.jpg){kind=spacer}
불과 2년 전과 비교하더라도 업무 난이도에서 큰 차이 나타나
CISO는 사업 전체적 맥락을 잃지 않고 신기술에 보다 열린 마음 되어야
[보안뉴스 문가용 기자] 시장 조사 전문 기관인 ESG에서 새로운 보안 분석 및 관제 관련 보고서가 나왔다. 약 406명의 북미 지역 IT 및 보안 전문가들을 대상으로 조사를 진행한 것으로, 이를 요약해보면 다음과 같다.
1. 보안 분석과 관제는 점점 더 어려워지고 있다
조사에 응한 사람들 중 63%가 보안 분석과 관제의 난이도가 2년 전에 비해 급격히 올라갔다고 답했다. 여기에는 외부적인 요인과 내부적인 요인이 있다. 응답자의 41%는 외부적인 요인으로 위협 지형도의 급격한 변화를 꼽았다. 공격 표면이 빠르게 늘어나고 있기 때문이라고 답한 응답자가 그 다음으로 많은 30%를 차지했다.
내부 요인에는 뭐가 있을까? 35%가 수집되는 보안 데이터가 지나치게 많다고 답했다. 2년 전에 비해 말도 안 되는 양이라는 것이다. 34%는 보안 경고의 양이 급격하게 늘어난 것을 꼽았고, 29%는 보안 관제라는 것이 하루가 다르게 복잡해지고 있어 좇아가기가 힘들다고 답했다. 보안 전문가들은 이런 외부 및 내부 요인들을 모두 감내할 뿐만 아니라 극복해야 하는 짐을 지고 있다.
2. 보안 데이터 파이프라인에 딜레마가 있다
32%의 응답자는 “2년 전에 비해 확연히 많은 데이터를 수집한다”고 답했고, 44%는 “어느 정도 많은 데이터를 수집한다”고 말했다. 52%는 “이렇게 수집한 데이터를 2년 전보다 훨씬 더 긴 기간 보관한다”고 답하기도 했다. 즉 보안 분석가와 운영자들 손에 훨씬 더 많은 데이터가 들려 있다는 것이다. 이 때문에 데이터 보관에 더 높은 비용이 들어가고, 데이터 처리도 훨씬 더 어려워지고 있다. 보안 분석가들은 “이제는 데이터가 너무 많아서 장님이 되고 있는 상황”이라고 입을 모았다. 문제가 될 정도로 데이터가 많이 수집되고 있는 현재의 파이프라인은 확실히 문제가 있다.
3. 온프레미스 SIEM은 불완전한 해결책이다
70%의 응답자들이 “아직도 전통의 SIEM 시스템을 바탕으로 보안 분석과 관제 업무를 실시한다”고 답했다. SIEM을 중심에 두고, 현대화 된 도구를 몇 가지 더 추가해 관제 센터를 운영하는 조직이 대다수라는 것이다. 그러면서 응답자들은 “위협 탐지, 대응, 수사, 위협 분석, 자동화, 오케스트레이션 등 각동 도구가 늘어나고 있는 중”이라고 덧붙였다. SIEM이 그렇게 완벽하다면, 왜 저 많은 추가 도구들이 덧붙어야 하는 걸까?
이에 대해 응답자들은 “이미 알려진 위협들을 탐지하는 것과 컴플라이언스 관련 보고를 받는 데에 있어 훌륭하다”고 답했다. “하지만 알려지지 않은 위협들을 발견하는 것과, 탐지와 보고를 제외한 다른 보안 기능을 수행하는 데에는 부적절하다”는 의견이 뒤따라 붙었다. 게다가 “충분한 훈련과 경험이 있어야만 SIEM을 다룰 수 있다”는 응답이 23%, “전담 인원이 항시 붙어있어야만 유용해지는 장치”라는 사람이 21%를 차지하기도 했다. SIEM은 당분간 보안의 현장에 남아 있을 것은 분명하다. 하지만 많은 보완 작업이 필요한 것도 사실이다. 딜레마다.
4. 인원 보강 문제는 어디에나 존재한다
정확히 3/4의 응답자들이 “보안 분석과 관제의 난이도가 올라간 데에는 인재 부족 문제도 작용하고 있다”고 답했다. 그러면 채용을 더 많이 하면 될 것 아닌가? 하지만 문제가 그리 간단치만은 않다고 한다. 응답자의 70%가 “분석과 관제를 할 줄 아는 인력을 찾는 게 굉장히 어렵다”고 답했다. 그래서 최근 많은 조직들이 관리 서비스 혹은 보안 관제 대행 서비스로 눈길을 돌리고 있다. 응답자의 74%가 이미 관리 서비스를 사용하고 있으며, 90%가 관리 서비스의 활용도를 높일 예정이라고 답했다.
