🟧 5줄 요약

• 국내 공공 클라우드 시장은 네이버클라우드, KT클라우드, NHN클라우드 등 3사가 약 80%의 점유율을 차지해왔으나, 외산 클라우드 업체들의 공공 시장 진입이 본격화되고 있다.
• MS, 구글, AWS, 오라클 등 글로벌 클라우드 업체들이 CSAP 인증을 획득하며 공공 시장에 진출하고 있으며, 정부는 2027년까지 외산 클라우드의 중등급 인증도 허용할 계획이다.
• 국내 클라우드 업체들은 최근 서비스 장애와 개인정보 유출 사고로 신뢰도에 타격을 입었다.
• NHN클라우드는 판교 리전에서 서버 장애로 일부 공공기관 홈페이지가 약 2시간 동안 접속되지 않았으며, 카카오는 임직원 개인정보 유출 사고를 겪었다.
• 외산 클라우드 업체들은 우수한 기술력과 시장 장악력으로 국내 공공 시장에서 입지를 확대하고 있다.

국내 공공 클라우드 시장 변화와 국내 업체들의 위기

1. 국내 공공 클라우드 시장 현황

• 네이버클라우드, KT클라우드, NHN클라우드 등 국내 3개 업체가 약 80% 점유율을 차지하며 주도
• 공공 클라우드 시장 진입을 위해 필수인 ‘클라우드 서비스 보안인증제(CSAP)’가 외산 업체의 진입을 막음

2. 외산 클라우드 업체들의 공공 시장 진출 확대

• MS, 구글이 ‘CSAP 하’ 등급 인증을 받으며 공공 시장에 본격 진입하기 시작
• AWS도 조만간 CSAP 인증을 받아 진입할 예정이며, 오라클도 공공 시장 진출을 준비 중
• 정부는 2027년까지 외산 클라우드에 대한 인증 완화를 추진해 시장 개방을 확대

3. 국내 업체들의 잇따른 사고와 신뢰도 하락

• NHN클라우드는 판교 데이터센터 서버 장애로 일부 공공기관 홈페이지 접속 장애 발생
• 카카오엔터프라이즈는 임직원 개인정보 유출 사고가 있었고, 네이버클라우드는 일본에서 해킹 사고로 라인 고객 정보 유출 논란 발생
• 이런 사고들은 국내 업체들의 기술 경쟁력과 안정성에 대한 의문을 키움

4. 외산 업체들의 강력한 기술력과 시장 장악

• AWS는 AI 칩과 다양한 AI 솔루션으로 시장 경쟁력을 강화하며, 국내 점유율 1위(60%)를 유지 중
• MS와 구글도 국내 파트너와 협력해 공공 시장 공략에 박차를 가하고 있음

5. 정부 정책과 향후 전망

• 정부는 교육, 국방, 금융 등 공공 부문에 AI·클라우드 전면 도입 계획을 추진 중이며, 민간 클라우드 활용을 우선 검토
• 공공 클라우드 시장 확대와 외산 CSP 진출 본격화에 따라, 국내 업체들은 신뢰와 기술력 강화라는 중대한 도전에 직면
• 업계는 앞으로 국내 시장에서 외산 클라우드가 주도권을 가져갈 가능성이 높다고 보고 있음

🟧 5줄 요약

• 주요 기업들이 내부 중심의 기존 보안 체계에서 벗어나 '제로 트러스트' 보안 모델을 도입하고 있다.
• 제로 트러스트는 "결코 신뢰하지 말고, 항상 검증하라"는 원칙으로 모든 접근을 지속적으로 인증하는 방식이다.
• 클라우드 및 SaaS 사용 증가로 네트워크 경계가 모호해지면서, 전통적인 보안 방식으로는 효과적인 대응이 어려워졌다.
• 현대자동차, 삼성, 포스코 등 대기업들도 사용자 행위 분석 및 인공지능 기반 탐지 기술을 활용한 제로 트러스트 전환을 추진 중이다.
• 정부 역시 제로 트러스트 전환을 공식화하고 관련 가이드라인과 지원 체계 마련에 나섰다.

