결과 요약
문제점
Kobalt.io는 SIEM을 현대화하고 보안 도구를 통합해야 했습니다.
두 개의 SIEM을 운용하면서 Kobalt.io는 도구 난립, 경고 알림 피로, 낮은 확장성, 높은 유지 관리 비용 등 전형적인 SOC 문제에 시달리고 있었습니다. Splunk 및 Sentinel과의 계약 갱신 시점이 다가오면서 운영 개선 방법을 재평가해야 할 때가 되었습니다.
Kobalt.io SOC 매니저인 크리스 스핀들러(Chris Spindler)는 “구세대 SIEM 두 개를 관리하고 유지해야 하는 상황이었고, 실제로 제공하는 가치에 비해 비용이 지나치게 많이 들었습니다.”라고 말했습니다.
14명으로 구성된 스핀들러의 팀은 경고 알림의 양과 두 개의 SIEM을 유지 관리하는 데 너무 지쳐 있었기에 스핀들러는 분석가 두 명을 추가 채용하는 방안까지 고려하고 있었습니다. 스핀들러는 “시스템이 리소스를 낭비하고 있었고 제대로 확장할 수 없는 상황이었습니다.”라고 덧붙였습니다.
솔루션
Kobalt.io는 더 높은 경고 알림 정확도, 클라우드 네이티브 기능, 투명한 가격 체계를 확보하기 위해 IBM® QRadar®, LogRhythm, AlienVault, Sumo Logic을 포함한 6종의 SIEM 솔루션을 검토했습니다.
2주간의 테스트 후, Kobalt.io는 다음과 같은 이유로 주저 없이 Sumo Logic을 선택했습니다.
사용 편의성
Sumo Logic의 직관적인 디자인 덕분에 Kobalt.io는 Sumo Logic 플랫폼의 평가판을 몇 시간 정도만 다뤄본 후에도 손쉽게 데이터 소스를 온보딩하고 경고 알림을 처리할 수 있었습니다.
국제 데이터 레지던시
Sumo Logic은 또한 Kobalt.io가 각 지역의 데이터 레지던시 요건을 준수해야 하는 국제 고객에게 서비스를 제공할 수 있도록 데이터를 해당 지역 내에서 호스팅할 수 있습니다.
광범위한 통합
Sumo Logic은 Azure, Google Cloud Platform, AWS, Kubernetes, 도커를 비롯한 수백 가지 데이터 소스와 통합되어 최적의 워크플로와 손쉬운 고객 도입을 지원합니다.
멀티 테넌트 SIEM 인스턴스
Sumo Logic의 멀티 테넌트 SIEM 소프트웨어를 통해 Kobalt.io 고객은 자신의 계정을 구성하고 사용자 지정할 수 있습니다. 고객 데이터는 조직별로 태그가 부여되어 분리 및 보호되며, 이러한 구조는 데이터 수명 주기 전반에 걸쳐 유지되고 모든 시스템 계층에서 강제 적용됩니다.
실행 가능한 인사이트
Sumo Logic의 클라우드 SIEM은 이벤트 관리 기능을 자동 보강 및 상황 인식 기능과 결합하여 실제 침해 지표에서 불필요한 경고를 걸러내고 오탐을 줄일 수 있도록 지원합니다. 이러한 기능은 인터랙티브 헤드업 디스플레이를 통해 제공됩니다.
투명한 가격 책정
Sumo Logic의 가격 모델 덕분에 Kobalt.io는 분석할 데이터 소스를 선별할 필요가 없습니다. 이를 통해 SOC팀은 신속하고 효과적인 보안 조사를 수행하고 적절한 대응 조치를 실행하는 데 필요한 정보를 언제든지 확보할 수 있습니다.
“Sumo Logic과의 파트너십은 당연한 선택이었습니다. 시그널, 인사이트, 행동 알고리즘을 갖춘 시스템 덕분에 저희 소규모 팀은 핵심 업무에 집중할 수 있습니다.”
—크리스 스핀들러(Chris Spindler), SOC 매니저
결과
월간 6,000건의 경고 알림이 600건으로 감소
Sumo Logic의 클라우드 SIEM 솔루션은 알려진 위협에 대한 규칙을 기반으로 클라우드 규모의 상관 분석을 제공하고 새롭게 등장하는 위협에 대한 하위 쿼리 기반 상관 분석을 제공합니다. Sumo Logic 덕분에 향상된 경고 알림 정확도를 확보한 Kobalt.io 팀은 중요하지 않은 사용자 활동 경고 알림에 시달리는 대신 실제 잠재적 보안 위협에 집중할 수 있습니다.
스핀들러는 다음과 같이 설명합니다. “Sumo Logic을 사용하면 주요 SIEM 콘솔에 통합된 조사 도구로 시작할 수 있습니다. 즉, WHOIS나 VirusTotal 등의 사이트에 접근하기 위해 15개의 브라우저 탭을 열 필요 없이 인터페이스 내에서 한 번의 클릭으로 바로 해당 작업을 수행할 수 있습니다.”
