지속적인 모니터링(CM)은 자동화된 도구를 사용하여 조직의 네트워크, IT 시스템 및 보안 인프라를 지속적으로 확인하여 보안 위협, 성능 문제 또는 규정 미준수 문제를 실시간으로 탐지하는 것입니다.
목차
ConMon이라고도 하는 CM은 소프트웨어와 하드웨어 도구를 결합하여 조직의 네트워크, 애플리케이션 및 인프라에 대한 데이터의 실시간 수집, 분석 및 보고를 자동화합니다. 이 데이터는 IT 환경 성능 및 취약점에 대한 포괄적인 그림을 제공합니다.
지속적인 모니터링은 보안 운영(SecOps)이 다음을 수행할 수 있도록 지원하는 강력한 사이버 보안 플랫폼의 필수 요소입니다.
- 클라우드에 배포된 네트워크 및 애플리케이션을 포함한 IT 인프라의 전반적인 상태 확인
- 잠재적 보안 취약점 식별
- 사이버 위협을 실시간으로 탐지하고 신속하게 해결
- 위험 완화
- 기밀 데이터 보호
- 보안 복원력 향상
지속적인 모니터링 이해
분산 시스템 및 상시 접속 디지털 서비스의 사용과 함께 사이버 위협의 빈도와 복잡성이 증가하면서 조직은 데이터, 애플리케이션 및 인프라의 보안 상태를 지속적으로 확인할 수 있어야 합니다. 정기적 또는 배치 모니터링—예정된 점검이 설정된 간격으로 수행되는 경우—점검과 조직 사이에 문제가 감지되지 않을 수 있습니다. 따라서 보다 선제적인 보안이 필요합니다.
CM은 주요 보안 기능을 자동화하여 작동합니다. 제공하는 기능:
- 자동화된 데이터 수집: 시스템 로그, 네트워크 트래픽 및 애플리케이션과 같은 여러 소스에서.
- 자동화된 분석: 패턴, 이상 및 잠재적 보안 위협의 정확한 파악.
- 자동 보고: 시스템의 상태, 성능 및 보안 상태에 대한 명확한 그림 제시
- 자동 대응: 실시간 또는 근시의 의심스러운 활동에 대한 경고 및/또는 사전 정의된 조치 수행.
지속적인 모니터링의 유형
지속적인 모니터링을 위한 세 가지 핵심 구성 요소가 있습니다.
- 네트워크 모니터링. 여기에는 네트워크 트래픽 패턴, 인바운드 및 아웃바운드 트래픽 이메일 및 웹 트래픽, 대역폭 사용률, 지연 시간, 패킷 손실, 네트워크 장치 상태(라우터, 스위치, 방화벽) 및 프로토콜 수준 문제 검사가 포함됩니다. 목표는 데이터가 네트워크에서 적절하고 안전하게 이동하는지 확인하는 것입니다.
- 애플리케이션 모니터링. 이는 응답 시간, 시스템 가동 시간, 리소스 유틸리티, 가용성 및 오류율과 같은 데이터를 수집하여 소프트웨어 애플리케이션의 성능을 추적하는 것입니다.
- 시스템 모니터링. 여기서는 서버, 스토리지, 하드웨어 장치, 물리적 장치 및 컴퓨팅 리소스와 같은 IT 인프라에 중점을 둡니다.
일반적으로 지속적인 모니터링에 필요한 3가지 구성 요소로 인정되지만 많은 조직에서 규정 준수 모니터링도 포함하고 있습니다. 이는 규제 요건, 업계 표준 및 내부 정책에 대해 시스템, 프로세스 및 데이터 처리를 확인하여 조직이 규정 준수 요건을 충족하도록 하는 관행입니다.
취약점 스캐너, 보안 정보 및 이벤트 관리(SIEM) 시스템, 침입 탐지 시스템(IDS) 및 침입 방지 시스템(IPS)과 같은 여러 도구와 기술이 지속적인 모니터링에 사용됩니다. 가장 중요한 두 가지는 다음과 같습니다.
- 로그 관리 및 집계. 로그 데이터는 IT가 잠재적인 사이버 보안 위협을 포착할 수 있는 주요 정보 소스입니다. 따라서 사용자 활동, 애플리케이션 사용 및 시스템 성능을 포함한 다양한 소스에서 수집하는 것이 중요합니다. 그런 다음 분산된 시스템 전반의 다양한 로그 파일에서 이 데이터를 수집, 중앙 집중화 및 통합(집계)해야 합니다. 과거 시스템 로그는 성능, 보안 및 사용자 행동 벤치마크를 생성하는 데 유용하며, 이를 통해 IT 부서는 무차별 공격, 암호 스프레이, SQL 주입 또는 데이터 유출과 같은 이상을 쉽게 인식할 수 있습니다.
