기업 보안 알림 튜닝을 획기적으로 개선해 사이버 공격에 대응하는 방법
Source: The New Stack
오늘날 기업 보안 운영 센터(SOC)로 들어오는 IT 보안 알림의 수는 어마어마합니다. 한 IT 보안 산업 연구에 따르면 일반적인 SOC는 하루에 3,000개 이상의 보안 알림을 받을 수 있다고 합니다【https://www.prnewswire.com/news-releases/new-vectra-ai-research-finds-cyber-resilience-lagging-in-the-ai-era-302681983.html】.
또 다른 보고서, 보안 중심 SANS Institute가 진행한 설문 조사【https://sansorg.egnyte.com/dl/mq6DfGwdgJKC】에 따르면, 이러한 알림 중 73%가 거짓 양성이며, 이는 보안 분석가들이 실제 위협을 쫓는 과정에서 알림 피로도를 높이고 있습니다.
거짓 양성의 비용
이 고양이와 쥐의 싸움은 기업에 큰 비용을 초래합니다. 미국만 해도 이러한 알림을 수동으로 분류하는 데 연간 33억 달러가 소요된다고 추정됩니다.
이처럼 많은 양의 무해한 알림이 보고되면서, 팀이 실제 위협을 잡아내기 얼마나 어려운지 보여줍니다.
SOC 팀원에게는 유효한 알림에 집중하는 것이 가장 큰 과제입니다. 거짓 양성 알림이 넘쳐날수록 분석가들은 그 알림에 시달리게 되고, 결국 실제 위협을 놓치게 됩니다.
거짓 양성 알림의 소음을 줄이기 위한 시도로 알림 튜닝은 SOC 팀에게 가장 큰 요구이자 도전 과제 중 하나지만, 예상치 못한 부작용을 초래할 수도 있습니다.
궁극적으로 모든 튜닝 결정은 “당신이 억제하고 있는 신호가 공격자가 다음에 이용할 신호가 아니다”라는 베팅과 같습니다. 보안 팀에게 이는 매일 SOC에서 벌어지는 미친 발레와도 같습니다.
Mika Ayenson은 Elastic의 위협 연구 및 탐지 엔지니어링 팀 리드로서 The New Stack에 “끊임없는 도전”이라고 말했습니다.
“SOC 분석가들이 매일 겪는 어려움이 바로 이것입니다.”* *“사람들은 더 많은 도구와 규칙을 투입하면 문제를 해결할 수 있다고 생각하지만, 근본적으로는 엔지니어가 근본 원인을 어떻게 해결하느냐가 핵심 질문입니다.”
튜닝이 블라인드 스팟을 만들 때
즉, 단순히 알림을 억제하는 것이 아니라 모든 튜닝을 성능 및 효율성 관점에서 측정 가능하게 만들고, 위협과 깊이 연관된 맥락을 제공해야 한다는 뜻입니다. 또한 튜닝 단계는 잘못됐을 경우 되돌릴 수 있어야 합니다. “우리는 피로도를 줄이면서 동시에 블라인드 스팟을 만들지 않도록 모든 조치를 해야 합니다.”
덜 성숙한 보안 팀이 공격적으로 튜닝하는 이유
공격적인 튜닝과 규칙 예외는 SOC 분석가가 수백·수천 개의 알림을 모니터링해야 하는 운영 압박에서 비롯됩니다.
“피로는 실제 문제입니다.”라고 Ayenson은 말합니다. “전통적으로 알림 억제는 기능을 유지하기 위한 유일한 방법처럼 느껴질 수 있습니다. 이는 대기열 관리에는 도움이 되지만, 위험 관리까지 해결해 주지는 않습니다.”
새로운 알림 예외를 추가하고 임계값을 높이면 알림 수는 줄어들지만, 이는 운영적인 해결책이 아니라 보안 트레이드오프를 초래하고 새로운 충돌을 일으킬 수 있습니다.
과도한 튜닝이 놓친 위협을 초래하는 방식
알림 임계값을 낮출 때마다 가시성을 잃을 위험이 있습니다. “당신은 약한 위협 신호를 무시해도 괜찮다는 베팅을 하는 겁니다. 그 과정에서 존재조차 몰랐던 커버리지 갭이 생길 수 있습니다.”
이는 특히 신호가 약한 영역에서 은밀히 활동하는 위협에 대해 분석가를 둔감하게 만들고, 실제 위험을 놓치게 합니다.
“가장 큰 위험은 눈에 보이는 알림이 아니라, 당신이 억제한 알림입니다.”
