Trace Id is missing
주 콘텐츠로 건너뛰기
Microsoft Security

SOC(보안 운영 센터)란?

보안 운영 센터 팀이 잠재적인 사이버 공격을 신속하게 감지, 우선 순위 지정 및 심사하는 방법을 알아봅니다.

Microsoft Sentinel 살펴보기

SOC란?

SOC는 조직의  사이버 보안  상태를 개선하고 위협을 방지, 감지 및 대응하는 작업을 수행하는 중앙 집중식 기능 또는 팀입니다. 자체 또는 아웃소싱한 SOC 팀은 ID, 엔드포인트, 서버, 데이터베이스, 네트워크 애플리케이션, 웹사이트 및 기타 시스템을 모니터링하여 잠재적인  사이버 공격 을 실시간으로 발견합니다. 또한 최신 위협 인텔리전스를 사용하여 위협 그룹과 인프라에 대한 최신 정보를 파악하고 공격자가 취약점을 악용하기 전에 시스템 또는 프로세스 취약점을 식별하고 해결함으로써 사전 예방적 보안 작업을 수행합니다. 대부분의 SOC는 연중무휴로 24시간 운영되며, 여러 국가에 걸쳐 있는 대규모 조직은 전 세계 보안 위협을 파악하고 여러 지역 SOC 간의 탐지 및 대응을 조율하기 위해 글로벌 보안 운영 센터(GSOC)에 의존할 수도 있습니다.

SOC의 기능

SOC 팀 구성원은 공격을 방지, 대응 및 복구하는 데 도움이 되는 다음 기능을 수행합니다.

자산 및 도구 인벤토리

사각지대와 적용 범위의 격차를 없애기 위해 SOC는 보호하는 자산에 대한 가시성과 조직을 방어하는 데 사용하는 도구에 대한 인사이트가 필요합니다. 즉, 온-프레미스 및 여러 클라우드에 걸쳐 모든 데이터베이스, 클라우드 서비스, ID, 애플리케이션, 엔드포인트를 고려해야 합니다. 또한 방화벽, 안티 멀웨어, 안티 랜섬웨어, 모니터링 소프트웨어 등 조직에서 사용하는 모든 보안 솔루션을 추적합니다.

공격 노출 영역 줄이기

SOC의 주요 책임은 조직의 공격에 노출된 면을 줄이는 것입니다. SOC는 모든 워크로드와 자산의 인벤토리를 유지하고, 소프트웨어와 방화벽에 보안 패치를 적용하고, 잘못된 구성을 식별하고, 새로운 자산이 온라인 상태가 되면 추가하는 방식으로 이를 수행합니다. 또한 팀 구성원은 새로운 위협을 새로운 위협을 연구하고 노출을 분석하여 최신 위협에 한발 앞서 대응할 수 있도록 지원합니다.

지속적인 모니터링

보안 정보 엔터프라이즈 관리(SIEM) 솔루션, 보안 오케스트레이션, 자동화 및 대응(SOAR) 솔루션, 확장 검색 및 대응(XDR) 솔루션과 같은 보안 분석 솔루션을 사용하여 SOC 팀은 온프레미스, 클라우드, 애플리케이션, 네트워크, 디바이스 등 전체 환경을 하루 종일 모니터링하여 이상 징후나 의심스러운 동작을 발견합니다. 이러한 도구는 원격 분석을 수집하고, 데이터를 집계하며, 경우에 따라 인시던트 대응을 자동화합니다.

위협 인텔리전스

또한 SOC는 데이터 분석, 외부 피드, 제품 위협 보고서를 사용하여 공격자의 행동, 인프라, 동기에 대한 인사이트를 확보합니다. 이러한 인텔리전스를 통해 인터넷에서 일어나는 일에 대한 큰 그림을 볼 수 있으며, 팀이 그룹이 어떻게 운영되는지 이해하는 데 도움이 됩니다. 이러한 정보를 통해 SOC는 위협을 신속하게 발견하고 새로운 위험에 대비하여 조직을 강화할 수 있습니다.

위협 탐지

SOC 팀은 SIEM 및 XDR 솔루션에서 생성된 데이터를 사용하여 위협을 식별합니다. 이는 실제 문제에서 오탐을 걸러내는 것에서 시작됩니다. 그런 다음 심각도 및 비즈니스에 대한 잠재적 영향별로 위협의 우선 순위를 지정합니다.

