SOC 위협 분석가·관리 비용 늘어나지만 위협 탐지·대응 효과 높지 않아
[데이터넷] 보안운영센터(SOC) 관리 복잡성 증가로 ROI가 감소하고 있으며, 이를 개선하기 위해 XDR, 보안 자동화 등 새로운 SOC 툴 수요가 높아지고 있다.
파이어아이 후원으로 포네몬인스티튜트가 진행한 ‘보안운영센터(SOC) 운영: 효과적인 결과를 위한 실질적 비용’ 조사에 따르면 기업·기관은 보안 관리 복잡성이 증가하고, 애널리스트 급여와 보안 엔지니어링, 관리 아웃소싱 비용이 늘어나는 등 광범위한 SOC 문제를 해결하기 위해 더 많은 비용을 지불하고 있지만, 여전히 만족스러운 결과를 얻지 못하고 있다.
이 조사는 682명의 SOC 관리자, 보안 애널리스트, 보안 현업에 몸 담고 있는 일반인, SOC를 보유하고 있으며 조직 내 사이버 보안 실무에 대한 지식을 갖춘 IT 관리자 및 책임자를 대상으로 설문 조사를 실시해 분석한 것으로, 응답자들은 XDR, 보안 자동화 같은 새로운 SOC 툴에 대한 투자를 늘리고 있다고 답했다.
크리스 트리올로(Chris Triolo) 파이어아이 CS(Customer Success) 부사장은 “포네몬 보고서를 통해 조직이 보안운영 비용 상승으로 어려움을 겪고 있음을 알 수 있다. 그런데 투자비용을 늘림에도 불구하고 날로 증가하는 사이버 위협 대응 역량에 대해서는 여전히 불만족스러운 상황이다. 보안 팀은 이제 더 나은 효율성과 가시성을 제공하면서 발행되는 경보 처리에서의 오버로드를 줄이고 단순업무를 제거해 애널리스트의 효율을 높일 수 있는 새로운 기술을 모색하고 있다”고 전했다.
비용 증가로 보안운영센터 ROI 감소 느껴
조사에 참여한 응답자 절반 이상(51%)이 SOC에 대한 ROI가 감소하고 있다고 답했다. 2019년 44% 대비 7% 증가한 수치이다. 또한 이용 중인 SOC가 매우 복잡하다고 평가한 응답자가 80% 이상으로, 2019년 조사 응답 결과(74%)보다 증가했다.
보안 모니터링을 위해 보안 관제 서비스 제공사(MSSP)에 지불하는 비용도 증가하며 ROI에 영향을 미친 것으로 보인다. 조사에 참여한 조직들이 아웃소싱에 지불하는 비용은 연평균 530만7250달러로 집계돼 2019년 444만1500 달러보다 높았다. 이를 환산하면 연간 약 20%가 상승한 셈이다.
조사에 참여한 조직은 보안 엔지니어링에 연평균 271만6514달러를 지출하고 있었다. 그러나 응답자 중 오직 51%만 사용하고 있는 보안 엔지니어링이 효과적이거나 매우 효과적이라고 답했다.
급여 인상에도 SOC 근로자 만족도 낮아
보안 애널리스트 급여는 올랐지만 직원들의 동기부여와 사기를 높이는 데는 여전히 어려움이 있다. 트깋 보안 애널리스트, 긴 업무 시간과 까다로운 일에 어려움 느끼고 있는 것으로 나타났다. 조사 응답자 중 85%가 SOC에서 일하는 것이 힘들거나 또는 매우 힘들다고 답했다. 이는 2019년 72%에서 13% 증가한 수치이다. 업무량이 늘어나고 항시 대기해야 하는 점이 보안 애널리스트를 지치게 만들며, 이러한 요인이 번아웃을 유발한다고 응답한 비율도 2019년 70%에서 75%로 늘었다.
조사에 참여한 조직은 2021년 평균 5명의 애널리스트를 고용할 계획이며, 1년 내에 3명의 애널리스트가 퇴직 또는 해고될 것이라고 예상했다. 보안 애널리스트 급여는 2019년 평균 10만2000달러에서 2020년 평균 11만1000달러로 올라 조직이 예전보다 더 많은 비용을 지불하고 있지만, 적합한 인재를 고용할 수 있다고 믿는 응답자는 38%에 그쳤다.
새로운 기술에 대한 투자
조사에 따르면 새로운 XDR 및 보안 자동화 툴에 대한 투자가 증가하고 있다. 이는 보안 엔지니어링 비용을 절감하고 SOC 성능 및 직원의 사기를 높일 수 있다는 가능성을 보여준다.
조직은 XDR을 SOC 성능 개선을 위한 새로운 분야로 인식하고 이에 투자하고 있다. 조사에 참여한 조직은 평균적으로 XDR에 33만3150달러를, 보안 오케스트레이션, 자동화 및 대응(SOAR)에 34만5150달러를, 매니지드 위협 탐지 및 대응(MDR)에 28만 5150달러를, 보안정보이벤트관리(SIEM)에 18만3150달러를 예산을 편성했다.
보안 태세 유지의 핵심, SOC
ROI가 낮다고 인식함에도 불구하고, 응답자들은 강력한 보안 태세를 유지하기 위해 SOC가 매우 중요하다고 답했다. SOC는 ‘필수적이다’ 또는 ‘매우 중요하다’고 응답한 비율이 지난해 73%에서 올해 80%로 증가했다. 가장 중요한 SOC 활동으로는 오탐 리포팅 최소화(88%), 민첩한 DevOps 기능 확보(85%), 머신러닝 툴 자동화(80%) 등이 있었다.
