2020.04.23

SOC 분석가가 하는 일

Josh Fruhlinger | CSO
SOC(Security Operations Center, 보안운영센터)에서 분석가로 일하는 것은 많은 이에게 정보보안의 첫번째 직업이자, 보안 경력의 디딤돌이 될 수 있다.   

 

ⓒ Getty Images Bank


SOC 분석가란?

SOC 분석가는 기업의 IT 인프라에 대한 위협을 모니터링, 대응하고 보안 시스템과 취약점, 개선 가능성에 대한 조치를 평가하기 위해 일하는 사이버보안 전문가다.

SOC 분석가는 종종 보안운영센터에서 함께 일하는 팀의 이름이기도 하며, 이 팀은 분석가와 기타 보안 전문가로 구성되어 있다. SOC는 단일 기업의 팀이거나 하나 이상의 외부 고객에 보안을 제공하는 아웃소싱 서비스를 제공하는 팀일 수도 있다.   

SOC 분석가는 정보보안(Infosec) 초보자와 숙련된 전문가를 모두 아우르는 직책이다. SOC 분석가는 사이버보안 경력에서 디딤돌이 될 수 있지만, 극도의 피로를 유발할 수 있는 까다롭고 다소 반복적인 직업이기도 하다. 이 직업에서 필요한 기술은 무엇인지 자세히 살펴보자.


SOC 분석가가 하는 일

SOC 분석가가 하는 일을 이해하기 가장 좋은 방법은 당사자에게 물어보는 것이다. SOC 분석가 몰리 웨버는 최근 CIS(Center for Internet Security)와 자신의 하루를 설명하는 인터뷰를 했다.

웨버는 "나는 지방자치정부가 네트워크에서 악의적인 활동을 모니터링할 수 있도록 지원한다. 이 직업은 세부 사항에 대한 세심한 주의와 사이버상의 모든 것에 대한 일반적인 인식이 필요하다. IDS(Intrusion Detection System) 경고, 의심스러운 이메일, 네트워크 로그와 기업의 네트워크 활동에 대한 통찰력을 제공하는 기타 리소스를 검토한다. SOC 분석가는 사이버 트렌드를 읽고, 이해하고, 알릴 수 있어야 한다. 우선 네트워킹, 악성코드 분석, 사고 대응 및 사이버 문화와 같은 영역에 대한 기본 지식을 갖추는 것이 중요하다"고 설명했다.
 
프렐류드 인스티튜트(Prelude Institute)는 SOC 분석가를 ‘감시인과 보안 자문가’로 설명하는데, 이는 이 직업의 이중 역할을 나타낸다. SOC 분석가는 진행중인 공격을 주시하고, 향후 공격을 예방하거나 완화하기 위해 방어력을 강화하는 방법을 모색한다. 이를 위해 SOC 분석가는 보안 도구를 설치하고, 이 도구가 탐지하는 의심스러운 활동을 조사하고, 감사와 컴플라이언스 이니셔티브를 지원하며 보안 전략 개발에 참여해야 한다.  

특히 입문 단계의 SOC 분석가가 할 수 있는 작업은 사용자과 다양한 보안 소프트웨어에 의해 발생하는 경고를 처리하는 것인데, 실제로 수많은 오탐지 속에서 헤엄치는 것을 의미한다. 다크리딩(Dark Reading)의 켈리 잭슨 히긴스는 "하루 종일 컴퓨터 화면 앞에 앉아 방화벽, IDS/IPS(Intrustion Prevention Systems), SIEM(Security Information & Event Management), 엔드포인트 보호 도구에 의해 생성된 수천 개의 로우 경고(raw alerts)를 수동으로 클릭하고, 이를 무시하거나 격상하는 가장 화려하고 지루한 정보보안 작업 가운데 하나”라고 설명했다.

히긴스는 "이런 업무는 정말 짜증나긴 하지만, 좋은 소식이 있다. 몰리 웨버는 1단계 SOC 분석가의 삶을 묘사하고 있는데, 분석가들이 영원히 이 단계에 머물러 있는 것은 아니다”고 말했다.

