보안 솔루션은 실제 보안 운영(Security Operations) 환경에서 탐지(Detection), 분석(Analysis), 대응(Response), 복구(Recovery)로 이어지는 일련의 프로세스 내에서 유기적으로 동작한다. 특히 AI를 포함한 기술의 발달로 인해 각 보안 솔루션의 포지션이 겹치는 부분도 많다는 것을 느꼈다.
따라서 개별 개념을 분리해서 이해하기보다, 공격자 행동(Adversary Behavior)을 중심으로 한 운영 관점에서 재해석하는 것이 필요하다.

본 글에서는 주요 보안 용어들을 보안 아키텍처 및 DFIR 관점에서의 역할 기반으로 재정리한다.

1. Detection Surface 확장: EDR에서 XDR로

현대 공격은 단일 지점이 아니라 다계층(Multi-layer) 환경에서 발생한다. 이에 따라 탐지 역시 단일 엔드포인트를 넘어 확장되고 있다.

EDR(Endpoint Detection and Response)은 엔드포인트에서 발생하는 프로세스 실행, 파일 접근, 레지스트리 변경 등의 이벤트를 수집하고, 이를 기반으로 위협을 탐지한다. 이는 기존 시그니처 기반 안티바이러스의 한계를 보완하며, 행위 기반 탐지를 핵심으로 한다.

그러나 실제 공격은 엔드포인트 단일 이벤트로는 충분히 설명되지 않는다. 예를 들어, 피싱 이메일 → 사용자 인증 탈취 → 클라우드 API 호출 → 데이터 유출과 같은 시나리오는 다양한 계층을 포함한다.

이러한 한계를 해결하기 위해 등장한 것이 XDR(eXtended Detection and Response)이다. XDR은 엔드포인트, 네트워크, 이메일, 클라우드 로그를 통합하여 Cross-domain 상관 분석(Correlation Analysis)을 수행한다.
이는 단일 이벤트 탐지가 아니라, 공격 체인의 재구성을 목표로 한다.

2. Log-Centric Security: SIEM과 SOAR의 역할 분리

보안 운영의 핵심은 로그 기반 분석이다.

SIEM(Security Information and Event Management)은 다양한 소스(서버, 네트워크, 애플리케이션, 클라우드)로부터 로그를 수집하고 정규화(Normalization)한 뒤, 룰 기반 또는 통계 기반 분석을 통해 이상 징후를 탐지한다.
이는 본질적으로 Detection Engine에 해당한다.

하지만 SIEM은 탐지 결과를 생성할 뿐, 실제 대응까지 자동으로 수행하지는 않는다. 이 지점을 보완하는 것이 SOAR(Security Orchestration, Automation and Response)다.

SOAR는 다음과 같은 기능을 수행한다:

  • 플레이북 기반 자동 대응
  • 보안 도구 간 오케스트레이션
  • 반복 작업 자동화

즉,

  • SIEM = 이벤트 수집 및 탐지
  • SOAR = 대응 프로세스 자동화 및 실행
    이라는 명확한 역할 분리가 존재한다.

3. Network Control Plane: IDS, IPS, Firewall, WAF

네트워크 계층은 공격자가 반드시 통과해야 하는 경로이며, 동시에 가장 넓은 공격 표면을 가진다.

IDS(Intrusion Detection System)는 네트워크 트래픽을 분석하여 공격 시그니처 또는 이상 패턴을 탐지한다. 이는 Out-of-band 방식의 Passive Detection으로 동작하며, 탐지 결과를 알림 형태로 제공한다.

IPS(Intrusion Prevention System)는 IDS와 달리 Inline으로 동작하며, 탐지된 위협에 대해 실시간 차단(Active Blocking)을 수행한다. 이는 정책 기반 또는 시그니처 기반으로 동작한다.

Firewall은 네트워크 레벨에서 트래픽을 제어하는 기본적인 보안 장치로, 3~4계층(L3/L4)에서 동작한다. 반면 WAF(Web Application Firewall)는 7계층(L7)에서 HTTP/HTTPS 트래픽을 분석하며, 애플리케이션 레벨 공격(SQLi, XSS 등)을 방어한다.

이 네 가지는 다음과 같이 계층적으로 이해할 수 있다:

  • Firewall: 네트워크 접근 제어 (L3/L4)
  • IDS: 위협 탐지 (Passive)
  • IPS: 위협 차단 (Active)
  • WAF: 애플리케이션 공격 방어 (L7)

4. Detection Paradigm: IOC vs IOA

위협 탐지 방식은 크게 두 가지 패러다임으로 구분된다.

