결과 요약
문제점
자체 개발한 보안 및 로그 관리 솔루션을 교체해야 했던 Singletrack
Singletrack은 설립 당시에 AWS 및 Salesforce 기술 스택 외에도 Papertrail까지 사용해서 자사의 클라우드 네이티브 보안 모니터링 솔루션을 맞춤형으로 구축해야 했습니다. 앱과 시스템 전반의 가시성은 제한적이었고 워크플로 진행을 위해선 여러 화면을 탐색해야 했습니다.
Singletrack의 비즈니스가 성장하고 지원과 엔지니어링을 전담하는 팀이 추가되면서 자체 개발한 보안 솔루션은 관리가 점점 더 어려워졌습니다. 솔루션을 개선하려 할 때마다 리팩터링 방법이나 재구축 방법을 정해야 하는 프로젝트가 될 정도였습니다. 신입 직원들은 때때로 수신 경고 알림과 로그 메시지의 처리 방법이 명확하지 않아 애를 먹었습니다. Singletrack에게는 확장 가능한 최신형 보안 정보 및 이벤트 관리(SIEM) 솔루션이 필요했습니다.
Singletrack의 공동 창립자 겸 CTO인 Paul Dyson은 다음과 같이 설명합니다. “저와 같은 기술 전문가들은 보기만 그럴듯한 제품보다 역량 있는 제품을 선호합니다. 저는 시연 당시엔 훌륭해 보이지만 실제로는 사용이 어려운 기술과 정말 포괄적인 기술의 차이를 잘 파악할 수 있지요.”
솔루션
Singletrack은 포괄적이고 즉시 사용 가능한 SIEM 솔루션을 찾기 위해 Splunk와 Sumo Logic을 포함한 8개의 서로 다른 플랫폼을 평가했습니다.
“Splunk를 평가해 보았지만 저희가 자체 솔루션을 구축했을 때만큼 통합과 설정에 많은 작업이 필요할 것 같았습니다.”라고 Dyson은 말합니다.
일대일 제품 데모 제공이 포함된 평가 과정을 거친 후, Singletrack은 다음과 같은 이유로 Sumo Logic이 적합하다고 판단했습니다.
사용성 및 단순성
Sumo Logic은 로그, 이벤트, 메트릭, 트레이스를 중앙 집중화하여 Singletrack의 앱과 시스템을 한곳에서 확인할 수 있도록 지원합니다. 간소화된 사용자 인터페이스를 통해 신입 직원을 간편히 온보딩하고 플랫폼 사용법을 빠르게 익힐 수 있습니다.
통합을 통한 확장성 증진
지원 팀과 CS 팀 같은 다른 담당 팀이 고객의 비즈니스에 영향을 미칠 만한 문제를 사전에 식별하고 해결할 수 있도록 돕습니다.
실행 가능한 인사이트
Sumo Logic의 클라우드 SIEM은 Singletrack이 신호를 트리거한 로그 레코드의 세부 정보가 포함된 통합 위협 인텔리전스로 보안 경고 알림에 컨텍스트를 추가하도록 도울 수 있습니다.
유연한 가격 정책
가격은 항상 고려해야 할 중요한 사안이며, Singletrack은 자체 개발 솔루션을 대체할 뿐만 아니라 팀 예산의 한도 내에서 적절히 기능하고 회사가 성장함에 따라 유연히 대처할 수 있는 솔루션이 필요했습니다.
Dyson과 팀원들에게 Sumo Logic과의 온보딩은 안정적이었고 복잡하지도 않았습니다. 그는 “일상적인 운영을 유지하느라 너무도 바빠서 처음부터 끝까지 3개월이나 걸렸지만, 솔직히 한 달 안에 끝낼 수도 있었습니다.”라고 설명합니다.
“기술 회사와 함께 일하면서 ‘와, 이 사람들은 정말 자신이 하는 일을 잘 알고 있구나’라고 생각한 건 오랜만이었고, Sumo Logic과는 정말 쉽게 협업할 수 있습니다.”
—Paul Dyson, 공동 창립자 겸 CTO
결과
더 빠른 인시던트 조사 및 대응
Dyson은 소프트웨어 엔지니어, 고객 지원 담당, SecOps 담당으로 구성된 30~40명의 팀을 감독하여 제품을 구축 및 유지 관리하면서 모든 고객 환경과 통합 지점을 관리하며 고객의 지원 요청을 처리합니다. 이처럼 다양한 역할과 책임을 수행하기 위해선 보안에 모두가 함께 힘써야 하며, 팀원들은 그 토대로서 SIEM에 집중해야 합니다.
