기업 보안관제센터(SOC)에서 처리하는 보안 경보의 상당수가 실제 공격과 무관한 '인터넷 노이즈'로 나타나면서 보안 운영 방식 전환 필요성이 제기되고 있다.
글로벌 보안 데이터 기업 그레이노이즈는 이러한 문제 해결을 위해 '노이즈 감소 기반 위협 인텔리전스'를 앞세워 국내 시장 공략에 나섰다고 15일 밝혔다.
기존 보안 체계는 악성 IP나 공격 패턴 탐지에 초점을 맞춰왔다. 그러나 실제 운영 환경에서는 전 세계를 대상으로 한 무차별 스캐닝과 자동화된 봇 트래픽 등이 전체 경보 90% 이상 차지하면서 '경보 피로(Alert Fatigue)' 문제가 심각한 수준에 이르고 있다. 이에 따라 실제 위협보다 불필요한 이벤트 처리에 보안 분석가들이 시간을 소모하는 구조적 한계에 직면해 있다.
그레이노이즈는 대응 방안으로 '인터넷 배경 소음'을 별도로 정의하고 식별하는 접근 방식을 제시한다. 전 세계 구축된 허니팟 네트워크를 통해 수집한 데이터를 기반으로 특정 조직을 겨냥하지 않은 비표적 트래픽을 구분해 보안 담당자가 실제 공격 징후에 집중할 수 있도록 지원한다.
이 같은 방식은 보안 운영 효율성 개선으로 이어진다. 보안정보·이벤트 관리(SIEM), 네트워크 탐지·대응(NDR), 엔드포인트 탐지·대응(EDR) 환경에서 노이즈로 분류된 이벤트를 제외할 경우 분석 업무량을 최대 40%까지 줄일 수 있다. 정상 크롤러 트래픽을 공격으로 오인하는 오탐(False Positive) 문제도 완화할 수 있다. 서비스 장애 예방과 비즈니스 연속성 확보 측면에서도 의미가 크다는 평가다.
제로데이 취약점이 공개될 경우 인터넷 전반에서 발생하는 스캐닝 활동을 실시간으로 분석해 취약점 악용 확산 정도를 파악할 수 있다. 보안팀은 실제 위험도를 기반으로 패치 우선순위를 설정할 수 있어 대응 전략 수립에 도움을 받을 수 있다.
그레이노이즈는 글로벌 시장 성과로 미국 경제전문지 포춘 선정 1000대 기업 60% 이상과 전 세계 400여개 공공기관이 해당 솔루션을 도입해 보안 운영 효율을 개선했다고 설명했다. '불필요한 트래픽 제거'라는 새로운 가치를 제시했다는 점에서 차별화된 경쟁력을 확보했다는 평가다.
국내에서는 보안 전문 기업 나루데이타가 총판을 맡아 시장 확대에 나선다. 나루데이타는 기존 SIEM 및 SOAR 환경에 API 연동 방식으로 그레이노이즈 솔루션을 적용한다. 인력 부족과 업무 과부하 문제를 동시에 해결할 수 있는 현실적인 대안으로 제시되고 있다.
보안 업계는 향후 인공지능(AI) 기반 자동 대응 체계가 확산할수록 데이터 품질 중요성이 커질 것으로 보고 있다. '에이전틱 AI' 환경에서는 입력 데이터의 정확성이 보안 성능으로 직결되기 때문이다.
유동균 나루데이타 대표는 “이제 보안은 모든 위협을 탐지하는 것이 아니라, 의미 없는 데이터를 얼마나 효과적으로 제거하느냐의 문제로 변화하고 있다”며 “노이즈 제거 역량이 향후 보안 경쟁력을 좌우할 것”이라고 말했다.
조호현 기자 hohyun@etnews.com