Exposure Management로 정교해지는 SOC의 판단 기준

PAGO Gartner Security Risk Management Summit 현장 리포트

PAGO는 National Harbor, MD에서 개최되고 있는 2026 Gartner SRM Summit을 참관하고, 현장에서 논의되는 핵심 보안 세션을 리포트로 연재하고 있습니다. 이번 글에서는 Pete Shoard가 발표한 「Breaking Boundaries: Uniting Exposure Management and Threat Detection and Incident Response」 세션을 중심으로, SOC(보안 운영 센터)에 쌓이는 탐지 알림이 실제 대응으로 이어지기 위해 왜 Exposure Management(노출 관리)가 필요한지 살펴봅니다. 나아가 위협 탐지, 조사 및 대응(TDIR)과 Exposure Management가 어떻게 연결되어야 하는지, 그리고 이 연결이 단순한 데이터 통합을 넘어 보안 운영의 판단 기준을 어떻게 바꿀 수 있는지 다룹니다.

따로 있을 때는 보이지 않던 가치가, 함께 놓였을 때 드러나는 경우가 있습니다. Pete Shoard는 땅콩버터와 잼 샌드위치 비유로 Exposure Management와 TDIR(Threat Detection, Investigation and Response, 위협 탐지, 조사 및 대응)의 관계를 설명했습니다. 핵심은 두 영역을 단순히 하나로 묶자는 것이 아니었습니다.

TDIR은 위협 신호를 탐지하고 조사하며 대응으로 이어가는 중요한 보안 운영 활동입니다. 여기에 알림이 발생한 자산의 노출 상태, 공격 경로, 취약점, 설정, 접근 권한이 함께 연결될 때 보안 조직은 무엇을 먼저 조사하고 조치해야 하는가를 더 정교하게 판단할 수 있습니다.

수많은 알림 속 무엇을 먼저 볼 것인가

TDIR은 보안 운영에서 가장 중요한 활동이라고 표현해도 무방합니다. 보안 조직은 SIEM(Security Information and Event Management), XDR(Extended Detection and Response), SOAR(Security Orchestration, Automation and Response)와 같은 기술을 통해 로그 수집, 상관분석, 조사, 자동화 역량을 발전시켜 왔고, 위협 인텔리전스(Threat Intelligence)와 AI 기능도 탐지와 조사 과정에 통합하고 있습니다.

하지만 Pete Shoard가 짚은 문제는 탐지되는 정보가 적다는 점이 아니었습니다. SOC에는 이미 수많은 알림, 이벤트, 로그, 위협 정보가 축적되어 있습니다. TDIR은 이러한 정보를 바탕으로 실제 위협 신호를 포착하고, 조사와 대응으로 이어가는 중요한 보안 운영 활동입니다.

다만 그 정보만으로는 조치 우선순위 판단까지 이어지기 어려운 경우가 있습니다. 탐지 알림이 발생했을 때 SOC가 알아야 하는 것은 단순히 이벤트의 악성 여부가 아니라, 그 이벤트가 어떤 자산에서 발생했고, 어떤 공격 경로와 노출 상태에 연결되어 있는가입니다.

탐지와 노출이 연결될 때 실제 위험이 보인다

Pete Shoard는 탐지 알림을 실제 대응으로 연결하려면 해당 알림이 발생한 자산의 중요도, 노출 상태, 공격 경로가 함께 고려되어야 한다고 설명했습니다. Exposure Management는 조직의 공격 표면, 취약점, 설정, 자산, 공격 경로를 확인하고, 발견된 노출이 실제 위험으로 이어질 수 있는지 판단하도록 돕는 접근입니다.

이 관점은 기존 취약점 관리와 다릅니다. 중요한 것은 취약점을 더 많이 찾는 것이 아니라, 발견된 노출이 실제 공격 경로로 이어질 수 있는지, 어떤 자산과 업무에 영향을 줄 수 있는지, 어떤 조치가 위험을 줄이는 데 효과적인지를 판단하는 것입니다.

Exposure Management가 제공하는 공격 표면과 노출 정보는 중요한 판단 기준이지만, 실제 운영 우선순위를 정하려면 SOC에서 발생하는 탐지 알림, 공격 시도, 탐지 룰, 사고 대응 데이터와 함께 활용되어야 합니다.

