경험 기반 구체화
비정상 처리 행위 탐지 정책을 직접 수립한 경험은 없습니다. 보안 수업에서 로그 기반 이상 행위 탐지(anomaly detection)의 기본 구조를 배웠을 때, 핵심은 "정상 범위를 먼저 정의하지 않으면 이상 탐지가 불가능하다"는 것이었습니다.
실습에서 접속 로그 샘플을 분석했을 때, 단순 임계값보다 "동일 계정에서 평소와 다른 시간대에 대량 접근"처럼 문맥 기반 탐지가 오탐을 줄이는 데 효과적이라는 걸 확인했습니다.
직접 모니터링 시스템을 구성해본 경험은 없지만, 베이스라인 설정 → 알림 임계값 조정 → 오탐 리뷰 흐름이 탐지 정책의 반복 개선 구조라고 이해하고 있습니다. 정책은 한 번 만들고 끝이 아니라 오탐 데이터를 피드백으로 계속 개선해야 한다고 봅니다.