로그 관리

SOC는 모든 엔드포인트, 운영 체제, 가상 머신, 온-프레미스 앱, 네트워크 이벤트에서 생성되는 로그 데이터를 수집, 유지 관리, 분석하는 역할도 담당합니다. 분석을 통해 정상적인 활동의 기준을 설정하고 멀웨어, 랜섬웨어 또는 바이러스를 원인으로 가리키는 이상 징후를 파악할 수 있습니다.

인시던트 대응 

사이버 공격이 식별되면 SOC는 비즈니스 중단을 최대한 줄이면서 조직에 대한 피해를 제한하기 위해 신속하게 조치를 취합니다. 단계에는 영향을 받은 엔드포인트와 애플리케이션을 종료 또는 격리하고, 침해된 계정을 일시 중단하고, 감염된 파일을 제거하고, 바이러스 백신 및 맬웨어 방지 소프트웨어를 실행하는 것이 포함될 수 있습니다.

복구 및 수정

공격이 발생한 후 SOC는 회사를 원래 상태로 복구할 책임이 있습니다. 팀은 디스크, ID, 이메일, 엔드포인트를 삭제 및 재연결하고, 애플리케이션을 다시 시작하고, 백업 시스템으로 전환하고, 데이터를 복구합니다.

근본 원인 조사

유사한 공격의 재발을 방지하기 위해 SOC는 철저한 조사를 통해 취약점, 부실한 보안 프로세스 및 기타 인시던트의 원인이 된 학습 내용을 파악합니다.

보안 구체화

SOC는 인시던트 발생 시 수집한 모든 인텔리전스를 사용하여 취약점을 해결하고, 프로세스와 정책을 개선하며, 보안 로드맵을 업데이트합니다.

준수 관리

SOC의 책임 중 중요한 부분은 애플리케이션, 보안 도구 및 프로세스가 GDPR(글로벌 데이터 보호 규정), CCPA(캘리포니아 소비자 개인정보 보호법), HIPAA(Health Insurance Portability and Accountability Act)와 같은 개인정보 보호 규정을 준수하도록 하는 것입니다. 팀은 정기적으로 시스템을 감사하여 규정 준수를 보장하고 데이터 유출 후 규제 기관, 법 집행 기관 및 고객에게 통지하도록 합니다.

SOC의 주요 역할

조직의 규모에 따라 일반적인 SOC에는 다음과 같은 역할을 수행합니다:

인시던트 대응 책임자

일반적으로 대규모 조직에서만 볼 수 있는 이 역할은 보안 인시던트 발생 시 탐지, 분석, 봉쇄 및 복구를 조율하는 역할을 담당합니다. 또한 적절한 이해관계자와의 커뮤니케이션도 관리합니다.

SOC 관리자

SOC를 감독하는 사람은 일반적으로 최고 정보 보안 책임자(CISO)에게 보고하는 관리자입니다. 감독 담당자, 운영 관리, 신입 직원 교육, 재무 관리 등의 업무를 담당합니다.

보안 엔지니어

보안 엔지니어는 조직의 보안 시스템을 계속 가동합니다. 여기에는 보안 아키텍처 설계와 보안 솔루션 연구, 구현 및 유지 관리가 포함됩니다.

보안 분석가

보안 인시던트의 최초 대응자인 보안 분석가는 위협을 식별하고 우선순위를 지정한 다음 피해를 줄이기 위한 조치를 취합니다. 사이버 공격이 발생하면 감염된 호스트, 엔드포인트 또는 사용자를 격리해야 할 수 있습니다. 일부 조직에서는 보안 분석가가 담당하는 위협의 심각도에 따라 보안 분석가의 등급이 정해져 있습니다.

위협 헌터

일부 조직에서는 가장 경험이 많은 보안 분석가를 위협 헌터라고 부릅니다. 이들은 자동화된 도구가 포착하지 못하는 지능형 위협을 식별하고 대응합니다. 이 역할은 알려진 위협에 대한 조직의 이해를 높이고 공격이 발생하기 전에 알려지지 않은 위협을 발견하기 위해 고안된 사전 예방적 역할입니다.

