세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
[주말판] 관제센터 레벨 1 분석가의 멸종 위기
  |  입력 : 2017-11-18 11:17
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
레벨 1 분석 업무의 고단함과 새로운 기술력 등장
레벨 1 분석가 대체하기 위해 제도 변화, 신기술 도입 등 노력 기울여


[보안뉴스 문가용 기자] 보안 업계에서 가장 덜 빛나고 가장 알아주지도 않고 가장 힘들기까지 한 직무는 무엇일까? 컴퓨터 화면 앞에 하루 종일 앉아 방화벽, IDS/IPS, SIEM, 엔드포인트 보호 장비로부터 올라오는 경보들을 손으로 하나하나 확인하는 것이다. 지루한 클릭의 연속, 그러면서 빠르게 솎아낼 건 정확히 솎아내야만 하는 이 작업은 ‘중요한 위협 지표를 놓치면 안 된다’는 중압감마저 심하기도 하다.

[이미지 = iclickart]


이러한 작업은 주로 보안 관제센터 내 레벨 1 분석가 혹은 티어 1 분석가들이 맡는다. 불행인지 다행인지 지금 이 레벨 1 분석가들이 사라지고 있다고 한다. 일이 힘들어 버티지 못하고 떨어져나가는 사람들도 있고 이 힘든 일을 대신 해주는 기술들이 등장하고 있기 때문이다. 레벨 1 분석가 업무를 거쳐야 레벨 2가 되고, 더 고급 분석 일을 맡게 되는 건데 아예 데이터 분석 분야의 뿌리부터 사라지고 있는 것이다.

하지만 이 흐름은 되돌릴 수가 없어 보인다. 보안의 자동화, 분석, 오케스트레이션에서의 기술적 혁신이 일어나고 관제센터의 아웃소싱 서비스가 다양화되고 있어 수동으로 처리하던 데이터 분석 최전선의 형태와 역할이 이미 활발하게 바뀌고 있기 때문이다. 이 구역은 이미 자동화로 점철되기 시작했다.

그렇다고 연봉이 4만 달러에서 7만 달러에까지 이르며, 취약점 스캐닝에서부터 보안 모니터링 툴들의 설정까지 책임지는 관제센터 레벨 1 분석가들의 존재 의미가 사라진다고 할 수는 없다. 다만 할 일이 변하고 있을 뿐이다. 시장 조사 기관인 포레스터(Forrester)의 수석 분석가인 제프 폴라드(Jeff Pollard)는 “기존의 역할이 사라지고 있어, 지금의 레벨 1 분석가는 다른 형태로 존속될 것”이라고 예측한다.

레벨 1은 레벨 2로
보다 정확히 말하자면 기존 레벨 1 분석가들의 수동적이고 비효율적인 작업 방식이 떠밀려 내려가고 있다. 이 수동 점검 방식은 오류도 많을뿐더러 폭발적으로 증가하는 데이터량을 감당할 수가 없다. 이 데이터 안에는 위협들도 존재하는데 말이다. “경보가 울리길 기다렸다가 일일이 클릭해서 매뉴얼에 적힌 방식대로 검토하고, 매뉴얼에 따라 위협이라고 분류될만한 것들을 레벨 2 분석가들에게 보내 확인을 받는 작업 프로세스는 어차피 바뀌어야 할 것”이라고 많은 전문가들은 이전부터 말해왔다.

관제 서비스를 주력으로 하는 업체 엑스펠(Expel)의 부회장인 저스틴 바이코(Justin Bajko)는 “레벨 1 관제센터 분석가라는 말 자체를 좋아해본 적이 없다”고 말한다. “데이터가 바다만큼 많은데 그걸 손으로 하나하나 들춰봐야 한다니, 그게 무슨 ‘분석’씩이나 되는 일일까 싶을 때가 많습니다. 분석이란 건 데이터들 속에서 의미와 통찰을 찾아내는 건데, 이건 뭐 단순 OX 퀴즈 푸는 것과 비슷할 뿐이죠. 그런 일을 시켜놓고 레벨 1이라니, 직업 만족도가 높을 수가 없습니다.”

하지만 그것이 레벨 1 분석가들의 현실이라고 바이코는 토로한다. 그는 분석가의 길로 들어서는 첫 단추가 지금의 레벨 1 분석가라는 사실 때문에 사이버 보안 인력 문제가 생겨났다고 주장한다. “보안과 데이터 분석에 대한 커다란 꿈을 가지고 왔다가도 실망해서 떠나가기 딱 좋은 환경이니까요.”

실제로 레벨 1 관제센터 분석가들은 직무 피로도가 높고, 따라서 이직율도 꽤나 높은 편에 속한다. 분석가들은 여기서 단련된 후 기회가 되면 미련 없이 더 좋은 직장을 찾아 떠난다. 연봉을 더 주는 곳을 찾는 이도 있고, 레벨 1의 분석 업무가 지루하고 비전도 없어 보여서 떠나기도 한다. 보안이 아니라 개발 쪽으로 경력 자체를 꼬는 사람도 드물지 않다.