Singletrack은 앱과 시스템의 중앙 집중식 보기를 통해 월별 보안 검토 프로세스를 강화하는 Sumo Logic의 클라우드 SIEM 솔루션을 SecOps의 초석으로 삼았습니다. Dyson은 역할 기반 액세스 제어와 리소스 할당부터 SecOps 정책 검토에 이르기까지 모든 업무를 총괄하는 책임자로서 다음과 같이 평가합니다. “이 솔루션은 전반적 상황을 평가하는 데 있어서 매우 유용한 초점이 되어 줍니다. 자체 개발 솔루션으로는 불가능했던 일이죠.”
Singletrack은 클라우드 SIEM에 힘입어 자동화된 플레이북과 사전 정의된 문제 해결 조치를 실행하여 기본으로 제공되는 900개 이상의 통합 기능과 플레이북 중에서 선택하거나 직접 작성함으로써 특정 유형의 이벤트나 인시던트에 대응할 수 있게 되었습니다. “플레이북을 사용하면 ‘경고 알림 수신자가 실제 상황을 파악할 수 있을지’와 관련된 위험이 사라지므로 정말 마음에 듭니다.”라고 Dyson은 말합니다.
간편한 구조화 및 비구조화 데이터 액세스
로그 분석 솔루션인 Sumo Logic은 Singletrack에 로그 매핑과 정규화라는 또 다른 이점도 제공합니다. 서로 다른 소스의 로그 메시지는 사용자, 애플리케이션, 기기 등을 식별하기 위해 다양한 이름을 사용합니다. Singletrack은 정규화 프로세스를 통해 메시지 소스에 관계없이 모든 레코드에 동일한 클라우드 SIEM 규칙을 적용할 수 있습니다.
Dyson은 다음과 같이 설명합니다. “훨씬 더 구조화된 쿼리와 텍스트 검색을 수행할 수 있어서 필요한 정보를 더 빨리 찾을 수 있고, 특히 Slack을 통해 엔지니어에게 URL을 전송하여 빠르게 살펴보도록 요청할 수 있어 너무도 유용합니다.”
Singletrack은 모든 데이터 세트의 강력한 로그 쿼리, 풍부한 연산자 라이브러리, 사용하기 쉬운 검색 템플릿으로 실시간 인사이트와 결과를 빠르게 필터링하여 위협 탐지와 성능 문제 해결에 속도를 더할 수 있습니다.
“문제가 있을 수 있다는 것을 이미 인지하고 있었기 때문에 1차 대응 성공률을 85%에서 93%로 개선할 수 있었고, 더 빠르고 쉽게 진단할 수 있어 2차 대응 성공률도 68%에서 83%로 개선할 수 있었습니다.”라고 Dyson은 말합니다.
더 빠른 고객 지원
Sumo Logic을 사용하기 전에는 고객이 Singletrack에 문제를 보고하면 Dyson의 팀원들은 모니터링 및 경고 알림 방안을 정하기 위해 탐색 프로젝트를 시작해야 했습니다. 일반적으로 2주 정도나 걸리던 이 과정이 이제는 “실시간으로 처리할 수 있게 되었다”고 Dyson은 말합니다.
그 덕분에 문제를 보고하는 고객과 동일한 지원 티켓 내에서 발생하는 문제를 감지할 규칙을 세우는 지원 팀 간의 피드백 루프가 가속화되어 더 효율적인 프로세스로 이어집니다.
선제적 애플리케이션 모니터링
Singletrack은 매년 약 2억 5천만 명의 유료 고객을 대상으로 10만 건의 리서치 배포를 실행하며, 그 양은 순수 애플리케이션 데이터만으로도 1일당 15GB에 달합니다. Sumo Logic의 로그 분석 플랫폼은 서로 다른 앱과 시스템의 데이터를 신뢰할 수 있는 단일 정보원으로 통합할 수 있는 통로를 제공합니다.
고유의 검색 쿼리 언어를 사용하면 근본 원인을 더 빠르게 분석할 수 있습니다. “하루에 기가바이트 단위의 로그를 수집하는 중에도 경고 알림에서 기본 로그 메시지로 이동한 후에 이를 필터링하고 다시 검색하기가 매우 간편합니다.”라고 Dyson은 설명하면서 다음과 같이 덧붙였습니다. “그러면 경고 알림은 Slack과 PagerDuty처럼 직원들에게 경고 알림을 실제로 보내는 것들과 매우 잘 통합되죠.”
이렇게 향상된 애플리케이션 옵저버빌리티에 힘입어 Singletrack의 선제적 문제 처리율은 30%나 증가했습니다.
Singletrack은 Sumo Logic의 도움으로 예전에는 자체 개발 솔루션을 유지 관리하던 데 들던 시간을 대폭 단축했으며, 그에 따라 Dyson과 팀원들은 가치 중심적인 업무에 집중할 수 있었습니다.
“제가 수행한 인프라 프로젝트 중에서 Sumo Logic과의 작업만큼 간단하고 인상적인 결과를 얻은 프로젝트는 없었습니다.”라고 Dyson은 말합니다.
