Sumo Logic의 2025년 보안 운영 인사이트 보고서는 단순히 현황을 조사한 것이 아니라, SOC의 목소리를 대변합니다. 끝없이 쌓인 대기열과 오래된 경고, 작동하지 않는 자동화, 정보를 전달하지 못한 채 스크롤만 길어지는 대시보드에 이르기까지 이 보고서는 수년간 모든 분석가와 CISO가 느껴왔던 현실을 수치로 보여줍니다. 지금의 시스템은 재설계가 필요합니다.
그러나 이것은 실패의 이야기가 아닙니다. 경각심을 일깨우는 동시에, 나아갈 길을 제시하는 청사진입니다. 다음은 보고서 데이터를 통해 도출한 가장 명확한 교훈과, 미래를 선도하는 보안팀들이 이를 실천으로 옮기고 있는 방법입니다.
SIEM 인프라의 현대화가 필요하다
보고서 결과: 대부분의 조직이 현재 SIEM 시스템을 3년 이상 사용 중이며, 보안 리더의 75%가 새로운 SIEM 솔루션을 적극적으로 검토하고 있습니다.
결과 해석: 현대의 보안 환경은 클라우드 서비스, API, SaaS 애플리케이션, 컨테이너 오케스트레이션 플랫폼 등에서 전례 없는 규모의 텔레메트리 데이터를 생성합니다. 기존의 보안 정보 및 이벤트 관리(SIEM) 시스템은 이러한 데이터를 실시간으로 처리할 수 있는 속도와 확장성을 갖추지 못했습니다. 클라우드 기반 뱅킹 플랫폼 Mambu 역시 기존의 SIEM이 텔레메트리 데이터의 주요 사각지대를 탐지하지 못하면서 이러한 한계를 직접 경험했습니다.
의의: 조직은 클라우드 네이티브 환경에 최적화된 SIEM 플랫폼을 우선 도입해야 합니다. 이를 통해 데이터를 실시간으로 수집하고 분석함으로써, 사후 대응 중심에서 사전 대응 중심의 보안 체계로 전환할 수 있습니다.
맥락적 인텔리전스가 효과적인 운영의 핵심이다
보고서 결과: 응답자의 85%가 차세대 보안 플랫폼의 핵심 요건으로 위협 인텔리전스 통합을 꼽았으며, 행동 분석과 사용자·엔터티 행동 분석(UEBA) 역시 동일한 수준으로 중요하게 평가했습니다.
결과 해석: 현대 SOC(지능형?)가 직면한 과제는 데이터 부족이 아니라, 서로 다른 데이터 소스 간의 맥락적 연관성 부족입니다. 효과적인 위협 탐지를 위해서는 단순히 시그니처 기반 탐지에 의존하는 것이 아니라, 사용자 행동 패턴, 위험 프로필, 과거 기록 등 맥락을 종합적으로 이해하는 접근이 필요합니다.
의의: 통합 행동 분석과 자동 위험 점수 기능을 갖춘 보안 플랫폼을 구축해야 합니다. 이를 통해 단순한 경고 데이터를 실행 가능한 인텔리전스로 전환하고, 위협의 우선순위를 명확히 분류할 수 있습니다.
인공지능은 운영 효율성을 해결해야 한다
보고서 결과: 응답자의 90%가 보안 플랫폼을 선택할 때 고급 AI 기능이 ‘매우 중요’하거나 ‘극도로 중요’하다고 답했습니다. 그 주요 이유는 하루 평균 약 10,000건에 달하는 경보 알림 문제를 해결하기 위함입니다.
결과 해석: 보안 운영에서 AI를 도입할 때는 지능형 경보의 상관 관계, 행동 모델링 및 인시던트 요약을 통해 분석팀의 업무 부담을 줄이는 데 초점을 맞춰야 합니다. 이를 위해 AI 기능에는 중복 경고 통합, 적응형 기준선 설정, 맥락 기반 인시던트 요약 및 서술 기능이 포함되어야 합니다.
의의: AI 지원 보안 플랫폼을 선택할 경우, AI가 인간의 전문성을 대체하기보다, 지능형 자동화를 통해 분석팀의 생산성을 향상시키는 형태를 선택해야 합니다. 또한 AI의 판단 근거를 명확히 제시하는 솔루션을 도입해 분석팀의 신뢰와 역량을 강화해야 합니다.
자동화는 측정 가능한 성과를 제공해야 한다
보고서 결과: 조직의 84%가 내장형 자동화 기능을 원하지만, 현재 자동화 구현에 만족하는 조직은 28%에 불과합니다.
결과 해석: 많은 자동화 프로젝트가 실제 대응보다는 경고 라우팅에 초점을 맞추고 있습니다. 효과적인 보안 자동화는 계정 비활성화, 사례 문서화, 이해관계자 알림 등 구체적인 대응 조치를 담당자의 직접 개입 없이 실행할 수 있어야 합니다.
의의: 탐지와 대응 기능을 통합한 단일 워크플로우 기반의 자동화 프레임워크를 구축해야 합니다. 또한 철저한 테스트와 버전 관리 프로세스를 마련해 자동화의 신뢰성과 조직의 확신을 확보해야 합니다.
SIEM 플랫폼은 투자 수익을 반드시 창출해야 한다
보고서 결과: 보안 리더의 50%만이 SIEM 투자에서 만족스러운 투자 수익(ROI)을 보고하고 있으며, 95%는 벤더 종속성(vendor lock-in)에 대해 우려를 표했습니다.
결과 해석: 낮은 ROI의 주요 원인은 여러 개의 도구 세트를 병행 사용하면서 발생하는 운영 비효율성입니다. 이로 인해 분석팀은 여러 인터페이스를 오가며 데이터를 수작업으로 전송해야 합니다. 이러한 비효율은 분석가의 피로도 증가와 위협 탐지 효율성 저하로 이어집니다.
의의: 개방형 API, 이식 가능한 탐지 규칙, 유연한 데이터 모델을 제공하는 보안 플랫폼을 우선 고려해야 합니다. 이러한 기능은 시스템 간 통합을 원활하게 하고 운영 복잡성을 줄여 투자 효율성을 극대화할 수 있습니다.
최종 의견
이 보고서는 보안 운영의 현대화가 반드시 필요하며, 전략적 기술 투자와 운영 개선을 통해 충분히 실현 가능한 목표임을 보여줍니다. 현대적 보안 운영의 성공은 가시성, 맥락적 인텔리전스, 인공지능, 자동화, 간소화된 워크플로우를 하나의 통합된 시스템으로 결합해, 분석팀의 역량을 강화하는 SIEM 플랫폼에 달려 있습니다.
