OCSF 설명: 보안 팀이 놓치고 있던 공유 데이터 언어
Source: VentureBeat
OCSF in plain language
- 오픈‑소스 사이버보안 스키마 프레임워크.
- 벤더‑중립 설계이며 저장 형식, 데이터 수집, ETL 선택에 대해 의도적으로 중립적임.
- 애플리케이션 팀과 데이터 엔지니어에게 이벤트에 대한 공유 구조를 제공하여 분석가가 위협 탐지 및 조사에 보다 일관된 언어로 작업할 수 있게 함.
보안 운영 센터(SOC) 내부의 일상 업무를 보면 이 설명이 다소 건조하게 느껴질 수 있습니다. 보안 팀은 다양한 도구에서 데이터를 정규화하여 이벤트를 연관시키는 데 많은 노력을 들입니다. 예를 들어, 직원이 샌프란시스코에서 오전 10시에 노트북으로 로그인한 뒤, 10:02에 뉴욕에서 클라우드 리소스에 접근한다면 이는 유출된 자격 증명을 나타낼 수 있습니다.
그러한 이벤트를 연관시킬 수 있는 시스템을 구축하는 일은 결코 쉬운 작업이 아닙니다:
- 서로 다른 도구들이 동일한 개념을 서로 다른 필드 이름, 중첩 구조, 가정으로 설명합니다.
- OCSF는 이 부담을 낮추기 위해 만들어졌습니다. 벤더가 자체 스키마를 공통 모델에 매핑하도록 돕고, 고객이 데이터 레이크, 파이프라인, 보안 사고 및 이벤트 관리(SIEM) 도구를 통해 데이터를 이동시킬 때 매번 번거로운 변환 작업을 요구하지 않게 합니다.
지난 2년은 유례없이 빠르게 진행되었습니다
- Announcement: 2022년 8월, Amazon AWS와 Splunk가 발표했으며, Symantec, Broadcom 및 기타 인프라 거인들의 기여 작업을 기반으로 합니다.
- Contributors: Cloudflare, CrowdStrike, IBM, Okta, Palo Alto Networks, Rapid7, Salesforce, Securonix, Sumo Logic, Tanium, Trend Micro, Zscaler 등 다수.
커뮤니티 성장
- 2024년 8월: AWS는 OCSF가 17개 기업 이니셔티브에서 200개 이상의 참여 조직과 ≈800명의 기여자를 보유한 커뮤니티로 확장되었다고 보고했습니다.
- 2024년 11월: OCSF가 리눅스 재단에 합류한 후, 기여자 수가 ≈900명으로 증가했습니다.
OCSF가 산업 전반에 나타나고 있습니다
| 카테고리 | 예시 |
|---|---|
| 관측성 및 보안 | AWS Security Lake는 기본적으로 지원되는 AWS 로그와 이벤트를 OCSF(Parquet 형식으로 저장)로 변환합니다. AWS AppFabric는 OCSF‑정규화된 감사 데이터를 출력할 수 있습니다. AWS Security Hub의 결과는 OCSF를 사용하며, AWS는 클라우드‑특정 리소스 세부 정보를 위한 확장을 게시합니다. |
| 데이터 수집 및 변환 | Splunk는 Edge Processor와 Ingest Processor를 사용하여 들어오는 데이터를 OCSF로 변환할 수 있습니다. Cribl은 스트리밍 데이터를 OCSF‑호환 형식으로 원활하게 변환하는 것을 지원합니다. |
| 벤더 통합 | Palo Alto Networks는 Strata Logging Service 데이터를 OCSF 형식으로 Amazon Security Lake에 전달할 수 있습니다. CrowdStrike는 Falcon 데이터를 OCSF로 변환하여 Security Lake에 제공하고, OCSF‑형식 데이터를 수집하는 Falcon 차세대 SIEM을 제공합니다. |
OCSF는 추상적인 사양에서 산업 전반에 걸친 표준 운영 파이프라인으로 전환된 드문 표준 중 하나입니다.
AI가 OCSF 이야기에 새로운 긴박성을 부여하다
기업이 AI 인프라를 배포할 때, 대형 언어 모델(LLM)은 핵심에 위치하고, 다음과 같은 복잡한 분산 시스템으로 둘러싸여 있습니다:
- 모델 게이트웨이
- 에이전트 런타임
- 벡터 스토어
- 툴 호출 오케스트레이터
- 검색 시스템
- 정책 엔진
이러한 구성 요소들은 종종 제품 경계를 넘어서는 새로운 형태의 텔레메트리를 생성합니다. 보안 팀은 이 데이터를 포착하고 분석하는 데 점점 더 집중하고 있습니다. 핵심 질문은 에이전시 AI 시스템이 실제로 무엇을 했는가가 되며, 단순히 생성한 텍스트만이 아니라 그 행동이 보안 위반으로 이어졌는지 여부가 중요합니다.
