파이어아이 스토리

보안 분석가를 밤잠 설치게 하는 직업병 FOMI (Fear of Missing Incidents) - 확실한 처방전은? 바로 자동화!

SOC(Security Operation Center)에서 근무하는 보안 분석가를 괴롭히는 직업병이 하나 있습니다. 바로 FOMI((Fear of Missing Incidents)입니다. 네, 단어 뜻 그래도 두 눈 뜨고 놓친 침해 시도로 인한 공포입니다. 이 공포감에서 자유로운 분석가는 아마 없을 것입니다. 만에 하나 내가 놓친 것이 대형 보안 침해 사고의 원인이 된다면? 이런 걱정으로 밤잠 설치는 보안 분석가가 꽤 많다고 하네요. IDC의 연구(Voice of the Analyst)에 따르면 분석가 4명 중 3명이 누락된 사고를 걱정한다고 합니다. 그리고 분석가 중 6%가 FOMI 때문에 잠 못 이루는 밤을 보낼 정도로 걱정이 많다고 합니다. 관련해 IDC 보안 서비스 프로그램 부사장인 Christina Richmond는 "일선에 근무하는 분석가들은 사고를 놓쳤을 때 이를 개인적인 문제로 받아들입니다."라고 말합니다. 사고의 원인을 자기 탓으로 돌린다는 소리죠.

FOMI로 인한 번아웃이 걱정된다면? 자동화에서 답 찾아야

보안 분석가의 머릿속에서 "혹시 내가 놓친 것이 있으면 어떻게 하지?" 생각이 늘 있을 수밖에 없는 이유가 있습니다. 보안 분석가는 매일 적게는 수백에서 많게는 수천 개의 얼럿(alert)을 살펴봐야 합니다. 그리고 이 중에 가장 큰 위협이 무엇인지 가려 내어 잠재적인 사고를 막아야 합니다. 매일 같이 하는 이 일이 보안 분석가에게는 상당한 압박으로 다가옵니다. 조사에 따르면 보안 분석가들이 매일 같이 보는 얼럿 중 45%가 오탐지라고 합니다. 엄청난 수의 오탐지에 섞여 있는 진짜 위협을 가려내는 것은 말처럼 쉬운 일이 아닙니다. 일과를 마치고 집에 가도 보안 분석가 머릿속에서 놓친 것이 없는지, 로그 내용에서 알아채지 못한 위협의 흔적이 없는지 같은 생각이 떠나지 않는 이유입니다. 이런 스트레스를 어떻게 풀 수 있을까요? 이는 보안 분석가를 더 충원하는 것은 해결책이 아닙니다. 적절한 실력을 갖춘 보안 분석가를 쉽게 찾아 충원할 수 없는 것이 현실입니다. 문제의 본질에 접근하는 가장 확실한 방법은 '자동화'에 있습니다. 인력 충원이란 비현실적인 방법과 달리 당장 효과를 거둘 수 있으며, 보안 전문가가 FOMI 스트레스로 인한 번아웃 상태에 빠지는 것까지 피할 수 있습니다. Christina Richmond는 "제한된 인력으로 수천 개의 얼럿을 처리해야 할 경우 보안 정책을 조정하지 않으면 상당수 경고를 무시해야 합니다. 분석가를 더 많이 고용해 처리할 수도 있지만, 보안 인력 시장에서 전문가는 늘 부족한 자원입니다. 이처럼 이도 저도 못 하면 보안 분석가는 스스로 실망합니다. 또는, 중대 사건이 발생할 가능성이 있습니다."라고 말합니다.

FOMI는 MSSP에게도 큰 문제

기업의 SCO에서 일하는 보안 분석가만 FOMI가 두려운 것이 아닙니다. MSSP에게도 큰 문제입니다. MSSP에게 FOMI로 인한 사고 발생은 평판에 악영향을 끼칩니다. 전문 조직이라 믿고 서비스를 맡겼는데, 중요 얼럿을 놓쳐 사고가 났다면? 어떤 고객이 이 조직을 믿고 보안 서비스를 맡기겠습니까. 그러다 보니 FOMI 부담이 더 크게 다가오는 것이죠. Christina Richmond는 "서비스 제공 업체는 보고에 더 큰 도움이 필요합니다. 분석가는 탐지 및 분류에 도움이 필요합니다. 서비스 제공 업체는 고객을 지원하기 위해 고용된 것이므로 보고에 대한 부담이 더 큽니다."라고 말합니다. 사실 FOMI는 위기이자 기회이기도 합니다. 뭔가 놓쳐 사고가 나면 브랜드 이미지에 치명타가 되겠지만, 역으로 문제가 일어나기 전에 사고 징후를 제대로 포착한다면 큰 위기에서 고객을 구한 영웅으로 브랜드 인지도를 높일 수 있습니다.

제한된 일손, 홍수처럼 쏟아지는 얼럿 - 자동화에 길 있다!

FOMI 문제가 일어나게 된 것은 얼럿 과잉 속에서 이를 처리할 일손 부족이란 불균형이 배경에 자리하고 있습니다. 얼럿 양에 맞춰 적절한 전문가 수를 유지할 수도 없습니다. 앞서 언급한 바와 같이 경험과 전문성이 요구되는 분석가를 원한 다고 바로 충원할 수 없기 때문입니다. 그렇다면 매일 같이 수천 개씩 쏟아지는 얼럿을 어떻게 더 효과적으로 관리해야 FOMI로 인한 분석가의 스트레스를 줄일 수 있을까요? 자동화에 길이 있습니다.

SOC 분석 인력이 마주하는 얼럿 중 45%가 오탐지에 의한 것이라는 것을 상기해 보십시오. 이들만 적절히 잘 사전에 걸러 내면 보안 분석가는 뭔가 놓치고 있다는 부담에서 벗어날 수 있습니다. 실제로 AI, ML 기술을 기반으로 한 XDR(eXtended Detection and Response) 솔루션을 이용해 자동화 기반의 워크플로우를 구현하면 얼럿을 더 효과적으로 관리할 수 있습니다.

이상으로 보안 분석가의 고질적인 직업병인 FOMI를 어떻게 바라보고 접근할 것인지 알아보았습니다. 더 자세한 내용은 IDC 보고서 또는 2021년 3월 25일에 진행하는 파이어아이 웨비나(영어 진행)를 참조 바랍니다.