1. Overview (프로젝트 배경)

국내 최대 글로벌 리테일 기업인 C사는 일일 약 20TB에 달하는 대규모 보안 로그를 수집하고 분석하는 환경을 운영 중이었습니다. 하지만 기존에 사용하던 SIEM 솔루션은 데이터 수집량(Ingestion)에 비례하여 라이선스 비용이 청구되는 구조였기 때문에, 비즈니스 성장에 따른 로그 증가가 곧 막대한 운영 비용 부담으로 이어졌습니다.

이에 C사는 비용 효율성을 확보하고, Snowflake와 연계하여 분석의 확장성을 극대화할 수 있는 Panther 기반의 차세대 SIEM(Next-Gen SIEM) 으로 마이그레이션을 결정했습니다. 메가존클라우드는 클라우드 네이티브 환경에 대한 깊은 이해를 바탕으로 안정적인 이전과 탐지 고도화를 목표로 본 프로젝트를 수행했습니다.

2. Challenges (문제 정의)

C사는 기존 환경에서 다음과 같은 두 가지 핵심적인 어려움을 겪고 있었습니다.

1. 지속적인 비용 증가 (High Cost): 데이터 수집량이 늘어날수록 기하급수적으로 증가하는 라이선스 비용 구조로 인해 보안 가시성을 위한 로그 확장이 제한적이었습니다.
2. 데이터 사일로(Data Silos) 및 분석 한계: 기존 SIEM, S3, 별도 보안 데이터레이크 등에 데이터가 파편화되어 있어 통합 분석이 어려웠고, 이로 인해 잠재적 보안 위협에 대한 대응이 지연되었습니다.

3. Solutions (해결 방안)

메가존클라우드는 클라우드 네이티브 보안 아키텍처를 도입하여 다음과 같은 해결책을 제시하고 실행했습니다.

• SaaS 기반 아키텍처 전환 (Panther & Snowflake):
  • 데이터를 실시간으로 Snowflake 데이터레이크로 수집하고, Panther를 통해 서버리스(Serverless) 환경에서 로그를 분석하도록 구성했습니다.
  • 이를 통해 스토리지와 컴퓨팅을 분리하여 비용 구조를 최적화했습니다.
• 탐지 룰(Detection Rule) 최적화 및 고도화:
  • 기존의 레거시 탐지 룰을 전사적으로 분석하여, 중복되거나 불필요한 리소스를 소모하는 룰을 통합 및 제거하고 약 700개의 최적화된 Python, SQL 기반 탐지 룰로 재개발했습니다.
  • 기존 쿼리 오류로 작동하지 않던 룰과 대시보드를 발견하여 수정하고, Detection-as-Code(코드로 관리되는 보안) 방식을 도입하여 룰 관리의 유연성을 확보했습니다.
• 고속 마이그레이션 전략 (Fast Tracking):
  • 가용 가능한 최대의 인원을 투입하여 데이터 수집과 시나리오 개발, 대시보드 구성을 병렬로 진행함으로써 짧은 기간 내에 안정적인 운영 전환을 이뤄냈습니다.

4. Results (성과)

이번 프로젝트를 통해 C사는 보안 운영 환경을 획기적으로 개선했습니다.

• 운영 비용 절감: 데이터 수집량 기반 과금에서 벗어나, 클라우드 리소스 사용량 기반의 과금 체계로 전환함으로써 SIEM 운영 비용을 대폭 절감했습니다.
• 탐지 속도 및 정확도 향상: 스트리밍 기반의 탐지 체계를 통해 로그 발생 후 검색 가능(Searchable) 시점까지의 지연 시간을 단축하여 실시간 위협 대응 능력을 확보했습니다.

운영 효율성 및 확장성 확보: 인프라 관리 부담이 없는 SaaS 환경을 구축하여 보안팀이 분석 업무에만 집중할 수 있게 되었으며, 클라우드 네이티브 오토스케일링을 통해 로그 폭증 시에도 중단 없는 운영이 가능해졌습니다.