안녕하세요 멘토님! 현재 정보 보안 직무로 면접을 준비하고 있는 취업 준비생입니다!

멘토님. 저는 요즘에 스스로 면접 질문을 구성하여 답변을 해보는 연습을 하고 있습니다. 그런데 제 관점이 부족한 것인지 솔루션 측면에서 SIEM, SOAR 등의 방안 밖에 도출하지 못하겠습니다.

 ©Philipp Katzenberger

멘토님께서는 보안 솔루션의 정보를 조합해서 보안 위협 행위를 감시할 방안에 대해 기술/관리적인 측면에서 어떻게 생각하시는지 여쭤볼 수 있을까요?

안녕하세요 먼저 정보 보안 직무로 면접을 보신다니 서류전형 합격 축하드립니다.

바뀌고 있는 보안 트렌드를 파악하세요 

SIEM과 SOAR만 하더라도, 보안 관제 트렌드를 잘 파악하고 계신 것으로 보입니다. 조금 더 부연해서 도움 되는 이야기를 드리자면, 전통적으로 보안 솔루션의 정보는 '위협이 되는 정보', '악성코드를 포함하고 있는 이벤트', '악의적인 공격 패턴' 등 위협이 되는 Abnormal(이상한) 이벤트를 수집하고, 기존에 저장하고 있는 패턴과 비교해서 매칭이 되면 차단!, 매칭이 되지 않으면 허용! 하는 방식으로 보안 위협 행위를 식별했습니다.

하지만 최근에는 이러한 위협 패턴이 과다하게 증가하고, 스스로 모습을 변조(Mutant) 하는 악성코드가 대다수이며, 파일 리스 악성코드와 같이 내장 스크립트를 이용한 공격이 주류를 이루면서 더 이상 전통적인 보안 위협 행위를 식별하는 보안 솔루션은 효율성이 떨어지고 있지요.

그래서 오히려 정상의 데이터, 일상적인 데이터를 수집해서 '정상'으로 분류하고, 정상의 범주를 벗어나는 모든 이벤트를 '의심스러운' 행위로 분류하고 추적/관리하기 위한 다양한 솔루션이 나오고 있습니다. 그리고 의심스러운 행위 중에서 실제적인 악성 행위와 단순 이벤트를 구분하는 것은 사람의 수동적인 판단 및 분석이 필요한 부분입니다.

 ©Kevin Canlas

그렇기 때문에 이 모두를 고려한 기술/관리적인 측면의 방안은 다음과 같습니다. 

1.솔루션을 도입 전에 다양하게 발생하는 정상의 데이터를 수집하는 것이 필요합니다. 

2.정상과 비정상의 범주를 구분 짓는 경계(기준)의 수립이 필요합니다.

3.또한 비정상의 이벤트를 단편인 현상만 보고는 악성 여부를 직관적으로 판단할 수 없기 때문에 다양한 로그 이벤트를 상관분석할 수 있는 빅데이터 분석이 당연하게도 필요합니다.

4.그리고, 회사마다 환경마다 정상의 업무 시나리오(프로세스)는 고유하기 때문에 이러한 업무 시나리오를 도출하고, 시나리오를 다양하게 조합하여 복합 시나리오를 개발하는 것도 필요합니다.

5.위 준비사항들이 전제가 되어야 이러한 요구사항을 충족하는 보안 솔루션을 선정하고, 안정적으로 도입 및 운용이 가능합니다. 

면접에 도움이 되는 답변이길 바랍니다. 감사합니다.

친절하시고 상세한 답변에 감동받았습니다. 쉽게 접할 수 없는 현직자 멘토님을 잇다 플랫폼에서 만날 수 있게 되어 영광이었습니다. 너무 큰 도움이 되었습니다. 다시 한번 감사드리고 다음에 도움이 필요할 때 다시 질문드리겠습니다! 좋은 하루 보내시길 바랍니다 멘토님.

<멘토의 응원>

자신감을 가지고 면접 보세요. 합격하시길 기도하겠습니다.