 
SOC 분석가의 진로

SOC 분석가의 1단계는 SOC 분석가로 취업하기 전에 이뤄진다. 전제 조건은 다른 많은 보안 직종과 크게 다르지 않다. AT&T 기술담당 책임자 조나단 곤잘레스는 이번 인터뷰에서 “사이버보안 분야에서는 입문자 수준의 직업은 없다. 대부분의 사람은 보안 직종으로 옮기기 전에 네트워킹이나 비슷한 IT 분야에서 최소한 1~2년 동안 일한다”고 말했다.  

그러나 1단계 SOC 분석가가 사이버보안 경력에 있어 첫 번째 출발점이 되는 것은 드문 일이 아니다. SOC 분석가는 주어진 직책에 따라 약간 다른 업무를 부여받을 수 있지만, 일반적으로 업무는 3단계로 나뉜다. EC-카운실(EC-Council)의 블로그에는 SOC 단계 간의 차이점에 대한 자세한 설명이 있는데, 이를 요약하면 다음과 같다.
 
  • 1단계 SOC 분석가는 보안 도구를 모니터링, 관리, 구성하고 사고(Incidents)를 검토해 긴급성을 평가하며, 필요한 경우 사고를 격상하는 심사 전문가다.
  • 2단계 SOC 분석가는 사고 대응가로, 1단계에서 격상된 심각한 공격을 조치를 취하고 공격 범위와 영향을 받는 시스템을 평가하고 추가 분석을 위한 데이터를 수집한다.
  • 3단계 SOC 분석가는 위협 사냥꾼으로, 취약점과 은밀한 공격자를 찾아내고 침투 테스트를 수행하며, 취약점 평가를 검토한다. 일부 3단계 분석가는 공격 중, 공격 후에 발생하는 상황을 이해하기 위해 데이터셋을 심층 분석하는 데 초점을 맞추고 있다.

이 단계만으로 SOC 내에 있는 직업을 모두 설명할 수 없다. SOC 분석가가 사용하는 시스템을 구축하고 유지 관리하는 SOC 엔지니어도 있으며, 전체 작업을 총괄 감독하는 SOC 매니저가 있다.

이 외에도 SOC 내에서 기술을 연마한 후에 다른 경력을 쌓을 수 있다. 마이크로소프트 시큐리티(Microsoft Security) 블로그 게시물에는 이런 문제에 대해 심도있게 설명하며 “SOC 분석가의 이후 경력은 사고 대응, 프로그램 관리, 보안 제품 엔지니어링, 리더 순으로 이어질 수 있다”고 설명했다.

 
SOC 분석가 기술

EC-카운실은 SOC 분석가에게 필요한 최상위 기술은 네트워크 방어(Network defense) 윤리적 해킹(Ethical hacking) 사고 대응(Incident response) 컴퓨터 포렌식(Computer forensics) 리버스 엔지니어링(Reverse engineering) 등이 있다고 밝혔다.

여기서 요구되는 구체적인 기술 역량은 어떠할까? EC-카운실은 앞서 언급한 다양한 단계에 대한 세부 정보에 대해 설명했다.

SOC 분석가는 IDS, SIEM과 같은 일반적인 보안 도구를 이해해야 하며, 윈도우, 맥, 리눅스/유닉스 플랫폼에서 시스템 관리자 기술이 필요하다. 상위 단계 분석가는 침투 테스트 도구를 사용하는 방법도 알아야 한다.

SOC 분석가의 많은 업무는 시스템 로그를 파고들어 공격을 추적하고 시스템이 언제, 어떻게 해킹됐는지 확인하는 것이다. 로그를 수동으로 확인하는 것은 속도가 느리고, 작업자를 힘들게 하기 때문에 SOC 분석가는 이런 유형의 작업을 자동화하고 로그에서 유용한 데이터를 추출하는 기술이 필요하다.

