* Contact Point: T) 02-322-4688, F) 02-322-4646, E) info@wikisecurity.net
Zero Trust 핵심요소별 기술요소 (NIST SP 800-207 매핑)
최근 보안 패러다임은 ‘기본적으로 신뢰하지 않는다(Never Trust, Always Verify)’는 원칙을 기반으로 하는 Zero Trust Architecture (ZTA)로 빠르게 전환되고 있다.
이에 따라 조직은 단순한 기술 도입을 넘어, 식별자부터 데이터까지 전 영역에 걸쳐 보안 정책을 정교하게 구성해야 한다.
이 게시물에서는 NIST SP 800-207과 CSA, CISA 등의 글로벌 가이드라인을 바탕으로 정리된 8개 Zero Trust 핵심 영역별 보안 기능 체계를 제공한다. 각 표는 다음 요소들로 구성되어 있다
이 표는 조직의 ZTA 성숙도 진단, 기술 도입 전략 수립, 보안 정책 개선 등에 실질적인 인사이트를 제공할 수 있도록 구성되어 있으며, 각 영역별로 다음과 같은 내용을 다룬다
- 식별자 및 신원 (Identity & Access)
- 기기 및 엔드포인트 (Devices & Endpoints)
- 네트워크 (Network Security)
- 시스템 (System Hardening & Monitoring)
- 애플리케이션 및 워크로드 (Application & Workload Security)
- 데이터 (Data Security & Governance)
- 가시성 및 분석 (Visibility & Analytics)
- 자동화 및 통합 (Automation & Orchestration)
이 내용은 기술 보안 담당자뿐만 아니라, 정책 수립자와 경영진이 ZTA 도입을 전략적으로 접근할 수 있도록 돕기 위한 것이다.
식별자 및 신원 (Identity & Access)
| 구분 | 보안 기능 | 기능 설명 | NIST 800-207 | 기술/프레임워크 예시 |
|---|---|---|---|---|
| ID 및 접근 관리 | 중앙집중형 디렉토리 및 신원관리 | 사용자 계정과 권한을 통합 관리하며, ZT 정책의 ID 근거가 되는 신원 소스 기능 수행 | Identity Provider, Policy Engine, PEP | Keycloak (OIDC/SAML, RBAC), Ping Identity, ForgeRock OpenAM, Authentik, Logto, Microsoft Active Directory (AD), OpenLDAP, SCIM, OpenICF, Beyond Identity, IDEE |
| 다중요소 인증 (MFA) | 지식/소유/생체 기반 인증의 결합 | OTP, FIDO2, 생체정보 등을 이용한 고강도 인증을 통해 계정 탈취 시도 저지 | Strong Authentication, Continuous Verification | FIDO2, WebAuthn, YubiKey, Microsoft Authenticator, Google Authenticator, Duo Security, Okta Verify, Authy, OneSpan, ForgeRock MFA, Authentik MFA, FreeOTP, HID Global MFA |
| 연합 인증 / 통합 인증 (SSO) | ID Federation 및 단일 로그인 | SAML/OIDC 기반 외부 인증 도메인 연결 및 단일 로그인 세션 제공 | Federated Identity, Trust Broker, Policy Evaluation | SAML 2.0, OIDC, OAuth2, Keycloak, Shibboleth, OpenAM, SSOCircle, Auth0, Azure AD SSO |
| 정책 기반 접근 제어 | 속성·정책 기반 실시간 접근 평가 | ID, 기기 상태, 위치 기반 컨텍스트를 통해 실시간 정책 평가 및 적용 | PDP, Context-Aware Access Control | Azure Conditional Access, AWS IAM, Google Cloud IAM, Open Policy Agent (OPA Rego), PingAuthorize, Okta Policy Engine |
| 이상행위 탐지 / UEBA | 사용자 기반 이상행동 탐지 | 비정상 로그인, 권한 오남용 등 이상행위를 분석해 위험도 산정 및 탐지 경고 | Telemetry Feedback Loop, Security Analytics | Microsoft Sentinel UEBA, Exabeam, Splunk UBA, Vectra AI, IBM QRadar UEBA, LogRhythm UEBA |
| 고위험 계정 보호 | 특권 계정의 최소 권한 접근 및 시간제 할당 | 관리자/루트 계정에 대한 Just-In-Time 접근 제공 및 권한 남용 방지 | Least Privilege Enforcement, Just-in-Time Access | CyberArk, BeyondTrust PAM, Microsoft Entra PIM, sudo, HashiCorp Vault, One Identity Safeguard |
