모니터링 도구→위협 탐지→분석 방법→대응 결
사이버 위협 모니터링과 분석 경험은 보안 동아리에서 SIEM 툴을 이용해 로그를 수집하고 이상 패턴을 탐지해 본 것이 첫 출발이었습니다. 로그를 단순히 쌓아 두는 것과 의미 있는 이벤트를 추출하는 것이 전혀 다른 작업이라는 것을 배웠습니다. Splunk 기반 실습 환경에서 SSH 실패 로그, 비정상 포트 스캔, 외부 IP 연결 시도를 쿼리로 탐지하는 방법을 익혔습니다.
IOC(침해 지표) 분석으로 알려진 악성 IP나 도메인이 내부 로그에 등장하는지를 위협 인텔리전스 피드와 대조하는 방법도 실습했습니다. 경보가 많이 발생할수록 진짜 위협을 놓칠 수 있다는 점을 배우고, 우선순위 필터링과 화이트리스트 관리가 모니터링 실효성에 직결된다는 것을 이해했습니다.
분석 결과를 보고서 형식으로 정리하는 과정에서 기술적 발견을 보안팀 외 담당자가 이해할 수 있게 요약하는 능력도 길렀습니다. 로그 탐지와 우선순위 기반 분석이 사이버 위협 모니터링의 핵심이라는 결론을 갖고 있습니다.