SOC(보안 운영 센터) 운영을 방해하는 7가지 요소 - 위드네트웍스

 

 

 코로나가 전세계적으로 유행하기 시작한 2020년부터 지난 4년 동안 사이버 공격이 두 배 이상 증가했습니다. 사이버 공격자들은 인공지능(AI) 같은 신기술을 활용하여 더 정교한 공격으로 진화하고 있습니다. 그런데 여기에 지정학적 혼란이 사이버 리스크를 증가시키면서, 기업들은 기업의 전체적인 보안 태세를 강화하기 위해 SOC(Security Operations Center; 보안 운영 센터)의 운영을 확장할 필요성이 대두되고 있습니다.

 하지만 현재의 위협, 경제, 비즈니스 환경을 고려할 때 SOC 운영을 확장하는 것은 쉬운 일이 아닙니다. 왜냐하면 CISO(최고정보보호책임자), SOC 관리자, SOC 직원들이 효과적으로 운영을 확장하기 위해 극복해야 할 많은 도전 과제가 있기 때문입니다. 오늘은  SOC 운영 및 확장을 저지하는 요소와 그 해결 방안에 대해 알아보겠습니다.

 

인력 부족

 

 현재 전세계적으로 사이버 보안 업계는 인력 부족 문제에 직면해 있습니다. 최근 연구에 따르면, 다섯 개 기업 중 네 개 기업이 보안 분석가 수가 다섯 명 미만이거나 SOC를 운영하기에는 분석가가 부족한 상황이라고 합니다. 이 문제를 극복하는 한 가지 방법은 원격 근무 환경으로 전환하는 것입니다. 이를 통해 지리적 범위가 크게 확대되고, 시장 가치가 높은 SOC 직원들도 원격 근무를 선호하기 때문에 채용 옵션이 증가할 수 있을 것입니다.

 

오탐 문제

 

 많은 SOC 도구, 특히 SIEM(Security Information and Event Management; 보안 정보 및 이벤트 관리) 및 EDR(Endpoint Detection and Response; 엔드포인트 탐지 및 대응) 도구는 잘못 구성될 경우 오탐을 발생시킬 수 있습니다. 오탐은 도구가 문제가 없는 관리 작업을 의심스럽거나 악의적으로 해석할 때 발생합니다. 이는 SOC 분석가의 업무 부담을 크게 증가시키고 운영 확장의 장애물이 됩니다. 이 문제를 최소화하기 위해서는 도구를 올바르게 구성하는 것이 가장 중요합니다. 

 

직원들의 번아웃

 

 SOC에서 일하는 것은 보람 있지만 매우 스트레스를 받을 수 있습니다. 2022년 연구에 따르면, 조직의 71%가 SOC 직원의 스트레스 수준을 10점 만점에 6에서 9로 평가했습니다. 직원들의 번아웃 문제를 해결하기 위한 방법으로는 성과 인정, 워크라이프 밸런스를 돕는 이니셔티브 제공, 강력한 리더십 등이 있습니다. 또한, 적절한 도구와 기술을 활용하여 문제를 관리할 수 있습니다.

 효과적인 도구와 기술을 도입하면 SOC 직원의 직무 만족도와 동기 부여가 크게 향상됩니다. 사이버 보안 솔루션을 구매할 때는 오탐지를 최소화하고 경고를 효과적으로 우선순위화하며 단순한 작업을 자동화하는 도구를 우선적으로 고려해야 합니다.

 

기술 부족

 SOC를 확장할 때 또 다른 큰 문제는 숙련된 직원의 부족입니다. 기술이 빠르게 발전함에 따라 사이버 보안 전문가들이 이를 따라잡기 어려워집니다. 이 문제를 해결하는 한 가지 방법은 내부 인재를 육성하는 것입니다. 기존 직원에게 업스킬링 프로그램을 제공하거나 비용을 지원하는 방법이 있습니다. 새로운 기술을 도입할 때는 직원들이 이를 효과적으로 사용할 수 있도록 해야 합니다.

 

과도한 알람 발생

 

 EDR 플랫폼과 같은 많은 SOC 도구들은 방대한 양의 알람을 생성합니다. 이는 기술적으로는 좋은 일이지만, 알람의 과부하는 SOC 직원들을 쉽게 지치게 하여 운영 확장의 장애물이 됩니다. 이를 해결하기 위해 SOC 직원들은 알람 조율에 대한 모범 사례를 엄격히 준수해야 합니다. 예를 들어, 알람의 전체적인 풀을 이해하고 팀의 시간과 노력을 소비하는 요소를 파악하며, 알름 분석을 기반으로 조정 작업의 우선순위를 정해야 합니다.