포렌식 분석가

규모가 큰 조직에서는 침해 후 인텔리전스를 수집하여 근본 원인을 파악하는 포렌식 분석가를 고용할 수도 있습니다. 이들은 향후 유사한 침해 인시던트를 예방하는 데 유용할 수 있는 시스템 취약점, 보안 정책 위반, 사이버 공격 패턴을 찾고 있습니다.

SOC 유형

조직에서 SOC를 설정하는 방법에는 몇 가지가 있습니다. 일부는 전담 직원이 상주하는 전용 SOC를 구축하기도 합니다. 이러한 유형의 SOC는 물리적 온-프레미스 위치가 있는 내부 공간일 수도 있고, 직원이 디지털 도구를 사용하여 원격으로 조정하는 가상 공간일 수도 있습니다. 많은 가상 SOC가 계약직과 정규직 직원을 함께 사용합니다. 관리형 SOC 또는 서비스형 보안관제센터라고도 하는 아웃소싱 SOC는 관리형 보안 서비스 제공업체가 운영하며, 위협의 예방, 탐지, 조사 및 대응을 책임집니다. 내부 직원과 관리형 보안 서비스 제공업체를 함께 사용할 수도 있습니다. 이 버전을 공동 관리 또는 하이브리드 SOC라고 합니다. 조직에서는 이 접근 방식을 사용하여 직원을 보강합니다. 예를 들어, 위협 조사자가 없는 경우 내부에서 인력을 충원하는 것보다 외부 업체를 고용하는 것이 더 쉬울 수 있습니다.

SOC 팀의 중요성

강력한 SOC는 기업, 정부, 기타 조직이 진화하는 사이버 위협 환경에서 앞서 나갈 수 있도록 지원합니다. 이는 쉬운 작업이 아닙니다. 공격자와 방어 커뮤니티 모두 새로운 기술과 전략을 자주 개발하기 때문에 모든 변화를 관리하려면 시간과 집중이 필요합니다. SOC는 광범위한 사이버 보안 환경에 대한 지식과 내부 취약점 및 비즈니스 우선순위에 대한 이해를 바탕으로 조직의 장기적인 요구사항에 부합하는 보안 로드맵을 개발할 수 있도록 지원합니다. SOC는 공격이 발생했을 때 비즈니스에 미치는 영향을 제한할 수도 있습니다. 이들은 지속적으로 네트워크를 모니터링하고 알림 데이터를 분석하기 때문에 다른 여러 곳에 우선순위가 분산되어 있는 팀보다 위협을 조기에 포착할 가능성이 높습니다. 정기적인 교육과 잘 문서화된 프로세스를 통해 SOC는 극심한 스트레스 상황에서도 신속하게 인시던트를 해결할 수 있습니다. 이는 하루 종일, 매일 보안 작업에 집중하지 않는 팀에게는 어려울 수 있습니다.

SOC의 이점

SOC는 위협으로부터 조직을 보호하는 데 사용되는 인력, 도구, 프로세스를 통합함으로써 조직이 공격과 침해에 대해 보다 효율적이고 효과적으로 방어할 수 있도록 지원합니다.

강력한 보안 태세

조직의 보안을 개선하는 것은 결코 끝나지 않는 작업입니다. 취약점을 발견하고 변화하는 기술을 파악하려면 지속적인 모니터링, 분석, 계획이 필요합니다. 서로 다른 우선순위가 있는 경우, 더 시급하다고 느껴지는 업무에 밀려 이 업무가 소홀해지기 쉽습니다.

중앙 집중식 SOC는 프로세스와 기술을 지속적으로 개선하여 공격 성공의 위험을 줄입니다. 

개인 정보 보호 규정 준수

산업, 주, 국가 및 지역마다 데이터의 수집, 저장 및 사용에 적용되는 규정이 다릅니다. 많은 조직에서는 소비자의 요청에 따라 데이터 유출을 보고하고 개인 데이터를 삭제해야 합니다. 올바른 프로세스와 절차를 마련하는 것은 올바른 기술을 갖추는 것만큼이나 중요합니다. SOC의 구성원은 기술 및 데이터 프로세스를 최신 상태로 유지하는 데 주인의식을 갖고 조직이 규정을 준수하도록 돕습니다.

