보안

SOC 분석가가 갖춰야 할 5가지 핵심 역량

John Edwards  | CSO 2021.04.07
보안 운영 센터(Security Operations Center, SOC) 분석가는 보안 약점과 잠재적 개선에 대한 기회를 식별할 뿐만 아니라 조직의 IT 인프라에 대한 위협을 감시하고 대응하기 위해 팀으로 일한다. 
 
ⓒ Getty Images Bank

SOC 분석가는 기술, 분석 및 비즈니스 분야를 포괄해 다양한 작업을 다뤄야 하므로 자격이 있는 지원자를 찾는 것은 때때로 어렵다. 다행히도, 모든 SOC 분석가가 갖추어야 하는 5가지 핵심 역량에 초점을 두면 정확한 전문가를 고용할 수 있을 것이다. 

1. 협력
적성과 추진력은 똑똑하고 동기가 부여된 사람에게 일반적이고 가치가 있는 특성이지만, SOC 분석가는 동료와 함께 긴밀하고 효율적으로 일을 할 수 있어야 한다. NTT 보안 운영 센터장인 스캇 델리는 “만약 SOC를 통합적인 단위로 보고 있다면, 많은 협업을 해야 한다. 위협 인텔리전스를 통해 다른 분석가와 정보를 공유할 수 있는 능력은 전체 단위가 주어진 위협에 대한 협동을 보장한다”라고 설명했다.

SOC 직원은 최소한 정통한 분석가와 다를 바가 없기 때문에 SOC 분석가는 항상 공개적이고 협력적으로 일할 수 있어야 한다. 델리는 “협력은 구성원들이 새로운 타협 지표(Indicators of Compromise, IOC)와 새로운 벡터를 찾는 것을 보장하는 핵심이 될 것이다”라고 말했다. 

네트워크 및 보안 자동화 기술이 가치있는 보호 도구이며, 항상 더 나아지고 있음에도 불구하고 숙련된 SOC 분석가는 가장 강력한 방어선으로 남아있다. 불행하게도, 만약 분석가가 협력의 부족으로 IOC 경고를 적절히 관리하지 못하는 경우, 대응이 지연되거나 느려지고 또는 완전히 누락될 것이다. 델리는 “이런 3가지 시나리오 모두 나쁘다”라고 지적했다.

2. 비판적 사고
자주 간과하지만 필수적인 SOC 분석가 기술은 비판적 사고, 다시 말해 판단을 위한 사실의 검토이다. 특히, 공격 시나리오의 다양한 계층을 조사하는 것과 같은 기술적 분석을 적용하는 경우, 비판적 사고는 SOC 분석가의 업무의 핵심이 된다. 

기술 및 비지니스 컨설팅 회사 캡제미니 노스 아메리카의 사이버보안 교육 책임자인 덴 칼라한은 “비판적 사고 기술은 지적인 호기심을 이끈다. 대부분의 SOC 분석가는 자신의 업무를 수행하고, 실무 경험을 쌓음으로써 성장하고 배운다”라고 설명했다. 그러나 교과서 지식은 SOC 분석가만 배울 수 있다. 칼라한은 “성공적인 SOC 분석가를 이끄는 것은 스스로의 기술과 능력을 개발하기 원하는 욕구이다”라고 말했다.

AT&T 사이버보안 책임자 테레사 라노비츠는 숲을 보는 시각을 잃지 않으면서 나무를 볼 수 있는 능력과 같은 문제 해결을 위한 분석적 접근은 모든 SOC 지원자에서 찾을 수 있는 가치있는 속성이라고 분석했다. 라노비츠는 "이런 유형의 직원은 이미 대부분의 조직에 존재한다"라며, "예를 들어, 애플리케이션의 전체를 이해하는 품질 보증 전문가는 그들의 작업 방식에서 매우 협력적이며 세부 지향적이다. 전통적인 사이버보안 교육을 받지 못했지만 효과적인 SOC 분석가가 되기 위한 선천적 욕구와 비판적 사고 능력을 갖춘 SOC 전문가를 찾기 위해서는 사이버보안 리더가 고정관념에서 벗어나 생각할 필요가 있다”라고 정리했다. 

3. 탐구적인 마음
최고의 SOC 분석가는 지식에 대한 끊임없는 갈증을 가지고 있다. 카라한은 SOC 분석가를 프로 운동선수에 비유하면서 "최고의 운영자는 결코 멈추지 않는다. 대부분의 사람은 운동 선수가 경기에 임하는 것을 보기만 하지만, 선수의 능력을 강하게 만드는 연습과 이를 준비하는 모습을 보는 사람은 거의 없다”라고 설명했다.