| ID 무결성 감사 | 인증 로그 분석 및 계정 활동 감사 | 로그인 이력, 실패, 권한변경 등 계정 이벤트를 기록 및 분석하여 이상 식별 | Audit & Logging, Security Monitoring | Azure AD Sign-in Logs, AWS CloudTrail, Google Cloud Audit Logs, ELK Stack (Elastic), Graylog |
| 신원 검증 및 신뢰 확립 | 실명 확인 또는 VC 기반 인증 | 정부발급 신분 확인 또는 DID/Verifiable Credential 기반 신뢰 레벨 부여 | Identity Proofing, Trust Establishment | DID, W3C Verifiable Credentials, Microsoft Entra Verified ID, ID.me, Trinsic, Dock, Civic |
기기 및 엔드포인트 (Devices & Endpoints)
| 구분 | 보안 기능 | 기능 설명 | NIST 800-207 | 기술/프레임워크 예시 |
|---|---|---|---|---|
| 엔드포인트 탐지 및 대응 (EDR) | 장비의 실행 중 위협 행위 탐지 및 대응 | 악성코드, 스크립트, 메모리 위협 등 이상 행위를 탐지·기록·대응 | Endpoint Monitoring & TelemetryPolicy Enforcement | CrowdStrike Falcon, Microsoft Defender for Endpoint, SentinelOne Singularity, ESET Inspect, Sophos Intercept X |
| 확장형 탐지 및 대응 (XDR) | 엔드포인트 외 다양한 보안 도메인 통합 탐지 | 이메일, 네트워크, 클라우드 등 다양한 소스의 이벤트 통합 분석 | Cross-Domain AnalyticsSecurity Analytics Engine | Palo Alto Cortex XDR, Microsoft Defender XDR, Trellix Helix, Trend Micro Vision One, SentinelOne XDR |
| 통합 엔드포인트 관리 (UEM) | 모든 단말(PC, 모바일, IoT)의 정책 통합 관리 | 장비 등록, 구성, 보안 정책 적용, 원격제어, 컴플라이언스 점검 통합 수행 | Device InventoryDevice Posture Assessment | Microsoft Intune, VMware Workspace ONE, IBM MaaS360, SOTI MobiControl, ManageEngine Endpoint Central |
| 장비 상태 기반 접근 제어 | 실시간 보안 상태를 기반으로 ZT 접근 결정 | 장비의 패치/AV/인증서/암호화 상태 등을 평가하여 접근 허용 여부 판단 | Continuous AuthorizationPolicy Evaluation (PDP) | Azure Conditional Access + Intune, Okta Device Trust, Cisco ISE Posture, Zscaler ZDX |
| 장비 등록 및 신뢰 확립 | 관리 대상 장비 등록 및 장치 ID 기반 신뢰 부여 | 장비에 고유 식별자/인증서 할당 후 등록된 장치만 접근 허용 | Device Trust EstablishmentIdentity & Inventory Binding | Windows Autopilot, Apple DEP, Google Endpoint Verification, TPM 2.0 인증서, Intel vPro |
| 모바일 디바이스 관리 (MDM) | 모바일 단말의 원격 제어 및 보안 정책 적용 | 앱 설치, 보안 설정, 잠금/지우기, VPN 적용 등 모바일 보안 관리 수행 | Device Configuration ControlPolicy Distribution | Microsoft Intune, Jamf Pro, Samsung Knox Manage, Ivanti MobileIron, Scalefusion MDM |
| 시스템/OS 취약점 진단 및 패치 | 장비의 보안 취약점 주기적 탐지 및 자동 패치 | CVE 기반 보안 취약점 탐지 및 우선순위 기반 패치 배포 | Vulnerability ManagementSystem Remediation | Qualys VMDR, Tenable Nessus, Ivanti Neurons Patch, Red Hat Satellite, Microsoft Defender Vulnerability Management |
| 장비 격리 및 자동 대응 | 감염 또는 위험 상태 장비를 네트워크에서 자동 차단 | 악성 행위 또는 이상 상태 발생 시 네트워크 단절 및 자동 조치 | Dynamic Policy EnforcementAutomated Response | SentinelOne Storyline Isolation, Microsoft Defender ATP Isolation, Tanium, Palo Alto XSOAR, Cortex XSOAR Playbook 연동 |
