보안관제나 CERT 운영에서 경험한 내용을 구체적으로 설명
보안관제 업무를 지원하면서 대량으로 들어오는 보안 이벤트를 효율적으로 분류하는 것이 핵심이라는 걸 배웠습니다. 모든 이벤트를 개별로 분석하면 리소스가 부족해져서, 위험도 기준으로 티어를 나누고 높은 위험도부터 집중하는 구조를 이해했습니다. SIEM에서 상관 분석 룰을 적용해서 단일 이벤트가 아닌 패턴 기반으로 의심 활동을 탐지하는 방식이 오탐을 줄이는 데 효과적이었습니다.
인시던트가 발생했을 때 격리·분석·보고 순서를 빠르게 진행하려면 대응 절차가 미리 정리돼 있어야 했습니다. 처음 보는 이상 활동이 생겼을 때 판단 없이 선배에게 빠르게 에스컬레이션하는 것이 때로는 더 나은 대응이었습니다. 보안관제는 24시간 운영이 기본이라 교대 인수인계가 중요했고, 이전 시프트의 이슈가 명확하게 전달되지 않으면 연속성이 끊겼습니다.
보안관제는 빠른 탐지보다 정확한 판단과 절차 준수가 결과를 결정합니다.