1단계 SOC 분석가는 시스템 로그와 같은 큰 텍스트 파일에서 주요 패턴을 찾을 수 있는 스크립트를 작성하는 방법을 알아야 하는 반면, 상위 단계 분석가는 데이터 시각화 도구가 통찰력을 제공하는 방법을 이해해야 한다. 따라서 일부 프로그래밍 지식은 필수적이다.


SOC 분석가 인증 및 교육

본지는 IT 조직 내에서 현장 경험을 쌓는 것이 SOC 분석가 일을 하는 데 가장 필요한 것임을 파악했다. 그러나 고용주에게 SOC 분석가로 일할 수 있음을 알릴 수 있는 자격증과 이를 위해 공부하는 데 사용할 수 있는 많은 온라인 교육과 훈련 프로그램이 있다.

닐 와인버그는 대기업 및 조직의 SOC 분석가로 일하는 사람들을 위해 설계된 인증서인 시스코 공인 사이버옵스 어소시에이트(Cisco Certified CyberOps Associated)를 권장했다. 와인버그는 “이는 실제 직원 수준의 SOC 전문가에게 필요한 구체적인 실제 업무와 긴밀히 연계된 인증된 커리큘럼을 제공한다(이 인증은 이전에 Cisco CCNA Cyber Ops였다).

EC-카운실은 이 분야에서 CSA(Certified SOC Analyst)라는 자체 인증서를 보유하고 있으며, 이를 준비하는 데 도움이 되는 아이클래스(iClass)도 제공한다. 트레이닝 캠프(Training Camp)나 인포섹트레인(InfoSecTrain) 등 서드파티의 다양한 기타 부트 캠프(boot camps)와 훈련 프로그램도 이용할 수 있다.

그러나 SOC 전용 인증서만이 SOC 분석가의 가치를 입증할 수 있는 것은 아니다. 결국 SOC 분석가는 주로 표준 보안 기술을 입증해야 하는데, 이를 위한 많은 인증서가 있다. editor@itworld.co.kr


2020.04.23

SOC 분석가가 하는 일

Josh Fruhlinger | CSO
SOC(Security Operations Center, 보안운영센터)에서 분석가로 일하는 것은 많은 이에게 정보보안의 첫번째 직업이자, 보안 경력의 디딤돌이 될 수 있다.   

 

ⓒ Getty Images Bank


SOC 분석가란?

SOC 분석가는 기업의 IT 인프라에 대한 위협을 모니터링, 대응하고 보안 시스템과 취약점, 개선 가능성에 대한 조치를 평가하기 위해 일하는 사이버보안 전문가다.

SOC 분석가는 종종 보안운영센터에서 함께 일하는 팀의 이름이기도 하며, 이 팀은 분석가와 기타 보안 전문가로 구성되어 있다. SOC는 단일 기업의 팀이거나 하나 이상의 외부 고객에 보안을 제공하는 아웃소싱 서비스를 제공하는 팀일 수도 있다.   

SOC 분석가는 정보보안(Infosec) 초보자와 숙련된 전문가를 모두 아우르는 직책이다. SOC 분석가는 사이버보안 경력에서 디딤돌이 될 수 있지만, 극도의 피로를 유발할 수 있는 까다롭고 다소 반복적인 직업이기도 하다. 이 직업에서 필요한 기술은 무엇인지 자세히 살펴보자.


SOC 분석가가 하는 일

SOC 분석가가 하는 일을 이해하기 가장 좋은 방법은 당사자에게 물어보는 것이다. SOC 분석가 몰리 웨버는 최근 CIS(Center for Internet Security)와 자신의 하루를 설명하는 인터뷰를 했다.

