이를 주장한 기사에서는 한 금융기관의 사례를 들었는데, 그 사례에서 분석가는 매월 750개의 경고를 조사해 그 가운데 불과 두 개의 실질적인 위협을 찾았다. 이 기사는 이 시나리오에서 자동화된 IR은 이 두 개의 확인된 위협 인스턴스에만 적용이 가능하며 따라서 상향식 자동 위협 탐지를 구현하는 것이 "훨씬" 더 중요하다고 주장했다.
그러나 이 주장의 문제는 자동 IR은 위협이 확인된 후 단순히 교정 조치를 취하는 것보다 더 많은 일을 할 수 있다는 것이다. 자동 IR은 TD 시스템이 생성하는 모든 경고에 적용해 실질적 위협을 찾아내 교정할 수 있다. 사실 TD 시스템이 내보내는 오탐지(false positive) 경고가 너무 많다는 이유로 IR 자동화의 인기가 급상승하는 중이다.
100명의 IT 및 사이버 보안 전문가를 대상으로 한 ESG 설문에서 절반 이상(62%)이 이미 IR 프로세스를 자동화했다고 답했으며, 35%는 자동화를 위한 프로젝트를 현재 진행 중이거나 18개월 내에 IR 자동화 프로젝트를 실시할 계획이라고 답했다.
자동 IR의 가장 큰 효과는 숙련된 사이버 분석가 역할을 한다는 것이다. 그러나 인간과 달리 이 기술은 TD 시스템이 지속적으로 생성하는 방대한 경고를 빈틈없이 조사해 대처한다. 따라서 만성적인 경고 피로 문제에 대한 해결 방안을 제공한다. 현실적으로 대부분의 조직은 TD 경고가 너무 많아 제대로 다 조사하지 못한다. 경고를 일일이 살필 만큼 인력이 충분하지 않은데다가, 심각하거나 중요한 소수의 경고에 대처하려고만 해도 먼저 경고를 분류하고 우선 순위화하고 하나하나 조사하기 위해서는 상당한 리소스가 필요하다.
EMA의 조사에 따르면, 조직의 92%는 매일 최대 500개의 경고를 받는다. 조사 참가자의 대다수(68%)는 보안 팀 인력 배치에 어려움을 겪고 있으며 규모가 큰 조직은 매일 기가바이트에서 테라바이트 단위의 데이터를 수집한다고 밝혔다. 결국 조직의 88%는 매일 불과 25개 미만의 심각하거나 중요한 이벤트를 조사하며, 심각하거나 중요한 모든 경고 중 조사되는 비율은 1%에 불과하다는 EMA의 조사 결과도 놀랍지 않다.
물론 자동 TD는 사이버 보안 워크플로우에 도입해야 할 중요한 기술이다. 오경보의 수를 줄이기 위한 모든 조치는 장기적으로 볼 때 분명 도움이 된다. 그러나 자동 TD가 자동 IR보다 더 중요하다고 여겨서는 안 된다. 자동 IR은 방대한 양의 경고를 대규모로 조사하는 데 유용하다.
자동 TD 시스템과 이 시스템이 전달하는 많은 양의 정보를 성공적으로 처리하기 위한 유일한 방법은 (특히 리소스가 제한된 조직에서) 조직의 처리 역량에 맞춰 경고의 우선 순위를 정하는 방식을 버리고, 대신 모든 경고를 실시간으로 조사하고 교정할 수 있는 보안 자동화 툴을 활용하는 것이다.
큰 비용을 들이지 않고 비즈니스 보안을 유지하기 위해 조직은 다른 네트워크 탐지 시스템 또는 로그에서 맥락 정보를 자동으로 수집할 수 있는 솔루션을 찾아야 한다. 또한 알려진 위협 정보와 자동화된 조사 기능을 사용해서 위협의 진위를 가려야 하며 교정 프로세스를 완전히 자동화해서 위협에 대한 판정이 내려진 후에는 즉각 파일을 격리하고 프로세스를 종료하거나 CNC 연결을 끊어야 한다.
조직은 인력으로는 TD와 IR을 지속할 수 없음을 빨리 인식할수록 좋다. 더 많은 정보(즉, 자동 TD)가 사이버 범죄에 효과적으로 대처하기 위한 만능 해결책이 아님을 인식하는 것도 마찬가지로 중요하다.
위협의 증가와 사이버 보안 전문 인력의 부족에 직면한 조직은 위협 라이프사이클 전반에서 인공지능과 자동화를 모색하고 모든 TD 경고를 지속적으로 조사하는 통합 솔루션을 활용해야 한다. 이를 통해 기업은 직원 생산성을 높이고 보안 데이터의 맥락을 더 정확히 파악하고 효과적인 교정 조치를 취하고 사이버 위협을 실시간으로 완화할 수 있다. editor@itworld.co.kr