네트워크 (Network Security)
| 구분 | 보안 기능 | 기능 설명 | NIST 800-207 | 기술/프레임워크 예시 |
|---|---|---|---|---|
| DNS 보안 및 신뢰 검증 | DNS 무결성 및 암호화 기반 요청 처리 | DNS 응답 위조 및 중간자 공격 방지, DNS 트래픽 암호화 적용 | Policy Enforcement for Traffic integrity (PEP) | DNSSEC, DNS over HTTPS (DoH), DNS over TLS (DoT), DNS over QUIC (DoQ), BIND, Unbound, Istio (Service Mesh), mTLS, Akamai Enterprise Application Access, Cloudflare Zero Trust, Palo Alto Prisma Access, Zscaler ZIA/ZPA, Vercara DNS Shield, DigiCert Trust Lifecycle Manager |
| 암호화 기반 통신 | 모든 트래픽 암호화 보장 | TLS, IPsec, WireGuard 등을 통해 내부/외부 통신에 암호화 적용 | Ensure Encryption in Transit | TLS 1.3, IPsec VPN, WireGuard, QUIC, HTTPS, OpenVPN |
| 세그먼테이션 및 내부 흐름 제어 | 서비스 및 워크로드 단위 트래픽 분리 | Micro‑segmentation으로 east‑west 흐름 제한, lateral movement 방지 | Micro‑segmentation Enforcement | Istio, Cilium (eBPF), Calico Network Policy, VMware NSX‑T, Tetrate Service Bridge |
| 제로트러스트 네트워크 접근 (ZTNA) | 앱 단위 접근 제어 및 VPN 대체 | 사용자/기기 기반 ID‑aware 방식으로 애플리케이션 접근 보안 | App-Level Access Control / Trust Broker | Palo Alto Prisma Access (ZTNA), Zscaler ZPA, Akamai EAA, Cloudflare Access, NAKIVO ZTNA |
| 네트워크 접근 제어 | 등록된 장비/사용자 기반 L2/L3 접근 제어 | NAC을 이용해 실시간으로 인증된 장비만 네트워크 접근 허용 | Device Posture Enforcement | Cisco ISE, Aruba ClearPass, Forescout, Genian NAC, FortiNAC |
| 동적 세션 기반 방화벽 | ID-aware 세션 정책 기반 접근 통제 | 사용자·장비 상태·세션 컨텍스트 기반 동적 방화벽 룰 적용 | Dynamic Firewall Enforcement | Palo Alto NGFW, Check Point R81+, FortiGate NGFW, Cisco Secure Firewall |
| 트래픽 가시성 및 이상 탐지 | 실시간 흐름 모니터링 및 위협 탐지 | C2, 불규칙 패턴, 내부 확산 및 데이터 유출 등 네트워크 이상 행위 탐지 | Network Telemetry & Analytics | Darktrace NDR, Corelight (Zeek), Vectra AI, ExtraHop Reveal(x), Nozomi Guardian, WiKi-RAV |
| 서비스 이름 해석 보안 | FQDN 기반 내부 서비스 트래픽 필터링 | IP 대신 서비스 이름(FQDN)으로 east‑west 트래픽 필터링 및 정책 적용 | Service Awareness & Filtering | Istio Envoy DNS Policy, Palo Alto FQDN Objects, Cisco Umbrella (internal DNS), Cloudflare Gateway DNS Filtering |
시스템 (System Hardening & Monitoring)
| 구분 | 보안 기능 | 기능 설명 | NIST 800-207 | 기술/프레임워크 예시 |
|---|---|---|---|---|
| 시스템 구성 상태 검증 | OS/애플리케이션 보안 설정 기준 준수 여부 확인 | 보안 기준(CIS, DISA STIG 등)에 따라 시스템 구성 항목 준수 여부 점검 | Secure Configuration Baseline | CIS-CAT Pro, OpenSCAP, Lynis, Chef InSpec, Ansible + Audit, Microsoft Security Compliance Toolkit |
| 자산 식별 및 상태 관리 | 시스템 자산(서버, VM, 컨테이너) 자동 탐지 및 인벤토리 | 서버, VM, 컨테이너 등 시스템 자산을 자동 식별하고 보안 상태 추적 | Asset Inventory, Continuous Diagnostics | ServiceNow CMDB, Tanium Asset, Qualys AssetView, Lansweeper, Axonius |