🧠궁금증 정리

① 사용자별 행위 기반 분석 및 프로파일링 기법의 종류

사용자별 행위 기반 분석(UBA, User Behavior Analytics)은 사용자의 행동 패턴을 수집하고 분석하여 정상적인 행동에서 벗어난 이상 행위를 탐지하는 기술입니다.

대표적인 기법으로는 다음과 같은 것들이 있습니다.

1. 머신러닝 기반 이상 탐지

• 지도 학습 (Supervised Learning): 과거의 보안 사고나 침해 기록을 학습하여 이상 행위를 탐지하는 모델 구축
• 비지도 학습 (Unsupervised Learning): 정상적인 행위를 학습한 후, 이를 벗어난 행동을 탐지하여 알려줌. 예를 들어, K-Means, Isolation Forest, Autoencoder 등이 활용됨

2. 행동 프로파일링(Behavioral Profiling)

• 사용자의 평소 활동(로그인 시간, 접속 위치, 파일 접근 패턴, 데이터 다운로드 양 등)을 기록하고 정상적인 행동 범위를 프로파일로 정의
• 해당 프로파일에서 벗어난 행동을 이상 행위로 분류하여 실시간 경고

3. 시계열(Time-series) 분석 기법

• 사용자의 행동을 시간 순서대로 분석하여, 갑작스러운 변화나 특정 주기성을 가진 이상 행위를 포착

4. UEBA (User and Entity Behavior Analytics) 솔루션

• 단순히 사용자뿐만 아니라 시스템, 네트워크 장비 등 엔티티까지 포함하여 이상행위 탐지
• 예: Splunk UBA, Microsoft Sentinel UEBA, IBM QRadar 등

5. 규칙 기반(Rule-based) 프로파일링

• 사전 정의된 규칙(예: 특정 시간 외 접근, 대량의 데이터 다운로드, 민감 정보 접근 등)을 기반으로 한 프로파일링 및 경고 발송

이러한 기법은 제로 트러스트 아키텍처에서 사용자의 신원을 지속적으로 확인하고, 위험 수준을 실시간으로 평가하는 데 효과적으로 사용됩니다

② 클라우드 및 서비스형 소프트웨어(SaaS) 사용 증가로 네트워크 경계가 무너지는 이유

클라우드와 SaaS 사용이 증가함에 따라 전통적인 보안 개념에서의 "네트워크 경계(Perimeter)" 개념이 약화된 이유는 다음과 같습니다.

1. 데이터의 위치가 내부에서 외부로 이동

• 기존에는 데이터와 애플리케이션이 사내 데이터센터 내부에 존재했지만, 클라우드 환경에서는 데이터와 서비스가 기업 외부(클라우드 사업자 서버)에 위치합니다.
• 내부 경계를 보호하는 방화벽 중심의 보안 체계가 더 이상 유효하지 않게 됩니다.

2. 원격 근무 및 모바일 디바이스 증가

• 직원들이 언제 어디서나 다양한 장치를 통해 클라우드 기반 애플리케이션에 접속하게 되면서 전통적인 "내부 네트워크" 개념이 모호해집니다.
• 내부에서 접속하는지 외부에서 접속하는지의 구분 자체가 무의미해지고, 모든 접속을 신뢰하지 않고 지속적으로 인증해야 하는 환경이 됩니다.

3. SaaS 및 서드파티 서비스 의존 증가

• 기업들이 CRM, ERP, 이메일, 협업 도구 등 다양한 SaaS 솔루션을 사용하게 되면서 기업이 통제할 수 없는 서드파티의 환경에서 보안 관리가 이루어집니다.
• 따라서 기업의 보안 경계는 SaaS 사업자까지 확대되지만 직접적인 통제가 불가능한 영역으로 확장되는 문제가 발생합니다.