 

예산 제약

 

예산 제약은 SOC의 확장 능력을 심각하게 제한합니다. 조직의 예산이 빠듯하지만, 보안 예산 증가의 필요성을 경영진에게 설득하는 것이 중요합니다. ROI(투자 수익률)에 초점을 맞추고 비기술적인 직원들이 이해할 수 있는 방식으로 필요한 도구와 기술을 설명해야 합니다.

 

자동화의 부재

 

 SOC 작업을 자동화하는 것은 많은 문제의 효과적인 해결책입니다. FortiSOAR는 플레이북을 통해 보안 이벤트가 발생하면 해당 보안 이벤트를 자동적으로 해석하고 대응 프로세스를 작동시켜 처리합니다. 이를 통해 시니어 직원들은 더 복잡한 작업에 시간을 할애할 수 있습니다.

 

결론

 결론적으로 SOC 확장은 필요한 일이지만 어려운 일입니다. 증가하는 공격률, 확장되는 공격 표면, 공격의 정교함을 감안할 때, 많은 SOC가 향후 몇 년 동안 운영을 확장할 필요가 있습니다. 직원의 필요, 이용 가능한 기술과 도구, 예산 제약을 고려하여 신중한 접근이 필요합니다. 이해관계자와 소통하고 위의 조언을 염두에 두면 순조롭게 확장할 수 있을 것입니다.

 

FortiSOAR: SOC 운영 확장의 해결책

soure: Fortinet

 

Fortinet의 FortiSOAR는 SOC 운영 확장의 여러 문제를 해결할 수 있는 강력한 솔루션입니다. FortiSOAR는 강력한 자동화 기능을 제공하여 반복적인 작업을 줄이고, 고급 분석 기능을 통해 오탐지를 최소화하며, 직관적인 인터페이스로 직원의 업무 효율을 높입니다. 또한, FortiSOAR는 원격 근무 환경에서도 원활하게 운영될 수 있어 인력 부족 문제를 해결하는 데 도움을 줍니다.

 FortiSOAR를 통해 SOC 운영을 효과적으로 확장하고, 사이버 위협에 대응하는 능력을 강화해 보세요. FortiSOAR는 여러분의 SOC 운영을 다음 단계로 끌어올릴 수 있는 최적의 솔루션입니다.

 

 

FortiSOAR 구축 사례 - 국내 최대 게임 & 금융권 고객사

 위드네트웍스는 Fortinet의 Expert Partner로 수많은 구축 경험을 통해 다양한 포티넷 제품에 대한 기술력과 노하우를 보유하고 있습니다. 특히 Automation & ATP 부문 최우수 전문 Partner로서, FortiSOAR를 국내에 최초로 구축하였을 뿐만 아니라 FortiSOAR에 대한 가장 전문화된 경험과 노하우를 보유하고 있습니다.

 

 

Total ICT・지능형 보안 서비스 전문 플랫폼 혁신기업, 위드네트웍스 

 

위드네트웍스는 지난 10여년 간 매지니드 보안 시장의 선도 주자로서 축적된 노하우와 인프라를 기반으로 Global New Technology 기반의보안 솔루션을 개발할 뿐 아니라 클라우드, 5G, 와이파이 등 디지털 트랜스포메이션의 기반이 되는 인프라를 구축하여 4차 산업 혁명을 선도하고 있습니다.

 

또한 다양한 보안 전문 기술/컨설팅 노하우 및 지능형 보안 플랫폼을 통하여 고객사 환경에 최적화된 정보 보안 및 IT 인프라를 구축하고 있습니다. 특히 여러분 기업에 최적화된 지능형 아이덴티티 보안 체계를 하고자 하시거나 이에 대한  문의 사항이 있으시다면 아래의 제품 문의를 통해 자유롭게 문의 주시기 바랍니다!

​

감사합니다, 위드네트웍스는 여러분의 비즈니스를 응원합니다!

 

<참고: "7 Challenges in Scaling SOC Operations and How to Overcome Them", Josh Breaker Rolfe, 2024.06>