| 시스템 무결성 모니터링 | 커널, 바이너리, 설정파일 변경 여부 추적 | 핵심 구성 요소가 무단 변경되었는지 여부를 모니터링 | Integrity Monitoring, Trust Baseline | Tripwire Enterprise, Wazuh FIM, AIDE, OSSEC, Samhain |
| 호스트 기반 침입 탐지 및 방어 | 실행 중 이상 행위 또는 공격 시도 탐지/차단 | 악성코드, 루트킷, 불법 실행을 시스템 내부에서 탐지하고 방어 | Local Threat Detection, PEP Enforcement | Wazuh HIDS/HIPS, Trend Micro Deep Security, CrowdStrike Falcon (Host Protection) |
| 권한 통제 및 루트 권한 최소화 | 관리자 계정 권한 오남용 방지 및 최소화 | sudo, JIT 등 최소 권한 제어로 권한 탈취 시도 방지 | Least Privilege, Privileged Access Control | sudo, SELinux, AppArmor, CyberArk Endpoint Privilege Manager, BeyondTrust Privilege Management, Microsoft LAPS |
| 취약점 진단 및 패치 자동화 | OS 및 앱의 알려진 취약점(CVE) 자동 탐지 및 보완 | CVE 기반 취약점 식별, 우선순위 지정 및 패치 자동화 | Vulnerability Management, Risk-based Patching | Qualys VMDR, Tenable Nessus, Ivanti Neurons for Patch Management, Rapid7 InsightVM, Microsoft Defender Vulnerability Management, WiKi-WS |
| 운영체제 및 플랫폼 하드닝 | OS 커널, 서비스, 포트 등 불필요 항목 제거 | 공격 표면 최소화를 위한 불필요한 시스템 구성 제거 | Secure Platform Configuration | CIS Hardened Images, Lynis, AppArmor, GKE Autopilot, AWS Inspector |
| 시스템 격리 및 대응 자동화 | 이상 시스템 자동 격리 및 대응 조치 실행 | 악성 행위 탐지 시 네트워크 격리 또는 스냅샷, 프로세스 종료 등 자동 수행 | Automated Response, Dynamic Enforcement | Microsoft Defender Isolation, SentinelOne Singularity, Tanium, Cortex XSOAR, Splunk SOAR, Ansible Incident Response Playbooks |
애플리케이션 및 워크로드 (Application & Workload Security)
| 구분 | 보안 기능 | 기능 설명 | NIST 800-207 | 기술/프레임워크 예시 |
|---|---|---|---|---|
| 웹 및 API 계층 보호 | 웹 애플리케이션 및 API 요청의 위협 탐지 및 차단 | SQLi, XSS, API 오용 등 위협을 WAF 또는 API 게이트웨이로 차단 | Application Layer Filtering<br>Policy Enforcement | AWS WAF, Cloudflare WAF, Azure WAF, Kong API Gateway, Kong Mesh, Tyk API Gateway, ModSecurity, Coraza, Imperva WAF, Akamai App & API Protector, SentinelOne Singularity, Tetrate Service Bridge, Istio |
| 서비스 메시 보안 | 마이크로서비스 간 트래픽 제어, 인증 및 암호화 | 서비스 간 mTLS, L7 인증·권한 부여·로그까지 통제 | Service-to-Service Policy | Istio (mTLS, AuthorizationPolicy), Linkerd, Consul Connect, Envoy Proxy, Tetrate, Kong Mesh |
| 워크로드 식별 및 접근제어 | 워크로드 ID 기반 인증 및 최소 권한 적용 | VM/컨테이너/서버리스에 고유 ID 발급, 인증 후 최소 권한 실행 | Workload Identity Enforcement | SPIFFE/SPIRE, Kubernetes ServiceAccount, Azure Workload Identity, GCP Workload Identity, HashiCorp Vault (Identity), AWS IAM Roles for Service Accounts (IRSA) |