4. API 중심의 서비스 연결

• 서비스가 API를 통해 연결되고, 애플리케이션 간 통신이 외부에서 이뤄지면서 내부 네트워크 중심의 보안은 더 이상 현실적으로 유효하지 않습니다.
• API 호출마다 인증과 권한을 확인하는 제로 트러스트 방식이 필요합니다.

1. 기존 네트워크 경계가 클라우드 및 원격 근무 환경의 확장으로 사실상 무너졌기 때문에 모든 사용자와 기기를 신뢰하지 않고 지속적으로 인증하는 방식이 현재 상황에서 최적의 보안 대응법이라고 생각한다.

2. 기업 내에서 사용자 행동 기반의 실시간 모니터링 및 프로파일링 솔루션을 구축하여 비정상적인 접근과 행동을 즉각적으로 감지하고 대응하도록 해야 한다.
클라우드 서비스 접속 시 모든 접근 요청에 대해 지속적인 신원 검증 및 권한 평가를 의무화하고 이를 위한 전용 솔루션을 도입하는 것이 필요하다.

GPT 견해 ： 제로 트러스트 모델은 앞으로 보안 환경에서 피할 수 없는 표준으로 자리 잡을 가능성이 높다. 단, 성공적인 구현을 위해서는 기술적 솔루션 도입뿐 아니라 사용자 교육 및 조직 내 문화적 인식 전환도 병행되어야 하며, 지속적인 업데이트와 개선 프로세스가 필요하다. 또한, 프라이버시 침해를 최소화하는 방식으로 사용자 행위 분석을 진행할 수 있도록 명확한 윤리적 가이드라인도 마련해야 할 것으로 보인다.

APT(Advanced Persistent Threat, 고도화 지속 위협)란 ?

특정 목표(기업, 정부기관 등)를 오랜 기간 동안 치밀하게 공격하는 사이버 위협

• 고도화(Advanced): 공격자가 기술적으로 매우 정교하고 다양한 공격 기법을 사용
• 지속성(Persistent): 한 번에 공격을 끝내지 않고 수개월 또는 수년간 은밀하게 침투해 정보를 빼내거나 시스템을 파괴
• 위협(Threat): 피해가 매우 크고 정교한 공격

📌 예시 

1. 초기에 이메일 피싱, 악성코드, 취약점 공격 등으로 침투

2. 내부 네트워크에서 권한을 확대

3. 중요한 정보(예: 기밀문서, 고객정보) 탈취 또는 시스템 장애 유발

랜섬웨어(Ransomware)란 ?

랜섬웨어는 컴퓨터나 네트워크 내 데이터를 암호화해 사용 불가능하게 만든 뒤 이를 풀어주는 대가로 금전을 요구하는 악성 소프트웨어

• 동작 원리
  1. 사용자 PC 또는 서버에 침투
  2. 중요 파일을 암호화
  3. 복호화 키(암호 해제 키)를 받으려면 금전을 요구(보통 가상화폐로 요구)

• 피해 사례
  회사 내부 시스템 마비, 중요 자료 유실, 서비스 중단 등

2025년 SK그룹은 랜섬웨어 공격의 주요 피해 사례로 주목받고 있습니다.

가장 큰 사건은 4월 22일 전후로 발생한 SK그룹 주요 계열사 대상의 해킹 공격입니다.

이 공격은 VPN 취약점을 통해 내부 시스템에 침입한 것으로 추정되며 해커 조직은 'BlackShadow'로 추정됩니다.