신속한 인시던트 대응

사이버 공격을 얼마나 빨리 발견하고 차단하느냐에 따라 큰 차이가 납니다. 적절한 도구, 사람 및 인텔리전스를 사용하면 많은 침해가 손상을 일으키기 전에 중지됩니다. 그러나 악의적인 공격자들은 은밀하게 숨어서 대량의 데이터를 훔치고, 아무도 눈치채지 못하게 권한을 확대하는 데에 능숙합니다. 보안 인시던트는 특히 인시던트 대응에 경험이 없는 사람들에게는 스트레스를 매우 많이 주는 이벤트입니다.

SOC 팀은 통합 위협 인텔리전스와 잘 문서화된 절차를 사용하여 공격을 신속하게 탐지, 대응, 복구할 수 있습니다. 

침해 비용 감소

침해가 발생하면 조직에 큰 비용이 발생할 수 있습니다. 복구는 종종 상당한 다운타임으로 이어지며, 많은 기업이 사고 직후 고객을 잃거나 신규 고객을 확보하는 데 어려움을 겪습니다. SOC는 공격자보다 앞서서 신속하게 대응함으로써 조직이 정상 운영으로 복귀할 때 시간과 비용을 절약할 수 있도록 도와줍니다.

SOC 팀의 모범 사례

책임이 많은 SOC는 성과를 달성하기 위해 효과적으로 조직하고 관리해야 합니다. 강력한 SOC를 갖춘 조직은 다음과 같은 모범 사례를 구현합니다.

비즈니스 맞춤 전략

아무리 재정이 풍부한 SOC라 할지라도 시간과 돈을 어디에 집중할지 결정해야 합니다. 조직은 일반적으로 위험 평가부터 시작하여 가장 큰 위험 영역과 비즈니스의 가장 큰 기회를 파악합니다. 이는 보호해야 할 항목을 식별하는 데 도움이 됩니다. 또한 SOC는 자산이 위치한 환경을 이해해야 합니다. 많은 기업은 일부 데이터와 애플리케이션은 온-프레미스에, 일부는 여러 클라우드에 분산되어 있는 복잡한 환경을 가지고 있습니다. 전략은 보안 전문가가 매일 항상 상주해야 하는지, 사내에 SOC를 두는 것이 더 나은지 아니면 전문 서비스를 이용하는 것이 더 나은지 결정하는 데 도움이 됩니다.

잘 훈련된 숙련된 인재

효과적인 SOC의 핵심은 지속적으로 개선되는 고도로 숙련된 직원입니다. 최고의 인재를 찾는 것부터 시작해야 하지만 보안 인력 시장은 경쟁이 치열하기 때문에 쉽지 않습니다. 기술 격차를 방지하기 위해 많은 조직에서 시스템 및 인텔리전스 모니터링, 알림 관리, 인시던트 탐지 및 분석, 위협 헌팅, 윤리적 해킹, 사이버 포렌식, 리버스 엔지니어링 등 다양한 전문 지식을 갖춘 인재를 찾으려고 노력합니다. 또한 작업을 자동화하는 기술을 배포하여 소규모 팀의 효율성을 높이고 주니어 애널리스트의 생산성을 높일 수 있도록 지원합니다. 정기적인 교육에 투자하면 조직은 핵심 직원을 유지하고, 기술 격차를 해소하며, 직원들의 커리어를 성장시킬 수 있습니다.

엔드투엔드 가시성

공격은 하나의 엔드포인트에서 시작될 수 있기 때문에 SOC는 타사가 관리하는 모든 것을 포함하여 조직의 전체 환경에 대한 가시성을 확보하는 것이 중요합니다.

적절한 도구

보안 이벤트가 너무 많아서 팀이 압도당하기 쉽습니다. 효과적인 SOC는 함께 잘 작동하는 우수한 보안 도구에 투자하고 AI와 자동화를 사용하여 심각한 위험을 개선합니다. 상호 운용성은 서비스 범위의 공백을 방지하기 위한 핵심 요소입니다.