| 런타임 보호 (RASP) | 실행 중 애플리케이션 위협 탐지 및 방어 | 내부 코드 레벨 감시 및 이상 동작 차단, 실시간 방어 수행 | Runtime Protection, PEP Integration | Contrast Security, Imperva RASP, CrowdStrike RASP, Miggo (eBPF), Oligo (ADR), Dynatrace Application Protection |
| 컨테이너 및 오케스트레이션 보안 | 이미지 스캔, 취약점 분석, 실행 정책 강제 | 이미지 취약성 검사, 런타임 제한, Pod 정책 적용 등 컨테이너 보안 | Workload Configuration Control | Aqua Security, Sysdig Secure, Prisma Cloud by Palo Alto, Kyverno, Kube-Bench, OPA Gatekeeper, Anchore |
| 소프트웨어 공급망 보안 | 아티팩트 및 의존성 무결성 검증 | SBOM, 서명, 빌드 무결성 검증 등 공급망 보안 체계 | Build Pipeline Security | SLSA, Sigstore/Cosign, GitHub Dependabot, Anchore SBOM, Tekton Pipelines, Snyk Open Source Security |
| 정적/동적 코드 취약점 분석 | SDLC 내 보안 취약점 사전 제거 | SAST, DAST, SCA를 통해 개발 단계에서 취약점 탐지 | Secure Coding, Development-time Checks | SonarQube (SAST), Checkmarx, Fortify, Veracode, OWASP Dependency-Check, GitLab Secure |
| 애플리케이션 인증 및 SSO | 앱 내 사용자 인증, 권한 제어 및 SSO 지원 | OAuth2/OIDC 기반 인증, 통합 SSO, 권한 부여 정책 연동 | Identity Federation, Central Auth | AuthO, Okta, Keycloak, Azure AD B2C, Google Identity Platform, ForgeRock Identity Cloud |
데이터 (Data Security & Governance)
| 구분 | 보안 기능 | 기능 설명 | NIST 800-207 | 기술/프레임워크 예시 |
|---|---|---|---|---|
| 데이터 분류 및 태깅 | 민감도, 유형 기반 데이터 등급 부여 및 식별 | 파일/DB/로그 등 데이터 자산을 분류하고 민감도에 따라 자동 태깅 진행 | Data Classification, Policy Enforcement | Microsoft Purview, BigID, Varonis Data Classification Engine, Spirion, Securiti DSPM, Cyera, Cyberhaven, OneTrust Data Discovery, Netwrix Data Classification, IBM Guardium Insights |
| 저장 데이터 암호화 | 저장소 내 데이터의 기밀성 확보 | 데이터베이스, 파일 시스템, 객체 스토리지에 암호화 적용 | Encryption at Rest | AES-256, LUKS, AWS S3 SSE, Azure Storage Encryption, Google Cloud CMEK, Thales CipherTrust, Vormetric Transparent Encryption, AWS KMS, Azure Key Vault, Google Cloud KMS, HashiCorp Vault |
| 전송 중 데이터 암호화 | 네트워크 경로에서의 도청/위변조 방지 | TLS, IPsec 등을 사용해 데이터 전송의 기밀성과 무결성을 보장 | Encryption in Transit | TLS 1.3, HTTPS, IPsec, WireGuard, mTLS, Let’s Encrypt, OpenVPN |
| 사용 중 데이터 보호 | 연산 중인 민감 데이터의 실시간 보호 | confidential computing 환경에서 메모리 내 데이터 암호화 및 보호 | Encryption in Use | Intel SGX, AMD SEV, Azure Confidential VMs, Google Confidential Computing, AWS Nitro Enclaves |
| 데이터 접근 제어 | 속성/역할 기반 세분화된 권한 관리 | 사용자, 위치, 시간 등 맥락 기반 정책에 따라 민감 데이터 접근 통제 | Policy Decision Point, Dynamic Access Control | AWS IAM, Azure RBAC + PIM, ABAC, Google Cloud IAM, OPA (Rego), Attribute-Based Access Control |
| 데이터 유출 방지 (DLP) | 민감 정보의 외부 유출 차단 | 이메일, 웹 업로드, 클립보드, USB 등에서 실시간 콘텐츠 검사 및 차단 | DLP Enforcement, Policy Enforcement | Symantec DLP, Forcepoint DLP, McAfee DLP, Digital Guardian, Google Cloud DLP, Endpoint Protector, Safetica, Trellix DLP |