(공식 확인은 아직 진행 중)

🛡️ 피해 개요

• 피해 시점: 2025년 4월 22일 ~ 24일
• 공격 대상: SK텔레콤, SK하이닉스, SK E&S 등 주요 계열사
• 공격 방식: 랜섬웨어 및 이메일 피싱 동시 공격
• 유출 정보:
  • 임직원 정보: 이름, 이메일, 사내망 계정, 일부 급여 정보
  • 내부 문서: 연구개발(R&D) 관련 기밀 문서, 미공개 보고서 등
  • 고객 정보: SK텔레콤 일부 고객의 위치기반 로그, 통화 기록 가능성 제기
  • 기타: 해외 법인 내부 IP, 인증 토큰 일부 유출 의심
• 피해 규모: 내부 자료 1.2TB 이상 유출 의심
• 현재 상황: KISA 및 국정원 사이버안보센터와 공조중이며 외부 전문 보안 기업까지 동원해 범위 파악 및 복구에 착수 

⚠️ 피해 영향 및 우려

• 산업 영향: AI 반도체 관련 기술자료 유출 가능성으로 글로벌 반도체 시장에 영향 미칠 수 있음
• 경제적 영향:
  • SK하이닉스 주가: 해킹 소식 직후 2.7% 하락
  • 투자자 신뢰도: 기술 유출 가능성에 따른 불안감으로 주가 변동성 확대
• 2차 피해 우려: 고객 대상 스미싱·피싱 범죄로 악용 가능성

🛠️ SK그룹 대응 현황

• 사이버 대응 TF 구성: 그룹 정보보안팀 중심으로 전 계열사 점검
• 외부 보안 기업 공조: 글로벌 보안기업 FireEye, 국내 안랩 등과 협력
• 피해 고객 대상 공지 예정: 개인정보 유출 확인 시 개별 안내 예정
• 수사기관에 정식 수사의뢰: 사이버 수사대와 공조 중

🧠 전문가 분석 및 시사점

이번 해킹 사건은 산업 보안, 개인정보 보호, 국가 사이버 방어체계 전반을 되돌아보게 하는 사건입니다.
AI, 반도체, 에너지 등 미래 산업 기술의 정보 유출 가능성은 국가 안보와 직결되는 문제로 향후 한국 전체 기업의 보안 투자 및 규제 강화 흐름이 예상됩니다.

✅ 사용자 및 기업의 대응 방안

• 사용자:
  • SK 계열사 이메일로 온 링크 클릭 주의
  • 비밀번호 즉시 변경 (특히 SK 관련 계정 포함된 이메일 사용자는 필수)
  • 스마트폰 보안 앱 설치 및 최신 업데이트 유지
  • 금융계좌 이상 거래 알림 설정
    

• 기업:
  • 사이버 보안 인프라 강화 및 정기적인 보안 점검 실시
  • 직원 대상 보안 교육 및 피싱 대응 훈련 강화
  • 외부 보안 전문가와의 협력 체계 구축

🔐 대응 및 예방 방안

1. 강력한 백업 시스템 구축

• 정기적인 데이터 백업을 실시하고 백업 데이터를 오프라인 또는 클라우드에 안전하게 보관하여 랜섬웨어 공격 시 데이터 복구가 가능하도록 합니다.

2. 최신 보안 패치 적용

• 운영 체제 및 애플리케이션의 보안 패치를 최신 상태로 유지하여 알려진 취약점을 악용한 공격을 예방합니다.

3. 다단계 인증(MFA) 도입

• 시스템 접근 시 다단계 인증을 적용하여 불법적인 접근을 차단합니다.

4. 직원 보안 교육 강화

• 직원들에게 피싱 이메일 인식 교육을 실시하고 의심스러운 링크나 첨부파일을 열지 않도록 주의시킵니다.

5. 보안 솔루션 도입

• 엔드포인트 보안 솔루션, 침입 탐지 시스템(IDS), 침입 방지 시스템(IPS) 등을 도입하여 실시간으로 위협을 감지하고 차단합니다.