SOC 도구 및 기술

SIEM(보안 정보 및 이벤트 관리)

SOC에서 가장 중요한 도구 중 하나는 여러 보안 솔루션과 로그 파일에서 데이터를 취합하는 클라우드 기반 SIEM 솔루션입니다. 이러한 도구는 위협 인텔리전스와 AI를 사용하여 SOC가 진화하는 위협을 탐지하고, 인시던트 대응을 신속하게 처리하며, 공격자보다 앞서 나갈 수 있도록 도와줍니다.

보안 오케스트레이션, 자동화 및 응답(SOAR)

SOAR는 반복적이고 예측 가능한 보강, 대응 및 수정 작업을 자동화하여 보다 심층적인 조사와 헌팅을 위한 시간과 리소스를 확보합니다.

XDR(확장된 감지 및 대응)

XDR은 보안 제품과 데이터를 간소화된 솔루션에 통합해 종합적이면서도 최적화된 보안을 제공하는 Software as a Service 도구입니다. 조직은 이러한 솔루션을 사용하여 다중 클라우드 하이브리드 환경에서 진화하는 위협 환경과 복잡한 보안 문제를 사전에 효율적으로 해결합니다. EDR(엔드포인트 감지 및 응답)같은 시스템에 비해 XDR은 보안의 범위를 넓혀 조직의 엔드포인트, 서버, 클라우드 애플리케이션, 전자 메일 등의 훨씬 다양한 제품에 대한 보호를 통합합니다. 여기에서 XDR은 방지, 감지, 조사, 대응을 통합해 가시성, 분석, 상호 관련된 인시던트 경고, 자동화된 대응을 제공함으로써 데이터 보안을향상하고 위협과 싸웁니다.

방화벽

방화벽은 네트워크와 주고받는 트래픽을 모니터링하여 SOC에서 정의한 보안 규칙에 따라 트래픽을 허용하거나 차단합니다.

로그 관리

종종 SIEM의 일부로 포함되는 로그 관리 솔루션은 조직에서 실행 중인 모든 소프트웨어, 하드웨어 및 엔드포인트에서 발생하는 모든 알림을 기록합니다. 이러한 로그는 네트워크 활동에 대한 정보를 제공합니다.

취약성 관리

이러한 도구는 네트워크를 스캔하여 공격자가 악용할 수 있는 취약점을 식별하는 데 도움을 줍니다.

사용자 및 엔터티 행동 분석

많은 최신 보안 도구에 내장된 사용자 및 엔터티 행동 분석은 AI를 사용하여 다양한 디바이스에서 수집한 데이터를 분석하여 모든 사용자와 엔터티의 정상적인 활동 기준을 설정합니다. 이벤트가 기준선에서 벗어나면 추가 분석을 위해 플래그가 지정됩니다.

SOC 및 SIEM

SIEM이 없으면 SOC에서 해당 임무 달성이 매우 어려울 수 있습니다. 최신 SIEM은 다음을 제공합니다.

  • 로그 집계: SIEM은 로그 데이터를 수집하고 분석가가 위협 감지 및 헌팅에 사용하는 경고의 상관 관계를 지정합니다.
  • 컨텍스트: SIEM은 조직의 모든 기술에서 데이터를 수집하기 때문에 개별 인시던트 사이의 관련성을 연결하여 정교한 공격을 식별하는 데 도움이 됩니다.
  • 더 적은 경고: 분석과 AI를 사용하여 경고의 상관 관계를 파악하고 가장 심각한 이벤트를 식별함으로써 SIEM은 사람들이 검토하고 분석해야 하는 인시던트의 수를 줄입니다.
  • 자동화된 응답: 기본 제공 규칙을 통해 SIEM은 사람의 개입 없이도 잠재적인 위협을 식별하고 차단할 수 있습니다.

또한 SIEM만으로는 조직을 보호하기에 충분하지 않다는 점에 유의해야 합니다. SIEM을 다른 시스템과 통합하고, 규칙 기반 검색에 대한 매개 변수를 정의하고, 경고를 평가해야 합니다. 그렇기 때문에 SOC 전략을 정의하고 적합한 직원을 채용하는 것이 중요합니다.