“안타깝게도 덜 성숙한 보안 팀은 눈에 보이는 알림을 최적화하려다 보니, 놓칠 수 있는 부분을 간과하게 됩니다.”라고 Ayenson은 강조합니다. “가장 큰 위험은 눈에 보이는 알림이 아니라, 당신이 억제한 알림입니다.”
공격자는 정상적이고 무해해 보이는 행동을 이용해 은밀히 침투합니다. 예를 들어, GenAI 도구(Claude, Cursor, Copilot, Codex 등)에서 발생하는 정상적인 활동 아래에 민감한 파일 접근을 위장하는 경우가 있습니다. 이런 경우는 종종 작은 이상 현상을 통찰력 있는 보안 분석가가 악의적인 사건으로 연결할 때 비로소 드러납니다.
“공격자는 알림을 전혀 트리거하지 않으려 할 것입니다.”라고 Ayenson은 말합니다. “AI와 함께라면 속도가 훨씬 빨라집니다. 최신 공급망 공격 중 일부는 은밀함보다 존재를 명확히 드러내고, 할 일을 수행했으며, 소리를 크게 내는 데 주저하지 않습니다.”
무분별한 억제보다 나은 접근법
그렇다면 이러한 문제를 어떻게 효과적으로 해결해 튜닝 문제를 근본적으로 해소할 수 있을까요?
Ayenson이 강조하는 핵심은 튜닝이 단순히 소음을 줄이는 것이 아니라는 점입니다.
“때로는 튜닝이 커버리지와 효율성을 높이는 작업이기도 합니다. 하지만 위험을 감수하면서 규칙 범위를 확대하면 오히려 거짓 양성이 늘어날 수 있습니다. 따라서 변화를 저울질하고 데이터를 수집한 뒤, 필요하면 추가 튜닝을 하거나 되돌리는 등 전술적인 조정을 해야 합니다.”
Elastic은 핵심 행동 기준에 집중해 위협을 탐지하는 전술적 접근을 취합니다.
“우리는 알림 억제를 근본적으로 ‘더 나은 이해’로 대체하려 합니다. 약한 신호들을 상관관계와 연결을 통해 파악하고, 단순히 제거하지 않습니다. 탐지 과정에 올바른 신호를 유지하는 것이 핵심입니다.”
예를 들어, 시스템 전반에 걸친 비정상적인 행동을 관찰하고 이를 하나로 묶어 추가 분석을 수행합니다. “예를 들어, 새벽 3시에 클라우드 엔드포인트에서 사용자 자격 증명이 접근되는 상황이 포착된다면, 이는 이전에 해당 사용자가 그런 행동을 보인 적이 없으므로 의심스러운 신호가 됩니다. 이런 다중 도메인 분석을 결합함으로써 우리는 새로운 질문에 답할 수 있습니다.”
가시성을 잃지 않으면서 알림 피로도 감소
AI 기반 사이버 공격이 교묘해지는 시대에 SOC 팀은 알림 튜닝을 피로도를 낮추는 수단이 아니라 위험 관리 결정으로 바라봐야 합니다.
“목표는 알림을 더 많이 만드는 것이 아니라, 후회를 적게 하는 것입니다.”
“목표는 알림을 더 많이 만드는 것이 아니라, 후회를 적게 하는 것입니다. 피로도를 줄이면서 가시성을 유지하고, 신뢰도 높은 알림을 원합니다. 다양한 공격 단계에서 커버리지를 유지하고, 분석가와 소통해 실제 위협인지, 단순 잡음인지를 판단해야 합니다.”
이를 위해 보안 분석가는 알림을 억제하기 전에 어떤 커버리지가 약화되는지 질문하고, 변경 사항을 이전 공격 시뮬레이션이나 실제 사건과 비교해 철저히 문서화·검토·테스트해야 합니다.
“인간은 ‘정상처럼 보이는가’를 직관적으로 판단할 수 있는 본능과 사고 방식을 가지고 있습니다. AI는 방대한 데이터를 시간 축으로 분석하지만, 인간의 통찰력은 이를 보완해 가설을 세우고 실증적으로 검증함으로써 위협 신호가 유효한지 판단하게 합니다. 바로 이게 게임의 핵심이며, 올바른 신호를 찾아 더 큰 공격 체인을 입증하는 데 활용하는 것입니다.”
보안 알림 튜닝 성공 전략
점점 은밀해지는 범죄자 공격에 대응하기 위해 기업은 새로운 블라인드 스팟을 만들지 않으면서 정밀도를 높일 수 있는 기술을 도입해야 합니다.