- 수동 모니터링. 테스트 트래픽이나 합성 트랜잭션을 추가하지 않고 기존 시스템 활동에서 데이터를 관찰하고 캡처합니다. 즉, 수동 모니터링은 실제 사용자 트래픽, 애플리케이션 로그, 네트워크 패킷 및 시스템 이벤트에 대한 '수신'에 관한 것입니다.
지속적인 모니터링의 이점
CM의 가장 큰 장점 중 하나는 조직의 보안 태세를 개선할 수 있는 능력이지만 그 이점은 여기서 멈추지 않습니다. 그 밖의 예는 다음과 같습니다.
- 가시성 및 투명성 향상. 전체 IT 환경에 대한 종합적인 실시간 뷰를 확보하면 조직이 광범위한 피해를 입히기 전에 보안 문제를 보고 대응할 수 있는 더 강력한 위치에 놓일 수 있습니다.
- 향상된 위협 탐지 및 사고 대응. 속도는 사이버 보안의 핵심입니다. 조직이 위협에 더 빨리 대처할수록 발생하는 피해는 줄어듭니다. 지속적인 모니터링을 통해 심각도에 따라 위협을 신속하게 평가하고 때로는 중단이 발생하기 전에 적절한 조치를 취할 수 있습니다. 대부분의 경우 자동화된 경보는 즉시 긴급한 문제를 해결할 수 있도록 적절한 IT 팀으로 전송됩니다. 이를 통해 가동 중단 시간을 최소화하고 MTTR(평균 해결 시간)을 단축하며 시스템과 애플리케이션을 신속하게 복원할 수 있습니다. CM을 통해 수집된 데이터를 통해 기업은 사이버 보안 전략에 대해 정보에 입각한 결정을 내리고 복원력을 강화하여 향후 문제 발생 가능성을 줄일 수 있습니다.
- 규정 준수 개선. HIPPA, 결제 카드 산업 데이터 보안 표준(PCI DSS) 또는 EU의 일반 데이터 보호 규정(GDPR)과 같은 규정을 준수해야 하는 기업의 경우 데이터 보호 및 개인 정보 보호를 보장하기 위한 수단으로 지속적인 모니터링이 필요한 경우가 많습니다. 다시 한 번 CM이 제공하는 향상된 가시성과 실시간 데이터를 통해 조직은 취약점을 발견하고 침해가 발생하기 전에 적절한 조치를 취할 수 있습니다.
- 운영 효율성 및 위험 관리 향상 위험 모니터링은 기업이 보안 위험을 보다 효율적으로 관리하여 가동 중단 시간과 서비스 중단을 줄이고 비용을 절감하는 데 도움이 됩니다. 또한 지속적인 모니터링은 조직의 비즈니스 및 운영 성과를 이해하고 최적화하는 데 사용할 수 있는 데이터를 제공합니다. 예를 들어, 사용자 행동을 추적하면 고객 경험을 최적화하여 고객 만족도와 충성도를 개선할 수 있습니다. 반면 애플리케이션 성능 문제를 감지하면 문제가 예기치 않은 가동 중단 시간과 수익 손실로 이어지기 전에 중단 문제를 해결할 수 있습니다.
지속적인 모니터링 구현
지속적인 모니터링을 성공적으로 구현하려면 조직이 취해야 할 특정 단계가 있습니다.
- 목표와 범위를 명확히 함. 모니터링할 시스템 및 데이터를 선택할 때 차별하는 것이 중요합니다. 항상 모든 것을 모니터링하는 것은 비싸고 불편합니다. 비즈니스마다 요구와 목표가 다릅니다. 모니터링 프로파일이 조직적, 기술적 및 예산적 제한에 부합하도록 이해관계자와 상의해야 합니다. 위험 평가는 사이버 공격의 위험 및 잠재적 영향에 따라 자산의 우선순위를 지정하는 좋은 아이디어입니다. 고위험 자산은 보다 엄격한 보안 통제가 필요한 반면, 저위험 자산은 전혀 필요하지 않을 수 있습니다.
- 기술 선택. 지속적인 모니터링을 지원하는 다양한 솔루션이 있습니다. 조직은 각 기술의 확장성, 유연성 및 비용 효율성을 고려해야 합니다.