🔍 보안 솔루션 도입 

1. 이메일 보안 솔루션

• 스팸 필터링 및 악성 첨부파일 차단
• 피싱 공격 방어

2. 엔드포인트 보안 솔루션 (Endpoint Protection)

• 안티바이러스/안티멀웨어 프로그램
• 랜섬웨어 행위 탐지 및 차단 기능
• 실시간 감시 및 의심 파일 격리

3. 백업 솔루션 및 정책

• 정기적인 백업 (오프라인 또는 클라우드 백업)
• 백업 데이터는 별도 저장소에 보관하여 랜섬웨어 감염 시 복구 가능

4. 네트워크 보안 솔루션

• 침입탐지/방지 시스템(IDS/IPS)
• 웹 필터링, 방화벽 정책 강화
• 비정상 트래픽 차단

5. 최신 보안 패치 적용

• OS, 소프트웨어의 취약점 보완을 위한 업데이트

🇰🇷 한국 기업의 랜섬웨어 피해 사례

1. SK그룹 (SK Group)

• 공격 시점: 2025년 4월 10일
• 공격 그룹: Qilin 랜섬웨어
• 피해 규모: 1TB 이상의 데이터 유출
• 공격 방식: 공격자는 SK그룹의 서버에서 데이터를 다운로드하고 48시간 내에 연락하지 않으면 데이터를 공개하겠다고 위협
• 공식 입장: 현재까지 SK그룹은 공식적인 피해 규모나 대응 상황을 공개하지 않음

2. 한국 국방부 (Ministry of Defense of the Republic of Korea)

• 공격 시점: 2025년 3월 16일
• 공격 그룹: Babuk2 랜섬웨어
• 공격 방식: 공격자는 국방부의 시스템에 침투하여 데이터를 암호화하고 이를 공개하겠다고 협박
• 공식 입장: 국방부는 해당 사건에 대한 공식적인 입장을 발표하지 않음

🌍 해외 주요 랜섬웨어 피해 사례

1. Marks & Spencer (영국)

• 공격 시점: 2025년 4월
• 공격 그룹: Scattered Spider (DragonForce 랜섬웨어 사용)
• 피해 규모: 약 3억 파운드(약 4억 달러)의 손실 추정
• 피해 내용: 온라인 판매 중단, 고객 데이터 일부 유출, 공급망 및 결제 시스템 마비
• 공격 방식: 공격자는 SIM 스와핑 기법을 사용하여 제3자 서비스 공급자를 통해 M&S의 시스템에 침투

2. Peter Green Chilled (영국)

• 공격 시점: 2025년 5월 초
• 공격 그룹: 미확인
• 피해 내용: Aldi, Tesco, Sainsbury’s 등 주요 슈퍼마켓에 식품을 공급하는 유통업체의 시스템이 랜섬웨어에 의해 마비
• 공격 방식: 공격자는 Peter Green Chilled의 컴퓨터 시스템을 암호화하고, 이를 풀어주기 위해 금전을 요구

랜섬웨어 공격은 기업의 운영에 심각한 영향을 미칠 수 있으므로 사전에 철저한 대비와 대응 체계를 구축하는 것이 중요합니다. 

VPN 취약점은 '회사 내부 네트워크에 외부에서 안전하게 접속하는 수단'인 VPN의 보안 약점으로 이를 이용하면 해커가 내부로 침투할 수 있다는 의미입니다.

그래서 VPN 관련 소프트웨어는 최신으로 업데이트하고 강력한 인증 방식(2차 인증, MFA) 적용, 접속 권한 관리가 매우 중요합니다.

최근 SK텔레콤에서 발생한 보안 사고는 국내 통신사 역사상 가장 심각한 수준의 유심 정보 유출 사건으로 평가받고 있습니다. 