IOC(Indicators of Compromise)는 침해 이후 생성된 아티팩트 기반 탐지다. 파일 해시, 악성 IP, 특정 도메인 등이 대표적인 예이며, 이는 Signature-based Detection에 해당한다. 정확도는 높지만, 알려진 공격에만 대응 가능하다.

반면 IOA(Indicators of Attack)는 공격자의 행위 자체를 탐지 대상으로 삼는다. 예를 들어 비정상적인 권한 상승, 의심스러운 프로세스 체인, 비정상 API 호출 등이 이에 해당한다.

이는 MITRE ATT&CK의 TTP 기반 탐지와 연결되며, Unknown Threat Detection에 강점을 가진다. 다만 오탐(False Positive)이 증가할 수 있다는 trade-off가 존재한다.

5. Threat Intelligence: CTI와 TTPs

CTI(Cyber Threat Intelligence)는 단순한 보안 데이터가 아니라, 의사결정을 지원하는 분석된 정보(Intelligence)다.

CTI는 일반적으로 다음 4단계로 구분된다:

  • Strategic: 경영/정책 수준
  • Tactical: 공격 패턴 분석
  • Operational: 공격 캠페인 정보
  • Technical: IOC, IP, Hash 등

이 중 핵심이 되는 개념이 TTPs(Tactics, Techniques, Procedures)다.
TTP는 공격자의 행동 패턴을 구조화한 것으로, 단순 IOC보다 훨씬 높은 재사용성과 탐지 효율을 가진다.

6. Adversary Modeling: Kill Chain vs MITRE ATT&CK

공격을 이해하기 위한 대표적인 프레임워크로 Kill Chain과 MITRE ATT&CK이 있다.

Kill Chain은 공격을 단계별로 모델링한 개념으로, 각 단계에서 방어 포인트를 정의하는 데 목적이 있다. 하지만 각 단계에서 사용되는 구체적인 기술까지는 설명하지 못한다.

이러한 한계를 보완하는 것이 MITRE의 ATT&CK 프레임워크다.
MITRE ATT&CK은 실제 공격 데이터를 기반으로 공격자의 전술(Tactics)과 기술(Techniques)을 매핑한 지식 베이스로, 보안 탐지 룰 설계 및 위협 헌팅(Threat Hunting)에 활용된다.

7. Vulnerability Management: CVE와 CVSS

취약점 관리 프로세스에서 가장 기본이 되는 개념이 CVE와 CVSS다.

CVE(Common Vulnerabilities and Exposures)는 취약점에 대한 표준 식별자(ID)를 제공하며, 전 세계적으로 동일한 취약점을 식별하는 기준이 된다.

CVSS(Common Vulnerability Scoring System)는 해당 취약점의 위험도를 수치화한다. Base Score, Temporal Score, Environmental Score로 구성되며, 이를 기반으로 패치 우선순위를 결정한다.

8. Incident Response Domain: APT, DFIR, C2

APT(Advanced Persistent Threat)는 특정 조직을 대상으로 장기간 지속되는 공격으로, 일반적으로 다음과 같은 특징을 가진다:

  • Targeted 공격
  • 장기 잠복
  • 데이터 탈취 목적

이러한 공격에 대응하는 영역이 DFIR(Digital Forensics and Incident Response)이다. DFIR은 단순 탐지를 넘어, 공격의 전체 흐름을 재구성하고 증거를 확보하며 재발 방지까지 포함하는 프로세스다.

공격 과정에서 핵심적인 인프라가 C2(Command and Control) 서버다. 이는 공격자가 감염된 시스템을 원격으로 제어하기 위한 채널이며, 네트워크 기반 탐지의 주요 포인트가 된다.

9. Security Paradigm Shift: Zero Trust

기존 보안 모델은 네트워크 경계를 기반으로 한 “신뢰 기반 모델(Trust-based Model)”이었다. 하지만 클라우드와 원격 환경의 확산으로 이 경계는 사실상 무의미해졌다.

Zero Trust는 “모든 것을 신뢰하지 않는다(Never Trust, Always Verify)”는 원칙을 기반으로 한다.
이는 다음과 같은 핵심 요소로 구성된다:

  • 지속적 인증 (Continuous Authentication)
  • 최소 권한 (Least Privilege)
  • 마이크로 세그멘테이션 (Micro-segmentation)

즉, Zero Trust는 특정 솔루션이 아니라 보안 아키텍처 설계 원칙이다.

정리

  1. 데이터 수집: EDR, Network Logs, Cloud Logs
  2. 탐지: SIEM, IDS, IOA 기반 분석
  3. 분석: CTI, MITRE ATT&CK, Threat Hunting
  4. 대응: SOAR, IPS, 자동화 시스템
  5. 사후 대응: DFIR, 포렌식 분석