All Work

다중 도메인 탐지 엔지니어링

WAF, IAM, 클라우드, HR 시스템, DLP, 엔드포인트 등 다양한 보안·업무 로그에 대해 도메인별 특성에 맞는 탐지 룰을 설계하고, 대시보드와 알림, AI 1차 판단까지 연결해 운영 가능한 탐지 자산으로 쌓아온 작업입니다.

Detection EngineeringMulti-domainAlert Quality
Role 탐지 로직 설계, 베이스라인 산정, 대시보드화, AI 보조 판단 연동
Scale / Signal WAF · IAM · Cloud · HR System · DLP · EDR 등
Outcome 하나의 로그 소스에 특화하지 않고, 도메인마다 다른 정상 기준과 위험 신호를 파악해 탐지 로직을 설계했습니다.
Theme Cross-domain Detection Engineering
Domains WAF · IAM · Cloud · HR System · DLP · EDR 등
Pattern 베이스라인, 이상행위, 권한 오남용, 자산 노출 탐지
Output 대시보드, 일일 알림, AI 정오탐 보조 판단
Case Blueprint

Cross-domain Detection Engineering

이 사례는 아래 순서로 보면 배경, 판단 기준, 산출물 흐름이 가장 자연스럽게 이어집니다.

01 로그마다 다른 정상 기준을 탐지 로직으로 번역 lead
02 탐지 룰 운영 보드 product-console
03 탐지 룰 설계 흐름 flow
04 도메인별 탐지 포인트 cards
05 탐지 룰을 유지할지 판단하는 기준 decision-matrix

로그마다 다른 정상 기준을 탐지 로직으로 번역

탐지 룰은 하나의 공식으로 모든 로그에 적용할 수 없습니다. WAF는 트래픽 급증 패턴이, IAM은 로그인 실패·성공의 조합이, 클라우드는 권한 있는 계정의 이상 행위가, HR 시스템은 접근 위치와 조회 대상의 관계가 각각 다른 신호입니다. 이 작업은 여러 보안·업무 도메인에서 무엇이 정상이고 무엇이 위험 신호인지 먼저 정의하고, 그 기준을 운영 가능한 탐지 룰과 대시보드로 번역한 사례입니다.

Coverage 다양한 로그 도메인

WAF, IAM, 클라우드, HR 시스템, DLP, EDR 등 여러 로그 영역에서 탐지 기준을 설계하고 운영했습니다.

탐지 룰 운영 보드

도메인별 로그 특성을 파악하고 베이스라인을 산정한 뒤, 탐지 알림과 대시보드, AI 1차 판단까지 이어지는 흐름으로 관리했습니다.

Domains 다양한 도메인
Mode 상시 + 일일
Assist AI 정오탐 보조
analysis run
WAF

도메인별 Block 급증, 다중 호스트 스캐닝을 트래픽 베이스라인 기준으로 탐지

웹 공격
IAM

Okta Brute Force 성공, Impossible Travel(불가능한 위치 이동)을 로그인 조합으로 탐지

계정
Cloud

GCP SCC 기준 서비스 계정 키 생성 이벤트를 권한 오남용 신호로 탐지

클라우드
HR System

Workday 해외 IP 접근, 비HR부서의 타인 급여·보상 열람을 이상행위로 탐지

HR
EDR

High 이상 탐지 이벤트에 AI 1차 정오탐 판단을 붙여 대응자 검토 부담을 줄임

엔드포인트
Engineering principle 도메인 특성 → 베이스라인 → 알림

탐지 로직을 일반화하기보다, 각 도메인이 가진 고유한 정상 패턴을 먼저 이해하고 그 위에 알림 기준을 세웠습니다.

탐지 룰 설계 흐름

01 Profile

도메인별 로그 필드, 정상 트래픽/행위 패턴, 기존 오탐 사례를 먼저 파악

02 Baseline

기간별 평균과 표준편차, 조합 조건(실패 후 성공 등)으로 이상 기준 산정

03 Rule

탐지 룰을 알림 조건, 제외 조건, 심각도로 구조화해 운영 가능한 형태로 작성

04 Dashboard

탐지 결과와 추세를 대시보드로 시각화해 운영자가 상시 확인 가능하게 구성

05 Assist

반복도가 높은 도메인은 AI 1차 판단을 붙여 검토 우선순위를 정리

도메인별 탐지 포인트

01 WAF

Cloudflare 도메인별 Block 급증을 7일 평균·표준편차 기준으로, 다중 호스트 스캐닝은 동일 공격원의 광범위 접근 패턴으로 식별합니다.

02 IAM (Okta)

Brute Force는 반복 실패 후 성공 조합으로, Impossible Travel은 짧은 시간 내 물리적으로 불가능한 위치 이동으로 판단합니다.

03 Cloud (GCP)

SCC 기준 서비스 계정 키 생성 이벤트를 권한 관리 관점의 이상 신호로 보고 생성 주체와 목적을 확인합니다.

04 HR System (Workday)

해외 IP 접근과 비HR부서 구성원의 타인 급여·보상 조회를 인사 데이터 오남용 신호로 탐지합니다.

05 DLP

파일 전송 이벤트에 AI 1차 필터링을 적용해 위험도가 높은 건만 사람 검토로 넘기는 필터를 구성했습니다.

06 Threat Intel

위협 인텔리전스 기반으로 관계 조직과 핵심 자산의 외부 노출 징후를 모니터링해 조기에 대응 가능하게 했습니다.

탐지 룰을 유지할지 판단하는 기준

탐지 룰은 만든 뒤에도 노이즈가 늘면 신뢰를 잃습니다. 실제 위험 설명력과 오탐률을 함께 보고 유지·조정·폐기를 판단했습니다.

Signal Strength 해당 로그 조합이 실제 위협/위반을 설명할 수 있는 정도
Noise Level 정상 업무 패턴에서 반복 발생하는 오탐 빈도
Keep as Alert

신호가 강하고 오탐이 적으면 실시간 알림으로 유지합니다.

Tune Baseline

신호는 있지만 특정 조직·시간대에서 오탐이 반복되면 베이스라인을 재산정합니다.

Downgrade to Dashboard

즉시 조치가 필요하진 않지만 추세 확인이 필요하면 대시보드 지표로 내립니다.

Retire

신호가 약하고 조치로 이어진 사례가 없으면 룰을 폐기하고 리소스를 재배치합니다.

탐지 엔지니어링에서 남긴 것

이 작업의 핵심은 특정 도구를 잘 다뤘다는 것이 아니라, WAF, IAM, HR 시스템 등 서로 다른 로그의 정상 기준을 이해하고 운영 가능한 탐지 자산으로 축적했다는 점입니다. 도메인이 늘어날 때마다 같은 설계 절차(Profile → Baseline → Rule → Dashboard → Assist)를 반복 적용할 수 있습니다.