- 정책 및 절차 모니터링. 보안 제어는 보안 위험으로부터 물리적 재산 및 컴퓨터 시스템을 보호하고 암호 및 기타 형태의 인증, 방화벽, 안티바이러스 소프트웨어, 침입 탐지 시스템(IDS) 및 암호화 조치를 포함합니다. 조직은 모니터링 책임자를 명확히 하고, 각 컨트롤에 소유자를 할당하고, 데이터 수집 표준을 만들고, 경고 및 보고서에 대한 규칙 및 임계값을 설정하고, 인시던트 관리 방법을 계획하고, 에스컬레이션 절차를 정의해야 합니다.
- 구성 및 통합. 선택한 기술은 소프트웨어 애플리케이션 및 SIEM 시스템을 포함한 나머지 IT 인프라와 호환되어야 합니다. 그런 다음 모든 시스템이 함께 잘 작동하도록 사용자 지정하고 구성해야 합니다.
- 검토. 용어에서 제안한 바와 같이, 지속적인 모니터링은 “설정되고 잊어버린” 활동이 아닙니다. 지속적인 분석은 조직의 사이버 보안 목표가 충족되고 있는지 여부를 결정하는 데 중요합니다. 특히 CM 전략은 변화하는 요구나 인프라 및 새로운 사이버 위협이나 잠재적 위험에 적응해야 합니다.
지속적인 모니터링의 과제
지속적인 모니터링의 이점은 중요하지만 어려움이 없는 것은 아닙니다. 가장 주목할 만한 점은 자금, 시간, 기술 및 직원에 대한 상당한 투자가 필요하다는 것입니다. 기술적인 차원에서 다음과 같은 문제가 발생할 수 있습니다.
- 데이터 과부하 및 경고 피로. CM은 방대한 양의 데이터를 생성하여 스토리지 요구와 워크로드를 증가시킵니다. 따라서 지속적인 모니터링을 설정할 때 우선순위가 높은 데이터와 시스템을 지정하는 것이 중요한 이유입니다.
- 피로를 경고합니다. IT는 경고의 수에 쉽게 압도될 수 있으며, 그 중 일부는 오탐 또는 저위험 문제일 수 있습니다. 여기에서 런북과 같은 자동화 도구를 경고와 통합하여 사람의 개입 없이 문제를 해결할 수 있습니다.
- 엔드포인트 활동 추적. 요즘에는 데스크톱 컴퓨터, 노트북, 태블릿, 프린터 및 스마트폰을 포함한 다양한 장치가 직원이 사용하고 있습니다. 즉, 완전한 가시성을 확보하려면 다양한 연속 모니터링 방법을 조합하여 사용해야 합니다.
- 개인정보 보호 및 데이터 보호 보장. 추적해야 할 데이터가 너무 많기 때문에 리소스를 효과적으로 사용할 수 있도록 자산을 낮은, 중간 또는 높은 중요도로 할당하는 우선 순위를 지정하는 것이 중요합니다.
- 통합. CM과 관련된 다양한 시스템, 애플리케이션, 데이터 소스 및 도구를 고려할 때 호환성 문제가 발생할 수 있습니다. 이는 조직 또는 인프라에 중대한 변화가 있을 때마다 새로운 도전 과제를 제시합니다. 모니터링이 도움이 되는지 아니면 방해가 되는지 확인하기 위해 모든 이해 관계자와 자주 상담하는 것이 중요한 이유입니다.
지속적인 모니터링에 대한 도움은 어디에서 얻을 수 있습니까?
Trend Vision One™은 사이버 위험 노출 관리, 보안 운영 및 강력한 계층 보호를 중앙 집중화하여 위협을 예측하고 방지하여 선제적 보안 결과를 가속화하는 유일한 엔터프라이즈 사이버 보안 플랫폼입니다. AI를 기반으로 최신 위협 인텔리전스를 갖춘 Trend Vision One™ Security Operations(SecOps)는 고객의 인프라에 대한 중요한 통찰력을 제공하여 귀사와 같은 조직이 단일 플랫폼을 통해 사이버 보안 위험을 제어하고 공격자를 더 빠르게 차단할 수 있도록 지원합니다.
관련 기사
Trend 2025 사이버 위험 보고서
이벤트에서 인사이트로: B2B 비즈니스 이메일 침해(BEC) 시나리오 압축 풀기
웹 셸 및 VPN 위협의 초기 단계 이해: MXDR 분석
Forrester Wave™: 엔터프라이즈 탐지 및 대응 플랫폼, 2024년 2Q2
EDR 솔루션의 수준을 높일 때입니다.
무음 위협: Red Team Tool EDRS엔드포인트 보안 솔루션 중단
FedRAMP로 연방 사이버 보안 전략 현대화
2025 Gartner® Magic Quadrant™ 엔드포인트 보호 플랫폼(EPP)
Forrester Wave™: 엔드포인트 보안, 2023년 Q4