보안 운영(Security operations)에는 노이즈가 엄청나게 많습니다. Black Hat에 참석하는 사람이라면 놀라운 일이 아닙니다. 더 놀라운 사실은, 이 노이즈의 상당 부분이 원래 노이즈를 줄이기 위해 만들어진 시스템들에서 발생하고 있다는 점입니다. 탐지는 컨텍스트가 부족하고, 알림(alert)은 설명 없이 쌓여가며, 시그널을 신뢰할 수 없어 자동화는 멈춰버립니다.
이 모든 상황에서도 목표는 같습니다. 바로 방어자가 중요한 것에 더 빨리 집중할 수 있도록 지원하는 것입니다.
업계도 이 목표를 달성하기 위해 많은 노력을 기울였습니다. 더 많은 로그, 더 정교한 규칙, 계층화된 인리치먼트(enrichment), 머신러닝을 도입했고, LLM을 활용해 알림 요약도 시도했습니다. 탐지 로직을 더 안정적으로 관리하기 위해 코드 기반 탐지(Detection-as-Code)도 도입했습니다. 하지만 여전히 같은 문제에 직면합니다. ‘이 알림은 실제인가’, ‘이 문제가 중요한가’, ‘그러면 어떻게 대응해야 하나’.
대부분의 현대 보안 도구에서 탐지 로직은 여전히 엔터티가 아닌 이벤트 중심입니다. 즉, ‘누가’가 아닌 ‘언제’ 발생했는가에 초점을 두고 있다는 사실입니다. 이러한 방식은 ID가 지속적으로 변화하는 클라우드 기반의 빠르게 움직이는 환경에서는 한계가 분명합니다.
그것이 바로 이번 Black Hat 2025에서 부스 #5812를 통해 Sumo Logic이 엔터티 중심 탐지(entity-centric detection)의 필요성을 소개하는 이유입니다.
기존 탐지 기술에 새로운 기반이 필요한 이유
기존의 탐지 로직은 인프라가 정적이고, 사용자가 일정한 위치에서 업무를 수행하며, 대부분의 위협이 특정 패턴(signature)을 따르던 이전 시대를 기준으로 설계되었습니다. 그 시절에는 이벤트 상관관계(event correlation)가 잘 작동했습니다. 촉박한 시간 동안 로그 라인을 충분히 매칭하기만 하면 무슨 일이 일어나는지 비교적 쉽게 파악할 수 있었기 때문입니다.
하지만 지금은 인프라가 일시적이고, 접근 패턴은 예측하기 어려우며, 공격자는 점점 정상적인 사용자 행위를 모방하고 있습니다. 한 컨텍스트에서는 의심스러운 활동이 다른 컨텍스트에서는 아무렇지 않을 수 있습니다.
이벤트 중심 모델은 이러한 차이를 인식하지 못합니다. 패턴은 볼 수 있지만, 에스컬레이션은 감지하지 못합니다. 타임라인은 도움이 되지만, 지속적인 행위 주체에 연결될 때만 의미가 있습니다.
그 결과, 분석팀은 여러 도구를 오가며 수작업으로 신호를 상관 분석하고, 분절된 로그 조각을 이어 붙여 하나의 내러티브를 구성하기 위해 고군분투하게 됩니다.
현재 보안 환경에는 더 나은 기반이 필요합니다.
엔티티 중심 탐지: 더 스마트한 모델
엔터티 중심 탐지는 ‘위험은 행동하는 주체에 존재한다’는 단순한 전제에서 시작합니다. 이때 주체란 사용자, 호스트, 서비스 계정, 클라우드 워크로드 등 어떤 동작을 시작하거나 액세스 권한을 가진 모든 엔터티를 의미합니다.
이 방식에서는 개별 이벤트에 반응하는 것이 아니라 탐지 시스템이 각 엔터티의 메모리를 구축하고 유지하며, 정상 패턴, 위험 패턴, 변화된 요소를 학습한 뒤 기준선에서 벗어나는 행동이 감지되면 신호를 올리고 전체 흐름을 연결해 설명합니다.
예를 들어 보겠습니다. 한 개발자가 호스트에서 시스템 정보를 처음으로 실행합니다. 몇 분 뒤, 해당 사용자가 한 번도 접근한 적 없는 S3 버킷에 접근합니다. 이후 해당 호스트가 평소와 다른 IP 범위로 아웃바운드 통신을 시작합니다.
기존 탐지에서는 이 행동들이 별개의 세 개 알림으로 분리되며 각각의 ‘조치 가능성’은 매우 낮습니다. 분석팀은 문제의 핵심을 파악하기 위해 이들을 일일이 연결해야 합니다. 연결할 수도 있고, 못할 수도 있습니다.
엔터티 중심 모델에서는 이 모든 활동이 처음부터 연결된 하나의 흐름으로 처리됩니다. 시스템은 이것이 동일 사용자의 활동임을 인식하고, 정상 행위에서 벗어났음을 감지하며, c 이해하고, 리스크 점수를 상승시킵니다. 그러면 충분한 컨텍스트를 포함한 단일 신호가 전달되어 자동화가 주저 없이 조치를 취할 수 있습니다.
