SIEM 이상 탐지 쿼리 작성 + 오탐 줄이기 경험 중심으로 푸는 결
보안 인턴십에서 를 활용해 로그인 실패 패턴을 분석한 경험이 있습니다. 중점적으로 본 지표는 단위 시간당 로그인 실패 횟수, 실패 후 성공 간격, 접근 IP 국가 분포 세 가지였습니다. 브루트포스 시도는 짧은 시간에 같은 IP에서 실패가 집중되는 패턴이었고, 쿼리로 5분 내 20회 이상 실패한 IP를 자동으로 플래깅하도록 설정했습니다. 처음에는 오탐이 꽤 많아서 임계치 조정을 반복했습니다. 단순 횟수 기준만 쓰면 VPN 사용자나 자동화 스크립트가 걸리는 경우가 있었고, 이후 동일 계정에 대한 실패 집중도를 기준에 추가했습니다. 최종적으로 실제 의심 IP를 하루 평균 3~4건 발견했고, 그 중 2건은 담당자가 추가 검토 후 차단 조치로 이어졌습니다. 완전히 자동화된 탐지 체계를 만든 건 아니었지만, 기준을 직접 설계하고 오탐을 줄이는 과정이 인상 깊었습니다.