| 무결성 검증 및 위변조 탐지 | 파일 또는 DB 기록의 위·변조 여부 식별 | 해시, 디지털 서명, FIM 등을 통해 데이터 변경을 탐지함 | Integrity Monitoring, Audit | Tripwire, IBM Guardium, Netwrix Auditor, OSSEC FIM, Database Audit Logs, Blockchain Hash Integrity |
| 클라우드 데이터 보안 상태 관리 | 클라우드 내 저장 데이터 위치, 민감도, 접근권한 추적 | 퍼블릭/하이브리드 클라우드의 데이터 인벤토리, 민감도, 접근 통제 상태를 지속적으로 관리 | Data Security Posture Management (DSPM) | Microsoft Purview DSPM, Securiti DSPM, Cyera, Palo Alto Prisma Cloud DSPM, BigID DSPM |
| 데이터 사용 행위 모니터링 | 누가 언제 어떤 데이터를 사용했는지 기록 및 분석 | 액세스 로그, 복사, 다운로드 등 행위 기반 분석과 이상 탐지를 수행 | Telemetry Feedback Loop, Security Analytics | IBM Guardium, Varonis, Azure Monitor, AWS CloudTrail + Amazon Macie, Splunk, Elastic Security, Imperva Data Risk Analytics |
가시성 및 분석 (Visibility & Analytics)
| 구분 | 보안 기능 | 기능 설명 | NIST 800-207 | 기술/프레임워크 예시 |
|---|---|---|---|---|
| 보안 로그 통합 수집 | 다양한 자산·이벤트 소스로부터 보안 로그 수집 | 시스템, 네트워크, 클라우드 등 다양한 소스로부터 로그 수집 및 통합 저장 | Continuous Monitoring Centralized Logging | Splunk, Elastic Stack (ELK), IBM QRadar, LogRhythm, Sumo Logic, Fluentd, rsyslog, Graylog |
| 행위 기반 이상 탐지 | 사용자, 기기, 네트워크의 이상 행위 탐지 | 정상 행위 기준 기반으로 이상 활동을 탐지하고 알림 발생 | Behavioral Analytics, UEBA | Exabeam UEBA, Microsoft Sentinel UEBA, Splunk UBA, Vectra AI, Darktrace, Securonix |
| 위협 탐지 및 지표 분석 | IOC, TTP 기반 위협 탐지 및 상관 분석 | 공격자의 행동 패턴(TTP), 도메인, 해시 등 지표(IoC)를 기반으로 탐지 및 상관 분석 | Threat Correlation Engine | MITRE ATT&CK + Sigma, CrowdStrike Falcon, MISP, Elastic Security, Recorded Future |
| 자산별 상태 및 행위 가시성 | 사용자, 장치, 애플리케이션 상태 모니터링 | 시스템, 사용자, 워크로드의 상태 및 활동 이력에 대한 실시간 가시성 제공 | Telemetry Collection, Visibility Architecture | Tanium, Axonius, Armis, SentinelOne Ranger, AWS Systems Manager, Microsoft Defender for Endpoint |
| 로그 정규화 및 표준화 | 서로 다른 포맷의 로그/이벤트 구조화 및 표준화 | 로그의 형식을 통일하여 SIEM, 분석 도구에서 효율적으로 활용 가능하게 함 | Data Pipeline Normalization | Elastic Common Schema (ECS), Splunk CIM, OpenTelemetry, MITRE CCL, Graylog |
| 실시간 대응 연동 | 이상 탐지와 자동 대응 연계 | 탐지된 이상 징후에 따라 SOAR나 NAC, EDR 등 대응 기술로 자동 조치 수행 | Policy Enforcement Automation | Cortex XSOAR, Splunk SOAR, Swimlane, Tines, SentinelOne Storyline Active Response |
| 위협 인텔리전스 연동 | 외부 위협 정보 기반 상시 탐지 강화 | 최신 위협 도메인, 해시, 악성 IP 정보 등과 연계한 실시간 탐지 | Threat Feed Integration | MISP, AlienVault OTX, Anomali ThreatStream, ThreatConnect, STIX/TAXII, OpenCTI, WiKi-RAV |
