수동 사이버 작전이 위험한 격차를 초래할 수 있는 이유
귀하의 SOC에 숨겨진 위기
월요일 아침마다 위협 헌터는 지난주에 실행한 것과 동일한 쿼리를 실행합니다. 월요일의 로그를 금요일까지 분석했습니다. 한편, 화요일에 귀하의 네트워크를 침입했을 수 있는 공격자들은 이미 임무를 완수한 상태입니다.
위협은 주당 180시간 동안 작동하지만, 팀은 40시간만 커버하여 발생하는 이러한 격차는 종종 오늘날 엔터프라이즈 보안에서 가장 큰 취약점으로 꼽힙니다.
수작업에 대한 냉혹한 수치
Recorded Future가 1,900개 이상의 기업을 분석한 결과를 살펴보세요.
팀은 매주 평균 16.3시간을 위협 분석 및 헌팅에 소비합니다. 이는 자동화되어야 하는 반복적인 작업에 소요되는 시간의 40%에 해당합니다. 복잡한 규제 요건을 관리하는 금융 서비스 회사의 경우, 이는 연간 수백만 달러의 생산성 손실로 이어집니다.
의료 기관들은 더 암울한 현실에 직면해 있습니다. 랜섬웨어 공격이 기하급수적으로 증가함에 따라(출처: Gartner ThreatScape 2025), 수동 프로세스로 인해 중요한 환자 시스템가 며칠 동안 노출될 수 있습니다. 그 결과, 최근 UnitedHealth(1억 9,270만 건의 기록)와 MediSecure(1,300만 건의 기록)에 대한 공격에서 볼 수 있듯이 수백만 명의 환자에게 영향을 미치는 의료 분야 침해 사고가 발생했습니다.
정부 기관은 상관관계 과부하로 인해 어려움을 겪고 있습니다. SOC는 15~20개의 인텔리전스 피드를 관리하기 때문에 각각의 상관관계를 파악하는 데 몇 시간이 걸릴 수 있습니다. 최근 수십 개 국가에 영향을 미친 중국의 통신사 해킹 캠페인에서 알 수 있듯이, 국가 공격자들이 기계를 통한 빠른 속도로 활동할 때, 수동적인 상관관계 파악은 국가 안보에 대한 부담이 될 수 있습니다.
기존 접근 방식이 확장될 수 없는 이유
위협 환경이 근본적으로 변화했습니다:
- 공격 속도: 위협은 이제 평균적으로 48시간 이내에 초기 침해에서 데이터 유출로 진행
- 위협 규모: 매일 1백만 개 이상의 새로운 멀웨어 샘플(Recorded Future Intelligence Cloud)
- 탐지 격차: 매주 1-2회의 수동 헌팅을 수행하면 165시간의 공백이 발생할 수 있음
고객 데이터에 따르면 조직은 수작업으로 평균 22%의 커버리지(40시간 커버/총 180시간)만 달성합니다. 이로 인한 모든 공백은 공격자에게 기회를 제공합니다.
'충분히 괜찮음(Good Enough)'의 숨겨진 비용
이사회가 위협 헌팅 기능에 대해 질문할 때, 냉정한 이야기를 전하는 실제 수치:
인텔리전스 ROI를 계속 측정할 수 없습니다. 자동화된 추적이 없으면 조직은 사이버 보안 투자에서 가치를 입증하는 데 어려움을 겪습니다. Recorded Future의 고객들은 자동화가 도입되기 전에는 인텔리전스 피드를 통해 예방된 침해를 단 한 건도 찾아내지 못했다고 보고했습니다.
인재 낭비가 만연하게 발생합니다. 선임 분석가가 주니어 분석가가 처리할 수 있는 업무로 인해 업무 시간의 28%를 소비하는 것은 엄청난 비효율성을 나타냅니다(Recorded Future 고객 설문조사, 2024년 7월).
준수는 유명무실해집니다. 의료 기관은 규정 준수 및 기타 목적을 위해 지속적인 모니터링을 수행해야 합니다. 하지만 수동 헌팅을 간헐적으로 진행하면 보안이 '연속적'이라는 위험한 착각을 할 수 있습니다.
이미 진행 중인 패러다임 전환
가장 정교한 조직들은 이미 인텔리전스를 활용하여 사이버 운영 워크플로를 자동화하기 위한 방안을 모색하고 조치를 취하고 있습니다.
170개의 자회사를 거느린 유럽 대기업, Visma는 자동화된 상관관계를 배포하여 운영을 혁신했습니다. 이는 수작업으로 진행했다면 수백 명의 분석가가 추가로 필요했을 작업이었습니다.
대규모 금융 기관인 Citizens Bank는 헌팅 패키지를 사용하여 위협 행위자의 끊임없이 변화하는 전술, 기법, 절차(TTP)를 파악하고 격차를 식별 및 개선합니다.
Recorded Future를 사용하는 모든 업계의 고객들이 3배 더 빠른 위협 탐지 및 65% 더 빠른 새로운 위협 식별을 보고했습니다.
인간 의존에서 기계 지원으로
이러한 조직은 앞으로 중요한 것이 더 많은 분석가를 고용하거나 더 많은 도구를 구입하는 것이 아니라는 것을 이해하고 있습니다. 앞으로 중요한 건 위협 운영의 작동 방식을 근본적으로 변화시키는 것입니다.
자율적 위협 운영이 제공할 수 있는 이점:
- 지속적인 커버리지: 365일/7일/24시간 공백 없는 헌팅
- 즉각적인 상관관계: 몇 시간이 아닌 몇 초 만에 처리되는 인텔리전스
- 측정 가능한 영향: 분석가 1인당 연간 572시간 절약 가능(1.3 FTE 상당)
이는 인간의 전문성을 대체하는 것이 아니라 강화하는 것입니다. 기계가 반복적인 작업을 처리하면 분석가들은 전략적 의사 결정에 집중할 수 있습니다. 자동화가 공백을 제거하면 방어자는 진정한 지속적 커버리지를 달성할 수 있습니다.
선택은 명확합니다
Recorded Future를 사용하는 조직 보고서:
- 전체 사이버 위험에서 57%의 현저한 감소
- 73% 위협 가시성 증가
- 인텔리전스 투자에 대한 350% ROI
한편, 수동 프로세스에 집착하는 기업들은 격차가 확대되고 복잡성이 증가하며, 잠들지 않는 위협 행위자와 마주하게 됩니다.
문제는 위협 운영을 자동화할지 여부가 아니라, 위협 운영을 다음 보안 침해가 발생하기 전에 할지, 발생한 후에 할지입니다.
위협 행위자는 이미 자신들의 공격을 자동화했습니다. 이제는 귀하의 방어를 자동화할 때가 아닐까요?