5. 보안 분석과 관제, 공공 클라우드로 옮겨가고 있다
과거 CISO들은 온프레미스의 보안 분석 및 관제 기능에 직접 손 대고 관여하는 걸 선호했다. 하지만 그럴 기회가 점점 사라지고 있다. 클라우드 기반의 분석과 관제 기술이 빠르게 도입되고 있기 때문이다. 응답자의 41%는 “클라우드 기반 보안 분석 및 관제 기술을 선호한다”고 답했고, 17%는 “클라우드 기반 기술들을 도입할 준비가 되어 있다”고 답했다.
왜 클라우드로 옮겨가는 걸까? 가장 큰 이유는 비용을 절감하고 관제 인프라를 단순화시키기 위함이다. 심지어 일부 클라우드 유경험자들은 특정 상황에서 온프레미스에서는 하기 힘든 걸 클라우드 기반 기술로 할 수 있다고 말하기도 한다. 응답자들의 대부분은 이 ‘특정 상황’을 “데이터셋이 어마어마하게 크고, 머신러닝 알고리즘을 활용해야 할 때”로 꼽았다.
이 결과를 바탕으로 ESG는 CISO 및 여러 보안 전문가들에게 다음과 같은 네 가지 권장 사항을 제공한다.
1) CISO들은 보안과 관제의 효율은 높이고 기업의 수익 창출 활동을 지원한다는 목표로, 장기적인 관점에서 관제 센터에서의 현 문제점들을 고민해야 한다. 당장 눈 앞에 있는 문제들만 급급히 해결하는 건 도움이 되지 않는다.
2) 보안 분석이나 관제 모두 결국 빅 데이터와 관련된 문제다. 결국 데이터 관리와 관련된 스킬을 보안 팀원들이 하나하나 익혀야 할 수밖에 없다.
3) 클라우드로의 이주를 CISO가 기획하고 담당해야 한다. 그래야 보안 업무를 진행하기가 좋은 플랫폼이 마련될 수 있다. 또한 한 번 옮기기 시작했다고 해서 끝난 게 아니라 오히려 시작이라는 걸 기억해야 한다.
4) 이제 사람이 전부 데이터를 처리할 수 없는 시대가 됐다. 그러므로 인공지능과 자동화, 대행 서비스에 대해 열린 마음으로 접근할 필요가 있다. 물론 이런 기술 하나하나가 만능 해결책은 아니다. 관제 센터를 꾸리는 하나의 요소들일 뿐이다. 그 점 역시 잊지 말아야 한다.
글 : 존 올트식(Jon Oltsik), Enterprise Strategy Group
[국제부 문가용 기자(globoan@boannews.com)]
CISO는 사업 전체적 맥락을 잃지 않고 신기술에 보다 열린 마음 되어야
[보안뉴스 문가용 기자] 시장 조사 전문 기관인 ESG에서 새로운 보안 분석 및 관제 관련 보고서가 나왔다. 약 406명의 북미 지역 IT 및 보안 전문가들을 대상으로 조사를 진행한 것으로, 이를 요약해보면 다음과 같다.
[이미지 = iclickart]
1. 보안 분석과 관제는 점점 더 어려워지고 있다
조사에 응한 사람들 중 63%가 보안 분석과 관제의 난이도가 2년 전에 비해 급격히 올라갔다고 답했다. 여기에는 외부적인 요인과 내부적인 요인이 있다. 응답자의 41%는 외부적인 요인으로 위협 지형도의 급격한 변화를 꼽았다. 공격 표면이 빠르게 늘어나고 있기 때문이라고 답한 응답자가 그 다음으로 많은 30%를 차지했다.
내부 요인에는 뭐가 있을까? 35%가 수집되는 보안 데이터가 지나치게 많다고 답했다. 2년 전에 비해 말도 안 되는 양이라는 것이다. 34%는 보안 경고의 양이 급격하게 늘어난 것을 꼽았고, 29%는 보안 관제라는 것이 하루가 다르게 복잡해지고 있어 좇아가기가 힘들다고 답했다. 보안 전문가들은 이런 외부 및 내부 요인들을 모두 감내할 뿐만 아니라 극복해야 하는 짐을 지고 있다.
2. 보안 데이터 파이프라인에 딜레마가 있다
32%의 응답자는 “2년 전에 비해 확연히 많은 데이터를 수집한다”고 답했고, 44%는 “어느 정도 많은 데이터를 수집한다”고 말했다. 52%는 “이렇게 수집한 데이터를 2년 전보다 훨씬 더 긴 기간 보관한다”고 답하기도 했다. 즉 보안 분석가와 운영자들 손에 훨씬 더 많은 데이터가 들려 있다는 것이다. 이 때문에 데이터 보관에 더 높은 비용이 들어가고, 데이터 처리도 훨씬 더 어려워지고 있다. 보안 분석가들은 “이제는 데이터가 너무 많아서 장님이 되고 있는 상황”이라고 입을 모았다. 문제가 될 정도로 데이터가 많이 수집되고 있는 현재의 파이프라인은 확실히 문제가 있다.
