게시일: 2024년 3월 15일
기고자: Mark Scapicchio, Amanda Downie, Matthew Finio
보안 운영 센터(SOC)는 모든 사이버 보안 기술 및 운영을 통합하고 조정하여 조직의 위협 탐지, 대응 및 예방 역량을 개선합니다.
일반적으로 "싹"이라고 발음하며 정보 보안 운영 센터(ISOC)라고도 하는 SOC는 조직의 전체 IT 인프라를 연중무휴로 모니터링하는 데 전념하는 IT 보안 전문가로 구성된 사내 또는 아웃소싱 팀입니다. 보안 인시던트를 실시간으로 감지, 분석 및 대응하는 것이 임무입니다. 이러한 사이버 보안 기능의 오케스트레이션을 통해 SOC 팀은 조직의 네트워크, 시스템 및 애플리케이션에 대한 경계를 유지하고 사이버 위협에 대한 선제적인 방어 태세를 유지할 수 있습니다.
또한 SOC는 조직의 사이버 보안 기술을 선택, 운영 및 유지 관리하고 위협 데이터를 지속적으로 분석하여 조직의 보안 태세를 개선할 방법을 찾습니다.
온프레미스가 아닌 경우 SOC는 관리형 보안 서비스 제공업체(MSSP)가 제공하는 아웃소싱 관리형 보안 서비스(MSS)의 일부인 경우가 많습니다. SOC를 운영하거나 아웃소싱할 때의 주요 이점은 보안 도구, 관행 및 보안 인시던트에 대한 대응을 포함하여 조직의 보안 시스템을 통합하고 조정한다는 것입니다. 이를 통해 일반적으로 예방 조치 및 보안 정책이 개선되고, 위협 탐지 속도가 빨라지고, 보안 위협에 대한 더 빠르고 효과적이며 비용 효율적인 대응이 가능합니다. 또한 SOC는 고객 신뢰를 높이고 산업, 국가 및 글로벌 개인 정보 보호 규정에 대한 조직의 규정 준수를 간소화하고 강화할 수 있습니다.
SOC 활동 및 책임은 크게 세 가지 범주로 나뉩니다.
자산 인벤토리: SOC는 데이터 센터 내부 또는 외부에서 보호해야 하는 모든 항목(예: 애플리케이션, 데이터베이스, 서버, 클라우드 서비스, 엔드포인트 등)과 이를 보호하는 데 사용되는 모든 도구(방화벽, 안티바이러스/안티멀웨어/안티랜섬웨어 도구, 모니터링 소프트웨어 등)에 대한 철저한 인벤토리를 유지해야 합니다. 많은 SOC는 이 작업을 위해 자산 검색 솔루션을 사용합니다.
정기 유지 관리 및 준비: 보안 도구 및 조치의 효과를 극대화하기 위해 SOC는 소프트웨어 패치 및 업그레이드 적용, 방화벽, 허용 목록 및 차단 목록, 보안 정책 및 절차의 지속적인 업데이트와 같은 예방 유지 관리를 수행합니다. 또한 SOC는 시스템 백업을 생성하거나 백업 정책 또는 절차를 수립하는 데 도움을 주어 데이터 침해, 랜섬웨어 공격 또는 기타 사이버 보안 인시던트가 발생할 경우 비즈니스 연속성을 보장할 수 있습니다.
인시던트 대응 계획: SOC는 위협 또는 인시던트 발생 시 활동, 역할 및 책임과 인시던트 대응의 성공을 측정하는 지표를 정의하는 조직의 인시던트 대응 계획을 개발할 책임이 있습니다.
정기 테스트: SOC 팀은 잠재적 또는 새로운 위협에 대한 각 리소스의 취약성과 관련 비용을 식별하는 포괄적인 평가인 취약성 평가를 수행합니다. 또한 하나 이상의 시스템에 대한 특정 공격을 시뮬레이션하는 침투 테스트를 수행합니다. 팀은 이러한 테스트 결과를 바탕으로 애플리케이션, 보안 정책, 모범 사례 및 인시던트 대응 계획을 수정하거나 미세 조정합니다.
최신 정보 유지: SOC는 소셜 미디어, 업계 출처 및 다크 웹에서 수집한 사이버 공격과 이를 저지르는 해커에 관한 뉴스 및 정보 등 최신 보안 솔루션 및 기술과 최신 위협 인텔리전스에 대한 최신 정보를 제공합니다.