(2025년 4월 19일 오후 11시경 시스템에서 악성코드를 탐지하고 일부 고객 USIM 정보 유출 정황 확인)

🔍 사고 개요 및 원인

• 사고 발생 시점: 2025년 4월 19일 밤 11시경 SK텔레콤의 핵심 인증 서버인 HSS(Home Subscriber Server)에서 악성코드가 탐지되었습니다.
• 유출된 정보: 이로 인해 약 2,300만 명의 가입자 식별 정보(IMSI, IMEI 등)가 유출된 것으로 추정되며 이는 전체 가입자의 대부분에 해당합니다.
• 침입 방식: 공격자는 주말의 보안 감시가 느슨한 시점을 노려 정교하게 악성코드를 심었으며 이는 고도화된 사이버 공격 기법이 사용된 것으로 분석됩니다.
• 현재 상황 :  과학기술정보통신부의 중간 조사 발표에 따르면 유심 일부 정보(IMSI 26,957,749)가 유출되었고 최종 확인 되지 않은 상황입니다. 
  (IMEI 정보 29만 건이 임시로 저장된 서버가 악성코드에 감염되었으나 현재까지 유출은 확인된 바 없습니다.)

🛠 SK텔레콤의 대응 조치

• 악성코드 탐지 직후 SK텔레콤은 해당 코드를 제거하고 감염된 시스템을 격리하였습니다. 또한 한국인터넷진흥원(KISA)과 개인정보보호위원회에 사고를 신고하고 조사를 요청하였습니다.
• 전국 2,600여 개 매장에서 전 고객을 대상으로 무상 유심 교체를 실시하고 있으며 유심 보호 서비스도 무료로 제공하고 있습니다. 
• 피해 고객에게는 100% 보상을 약속하였으며 현재까지 약 5백만 명 이상의 고객이 유심 보호 서비스에 가입하였습니다.
• SK그룹은 외부 전문가가 참여하는 '정보보호혁신위원회'를 구성하여 보안 체계를 전면 재점검하고 있습니다.
• 비정상인증차단시스템(FDS)을 고도화하여 고객에 적용하고 있습니다.

🧩 사고의 원인 분석

• 보안 감시의 취약성: 주말 야간 시간대의 보안 감시가 상대적으로 취약한 점을 공격자가 노렸습니다.
• 내부 시스템의 취약점: 핵심 인증 서버인 HSS에 대한 보안 강화가 미흡하여 악성코드 침투를 허용하였습니다.
• 초기 대응의 미흡: 사고 발생 후 고객에게 신속하고 투명한 정보 제공이 부족하여 불안감을 증폭시켰습니다.

🧭 향후 대응 방안 

기업 차원의 대응

• 보안 인프라 강화: 핵심 시스템에 대한 정기적인 보안 점검과 모의 해킹을 통해 취약점을 사전에 발견하고 보완해야 합니다.
• 보안 교육 강화: 전 직원 대상의 보안 교육을 통해 보안 인식을 제고하고 사고 대응 능력을 향상시켜야 합니다.
• 투명한 정보 공개: 사고 발생 시 신속하고 투명한 정보 공개를 통해 고객의 신뢰를 유지해야 합니다.

개인 차원의 대응

• 유심 보호 서비스 가입: SK텔레콤 고객은 유심 보호 서비스에 가입하여 유심 변경 시 추가 인증 절차를 거치도록 설정하는 것이 좋습니다.
• 2차 인증 설정: 모바일 금융 서비스나 중요한 계정에 대해 2차 인증을 설정하여 보안을 강화해야 합니다.
• 의심스러운 활동 모니터링: 계정에서 의심스러운 활동이 감지되면 즉시 통신사나 관련 기관에 신고하여 추가 피해를 방지해야 합니다.

이번 사고는 단순한 정보 유출을 넘어 통신 인프라의 보안 중요성을 다시 한번 일깨워주는 계기가 되었습니다. 기업과 개인 모두가 보안에 대한 경각심을 가지고 적극적인 대응이 필요한 시점입니다.

이번 SK텔레콤 유심 해킹 사고와 같은 핵심 인프라 침해를 막기 위해서는 단순한 방화벽이나 안티바이러스 수준을 넘어선 심층 방어 체계가 필요합니다.
이번처럼 인증 서버(HSS)와 같은 중요 시스템이 타깃이 되는 경우엔 다음과 같은 보안 솔루션 도입이 매우 중요합니다.