하지만 기업은 관제센터의 빈 자리 채우기에 급급하다. 자동화와 오케스트레이션 기술을 제대로 정착시키는 동안 관제센터 업무를 부드럽게 유지시키기 위함이다. 즉 최신 기술을 도입한다손 치더라도 그 중간 과정에 사람이 반드시 필요하다는 것이다. “하지만 사람이 빠지기 전까지 기업은 그걸 잘 깨닫지 못해요. 그래서 레벨 1 분석가들이 실제로 하는 일 자체는 노이즈를 걸러내는 것뿐이죠. 그나마도 데이터와 위협이 너무나 많아 현장의 분석가들로서는 ‘질 싸움’만 계속하는 느낌입니다.”

질 것만 같은 판세를 뒤집기 위해서는 새로운 무기가 필요하다. 바이코는 “자동화 기술과 오토메이션 기술이 지루하고 기계적인 노이즈 제거를 맡아주면 레벨 1 분석가들이 ‘참 분석 일’을 맡을 수 있을 것”으로 본다. “레벨 1 분석가들에게 가랑잎 같은 배 하나 주고 대양을 탐험하게 하니, 누가 그런 처지에 있고 싶겠어요. 바다의 일부 구역을 정해주고, 그곳만 깊이 연구하라고 하면 일의 의미도 생기고 보람도 느끼죠. 레벨 1 분석가들에게 보다 더 깊이 사고할 수 있고 창의적일 수 있는 책임을 부여해야 합니다.”

인공지능 기반의 관제 플랫폼을 제공하는 업체 재스크(JASK)의 창립자인 그렉 마틴(Greg Martin)은 “레벨 1 분석가라 하면 통상 사이버 보안 분야로의 첫 관문”이라고 설명한다. “그 관문이 왜 생겼을까요? 필요하니까 생겼죠. 수많은 경보들 중 노이즈를 가려내는 작업은 반드시 필요한 일이었어요. 지금도 그렇고요. 그래서 사람을 배치시켜봤더니 그리 만족스러운 직무가 되지 않는다는 걸 깨달았지요. 이젠 그 임무를 다른 무언가에게 부여하고, 그 임무를 맡아왔거나 맡아야 했을 사람들에게 다른 직무를 맡겨야 하는 때입니다. 레벨 1 분석가들은 앞으로 보다 깊이 있는 수사와 연구에 동원될 겁니다.”

즉 지금의 레벨 1 분석가들은 지금의 레벨 2 분석가들처럼 변해갈 것이라는 게 대부분 전문가들의 의견인 것이다. 레벨 2 분석가들은 레벨 1 분석가들이 걸러준 데이터를 분석하고, 그 결과를 레벨 3 분석가들에게 전달했다. 그러면 레벨 3 분석가들은 보다 깊은 통찰을 얻어내고 잠재적인 위험들을 파악해냈다. 레벨 2 분석가들은 보통의 경우 공식 사건 대응 절차를 시작하는 위치에 있고, 그렇기에 짊어진 책임도 크다. 레벨 3 분석가는 조금 더 능동적인 위험 대처 및 위협 사냥을 평상시 맡는다.

“레벨 1은 이 경보가 오보인지 아니인지를 파악합니다. 레벨 2 분석가들은 기기를 격리시켜야 하는지, 인터넷을 끊어야 하는지 등을 결정합니다. 레벨 3 분석가들은 A라는 요소가 위협이 된다고 판단하고, 사건이 일어나기 전에 그 요소를 어떻게 제거하고 방비할지를 파악합니다.” 폴라드의 설명이다. “이러한 구조에서 레벨 1이 레벨 2로 올라간다는 겁니다. 이전보다 더 ‘분석가다운’ 일을 하기 위해서죠.”

이렇게 됐을 때 한 가지 보안 위협이 상당 수 사라질 것으로 기대된다. 그건 바로 레벨 1 분석가들의 ‘높아지는 경보 피로도’다. 경보에 대해 무감각해지는 것만으로도 이미 보안의 커다란 구멍이 생긴다. “불감증에 걸린 레벨 1 분석가는 진짜 경보를 제대로 알아보지도 못하고, 후속 처리도 못합니다. 지금의 레벨 1 분석가들의 실적은 ‘처리한 경보의 수’인데요, 이는 걱정되는 현상입니다. ‘수’에 밀려 올바른 결정을 미루게 되거든요.” 바이코의 설명이다.