사이버 위협 환경이 지속적으로 진화하고 새로운 도전이 발생한다는 사실을 고려할 때, SOC 분석가는 열렬히 경청하고 끊임없이 배워야 한다. 레이썬의 사이버보안 솔루션 담당 선임 책임자인 존 체크는 “SOC 분석가가 최전선에서 경청과 배움 이 2가지 기술 모두를 잘 유지해야 극대화된 효과를 얻을 수 있다. 공격자는 끊임없이 진화하는 전술, 기술, 및 절차(TTPs)를 고려하든 아니든, 또는 이러한 위협과 싸우기 위해 지속적으로 개발되고 있는 도구들의 과잉을 고려하든, 변화의 속도는 빠르다”라고 말했다.

4. 강력한 기본 기술
SOC 분석가는 다른 자질뿐만 아니라 주요 사이버보안 기술 및 공격 방법론에도 능통해야 한다. 주제는 즉시 쉽게 배울 수 없으며 성실하게 자주 새로워지는 공부와 연습을 통해 습득해야 한다.

사이버보안 및 직업 교육 업체인 사이브러리(Cybrary)의 트레이닝 아키텍트 코리 마졸라는 SOC 분석가는 최소한 네트워크와 통신 프로토콜을 포함한 정보 기술에 대한 기본적인 이해를 가지고 있어야 한다고 말했다. 마졸라는 “중요한 사이버보안 사고를 식별, 관리 및 대응하기 위해서는 SOC 분석가가 네트워크 활동을 효과적으로 모니터링하고 관련 위협을 탐지할 수 있어야 한다. 효과적인 보안 모니터링과 위협 탐지가 없으면, 예고없이 잠재적으로 사고가 발생할 수 있으며 이는 엄청난 피해를 끼칠 수 있다”라고 경고했다.

사이버보안 기술과 공격 탐지 관련 기술이 핵심 채용 고려사항이지만, SOC 분석가는 또한 훌륭한 인품뿐만 아니라 흠잡을 데 없는 보안 경력을 가진 사람이어야 한다. 라노비츠는 “사이버보안에 대한 가장 큰 위협은 내부적이든, 외부적이든, 악의적이든, 우발적이든 인간 요소”라며, “그 인간적인 요소에 대응하기 위해 SOC 분석가를 선발할 때에는 개인적인 특성을 간과해서는 안된다"라고 충고했다.

5. 압박 속에서 일할 수 있는 능력
이해 관계자의 기대치나 시간 제약에도 개의치 않고, 압박을 받는 동안 효과적으로 작업할 수 있는 능력은 SOC 분석가의 핵심 자질이다. 보안 교육 업체 인포섹(Infosec)의 기술 입안자 켄 마지는 “기술력, 문제 분석력 및 문제 해결력이 중요하지 않다는 것은 아니지만, 압박감 속에서 맑은 정신으로 일을 할 수 없다면 보안 문제를 해결할 수 없을 것이다”라고 말했다.


관련 자격증은?

대부분의 전문가는 SOC 분석 후보자를 평가할 때 자격증은 비교적 사소한 고려사항이어야 한다고 결론을 내리는 등, 자격증의 가치에 대한 의견이 다양하다. 

자격증은 유용하지만 채용 결정에 있어서 큰 비중을 둬서는 안된다. 자격증은 이해도, 신뢰도, 배우고자 하는 욕구에 대한 증거를 제공하지만, 역할에 대한 후보자의 자격에 대해 명확한 그림을 제공하지는 못한다. 레이썬의 체크는 “자격증으로 장식된 이력서는 겉으로 보기엔 멋있어 보이지만 면접이나 직무상 자신의 전문지식을 발휘할 수 없다면 자격을 갖춘 SOC 분석가임을 입증하지 못하는 것”이라고 지적했다.

자격증은 잠재적 고용주에게 지원자 능력의 기초선과 특정 수준의 신뢰를 제공할 수 있으므로 자격증은 SOC 전문가 경력을 시작할 때 중요하다. 그러나 경력이 쌓이게 되면, 경험과 추진력이 우선순위가 되므로 자격증은 덜 중요해 진다.

AT&T의 라노비츠는 여러 자격증을 보유한 SOC 분석가 지원자에게 현혹되지 말라고 경고했다. 라노비츠는 “채용 시 자격증에만 집중하면 강력한 비판적 사고와 분석력을 갖춘 잠재적인 채용인을 거의 확실히 탈락시킬 수 있을 것이다. 자격증에만 집중하면 지원자 군이 상당히 협소해 진다”라고 말했다. editor@itworld.co.kr
함께 보면 좋은 콘텐츠

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.