오늘날 빠르게 변화하는 사이버보안 환경에서 기업은 압박과 부담을 느끼기 쉽다. 이런 상황에서 매니지드 보안 서비스 업체는 조직 전반에 걸친 보안을 ‘핸즈프리’ 방식으로 책임질 수 있는 해법을 제시한다.

매니지드 보안 서비스 업체(Managed Security Service Provider, MSSP)는 고객에게 포괄적인 보안 서비스를 제공한다. 서드파티 파트너로서 운영되는 MSSP는 IT팀의 업무 부담을 줄이고, 중요한 시간을 확보해 조직의 다른 핵심 운영을 지원하고 확장할 수 있도록 돕는다.

보안 및 컴플라이언스 소프트웨어 업체 시큐리티 컴퍼스(Security Compass)의 CPO 트레버 영은 MSSP가 보안에 어려움을 겪는 기업에 규모의 경제, 선제적 위협 인텔리전스, 그리고 업계 베스트 프랙티스에 대한 깊은 이해를 제공한다고 설명했다. 영은 “MSSP는 역량 격차를 메우고 경보 피로도를 줄이며, 보다 일관적이고 견고한 보안 태세를 유지할 수 있도록 지원한다. 이를 통해 팀은 일상적인 보안 운영 업무가 아니라 전략적 이니셔티브에 집중할 수 있다”라고 전했다.

IT팀의 사이버보안 대응 역량이 한계에 부딪히지는 않았는가? MSSP와 협력할 시점임을 보여주는 7가지 신호를 살펴본다.

보안팀이 충분한 보호를 제공하지 못할 때

MSSP를 활용하면 내부에 전담팀을 구축하고 유지하는 부담 없이 전문적인 보안 지원을 받을 수 있다. 사이버보안 교육업체 콘트라(Kontra)의 설립자이자 CEO인 기얀 초드하리는 “MSSP는 대부분 기업이 내부적으로는 유지하기 어려운 보안 툴, 전문 지식, 24시간 365일 모니터링을 제공한다. 위협을 조기에 식별하거나 사고에 신속히 대응하는 등 MSSP는 기업의 보안 수준을 끌어올릴 수 있다”라고 설명했다.

초드하리는 “화려한 보안 툴에만 주목해서는 안 된다. 정말 중요한 것은 경험, 신뢰성, 그리고 MSSP의 소통 역량이다. 기업은 자사 산업을 이해하고 문제가 발생했을 때 신속히 대응하며, 무엇을 왜 하는지 투명하게 공유하는 업체를 원한다”라고 말했다.

다만 “MSSP가 기술적 문제나 위협 대응에는 강점을 갖고 있지만 모든 것을 해결할 수 있는 것은 아니다. 취약한 보안 문화, 미흡한 내부 정책, 내부자 위협과 같은 사안은 MSSP의 통제 범위를 벗어나는 경우가 많다”라고 덧붙였다.

경보 처리와 평가에 시간을 낭비할 때

데이터 컨설팅 기업 신세라이즈(Synthelize)의 설립자이자 수석 데이터 컨설턴트 토비 바살라는 “하루에 300건이 넘는 경보를 무시하고 자동화돼야 할 업무를 수작업으로 처리하고 있다면, 그때가 바로 MSSP를 고려해야 할 시점”이라고 말했다.

혼란이 이어지는 상황에서 어떤 경보가 실제 위협 신호인지 SOC 팀이 제대로 구분할 수 있을까? 게다가 근무 외 시간대에는 특정 인력 한 명에게만 트래픽 모니터링을 맡기고 있다가 그 직원이 병가라도 낸다면 어떻게 될까? 바살라는 “데이터 처리를 24시간 365일 백업 인력 없이 운영하지는 않는다. 보안도 마찬가지”라고 강조했다.

보안 강화보다 문제 수습에 더 많은 시간을 쓸 때

소크레이더(SOCRadar)의 CISO 엔사르 세커는 “보안팀이 경보 대응, 사고 처리, 규제 준수 요구사항을 감당하지 못해 뒤처지고 있다고 느낄 때 기업은 MSSP가 필요하다는 사실을 깨닫게 된다”라고 말했다. 세커는 위협 인텔리전스, 랜섬웨어 대응, 공급망 보안 분야를 전문으로 하고 있다.

이런 취약성은 보안 사고 직전의 위기 상황에서, 혹은 감사 결과를 통해 특히 뚜렷하게 드러난다. 이때는 가시성 부족, 위협 탐지 한계, 24시간 모니터링 공백과 같은 문제가 더 이상 부정할 수 없는 현실로 드러난다. 또한 세커는 “운영 업무의 과도한 양에 압도돼 번아웃 상태에 이르고 전략적 방어에 집중하지 못하는 상황도 또 하나의 핵심 신호”라고 언급했다.