지속적인 연중무휴 보안 모니터링: SOC는 애플리케이션, 서버, 시스템 소프트웨어, 컴퓨팅 디바이스, 클라우드 워크로드, 네트워크 등 확장된 전체 IT 인프라를 연중무휴 24시간 모니터링하여 알려진 악용의 흔적과 의심스러운활동이 있는지 확인합니다.
많은 SOC에서 핵심 모니터링, 탐지 및 대응 기술은 보안 정보 및 이벤트 관리(SIEM)였습니다. SIEM은 네트워크의 소프트웨어 및 하드웨어에서 실시간으로 경고 및 텔레메트리를 모니터링 및 집계한 다음 데이터를 분석하여 잠재적 위협을 식별합니다. 최근에는 일부 SOC에서도 보다 상세한 텔레메트리 및 모니터링을 제공하고 인시던트 감지 및 대응을 자동화할 수 있는 확장 탐지 및 대응(XDR) 기술을 채택했습니다.
로그 관리: 로그 관리 - 모든 네트워크 이벤트에서 생성되는 로그 데이터를 수집하고 분석하는 로그 관리는 모니터링의 중요한 하위 집합입니다. 대부분의 IT 부서에서 로그 데이터를 수집하지만, 정상 또는 기준 활동을 설정하고 의심스러운 활동을 나타내는 이상 징후를 파악하는 것은 분석을 통해 이루어집니다. 실제로 많은 해커들은 기업이 항상 로그 데이터를 분석하지 않는다는 점을 악용하여 바이러스와 멀웨어가 피해자의 시스템에서 몇 주 또는 몇 달 동안 탐지되지 않고 실행될 수 있도록 합니다. 대부분의 SIEM 솔루션에는 로그 관리 기능이 포함되어 있습니다.
위협 탐지: SOC 팀은 노이즈의 신호(실제 사이버 위협의 징후와 오탐에서 해커의 사용 징후)를 정렬한 다음 심각도별로 위협을 분류합니다. 최신 SIEM 솔루션에는 이러한 프로세스를 자동화하고 데이터를 '학습'하여 시간이 지남에 따라 의심스러운 활동을 더 잘 찾아내는 인공 지능(AI)이 포함되어 있습니다.
인시던트 대응: 위협 또는 실제 인시던트에 대응하여 SOC는 피해를 제한하기 위해 움직입니다. 조치에는 다음이 포함될 수 있습니다.
많은 XDR 솔루션을 통해 SOC는 이러한 인시던트 대응 및 기타 인시던트 대응을 자동화하고 가속화할 수 있습니다.
복구 및 해결: 인시던트가 진압되면 SOC는 위협을 근절한 다음 영향을 받은 자산을 인시던트 이전의 상태로 복구합니다(예: 디스크, 사용자 장치 및 기타 엔드포인트 삭제, 복원 및 재연결, 네트워크 트래픽 복원, 애플리케이션 및 프로세스 재시작). 데이터 침해 또는 랜섬웨어 공격이 발생하는 경우 복구에는 백업 시스템으로 전환하고 암호 및 인증 자격 증명을 재설정하는 작업이 포함될 수도 있습니다.
사후 분석 및 개선: 재발을 방지하기 위해 SOC는 인시던트에서 얻은 새로운 인텔리전스를 사용하여 취약성을 더 잘 해결하고, 프로세스 및 정책을 업데이트하고, 새로운 사이버 보안 도구를 선택하거나, 인시던트 대응 계획을 수정합니다. 더 높은 수준에서 SOC 팀은 해당 인시던트가 팀이 준비해야 하는 새로운 또는 변화하는 사이버 보안 추세를 나타내는지 그 여부를 파악해볼 수도 있습니다.
규정 준수 관리: SOC는 모든 애플리케이션, 시스템, 보안 도구 및 프로세스가 GDPR(글로벌 데이터 보호 규정), CCPA(캘리포니아 소비자 개인 정보 보호법), PCI DSS(결제 카드 산업 데이터 보안 표준), HIPAA(건강 보험 양도 및 책임에 관한 법률)와 같은 데이터 프라이버시 규정을 준수하도록 합니다. 인시던트 발생 후 SOC는 사용자, 규제 기관, 법 집행 기관 및 기타 당사자에게 규정에 따라 알림을 보내고 필요한 인시던트 데이터를 증거 및 감사를 위해 보존하도록 합니다.
SOC는 다음과 같은 다양한 이점을 조직에 제공합니다.