SOC 솔루션

SOC가 조직을 방어하는 데 도움이 되는 다양한 솔루션이 있습니다. 최고의 솔루션은 온-프레미스 및 여러 클라우드에 걸쳐 완벽한 적용 범위를 제공하기 위해 함께 작동합니다. Microsoft Security는 SOC가 적용 범위의 격차를 없애고 환경을 360도로 파악할 수 있도록 지원하는 포괄적인 솔루션을 제공합니다. Microsoft Sentinel은 분석가와 위협 헌터가 사이버 공격을 찾아서 막는 데 필요한 데이터를 제공하는 Microsoft Defender 확장된 감지 및 대응 솔루션과 통합되는 클라우드 기반 SIEM입니다.

Microsoft Security에 대한 자세한 정보

Microsoft SIEM 및 XDR

디바이스, ID, 앱, 전자 메일, 데이터 및 클라우드 워크로드 전반에서 통합 위협 방지 기능을 활용하세요.

자세한 정보

Microsoft Defender XDR

Microsoft XDR에서 제공하는 도메인 간 위협 방지를 사용하여 공격을 중지합니다.

자세한 정보

Microsoft Sentinel

클라우드와 AI를 기반으로 하는 쉽고 강력한 SIEM 솔루션으로 정교한 위협을 찾아내고 단호하게 대응하세요.

자세한 정보

Microsoft Defender 위협 인텔리전스

진화하는 위협 환경을 최고 수준으로 파악하여 공격자 및 공격자의 도구를 파악하고 제거하세요.

자세한 정보

Microsoft Defender 외부 공격 표면 관리

방화벽을 넘어 지속적인 가시성을 확보하여 관리되지 않는 리소스를 발견하고 멀티클라우드 환경 전반의 취약점을 발견할 수 있습니다.

자세한 정보

자주 묻는 질문

  • NOC(네트워크 운영 센터)는 네트워크 성능 및 속도에 중점을 둡니다. 중단에 응답할 뿐만 아니라 네트워크를 사전에 모니터링하여 트래픽이 느려질 수 있는 문제를 식별합니다. SOC는 네트워크 및 기타 환경도 모니터링하지만 사이버 공격의 증거를 찾습니다. 보안 인시던트 때문에 네트워크 성능을 방해할 수 있으므로 NOC 및 SOC는 작업을 조정해야 합니다. 일부 조직에서는 공동 작업을 장려하기 위해 NOC 내에 SOC를 보관합니다.

  • SOC 팀은 서버, 디바이스, 데이터베이스, 네트워크 애플리케이션, 웹 사이트 및 기타 시스템을 모니터링하여 잠재적인 위협을 실시간으로 파악합니다. 또한 공격자가 악용하기 전에 최신 위협에 대한 최신 정보를 숙지하고 시스템 또는 프로세스 취약성을 식별하고 해결하여 사전 보안 작업을 수행합니다. 공격을 받아 조직에 문제가 생기면 SOC 팀은 위협을 제거하고 필요에 따라 시스템 및 백업을 복원할 책임이 있습니다.

  • SOC는 사이버 공격으로부터 조직을 보호하는 데 도움이 되는 사람, 도구 및 프로세스로 구성됩니다. 목표를 달성하기 위해 모든 자산 및 기술의 인벤토리, 일상적인 유지 관리 및 준비, 지속적인 모니터링, 위협 감지, 위협 인텔리전스, 로그 관리, 인시던트 대응, 복구 및 수정, 근본 원인 조사, 보안 구체화 및 규정 준수 관리 등의 기능을 수행합니다.

  • 강력한 SOC는 조직이 방어자, 위협 탐지 도구 및 보안 프로세스를 통합하여 보안을 보다 효율적이고 효과적으로 관리하는 데 도움이 됩니다. SOC가 있는 조직은 SOC가 없는 회사보다 보안 프로세스를 개선하고, 위협에 더 빠르게 대응하며, 규정 준수를 더 잘 관리할 수 있습니다.

  • SOC는 사이버 공격으로부터 조직을 방어하는 일을 담당하는 사람, 프로세스, 도구입니다. SIEM은 SOC에서 가시성을 유지 관리하고 공격에 대응하는 데 사용하는 여러 도구 중 하나입니다. SIEM은 로그 파일을 집계하고 분석 및 자동화를 사용하여 대응 방법을 결정하는 SOC 멤버에게 신뢰할 수 있는 위협을 표시합니다.

Microsoft 팔로우