세커는 기업이 MSSP를 평가할 때 경험, 투명성, 통합 준비도를 우선시해야 한다고 조언했다. “상세한 서비스수준협약(SLA)을 제공하고, 경보에 대한 실시간 가시성, 명확한 에스컬레이션 경로, 그리고 SIEM, EDR, 티켓팅 시스템과의 네이티브 통합을 지원하는 업체를 찾는 것이 중요하다”라고 설명했다. 또한 조직 문화와 소통 방식의 적합성도 못지않게 중요하다. 세커는 “MSSP는 블랙박스처럼 보이지 않고, 내부 팀의 연장선처럼 느껴져야 한다”라고 강조했다.

내부 보안팀을 마련할 여력이 없을 때

일반적으로 중소기업은 전담 사이버보안 인력을 정규직으로 두거나, 단 한 명의 전담 전문가라도 고용하는 데 필요한 비용을 감당하기 어렵다. 이로 인해 각종 공격에 특히 취약한 상황에 놓이게 된다.

MSSP는 이런 기업에 큰 도움이 될 수 있다. 24시간 365일 모니터링, 위협 탐지, 사고 대응은 물론, 다양한 전문 보안 툴과 전문 지식에 대한 접근까지 폭넓은 서비스를 제공하기 때문이다. 시큐리티 컴퍼스의 영은 “규모의 경제, 선제적 위협 인텔리전스, 그리고 업계 베스트 프랙티스에 대한 깊은 이해를 제공한다”라고 설명했다.

영은 “기업이 MSSP를 찾을 때 저지르는 가장 큰 실수는 비용 중심의 결정으로만 취급하는 것이다. 충분한 사전 실사 없이 모든 보안 책임을 MSSP에 떠넘기거나, 이후에도 지속적인 협력을 유지하지 않는 것도 흔한 오류다. 기업이 자사의 보안 요구사항, 기대 성과, 서비스 범위를 명확히 정의하지 못하는 경우가 많아 결국 기대와 현실이 어긋나고 불충분한 보호로 이어진다”라고 지적했다.

내부 지식 부족이 드러날 때

사내 보안팀이 자신 있게 답하지 못하는 문제에 반복적으로 부딪히고 있다면, MSSP의 도움을 고려해야 할 시점일 수 있다. 사이버보안 업체 헌트리스(Huntress)의 이사 에이미 심슨은 “사이버보안의 한두 영역에서조차 특정 지식이 부족하면, 이는 곧바로 상당한 보안 허점으로 이어지고 효율성 향상 가능성마저 떨어뜨린다. 혹은 내부 팀이 하루 종일 모니터링과 사고 대응에만 시간을 쏟는 것을 원하지 않을 수도 있다”라고 말했다.

많은 기업에 사이버보안은 필수적이면서도 모든 역량을 빨아들이는 업무가 될 수 있다. 심슨은 소규모 IT팀이 기본적인 보안 문제만 처리하는 데에도 역량이 분산돼 버리는 경우가 많다며 “MSSP는 내부 팀이 단순히 보안을 유지하는 데 머무는 것이 아니라, 보안 태세 개선을 위해 더 중요하다고 믿는 업무에 집중할 수 있도록 시간을 확보해 준다”라고 전했다.

지속적인 패키지형 보안을 원할 때

‘핸즈프리’ 형태의 24시간 365일 사이버보안 솔루션을 찾고 있다면, MSSP는 실용적이고 비교적 합리적인 사전 패키지 대안이 된다. 심슨은 “MSSP는 기업을 상시 모니터링해 새로운 위협이 발생했을 때 지연 없이 대응할 수 있도록 지원한다. MSSP가 제공하는 관리 범위만으로도 보안 태세는 크게 개선된다”라고 말했다.

영은 “취약점 관리부터 사고 대응까지 아우르는 종합 서비스를 제공하고, 지속적인 개선과 신규 위협 대응에 전념하는 MSSP를 찾는 것이 중요하다. 원활한 소통과 협업적 접근 방식 또한 성공적인 파트너십을 위해 필수적 요소”라고 덧붙였다.

보고 업무가 시간 소모적인 골칫거리가 될 때

보안 업체 ESET의 최고 보안 에반젤리스트인 토니 안스컴은 “보고 요건은 기업에 상당한 부담으로 작용한다. 특히 데이터 침해 통보가 의무화된 지역에서 운영되는 기업이라면, 보고 업무만 처리하기 위해서 숙련된 팀을 상시 두어야 할 수 있다”라고 지적했다.

안스컴은 “이런 부담은, 특히 중대한 사이버 사고에 동시에 대응해야 하는 상황에서는 특정 보고 방식과 요건에 익숙한 MSSP나 외부 사이버 사고 대응팀이 처리하는 것이 가장 효율적일 수 있다. 사이버 사고 대응 역량을 겸비한 MSSP야말로 일반적인 보안 업무뿐 아니라 계속 변화하는 보고 요건까지 기업이 효과적으로 대응할 수 있도록 지원하는 데 가장 적합하다”라고 조언했다.

또한 안스컴은 보고 업무 처리뿐 아니라 우수한 MSSP 보안 패키지에는 사고 대응 계획과 정기적인 보안 점검 및 모니터링이 포함돼야 한다고 강조했다. 이를 통해 패치와 소프트웨어 업데이트가 신속하고 효과적으로 적용되도록 보장할 수 있다.

dl-itworldkorea@foundryco.com