫폼을 통해 제공됩니다.”라고 앨빈 림은 말합니다.
간단한 온보딩 및 지속적인 지원
Sumo Logic에 대한 사전 경험이 거의 없었음에도, Endowus는 Sumo Logic의 고객 성공팀(Customer Success Team)의 지원을 통해 빠르게 시스템을 활용할 수 있게 되었습니다. 초기 POC 단계부터 전체 구축에 이르기까지, Endowus는 실무 지원, 대면 교육, Sumo Logic 인증 프로그램 등을 통해 Sumo Logic의 기능을 최대한 활용할 수 있었습니다.
앨빈 림은 다음과 같이 말합니다. “우리는 Sumo Logic 사용 경험이 거의 없었지만, 고객 성공팀의 지원 덕분에 어렵지 않게 배울 수 있었습니다. 고객 성공팀은 마치 우리 팀처럼 함께하며 우리가 빠르게 적응할 수 있도록 도와주었습니다.”
앨빈 림은 또한 여러 가지 이유로 다른 보안 리더들에게 Sumo Logic을 추천한다고 설명합니다. “Sumo Logic의 투자 대비 가치(ROI)는 매우 높습니다. 투자한 비용만큼의 가치를 확실히 얻을 수 있습니다. 투자한 만큼 확실한 가치를 얻을 수 있습니다. 더 중요한 것은 필요할 때 심층 포렌식 조사를 수행할 수 있다는 점에서 큰 안심을 준다는 것입니다. Sumo Logic은 보안 목표 달성에 실질적인 힘을 보태는 강력한 도구입니다. 종합적인 기능을 갖추어 높은 가치를 자랑하는 Sumo Logic 솔루션은 조직의 핵심 보안 성공 기준을 충족할 수 있도록 보장합니다.”