관제센터의 새로운 구조
이러한 변화를 빠르게 눈치 채고 관제센터의 구조를 바꾸기 시작한 관리자들도 존재한다. 이 변화의 핵심은 신기술의 도입이었다. 텍사스의 대학기관 시스템을 관장하는 A&M 유니버시티 시스템(A&M University System)의 관제센터장 댄 바질(Dan Basile)의 경우, 관제센터 내 분석가 레벨 구조를 바꾸고 사람들도 다수 새롭게 채용했다고 한다. “저희는 지금 레벨 0.5 분석가들까지 보유하고 있습니다.”

A&M에도 처음에는 레벨 1과 레벨 2 분석가만 존재했다. “그런데 사람 구하기가 너무 어려웠어요. 좀처럼 머물러주는 사람이 없더군요. 근속 기간이 1년도 되지 않았어요. 그렇다고 연봉을 확 늘릴 수도 없었고, 직무를 편하게 바꿔줄 수도 없었죠.” 그래서 바질은 새로운 방법을 강구했다. “대학 캠퍼스 내에서 파트너들을 만들고 관제센터에 어울릴만한 학생들을 파트타임으로 뽑았어요. 그리고 이들을 레벨 0.5 분석가로 부르기 시작했죠.”

레벨 0.5 분석가들은 관제센터 내에서 레벨 1 분석가들과 가까이에서 작업을 진행했다. “레벨 1 분석가들이 이들에게 경보를 분류하는 법을 가르쳐주고, 작업 과정을 지켜봤습니다. 학생 분석가들은 이 과정을 거쳐 실제 현장에서 여러 가지 경보들을 분석했어요. 그리고 저학년은 고학년에게, 고학년은 실제 1 레벨 분석가들에게 자신들의 작업물을 제출했지요. 그런 식으로 경보의 필터를 한 겹 더 두껍게 만든 것이죠. 동시에 레벨 1 분석가들에게 좀 더 ‘감독직’의 권한을 주고, 보다 더 창의적은 결정을 내릴 수 있도록 했습니다.”

취직과 사회 진출에 관심을 가질 수밖에 없는 학생들로서 관제센터의 빈 자리를 채우는 것은 기가 막힌 한 수였다. “대학 네트워크는 매우 방대해서 동접자가 늘 25만 명 수준으로 유지됩니다. 즉 트래픽이 방대하고, 이리 저리 오가는 것들이 굉장히 많습니다. 어떤 대학교는 위치가 그리 선호되지 않아 새 직원이 좀처럼 오려고 하지 않았어요. 그런 가운데 레벨 1 분석가의 어깨만 무거워져갔죠.”

여기에 더해 A&M은 인공지능을 기반으로 한 툴을 벡트라(Vectra)로부터 구매해 관제센터 내에 구축하기도 했다. 입수된 첩보를 검토하고 실제 경보를 발령하기까지의 과정을 자동화로 처리하기 위함이었다. 사람이 하나하나 개입해서 실시했을 때 수시간씩 걸리는 일이었다. “이 새로운 솔루션 덕분에 1) 경보 하나에도 맥락적인 정보가 자동으로 부착되고, 2) 15~20분 내에 분류 작업을 모두 마치게 되었습니다.”

AI가 들어선 이후 레벨 1 분석가들의 직무는 어떻게 변했을까? AI가 분석한 결과들을 검토한다. “AI가 ‘경보’로 분류한 것들이 정말 ‘경보’에 해당하는가를 먼저 확인합니다. 경보가 맞다면, 위험 수치나 심각도가 적절한가를 보고 이를 조정합니다. AI가 속았다거나 경보를 잘못 파악했다면 그것 역시 수정하고요. 아니면 레벨 2 분석가들처럼 정말 위험한 경우 실제 조치를 취해야 한다고 조직 내로 메시지를 전파합니다.”

바질은 “인공지능을 접목한 관제센터일수록 ‘진짜 사람이 필요하다’는 점을 배운다”고 설명한다. “레벨 1 분석가들이 멸종한다는 게 인공지능이 레벨 1 분석가들의 일자리를 위협한다는 뉘앙스로 읽힐 수 있습니다만, 그건 사실이 아닙니다. 인공지능 기술 때문에 레벨 1 분석가들이 갈 곳을 잃는 게 아니에요. 인공지능 때문에 레벨 1 분석가들의 분석 수준이 한 단계 높아졌다는 뜻이죠. 인공지능이 하는 일을 누군가는 감독해야 하고, 그건 사람이어야 합니다. 인공지능이 얼마나 발전하든, ‘안전’에 대해 yes와 no를 결정하는 건 언제나 사람일 것입니다.”

또한 관제센터의 운영을 완전 자동화한다는 의미도 아니다. 바이코는 “관제센터에서 데이터를 분석하는 일에 있어서는 항상 인간의 도움이 필요할 것”이라고 설명한다. “비판적인 사고를 기술로 구현한다는 건 너무나 어려운 일입니다.”