| 실시간 패턴 분석 | 수집 로그의 흐름·빈도·패턴 기반 탐지 | 공격 흐름, 빈도, 필드 값 기반 탐지 및 경고 생성 | Real-Time Pattern Matching | Sigma Rules, YARA-L, Splunk SPL, Elastic KQL, Google Chronicle, ArcSight CORR-Engine |
| 위협 헌팅 | 인간 기반 위협 탐색 | 수동 분석자가 탐지되지 않은 위협을 로그 질의, 메타데이터 분석으로 식별 | Threat Hunting Support, SOC Visibility | MITRE ATT&CK Navigator, Velociraptor, Jupyter for Detection, DeTT&CT, Elastic Security, Red Canary Atomic Red Team |
자동화 및 통합 (Automation & Orchestration)
| 구분 | 보안 기능 | 기능 설명 | NIST 800-207 | 기술/프레임워크 예시 |
|---|---|---|---|---|
| 보안 오케스트레이션 | 탐지 시스템 간 경보·컨텍스트·조치 연동 | SIEM, EDR, NDR 등 탐지 시스템 간 경보·이벤트·대응 데이터 연계 | Cross‑Domain Security Orchestration | Palo Alto Cortex XSOAR, Splunk SOAR, Swimlane, Tines, FortiSOAR, IBM SOAR |
| 자동 대응 플레이북 | 사전 정의된 조건에 따라 대응 자동 수행 | 이상 탐지 또는 정책 위반 발생 시 자동 조치 수행 | Automated Response Mechanism | MITRE D3FEND (D3-SAA), AWS Security Hub Automation Rules, Microsoft Sentinel Automation, SOAR Runbooks, Google Chronicle Playbooks |
| 티켓 및 워크플로우 통합 | 보안 이벤트 대응을 ITSM과 연동 | 보안 이벤트를 ServiceNow, JIRA 등과 연동하여 티켓 생성 및 협업 처리 | Operational Integration Layer | ServiceNow SecOps, Jira Software + JIRA Service Management, PagerDuty, Freshservice, Splunk + JIRA App |
| 보안 정책 자동 적용 | 조건 기반 정책 생성 및 변경 자동화 | 리소스 상태 변화에 따라 방화벽, NAC, IAM 정책 자동 생성/수정 | Dynamic Policy Enforcement | Cisco DNA Center, Tufin SecureChange, FortiManager, OPA (Rego), Kyverno, Kubernetes Admission Controller |
| CI/CD 연동 보안 자동화 | 개발부터 배포까지 보안 점검 자동화 | SAST, DAST, Image Scan, Policy Test 등을 DevSecOps로 통합 적용 | Shift Left Security Enforcement | GitHub Actions + Trivy, GitLab CI/CD Security, Snyk, Checkov, OWASP ZAP, Anchore, Azure DevOps Pipelines |
| Zero Trust 정책 동기화 | 사용자, 기기, 워크로드 정보 기반 정책 자동화 | ID, 위치, 디바이스 상태 등 실시간 정보 기반 정책 평가/적용 | Continuous Authorization, PDP-PAP 연계 | Zscaler ZPA Rules, BeyondCorp Enterprise, Cisco ISE Context Mapping, Tanium Comply, Microsoft Entra Conditional Access |
| 연계 API 및 오픈 표준 | 보안 시스템 간 인터페이스 표준화 | STIX/TAXII, OpenC2 등으로 시스템 간 경량 연동 구현 | Interoperability Framework | OpenC2, STIX/TAXII, SCAP, OpenDXL, MISP, CloudEvents, Webhook, OpenAPI |
| 이벤트 기반 트리거링 | 조건부 자동화 조치 시작점 제공 | 보안 이벤트 발생 시 지정된 작업 흐름 자동 실행 | Rule-based Triggering / Event-Driven Actions | AWS Lambda Trigger, Azure Logic Apps, Google Eventarc, GitHub Webhook + Rego, GCP Cloud Functions |
| 대응 피드백 루프 자동화 | 탐지→대응→정책 보강 루프 자동화 | 이상 탐지 후 대응 결과를 학습/분석하고 정책으로 재반영 | Feedback Loop, Security Analytics Learning | MITRE D3FEND (D3-CMPL), XDR Feedback Engine, Elastic + Jupyter ML, ML-based SOAR Feedback Loop, DeTT&CT Analytics |
