SOC 기초 복습
본 과정은 패킷 분석, 호스트 감사, Snort 기반 탐지 기술을 통합적으로 다루는 도전 과제 전용 캡스톤 과정입니다. 단계별 가이드를 따라가는 기존의 실습 방식에서 벗어나, 실제 보안 시나리오 속에서 의심스러운 활동을 조사하고 증거를 검증하며 논리적인 결론을 도출하는 과정을 경험하게 됩니다.
왜 중요한가요?
초기 사이버보안 교육은 대개 도구별 사용법을 개별적으로 가르칩니다. 하지만 실제 SOC 업무는 다릅니다. 분석가는 네트워크 트래픽, 호스트 아티팩트, 탐지 로직을 유기적으로 연결하여 특정 이벤트가 단순한 노이즈인지, 아니면 실제 침해 사고인지를 판단해야 합니다. 본 과정은 개별 도구 사용법을 익히는 단계를 넘어, 엔드투엔드 (End-to-End) 조사 역량을 검증하도록 설계되었습니다.
본 과정은 프로젝트 중심의 학습으로, 이미 습득한 기술을 실무에 적용하는 데 중점을 둡니다. 단계별 가이드 없이 실제와 유사한 도전 과제를 해결하며, 증거를 해석하고 조사 과정에서 올바른 판단을 내리는 능력을 기르게 됩니다.
학습 내용
- 패킷 캡처부터 최종 결론 도출까지, 의심스러운 네트워크 활동 조사
- 감사 로그, 인증 기록, 파일 무결성 신호를 활용한 호스트 수준의 증거 검토
- 일반적인 SOC 모니터링 워크플로우를 위한 실무형 Snort 탐지 규칙 생성 및 검증
- 단일 도구나 로그에 의존하지 않고 여러 소스의 증거를 상호 연관 분석
- 독립적인 보안 조사 수행에 대한 자신감 확보
과정 로드맵
- 패킷 기반 경보 조사: 의심스러운 트래픽을 캡처하고 악성 통신을 재구성하여 지표 (Indicator) 를 추출한 뒤, 확인된 사고를 에스컬레이션 (Escalate) 합니다.
- 호스트 변조 감사: 감사 추적을 검토하고 관련 로그를 파싱하여 파일 무결성 변경을 확인하고 비정상 계정을 식별합니다.
- Snort 규칙 배포 훈련: 적대적 트래픽을 분석하고 타겟팅된 Snort 규칙을 생성하여 경보 생성을 검증하고 방어적 결과를 요약합니다.
수강 대상
- 초기 SOC 관련 과정을 마치고 실무형 복습 프로젝트를 원하는 학습자
- 가이드 없이 스스로 사고를 조사할 수 있는지 확인하고 싶은 초급자
- 고급 방어 분석, 위협 헌팅 (Threat Hunting), 사고 대응 업무를 준비하는 보안 학습자
학습 성과
본 과정을 마치면 원시 증거 (Raw evidence) 에서 최종 결론에 이르기까지 소규모 SOC 조사를 주도적으로 수행할 수 있게 됩니다. 목적에 맞는 트래픽 캡처 및 필터링, 의심스러운 호스트 활동 확인, 타겟팅된 탐지 규칙 배포 방법을 익히고, 이러한 발견 사항들을 하나의 명확한 사고 보고서로 연결하는 능력을 갖추게 될 것입니다.
