Cross-domain Detection Engineering
이 사례는 아래 순서로 보면 배경, 판단 기준, 산출물 흐름이 가장 자연스럽게 이어집니다.
로그마다 다른 정상 기준을 탐지 로직으로 번역
탐지 룰은 하나의 공식으로 모든 로그에 적용할 수 없습니다. WAF는 트래픽 급증 패턴이, IAM은 로그인 실패·성공의 조합이, 클라우드는 권한 있는 계정의 이상 행위가, HR 시스템은 접근 위치와 조회 대상의 관계가 각각 다른 신호입니다. 이 작업은 여러 보안·업무 도메인에서 무엇이 정상이고 무엇이 위험 신호인지 먼저 정의하고, 그 기준을 운영 가능한 탐지 룰과 대시보드로 번역한 사례입니다.
WAF, IAM, 클라우드, HR 시스템, DLP, EDR 등 여러 로그 영역에서 탐지 기준을 설계하고 운영했습니다.
탐지 룰 운영 보드
도메인별 로그 특성을 파악하고 베이스라인을 산정한 뒤, 탐지 알림과 대시보드, AI 1차 판단까지 이어지는 흐름으로 관리했습니다.
도메인별 Block 급증, 다중 호스트 스캐닝을 트래픽 베이스라인 기준으로 탐지
웹 공격Okta Brute Force 성공, Impossible Travel(불가능한 위치 이동)을 로그인 조합으로 탐지
계정GCP SCC 기준 서비스 계정 키 생성 이벤트를 권한 오남용 신호로 탐지
클라우드Workday 해외 IP 접근, 비HR부서의 타인 급여·보상 열람을 이상행위로 탐지
HRHigh 이상 탐지 이벤트에 AI 1차 정오탐 판단을 붙여 대응자 검토 부담을 줄임
엔드포인트탐지 로직을 일반화하기보다, 각 도메인이 가진 고유한 정상 패턴을 먼저 이해하고 그 위에 알림 기준을 세웠습니다.
탐지 룰 설계 흐름
도메인별 로그 필드, 정상 트래픽/행위 패턴, 기존 오탐 사례를 먼저 파악
기간별 평균과 표준편차, 조합 조건(실패 후 성공 등)으로 이상 기준 산정
탐지 룰을 알림 조건, 제외 조건, 심각도로 구조화해 운영 가능한 형태로 작성
탐지 결과와 추세를 대시보드로 시각화해 운영자가 상시 확인 가능하게 구성
반복도가 높은 도메인은 AI 1차 판단을 붙여 검토 우선순위를 정리
도메인별 탐지 포인트
Cloudflare 도메인별 Block 급증을 7일 평균·표준편차 기준으로, 다중 호스트 스캐닝은 동일 공격원의 광범위 접근 패턴으로 식별합니다.
Brute Force는 반복 실패 후 성공 조합으로, Impossible Travel은 짧은 시간 내 물리적으로 불가능한 위치 이동으로 판단합니다.
SCC 기준 서비스 계정 키 생성 이벤트를 권한 관리 관점의 이상 신호로 보고 생성 주체와 목적을 확인합니다.
해외 IP 접근과 비HR부서 구성원의 타인 급여·보상 조회를 인사 데이터 오남용 신호로 탐지합니다.
파일 전송 이벤트에 AI 1차 필터링을 적용해 위험도가 높은 건만 사람 검토로 넘기는 필터를 구성했습니다.
위협 인텔리전스 기반으로 관계 조직과 핵심 자산의 외부 노출 징후를 모니터링해 조기에 대응 가능하게 했습니다.
탐지 룰을 유지할지 판단하는 기준
탐지 룰은 만든 뒤에도 노이즈가 늘면 신뢰를 잃습니다. 실제 위험 설명력과 오탐률을 함께 보고 유지·조정·폐기를 판단했습니다.
신호가 강하고 오탐이 적으면 실시간 알림으로 유지합니다.
신호는 있지만 특정 조직·시간대에서 오탐이 반복되면 베이스라인을 재산정합니다.
즉시 조치가 필요하진 않지만 추세 확인이 필요하면 대시보드 지표로 내립니다.
신호가 약하고 조치로 이어진 사례가 없으면 룰을 폐기하고 리소스를 재배치합니다.
이 작업의 핵심은 특정 도구를 잘 다뤘다는 것이 아니라, WAF, IAM, HR 시스템 등 서로 다른 로그의 정상 기준을 이해하고 운영 가능한 탐지 자산으로 축적했다는 점입니다. 도메인이 늘어날 때마다 같은 설계 절차(Profile → Baseline → Rule → Dashboard → Assist)를 반복 적용할 수 있습니다.