TDIR과 Exposure Management는 서로 다른 영역에서 보안 운영에 필요한 판단 근거를 제공합니다. TDIR은 알림과 이벤트를 통해 실제 위협 신호를 포착하고, Exposure Management는 탐지 알림이 발생한 자산의 노출 상태와 공격 경로를 보여줍니다. 두 정보가 함께 활용될 때 보안 조직은 탐지된 알림의 우선순위를 더 정확히 판단할 수 있습니다.

서로 다른 인사이트가 연결될 때 판단은 선명해진다

TDIR과 Exposure Management가 각각 제공하는 판단 근거를 함께 활용해야 하는 이유는 공격자가 보안 조직이 나눠 놓은 도구와 데이터의 경계를 따르지 않기 때문입니다. 공격자는 취약점, 잘못된 설정, 노출된 서비스, 과도한 권한, 탐지 공백을 따로따로 보지 않습니다. 이 요소들을 하나의 흐름으로 연결해 초기 접근, 내부 이동, 권한 상승, 데이터 접근으로 이어지는 공격 경로를 만들 수 있습니다.

따라서 보안 운영도 알림과 노출을 분리해서 볼 수 없습니다. 동일한 계정을 사용한 이상 행위가 발생하더라도, 해당 계정이 외부 노출 시스템에 접근할 수 있는지, 중요 업무 시스템의 관리자 권한을 가지고 있는지, 검증된 공격 경로와 연결되어 있는지에 따라 대응 우선순위는 달라져야 합니다.

취약점 데이터, 설정 데이터, 공격 표면 데이터, 검증 데이터, 위협 인텔리전스, 알림 데이터, 이벤트 데이터를 하나의 저장소에 넣는다고 해서 자동으로 정확한 판단이 만들어지는 것은 아닙니다. 보안 데이터는 출처와 목적, 구조가 다르고, 같은 조직 안에서도 자산 기준과 위험 점수, 탐지 우선순위가 서로 다를 수 있습니다.

Pete Shoard가 제시한 방향은 데이터를 한곳에 통합하는 방식이 아니라, 각 영역의 판단 근거를 서로 연결하는 방식입니다. TDIR은 Exposure Management가 제공하는 자산의 노출 상태, 공격 경로, 취약점 검증 결과, 설정 위험, 접근 권한 정보를 함께 활용해야 합니다. 반대로 Exposure Management는 TDIR 활동에서 생성되는 실제 탐지 알림, 반복되는 공격 시도, 탐지 룰, 사고 대응 데이터를 함께 활용해야 합니다. 핵심은 데이터를 더 많이 모으는 것이 아닙니다. 중요한 것은 각 데이터가 어떤 판단에 쓰이는지 분명히 하고, 그 판단이 실제 조치로 이어지도록 만드는 것입니다.

Conclusion

TDIR과 Exposure Management를 연결하는 목적은 단순한 데이터 통합이 아닙니다. TDIR은 현재 발생 중인 위협 신호를 탐지하고 조사하며 대응으로 이어가는 활동이고, Exposure Management는 그 신호가 어떤 자산, 노출 상태, 공격 경로와 연결되는지 판단할 수 있는 기준을 제공합니다. 두 영역이 연결될 때 보안 운영은 알림을 단순 이벤트가 아니라 실제 위험으로 해석할 수 있습니다.

결국 중요한 것은 알림을 실제 대응 판단으로 연결하는 구조입니다. 두 영역이 각자의 경계 안에 머물러 있으면, 보안 운영은 여전히 “무엇을 먼저 조사하고 조치해야 하는가”라는 질문에 답하기 어렵습니다.

MDR Service Provider 관점에서도 핵심은 더 많은 알림을 전달하는 것이 아니라, 탐지 알림을 자산의 노출 상태와 공격 경로에 비추어 해석하고 대응 우선순위를 판단하도록 돕는 것에 있습니다. 결국 Exposure Management와 TDIR의 결합은 탐지 알림을 실제 위험 맥락 안에서 해석하고, 무엇을 먼저 확인하고 대응해야 하는지 결정하기 위한 운영 방식의 문제입니다.

작성자: 이시우 Threat Analyst | DeepACT MDR Center