핵심 인사이트 (3줄 요약)
- 본질: 탐지 통제 (Detective Controls)는 발생한 이상이나 공격을 빠르게 발견하는 보안 통제다.
- 가치: 로그, IDS (Intrusion Detection System), SIEM (Security Information and Event Management), 감사 추적이 대표적이다.
- 판단 포인트: 예방 통제와 결합해야 의미가 있다. 탐지만 있고 대응이 없으면 소용이 작다.
Ⅰ. 개요 및 필요성
모든 공격을 사전에 막을 수는 없다. 그래서 남은 공격을 빨리 발견하는 능력이 필요하다.
탐지 통제는 이상 징후를 감지해 대응 시간을 줄이고 피해 확산을 막는다.
- 📢 섹션 요약 비유: 탐지 통제는 집 안의 연기 감지기다.
Ⅱ. 아키텍처 및 핵심 원리
탐지 통제는 로그 수집, 패턴 탐지, 상관 분석, 경보로 이어진다. 정상과 다른 행동을 알아차리는 것이 핵심이다.
Event/Log → Detection Rule → Alert → Investigation
| 수단 | 역할 | 예시 |
|---|---|---|
| Log | 기록 | 접근 로그 |
| IDS | 침입 탐지 | 패킷 이상 |
| SIEM | 통합 분석 | 경보 상관분석 |
| Audit Trail | 추적 | 변경 이력 |
핵심은 "발생 여부"를 눈치채는 것이다. 탐지 통제가 있어야 사고의 규모와 원인을 파악할 수 있다.
- 📢 섹션 요약 비유: 탐지 통제는 밤중에 창문이 열렸는지 알려 주는 센서다.
Ⅲ. 비교 및 연결
탐지 통제는 예방 통제, 교정 통제, 억제 통제와 함께 본다. 예방이 못 막은 것을 발견하고, 교정이 뒤를 받친다.
| 통제 유형 | 역할 |
|---|---|
| Preventive | 막기 |
| Detective | 찾기 |
| Corrective | 고치기 |
탐지 통제는 평균 탐지 시간(MTTD)과 경보 품질이 중요하다. 너무 많은 오탐은 운영 피로를 만든다.
- 📢 섹션 요약 비유: 예방은 문 잠그기, 탐지는 누가 들어왔는지 아는 것, 교정은 들어온 뒤 정리하는 일이다.
Ⅳ. 실무 적용 및 기술사 판단
실무에서는 중요한 이벤트를 로그로 남기고, 중앙 수집과 분석을 한다. 탐지 규칙은 공격기법과 운영 이상 모두를 잡아야 한다.
체크리스트
- 중요한 이벤트가 로그로 남는가?
- 경보가 운영자가 처리 가능한 수준인가?
- 감사 추적이 변경/접속을 다루는가?
- MTTD와 대응 절차가 정의되는가?
안티패턴
- 로그는 많지만 보지 않는 경우
- 오탐이 너무 많아 경보가 무시되는 경우
- 탐지 후 대응 절차가 없는 경우
기술사 관점에서는 탐지 통제가 사고를 발견하는 눈이라는 점과, 대응 체계가 붙어야 완성된다는 점을 설명해야 한다.
- 📢 섹션 요약 비유: 탐지 통제는 불꽃을 보기 위한 망원경이고, 소화기는 따로 필요하다.
Ⅴ. 기대효과 및 결론
탐지 통제는 사고를 빨리 발견해 피해를 줄인다. 예방이 완벽하지 않은 현실에서 필수적인 방어층이다.
정리하면, 보안은 막는 것만이 아니라 빨리 알아차리는 것이다.
- 📢 섹션 요약 비유: 탐지 통제는 울리는 경보기다.
📌 관련 개념 맵
| 개념 | 연결 포인트 |
|---|---|
| 로그 | 증적 |
| IDS | 침입 탐지 |
| SIEM | 통합 분석 |
| Audit Trail | 추적 |
| MTTD | 탐지 속도 |
📈 관련 키워드 및 발전 흐름도
이상 발생
│
▼
로그/센서
│
▼
탐지 규칙
│
▼
경보 / 조사
이 흐름은 보안 이상을 인지하고 대응으로 이어지는 관측 과정을 보여준다.
👶 어린이를 위한 3줄 비유 설명
- 탐지 통제는 집에 누가 들어왔는지 알려 주는 초인종이에요.
- 빨리 알수록 더 빨리 대처할 수 있어요.
- 그래서 큰일이 나기 전에 막을 수 있어요.