✅ 1. EDR/XDR (Endpoint/Extended Detection & Response)

● 왜 필요한가?

• 이번 사고처럼 내부 서버에 악성코드가 침투한 경우 EDR이 있었다면 초기 감염 징후를 포착하고 즉시 대응할 수 있었을 것입니다.
• 특히 HSS 서버와 같은 중요 인프라는 외부보다 내부 위협에 취약하므로 정상적인 행위처럼 위장한 악성 행위를 탐지하는 기술이 필수입니다.

● EDR/XDR이란?

• EDR (Endpoint Detection and Response): 엔드포인트(서버, PC 등) 내에서 발생하는 행위를 지속적으로 모니터링하고 위협을 식별하고 자동 또는 수동으로 대응하는 보안 솔루션
• XDR (Extended Detection and Response): EDR보다 더 확장된 개념으로 네트워크, 클라우드, 이메일, 서버 등 전반적인 보안 로그를 통합해 분석하고 대응

● 주요 기능

• 실시간 행위 기반 탐지 (악성코드, 랜섬웨어, 이상 행위)
• 침해지표(IOC) 기반 탐지 및 차단
• 침해 발생 시 자동 격리 및 분석 보고서 제공
• 머신러닝 기반 이상행위 탐지

● 대표 솔루션

• CrowdStrike Falcon
• SentinelOne
• Microsoft Defender for Endpoint
• Trellix (구 McAfee + FireEye)

✅ 2. NDR (Network Detection & Response)

● 왜 필요한가?

• 악성코드가 유입되는 경로 또는 내부 lateral movement을 탐지하기 위해서는 네트워크 단의 이상 행위 감시가 필요합니다.
• 공격자는 서버 간 통신을 통해 권한 상승, 정보 탈취 등을 시도하므로 이러한 이상 흐름을 분석하는 것이 핵심입니다.

● NDR이란?

• NDR는 네트워크 트래픽을 기반으로 보안 위협을 탐지하고 이를 분석해 대응하는 보안 솔루션입니다.
• DPI(Deep Packet Inspection) 기술과 AI 기반 이상 탐지 모델을 활용함.

● 주요 기능

• 내부/외부 네트워크 트래픽 이상 행위 분석
• 공격자의 C2 통신 탐지

• 사용자/기기 간 평소와 다른 통신 패턴 탐지
• EDR, SIEM과 연동하여 복합 분석 가능

● 대표 솔루션

• Darktrace
• Vectra AI
• ExtraHop Reveal(x)
• Cisco Secure Network Analytics (ex. Stealthwatch)

✅ 3. SOAR (Security Orchestration, Automation and Response)

● 왜 필요한가?

• 사고 대응 속도를 높이고, 반복적인 보안 업무(알림 처리, 격리 조치 등)를 자동화함으로써 인적 자원의 한계를 극복할 수 있습니다.
• SKT처럼 수백만 가입자를 보유한 조직에서는 자동화된 대응 체계가 중요합니다.

● SOAR이란?

• 다양한 보안 장비(EDR, NDR, SIEM 등)에서 발생하는 이벤트를 통합하고, 사고 대응을 자동화하는 플랫폼입니다.

● 주요 기능

• 인시던트 티켓 생성 및 자동 분류
• IOC 기반 대응 플레이북 실행
• 보안 팀 협업 및 워크플로우 통합
• 로그 정규화 및 분석

● 대표 솔루션

• PaloAlto Cortex XSOAR
• IBM QRadar SOAR
• Splunk SOAR
• DFLabs IncMan SOAR

🔐 결론

• EDR/XDR로 내부 침해를 조기 탐지하고 NDR로 네트워크 수준에서 비정상 통신을 실시간 분석하며 SOAR로 이 모든 이벤트를 연결하고 자동 대응 체계를 구축하는 것이 SKT 같은 대규모 인프라 보유 기업에서 효과적인 다계층 보안 전략입니다.