엔터티 중심 탐지는 다음과 같은 다른 탐지 모델의 강점을 보완하고 강화합니다.
- 시그니처 기반 탐지는 알려진 위협을 식별하는 데 유용하지만 매우 취약합니다. 페이로드가 조금만 바뀌거나 TTP가 달라지면 실패합니다. 하지만 엔터티와 연결되면 메모리와 관련성이 생깁니다.
- UEBA는 탐지에 행동 기반 컨텍스트를 도입했지만, 블랙박스 방식으로 구현되는 경우가 많아 분석팀은 규칙을 읽을 수도, 조정할 수도, 신뢰할 수도 없었습니다. 엔터티 모델은 이러한 문제에 설명 가능성을 되돌려 줍니다.
- 이벤트 상관관계는 대부분의 레거시 SIEM에 내장되어 있으며 여전히 오늘날 탐지를 이끌고 있지만, 장기적인 인식 능력이 부족합니다.타임라인은 도움이 되지만, 지속적인 행위 주체에 연결될 때만 의미가 있습니다.
엔터티 중심 탐지는 탐지 로직의 초점을 바꾸고 실제로 중요한 엔터티에 모든 것을 고정(anchor)합니다.
현재의 운영 환경은 훨씬 더 복잡해졌습니다. 클라우드 서비스는 몇 분 만에 생성되고 사라지며, ID는 벤더와 지역을 넘나들며 변화하고, 위협은 정상적인 행동 속에 숨어듭니다.
오래된 탐지 로직으로는 분석팀이 무의미한 알림 분류에 시간을 낭비하게 되고, 자동화 엔진은 신뢰 부족으로 멈춰 서며, 도구는 컨텍스트를 이해하지 못하기 때문에 SOC는 항상 대응 모드로 운영될 수밖에 없습니다.
엔터티 중심 탐지는 이러한 격차를 해소하기 위해 설계되었습니다.
위험을 실제로 보유한 사람, 호스트, 시스템, 서비스에 로직을 고정해 두면 단순하고 단발적인 탐지에서 벗어나 위험이 발생한 방식과 이유를 기억하고 설명하는 탐지 방식으로 전환할 수 있습니다.
이 모델은 현대 운영 환경에서 필수적이며, 이를 갖추지 못하면 놓치는 위협이 늘어나고 자동화가 고장 나며 보안 스택이 비즈니스 속도를 따라가지 못하게 됩니다.
Black Hat을 통한 확인
Sumo Logic 부스에서는 실제 시나리오를 Sumo Logic Cloud SIEM의 엔터티 중심 탐지 엔진으로 다음과 같은 기능을 실시간으로 실행합니다.
- ID 공급자와 텔레메트리 소스 전반에 걸친 엔터티 추적: 사용자, 호스트, 워크로드, 서비스 계정을 시그널 출처와 관계없이 환경 전반에서 매핑하고 추적합니다.
- 14일 행동 윈도우 실행: 각 엔터티는 최근 활동 이력을 자체적으로 유지합니다. 무엇이 일반적이고, 무엇이 드물고, 무엇이 에스컬레이션인지 어떻게 감지하는지 확인할 수 있습니다.
- 스마트 시그널 중복 제거: 같은 행동에 대해 반복 알림을 보내는 대신, 관련된 시그널을 그룹화하여 의미 있는 탐지 결과를 도출합니다.
- 설명 가능한 위험 점수 자동 산정: 심각도, 희귀성, 행동 컨텍스트에 기반해 탐지의 우선순위가 정해지므로 중요한 작업에 집중할 수 있습니다.
- 분석팀 조정 가능 행동 기반 탐지 규칙: 블랙박스 AI가 아닌, 명확한 논리에 기반해 어떻게 탐지가 구성되는지 확인할 수 있습니다.
- 타임라인 및 관계 그래프: 탭을 전환할 필요 없이 공격 경로 전체를 실시간으로 확인할 수 있습니다.
- 통합 자동화: 신뢰도 높은 탐지 기능으로 별도의 인리치먼트 없이 즉시 플레이북을 실행합니다.
실제 제품을 보시고 실제 위협에 실시간으로 대응하는 모습을 직접 확인하시기 바랍니다.
미래는 엔터티에 있습니다.
모든 벤더가 자신의 시스템이 더 스마트하다고 말하고, 모든 도구가 자신이 더 빠르다고 주장합니다. 그러나 어느 시점에서는 오래된 모델을 더 이상 최적화하는 것이 아니라, 더 나은 모델을 구축해야 합니다.
엔터티 중심 탐지는 더 새롭고 현대적인 접근 방식을 제공합니다. 노이즈를 줄이고, 신호 간의 연결 고리를 이어주며, 실제로 중요한 위협을 탐지하여 분석팀이 대응에 더 많은 시간을 쓸 수 있도록 합니다.