그러면 레벨 2, 레벨 3 분석가는?
사람이 모자라고, 늘 지쳐 떨어지는 레벨 1 분석 업무가 학생이나 인공지능으로 대체된다면, 레벨 2, 레벨 3 분석가들은 어떻게 도울 수 있을까? “레벨 2, 레벨 3 분석가들을 구하는 것도 하늘의 별따기입니다. 지금 저희 회사에서는 포렌식 분야에서 전문성을 갖춘 사람을 1년 동안 구하고 있는 중이에요. 구인구직의 온갖 통로를 이용해도 좀처럼 사람을 찾을 수가 없었습니다. 지금은 반쯤 포기한 상태이고요.” 바질의 설명이다. 그래서 지금 A&M 내 레벨 3 분석가들의 업무 피로도가 상당히 높은 수치라고 한다.

대신 0.5 티어 분석가인 학생들의 수준이 올라가고 있어서 앞으로가 기대된다고 바질은 말을 이어간다. “물론 적성에 안 맞거나 하는 학생들을 일찌감치 그만뒀습니다만, 남은 학생들은 점점 발전하고 있어요. 데이터 분석이나 보안에 대해 거의 아무것도 모르던 학생들이 지금은 패킷 캡처도 파헤쳐볼 실력이 됐습니다. 이런 흐름이 조금 더 지속되면 레벨 1에서의 데이터 필터링 수준이 올라가고, 그에 따라 레벨 3 분석가들의 피로감이 풀릴 수 있을 것으로 봅니다.”

아이러니하게도 이것이 바로 레벨 1 분석가 직무가 존재하는 전통적인 이유였다. 덜 기술적이고 단순한 일들을 통해 데이터 분석 분야에서 경험과 기술력을 몇 년 쌓고 다양한 보안 툴들을 손에 익히는 것 말이다. 이를 통해 레벨 1 분석가는 레벨 2로 올라갈 수 있었고, 레벨 2는 레벨 3으로 승급했다. “그걸 지금 0.5 레벨 분석가들이 우리 회사에서 하고 있어요.”

레벨과 티어가 없는 곳
어떤 곳은 아예 분석가들 사이의 레벨/티어 구분을 없애기도 했다. MKA사이버(MKACyber)의 창립자이자 미국 CERT의 전 국장인 미셸 권(Mischel Kwon)은 “애초에 분석가들을 수준별로 구분한다는 발상 자체가 좋지 않았다”는 쪽이다. “저희 회사에서는 티어 구분을 없앴습니다. 데이터를 분석한다는 측면에서는 아무도 서로를 등급의 프레임 안에서 보지 않죠.” MKA사이버는 관제센터 서비스를 대행하는 것이 가장 주력인 사업 아이템이다.

미셸 권은 “등급 구조 때문에 지루한 일만 모아서 레벨 1에게 할당하게 되는 부작용이 생겼다”고 주장한다. “데이터를 분석하는 데에 있어 가장 재미없는 부분만 고정적으로 맡길 수는 없습니다. 데이터 분석가 스스로가 새싹들을 차단시킨 겁니다.” 미셸 권은 “관제센터에서 근무하는 분석가는 관제센터에서 일어나는 모든 일들을 알고, 할 줄 알아야 합니다. 그래서 MKA사이버는 등급제가 아니라 ‘그룹제’로 관제센터를 운영한다고 한다.

“주니어와 시니어를 한 조로 묶습니다. 그 안에서 업무를 나누면서 시니어가 주니어를 교육하도록 하는 것이죠. 레벨 1에 강제로 오래 머무르고 싶은 사람은 없습니다만, 그렇다고 아무나 레벨 3을 할 수 있는 건 아니거든요. 주니어와 시니어를 묶어두면 레벨 1 분석가들이 빠르게 중간급이 되더라고요. 일도 재미있어지고 배울 수 있는 사람이 가까이에 있으니까요.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

#보안   #IT   #관제센터   #SOC   #분석가   #데이터   #과학   


비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
2017년은 3분기까지 침해사고 수가 2016년 전체 침해사고 수를 앞지르는 등 급증하는 침해사고로 신기록을 세운 해입니다. 지난 한 해 동안 발생한 침해사고 중 가장 심각한 유형은 무엇이라고 생각하시나요?
기업의 개인정보 및 신용정보 유출 ex) 에퀴팩스 사태
한국을 겨냥한 북한의 사이버 공격 ex) 하나투어 등
가상(암호)화폐 탈취 위한 사이버 공격 ex) 거래소 해킹, 피싱 이메일 등
대규모 랜섬웨어 공격 ex) 워너크라이, 낫페트야
공공 클라우드 설정 오류 및 보안 미비로 인한 사고 ex) AWS, 구글 그룹스
사물인터넷 보안 미비로 인한 침해사고 ex) IP 카메라 해킹
기타(댓글로)