3. 온프레미스 SIEM은 불완전한 해결책이다
70%의 응답자들이 “아직도 전통의 SIEM 시스템을 바탕으로 보안 분석과 관제 업무를 실시한다”고 답했다. SIEM을 중심에 두고, 현대화 된 도구를 몇 가지 더 추가해 관제 센터를 운영하는 조직이 대다수라는 것이다. 그러면서 응답자들은 “위협 탐지, 대응, 수사, 위협 분석, 자동화, 오케스트레이션 등 각동 도구가 늘어나고 있는 중”이라고 덧붙였다. SIEM이 그렇게 완벽하다면, 왜 저 많은 추가 도구들이 덧붙어야 하는 걸까?
이에 대해 응답자들은 “이미 알려진 위협들을 탐지하는 것과 컴플라이언스 관련 보고를 받는 데에 있어 훌륭하다”고 답했다. “하지만 알려지지 않은 위협들을 발견하는 것과, 탐지와 보고를 제외한 다른 보안 기능을 수행하는 데에는 부적절하다”는 의견이 뒤따라 붙었다. 게다가 “충분한 훈련과 경험이 있어야만 SIEM을 다룰 수 있다”는 응답이 23%, “전담 인원이 항시 붙어있어야만 유용해지는 장치”라는 사람이 21%를 차지하기도 했다. SIEM은 당분간 보안의 현장에 남아 있을 것은 분명하다. 하지만 많은 보완 작업이 필요한 것도 사실이다. 딜레마다.
4. 인원 보강 문제는 어디에나 존재한다
정확히 3/4의 응답자들이 “보안 분석과 관제의 난이도가 올라간 데에는 인재 부족 문제도 작용하고 있다”고 답했다. 그러면 채용을 더 많이 하면 될 것 아닌가? 하지만 문제가 그리 간단치만은 않다고 한다. 응답자의 70%가 “분석과 관제를 할 줄 아는 인력을 찾는 게 굉장히 어렵다”고 답했다. 그래서 최근 많은 조직들이 관리 서비스 혹은 보안 관제 대행 서비스로 눈길을 돌리고 있다. 응답자의 74%가 이미 관리 서비스를 사용하고 있으며, 90%가 관리 서비스의 활용도를 높일 예정이라고 답했다.
5. 보안 분석과 관제, 공공 클라우드로 옮겨가고 있다
과거 CISO들은 온프레미스의 보안 분석 및 관제 기능에 직접 손 대고 관여하는 걸 선호했다. 하지만 그럴 기회가 점점 사라지고 있다. 클라우드 기반의 분석과 관제 기술이 빠르게 도입되고 있기 때문이다. 응답자의 41%는 “클라우드 기반 보안 분석 및 관제 기술을 선호한다”고 답했고, 17%는 “클라우드 기반 기술들을 도입할 준비가 되어 있다”고 답했다.
왜 클라우드로 옮겨가는 걸까? 가장 큰 이유는 비용을 절감하고 관제 인프라를 단순화시키기 위함이다. 심지어 일부 클라우드 유경험자들은 특정 상황에서 온프레미스에서는 하기 힘든 걸 클라우드 기반 기술로 할 수 있다고 말하기도 한다. 응답자들의 대부분은 이 ‘특정 상황’을 “데이터셋이 어마어마하게 크고, 머신러닝 알고리즘을 활용해야 할 때”로 꼽았다.
이 결과를 바탕으로 ESG는 CISO 및 여러 보안 전문가들에게 다음과 같은 네 가지 권장 사항을 제공한다.
1) CISO들은 보안과 관제의 효율은 높이고 기업의 수익 창출 활동을 지원한다는 목표로, 장기적인 관점에서 관제 센터에서의 현 문제점들을 고민해야 한다. 당장 눈 앞에 있는 문제들만 급급히 해결하는 건 도움이 되지 않는다.
2) 보안 분석이나 관제 모두 결국 빅 데이터와 관련된 문제다. 결국 데이터 관리와 관련된 스킬을 보안 팀원들이 하나하나 익혀야 할 수밖에 없다.
3) 클라우드로의 이주를 CISO가 기획하고 담당해야 한다. 그래야 보안 업무를 진행하기가 좋은 플랫폼이 마련될 수 있다. 또한 한 번 옮기기 시작했다고 해서 끝난 게 아니라 오히려 시작이라는 걸 기억해야 한다.
4) 이제 사람이 전부 데이터를 처리할 수 없는 시대가 됐다. 그러므로 인공지능과 자동화, 대행 서비스에 대해 열린 마음으로 접근할 필요가 있다. 물론 이런 기술 하나하나가 만능 해결책은 아니다. 관제 센터를 꾸리는 하나의 요소들일 뿐이다. 그 점 역시 잊지 말아야 한다.
글 : 존 올트식(Jon Oltsik), Enterprise Strategy Group
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
문가용기자 기사보기
[2025-04-03] 