웨버는 "나는 지방자치정부가 네트워크에서 악의적인 활동을 모니터링할 수 있도록 지원한다. 이 직업은 세부 사항에 대한 세심한 주의와 사이버상의 모든 것에 대한 일반적인 인식이 필요하다. IDS(Intrusion Detection System) 경고, 의심스러운 이메일, 네트워크 로그와 기업의 네트워크 활동에 대한 통찰력을 제공하는 기타 리소스를 검토한다. SOC 분석가는 사이버 트렌드를 읽고, 이해하고, 알릴 수 있어야 한다. 우선 네트워킹, 악성코드 분석, 사고 대응 및 사이버 문화와 같은 영역에 대한 기본 지식을 갖추는 것이 중요하다"고 설명했다.
 
프렐류드 인스티튜트(Prelude Institute)는 SOC 분석가를 ‘감시인과 보안 자문가’로 설명하는데, 이는 이 직업의 이중 역할을 나타낸다. SOC 분석가는 진행중인 공격을 주시하고, 향후 공격을 예방하거나 완화하기 위해 방어력을 강화하는 방법을 모색한다. 이를 위해 SOC 분석가는 보안 도구를 설치하고, 이 도구가 탐지하는 의심스러운 활동을 조사하고, 감사와 컴플라이언스 이니셔티브를 지원하며 보안 전략 개발에 참여해야 한다.  

특히 입문 단계의 SOC 분석가가 할 수 있는 작업은 사용자과 다양한 보안 소프트웨어에 의해 발생하는 경고를 처리하는 것인데, 실제로 수많은 오탐지 속에서 헤엄치는 것을 의미한다. 다크리딩(Dark Reading)의 켈리 잭슨 히긴스는 "하루 종일 컴퓨터 화면 앞에 앉아 방화벽, IDS/IPS(Intrustion Prevention Systems), SIEM(Security Information & Event Management), 엔드포인트 보호 도구에 의해 생성된 수천 개의 로우 경고(raw alerts)를 수동으로 클릭하고, 이를 무시하거나 격상하는 가장 화려하고 지루한 정보보안 작업 가운데 하나”라고 설명했다.

히긴스는 "이런 업무는 정말 짜증나긴 하지만, 좋은 소식이 있다. 몰리 웨버는 1단계 SOC 분석가의 삶을 묘사하고 있는데, 분석가들이 영원히 이 단계에 머물러 있는 것은 아니다”고 말했다.

 
SOC 분석가의 진로

SOC 분석가의 1단계는 SOC 분석가로 취업하기 전에 이뤄진다. 전제 조건은 다른 많은 보안 직종과 크게 다르지 않다. AT&T 기술담당 책임자 조나단 곤잘레스는 이번 인터뷰에서 “사이버보안 분야에서는 입문자 수준의 직업은 없다. 대부분의 사람은 보안 직종으로 옮기기 전에 네트워킹이나 비슷한 IT 분야에서 최소한 1~2년 동안 일한다”고 말했다.  

그러나 1단계 SOC 분석가가 사이버보안 경력에 있어 첫 번째 출발점이 되는 것은 드문 일이 아니다. SOC 분석가는 주어진 직책에 따라 약간 다른 업무를 부여받을 수 있지만, 일반적으로 업무는 3단계로 나뉜다. EC-카운실(EC-Council)의 블로그에는 SOC 단계 간의 차이점에 대한 자세한 설명이 있는데, 이를 요약하면 다음과 같다.
 
  • 1단계 SOC 분석가는 보안 도구를 모니터링, 관리, 구성하고 사고(Incidents)를 검토해 긴급성을 평가하며, 필요한 경우 사고를 격상하는 심사 전문가다.
  • 2단계 SOC 분석가는 사고 대응가로, 1단계에서 격상된 심각한 공격을 조치를 취하고 공격 범위와 영향을 받는 시스템을 평가하고 추가 분석을 위한 데이터를 수집한다.
  • 3단계 SOC 분석가는 위협 사냥꾼으로, 취약점과 은밀한 공격자를 찾아내고 침투 테스트를 수행하며, 취약점 평가를 검토한다. 일부 3단계 분석가는 공격 중, 공격 후에 발생하는 상황을 이해하기 위해 데이터셋을 심층 분석하는 데 초점을 맞추고 있다.

