직접 경험
보안 프로젝트 인턴 때 SIEM 환경 구성을 지원했습니다. Splunk를 활용해 서버 로그와 방화벽 이벤트를 수집하고 대시보드를 구성하는 작업이었습니다. 처음엔 로그 포맷이 소스마다 달라 파싱 규칙을 일일이 맞추는 게 가장 어려웠습니다. sourcetype 설정을 잘못 잡으면 알림이 누락되는 문제가 생겨, 테스트 이벤트를 직접 만들어 파싱이 맞게 됐는지 검증하는 과정을 반복했습니다. 운영 단계에서는 임계값 설정이 너무 낮으면 알림 피로가 생겨 정작 중요한 이벤트를 놓친다는 걸 배웠습니다. 지금은 보안 시스템 구성 시 탐지 규칙과 함께 알림 우선순위 기준을 같이 설계하는 게 중요하다고 생각합니다. SIEM 운영에서 탐지와 알림의 균형을 맞추는 게 기술만큼 중요한 판단이라는 걸 배웠습니다.