자산 보호: SOC의 사전 예방적 모니터링 및 신속한 대응 기능은 무단 액세스를 방지하고 데이터 침해 위험을 최소화하는 데 도움이 됩니다. 이를 통해 중요한 시스템, 민감한 데이터 및 지적 재산을 보안 침해 및 도난으로부터 보호할 수 있습니다.
비즈니스 연속성: SOC는 보안 인시던트를 줄이고 그 영향을 최소화함으로써 중단 없는 비즈니스 운영을 보장합니다. 이는 생산성, 수익원 및 고객 만족도를 유지하는 데 도움이 됩니다.
규정 준수: SOC는 효과적인 보안 조치를 구현하고 인시던트 및 대응에 대한 자세한 기록을 유지하여 조직이 사이버 보안에 대한 규정 요구 사항 및 업계 표준을 충족하는 데 도움이 됩니다.
비용 절감: SOC를 통해 사전 예방적 보안 조치에 투자하면 비용이 많이 드는 데이터 침해 및 사이버 공격을 방지하여 상당한 비용 절감 효과를 얻을 수 있습니다. 초기 투자 비용은 보안 인시던트로 인한 금전적 손해와 평판 위험에 비해 훨씬 적은 경우가 많으며, 아웃소싱을 이용할 경우 사내에 보안 전문가를 배치할 필요성을 대체할 수 있습니다.
고객 신뢰: SOC 운영을 통해 사이버 보안에 대한 의지를 보여줌으로써 고객과 이해관계자 간의 신뢰와 믿음을 높일 수 있습니다.
향상된 인시던트 대응: SOC의 신속한 대응 기능은 위협을 억제하고 정상 운영을 신속하게 복원하여 중단을 최소화함으로써 다운타임과 재정적 손실을 줄입니다.
위험 관리 개선: SOC 팀은 보안 이벤트와 트렌드를 분석하여 조직의 잠재적인 취약점을 파악할 수 있습니다. 그런 다음 악용되기 전에 이를 완화하기 위한 사전 조치를 취할 수 있습니다.
사전 위협 탐지: SoC는 네트워크와 시스템을 지속적으로 모니터링하여 보안 위협을 더 빠르게 식별하고 완화할 수 있습니다. 이를 통해 잠재적인 피해와 데이터 유출을 최소화하고 조직이 진화하는 위협 환경에 한발 앞서 대응할 수 있습니다.
일반적으로 SOC 팀의 주요 역할은 다음과 같습니다.
SOC 관리자: SOC 관리자는 팀을 운영하고, 모든 보안 작업을 감독하고, 조직의 CISO(최고 정보 보안 책임자)에게 보고합니다.
보안 엔지니어: 조직의 보안 아키텍처를 구축하고 관리하는 사람들입니다. 이 작업의 대부분은 보안 도구와 기술을 평가, 테스트, 추천, 구현 및 유지 관리하는 일입니다. 또한 보안 엔지니어는 개발 또는 DevOps/DevSecOps 팀과 협력하여 조직의 보안 아키텍처가 애플리케이션 개발 주기에 포함되도록 합니다.
보안 분석가: 보안 조사관 또는 인시던트 대응자라고도 하는 보안 분석가는 기본적으로 사이버 보안 위협 또는 인시던트에 가장 먼저 대응하는 사람입니다. 분석가는 위협을 탐지, 조사 및 분류(우선순위 지정)합니다. 그런 다음 영향을 받는 호스트, 엔드포인트 및 사용자를 식별합니다. 그런 다음 영향이나 위협 또는 인시던트를 완화하고 억제하기 위해 적절한 조치를 취합니다. (일부 조직에서는 조사관과 인시던트 대응자가 각각 티어 1 분석가와 티어 2 분석가로 분류되는 별도의 역할을 가집니다.)
위협 헌터: 전문 보안 분석가 또는 SOC 분석가라고도 하는 위협 헌터는 지능형 위협을 탐지하고 억제하는 데 특화되어 있습니다. 즉, 자동화된 방어를 우회하는 새로운 위협이나 위협 변종에 대한 위협 헌팅을 전문으로 합니다.
SOC 팀에는 조직의 규모나 산업 유형에 따라 다른 전문가가 포함될 수 있습니다. 규모가 큰 회사에서는 인시던트 대응의 커뮤니케이션 및 조정을 담당하는 인시던트 대응 책임자가 있을 수 있습니다. 또한 일부 SOC에는 사이버 보안 인시던트로 손상되거나 유출된 장치에서 데이터(단서)를 검색하는 것을 전문으로 하는 포렌식 조사관이 포함됩니다.