매달 6,000건이었던 경고 알림이 600건으로 줄어들면서 Kobalt.io는 경고 알림 피로를 해소하고 분석가들이 진짜 중요한 일에 집중할 수 있도록 했습니다.
“분석가들은 가장 소중한 자원입니다. 단순한 알람만으로는 맥락을 알 수 없고, 조사의 초점을 잡아주지도 못합니다. Sumo Logic 덕분에 분석가들의 시간을 가장 가치 있는 곳에 쓸 수 있게 되었습니다.”라고 스핀들러는 설명합니다.
향상된 경고 알림 시스템 덕분에 Kobalt.io는 적은 인력으로 더 많은 일을 수행할 수 있게 되었습니다. Sumo Logic을 도입하기 전에는 지나치게 많은 경고 알림을 처리하기 위해 보안 분석가를 두 명 더 채용해야 했을 것입니다. 하지만 Sumo Logic을 도입한 이후 스핀들러는 팀 규모를 12명으로 유지할 수 있었습니다. 그는 이렇게 덧붙입니다. “Sumo Logic과의 파트너십은 당연한 선택이었습니다. 시그널, 인사이트, 행동 알고리즘을 갖춘 시스템 덕분에 저희 소규모 팀은 핵심 업무에 집중할 수 있습니다.”
며칠씩 걸리던 고객 온보딩 시간을 15분으로 단축
Kobalt.io의 주요 과제는 고객들을 새로운 솔루션으로 마이그레이션하는 것이었습니다. Sumo Logic을 통해 Kobalt.io는 모니터링 중이던 환경에 직접 접근하지 않고도 단 20일 만에 25명의 고객을 성공적으로 마이그레이션했습니다. Sumo Logic으로의 마이그레이션 절차가 간단했기 때문에 스핀들러는 2선 분석가들에게 고객 지원 업무를 맡길 수 있었고, 이를 통해 작업 부담이 분산되었습니다. 마이그레이션 완료 후 Kobalt.io는 새로운 고객을 단 15분 만에 온보딩할 수 있게 되었습니다.
스핀들러는 “Sumo Logic은 현재 시장에 나와 있는 주요 제품들과 호환되므로 고객이 사용 중인 환경에 대해 충분한 지원을 제공할 수 있습니다. 고객 마이그레이션도 매우 수월했습니다. 한 사람이 온보딩을 전담하는 대신 팀 전체에 업무를 분산해서 진행할 수 있었기 때문입니다.”라고 설명합니다.
손쉬운 배포와 수백 개에 달하는 서드 파티 기술 지원 덕분에 Kobalt.io는 그 어느 때보다 빠르게 성장할 수 있었습니다. “Sumo Logic을 처음 도입한 이후로 고객 기반이 두 배로 늘었습니다.”라고 스핀들러는 말합니다.
6개월 이내에 수익 창출
Kobalt.io가 처음 사용하던 SIEM 솔루션에는 도구와 라이선스 비용을 넘어서는 숨겨진 비용이 있었습니다. 스핀들러는 “예를 들어 Splunk는 무거운 포워더와 서버 또는 가상 서버 인스턴스에 의존하는데, 이런 것들은 모두 매달 비용이 발생합니다. Microsoft Sentinel의 경우에도 로직 앱, 기능, 데이터 볼륨에 대한 요금을 내고 관리해야 하며, 이를 모두 운영할 인프라도 필요합니다.”라고 설명합니다. 반면 Sumo Logic에는 이런 추가 비용이 전혀 없습니다.
또한 Sumo Logic의 유연한 가격 모델 덕분에 Kobalt.io는 상당한 비용 절감 효과를 보았습니다. “Sumo Logic의 장점은 고객이 소량의 데이터만 가지고 오거나 모니터링을 원하는 데이터 소스가 하나뿐이어도 지원할 수 있다는 점입니다. 고객에게 ‘죄송하지만, 하루에 최소 0.5 테라바이트는 보내 주셔야 합니다. 그렇지 않으면 감당할 수 있는 수준의 데이터 인제스천 단가를 제공해 드릴 수 없습니다.’라고 말할 필요가 없습니다.”
스핀들러의 말에 따르면, Sumo Logic의 가격 모델 덕분에 Kobalt.io는 주니어급 보안 전문가 한 명을 채용하는 비용보다 더 적은 비용으로 완전한 모니터링 서비스를 제공할 수 있습니다.
4개월 이내에 Sumo Logic 클라우드 SIEM은 이미 투자비를 회수했습니다. Kobalt.io가 Splunk와 Microsoft Sentinel 사용을 중단하자 Sumo Logic 도입 후 6개월 만에 수익을 창출했습니다.