이 단계만으로 SOC 내에 있는 직업을 모두 설명할 수 없다. SOC 분석가가 사용하는 시스템을 구축하고 유지 관리하는 SOC 엔지니어도 있으며, 전체 작업을 총괄 감독하는 SOC 매니저가 있다.

이 외에도 SOC 내에서 기술을 연마한 후에 다른 경력을 쌓을 수 있다. 마이크로소프트 시큐리티(Microsoft Security) 블로그 게시물에는 이런 문제에 대해 심도있게 설명하며 “SOC 분석가의 이후 경력은 사고 대응, 프로그램 관리, 보안 제품 엔지니어링, 리더 순으로 이어질 수 있다”고 설명했다.

 
SOC 분석가 기술

EC-카운실은 SOC 분석가에게 필요한 최상위 기술은 네트워크 방어(Network defense) 윤리적 해킹(Ethical hacking) 사고 대응(Incident response) 컴퓨터 포렌식(Computer forensics) 리버스 엔지니어링(Reverse engineering) 등이 있다고 밝혔다.

여기서 요구되는 구체적인 기술 역량은 어떠할까? EC-카운실은 앞서 언급한 다양한 단계에 대한 세부 정보에 대해 설명했다.

SOC 분석가는 IDS, SIEM과 같은 일반적인 보안 도구를 이해해야 하며, 윈도우, 맥, 리눅스/유닉스 플랫폼에서 시스템 관리자 기술이 필요하다. 상위 단계 분석가는 침투 테스트 도구를 사용하는 방법도 알아야 한다.

SOC 분석가의 많은 업무는 시스템 로그를 파고들어 공격을 추적하고 시스템이 언제, 어떻게 해킹됐는지 확인하는 것이다. 로그를 수동으로 확인하는 것은 속도가 느리고, 작업자를 힘들게 하기 때문에 SOC 분석가는 이런 유형의 작업을 자동화하고 로그에서 유용한 데이터를 추출하는 기술이 필요하다.

1단계 SOC 분석가는 시스템 로그와 같은 큰 텍스트 파일에서 주요 패턴을 찾을 수 있는 스크립트를 작성하는 방법을 알아야 하는 반면, 상위 단계 분석가는 데이터 시각화 도구가 통찰력을 제공하는 방법을 이해해야 한다. 따라서 일부 프로그래밍 지식은 필수적이다.


SOC 분석가 인증 및 교육

본지는 IT 조직 내에서 현장 경험을 쌓는 것이 SOC 분석가 일을 하는 데 가장 필요한 것임을 파악했다. 그러나 고용주에게 SOC 분석가로 일할 수 있음을 알릴 수 있는 자격증과 이를 위해 공부하는 데 사용할 수 있는 많은 온라인 교육과 훈련 프로그램이 있다.

닐 와인버그는 대기업 및 조직의 SOC 분석가로 일하는 사람들을 위해 설계된 인증서인 시스코 공인 사이버옵스 어소시에이트(Cisco Certified CyberOps Associated)를 권장했다. 와인버그는 “이는 실제 직원 수준의 SOC 전문가에게 필요한 구체적인 실제 업무와 긴밀히 연계된 인증된 커리큘럼을 제공한다(이 인증은 이전에 Cisco CCNA Cyber Ops였다).

EC-카운실은 이 분야에서 CSA(Certified SOC Analyst)라는 자체 인증서를 보유하고 있으며, 이를 준비하는 데 도움이 되는 아이클래스(iClass)도 제공한다. 트레이닝 캠프(Training Camp)나 인포섹트레인(InfoSecTrain) 등 서드파티의 다양한 기타 부트 캠프(boot camps)와 훈련 프로그램도 이용할 수 있다.

그러나 SOC 전용 인증서만이 SOC 분석가의 가치를 입증할 수 있는 것은 아니다. 결국 SOC 분석가는 주로 표준 보안 기술을 입증해야 하는데, 이를 위한 많은 인증서가 있다. editor@itworld.co.kr


X