이는 기본 데이터 모델에 추가적인 압력을 가합니다. 잘못된 도구를 호출하거나, 잘못된 데이터를 검색하거나, 위험한 일련의 행동을 연결하는 AI 어시스턴트는 시스템 전반에 걸쳐 이해되어야 할 보안 이벤트를 생성합니다. 공유 보안 스키마는 그런 환경에서 더욱 가치 있게 되며, 특히 AI가 분석 측면에서도 더 많은 데이터를 더 빠르게 연관시키는 데 사용될 때 더욱 그렇습니다.
OCSF에 대해, 2025년은 AI가 전부였습니다
Scenario: 한 회사가 AI 어시스턴트를 사용해 직원들이 내부 문서를 검색하고 티켓 시스템이나 코드 저장소와 같은 도구를 호출하도록 돕습니다. 어느 날, 어시스턴트가 잘못된 파일을 가져오고, 사용하면 안 되는 도구를 호출하며, 응답에 민감한 정보를 노출하기 시작합니다.
OCSF 버전 1.5.0, 1.6.0 및 1.7.0의 업데이트는 보안 팀이 발생한 일을 파악하는 데 도움을 줍니다:
- 비정상적인 행동을 표시합니다.
- 연결된 시스템에 누가 접근했는지 보여줍니다.
- 어시스턴트의 도구 호출을 단계별로 추적합니다.
AI가 제공한 최종 답변만 보는 것이 아니라, 팀은 문제를 일으킨 전체 행동 흐름을 조사할 수 있습니다.
What’s on the horizon
Future scenario: An AI customer‑support bot begins giving long, detailed answers that include internal troubleshooting guidance meant only for staff.
OCSF 1.8.0에 대한 변경 사항이 개발됨에 따라 보안 팀은 다음을 수행할 수 있습니다:
- 어떤 모델이 해당 교환을 처리했는지 식별합니다.
- 어떤 제공자가 모델을 제공했는지 확인합니다.
- 각 메시지가 수행한 역할을 이해합니다(예: 프롬프트, 응답, 시스템 지시).
- 대화 전반에 걸친 토큰 수를 추적합니다.
프롬프트 토큰이나 완성 토큰이 급증하면 봇이 악의적인 지시를 받았거나 악용되고 있다는 신호일 수 있습니다—이러한 정보는 OCSF가 표준화된, 제품 간 방식으로 제공할 수 있습니다.
Bottom line
OCSF는 보안 텔레메트리 분야에서 빠르게 공통 언어가 되고 있습니다. AI 워크로드가 급증하고 새로운 텔레메트리를 생성함에 따라, 공통 스키마는 더 이상 선택 사항이 아니라 보안 스택의 핵심 요소가 되었습니다. OCSF 로드맵(특히 다가오는 1.8.0 릴리스)을 주시하는 것은 변화하는 위협 환경에 앞서 나가고자 하는 모든 조직에 필수적입니다.
비정상적으로 큰 숨겨진 프롬프트, 벡터 데이터베이스에서 과도한 배경 데이터를 가져왔거나, 민감한 정보 유출 가능성을 높이는 지나치게 긴 응답을 생성한 경우
이는 조사관에게 상호작용이 어디서 벗어났는지에 대한 실질적인 단서를 제공하며, 최종 답변만을 남겨두는 상황을 피하게 합니다.
왜 이것이 더 넓은 시장에 중요한가
더 큰 이야기는 OCSF가 커뮤니티 활동에서 빠르게 전환되어 보안 제품이 매일 사용하는 실제 표준이 되었다는 것입니다. 지난 2년 동안 OCSF는 더 강력한 거버넌스, 빈번한 릴리스, 그리고 데이터 레이크, 인제스트 파이프라인, SIEM 워크플로, 파트너 생태계 전반에 걸친 실용적인 지원을 확보했습니다.
AI가 사기, 악용, 새로운 공격 경로 등을 통해 보안 환경을 확대하는 세상에서, 보안 팀은 여러 시스템의 데이터를 연결하면서 컨텍스트를 잃지 않아 데이터를 안전하게 보호하기 위해 OCSF에 의존합니다.
— Nikhil Mungel