🏢 SOC란? — 보안 사고는 실제로 어떻게 대응될까

SIEM을 공부하다 보면 자연스럽게 이런 의문이 듭니다.

“알림이 뜨면… 그다음엔 누가, 뭘 하지?”

그 역할을 담당하는 곳이 바로 SOC(Security Operation Center) 입니다.
SOC는 보안 도구가 아니라 사람 + 프로세스 + 시스템이 결합된 보안 운영 조직입니다.

---

1️⃣ SOC(Security Operation Center)란?

SOC는 조직의 보안 이벤트를
24/7 모니터링하고, 분석하고, 대응하는 전담 조직입니다.

• SIEM, EDR, XDR에서 발생한 알림을 확인
• 실제 공격인지 판단
• 사고 대응(IR)을 수행
• 재발 방지 대책 수립

👉 쉽게 말해,
“보안 경보를 실제 사고 대응으로 연결하는 컨트롤 타워”입니다.

---

2️⃣ SOC가 필요한 이유

❌ SOC가 없는 경우

• 알림은 계속 뜨는데 아무도 안 봄
• 공격인지 오탐인지 구분 불가
• 사고 발생 후에야 문제 인지

✅ SOC가 있는 경우

• 실시간 모니터링
• 공격 여부 즉시 판단
• 빠른 격리 및 피해 최소화

---

3️⃣ SOC의 주요 역할

🔍 1. 보안 이벤트 모니터링

• SIEM 대시보드 상시 확인
• 이상 징후 실시간 감시

🧠 2. 이벤트 분석 및 분류

• 오탐(False Positive) 제거
• 실제 공격(True Positive) 식별

🚨 3. 사고 대응(IR)

• 감염 단말 격리
• 계정 잠금
• 네트워크 차단
• 포렌식 데이터 수집

📝 4. 리포트 및 개선

• 사고 원인 분석
• 대응 결과 보고
• 보안 정책·룰 개선

---

4️⃣ SOC 조직 구조 (레벨별 역할)

🧩 Tier 1 (L1)

• 알림 1차 분석
• 단순 오탐 처리
• 기본 티켓 생성

🧠 Tier 2 (L2)

• 심층 분석
• 공격 여부 판단
• 대응 조치 수행

🧪 Tier 3 (L3)

• 포렌식 분석
• 공격 기법 연구
• 탐지 룰 개선

---

5️⃣ SOC에서 다루는 주요 도구

• SIEM: 로그 수집·상관 분석
• EDR / XDR: 엔드포인트 대응
• SOAR: 대응 자동화
• Threat Intelligence: 공격자 정보
• Ticketing System: 사고 관리

---

6️⃣ SOC 운영 시 어려운 점

❌ 알림 과다로 인한 피로(Alert Fatigue)
❌ 오탐 관리 부담
❌ 숙련된 인력 부족
❌ 24/7 운영 비용 부담

👉 그래서 최근에는 SOAR 기반 자동화와
Managed SOC(MSSP)를 함께 활용하는 추세입니다.

---

7️⃣ SOC와 SIEM의 관계

• SIEM: 보안 이벤트를 만들어내는 시스템
• SOC: 그 이벤트를 분석하고 대응하는 조직

👉 SIEM이 있어도 SOC가 없으면
“보안 로그 창고”에 불과합니다.

---

🧠 정리

• SOC는 단순한 관제실이 아니다
• 보안 사고를 실제로 막는 실행 조직이다
• SIEM + EDR/XDR + SOC가 함께 작동해야
  실질적인 보안 대응이 가능하다