메가존 Careers -[직무인터뷰] 보안 데이터분석 엔지니어 메가존클라우드 보안 데이터분석 엔지니어 직무 인터뷰입니다.
메가존 Careers -[직무인터뷰] 보안 데이터분석 엔지니어
메가존클라우드 보안 데이터분석 엔지니어 직무 인터뷰입니다.
제목없음
HALO Crew Story: Episode 6
제목없음
수집부터 파싱 로직까지, 최적의 파이프라인을 구축하는 엔지니어
Security Platform 이수진님
제목없음
#1 The HALO Way
제목없음
Q. ‘보안 데이터 분석 엔지니어(SIEM/SOAR)’가 조금 생소한 직무명인데 어떤 일을 하는지 설명해 주세요!
수진 : 보안 데이터 분석 엔지니어(SIEM/SOAR)는 여러군데 흩어진 데이터를 통합하여 '진짜 위협'을 찾아내는 일을 하고있어요.🔍 실무적으로는 단순히 보안 장비를 SIEM에 연동하는 수준을 넘어 고객사의 아키텍처와 트래픽 볼륨 등을 정밀하게 분석하여 전사 인프라의 가시성을 확보하는 것이 업무의 시작입니다. 각 인프라 환경에 맞춰 쏟아지는 방대한 로그를 정제하고 표준화된 데이터로 정규화하는 기초 공사가 탄탄해야만 유의미한 분석이 가능하거든요.📡 이렇게 파악된 고객사 환경을 바탕으로 최적의 탐지 시나리오를 설계하고, 사고 발생 시 대응 절차를 자동화하는 SOAR 플레이북을 구현함으로써 보안 운영의 전체적인 효율과 안정성을 책임지는 역할을 하고있습니다.🛡️
제목없음
Q. 이 직무에는 어떤 사람이 잘 어울릴까요? 팀원분들께선 어떤 분과 일하고 싶으신지,
주니어에게는 어떤 역할을 기대하시는지 궁금해요!
수진 : '기술적 호기심'이 가득한 분과 함께하고 싶어요.🌱 주니어분들께 기대하는 모습은 온프레미스부터 클라우드 네이티브 환경과 다양한 보안솔루션을 겁먹지 않고 받아들이는 태도입니다. 단순히 서버나 네트워크만 보는 게 아니라, 방화벽(WAF), 엔드포인트(EDR), 인증 시스템 등 각 보안 서비스들이 어떤 원리로 작동하고 어떤 데이터를 남기는지 깊이 있게 파악하는 능력이 정말 중요하거든요. 🙌
제목없음
Q. 하루 업무 일과를 간단하게 설명해 주세요. 근무 환경은 어떤가요?
수진 : 고객사 그리고 회사내부 업무 팔로우업을 위해 먼저 메일, 슬랙 등 을 확인합니다.💬 그리고 틈틈히 업무 중간중간에도 확인 하고요. 그리고나서 제가 맡은 일중에 우선순위를 정해서 순차적으로 처리해나가요. 집중하다보면 잠깐의 휴식이 필요할땐 준비되어있는 커피머신을 이용해보시는것도 좋을것 같아요!☕
제목없음
Q. 채용 전형에 합격할 수 있었던 수진님의 강점은 무엇이라고 생각하세요?
채용 과정에 있어 도움이 될 만한 것이나 꿀팁이 있다면 알려주세요
수진 : 채용 전형에 합격할 수 있었던 저의 강점은 경계없는 배움이라고 생각해요.🧑‍🏫 데이터 분석뿐 아니라 어쩔땐 고객사에서 사용하는 솔루션, 여러 클라우드 환경 등 알아야 할때가 있습니다. 보안데이터 분석만 하지않고 다른 배움이 필요한 경우가 많은데 경계없이 호기심을 가지고 배워가며 업무하는것이 강점같습니다.🎯
제목없음
#2 How HALO Works
제목없음
Q. 데이터 파이프라인 하나가 꼬이면 전체 보안 관제에 영향이 갈 수 있다는 압박감이 있죠. 만약 주니어가 기술적인 실수를 했을 때, HALO는 비난 대신 어떤 방식으로 '함께' 코드를 리뷰하고 복구하나요?
수진 : HALO에서는 다양한 플랫폼과 다양한 고객사를 경험한 멤버들이 많아요.🧑‍💻 서로가 서로에게 질문하며 답변주는 그런 분위기가 준비되어 있어요. 이런 환경이라면 신입 친구들 뿐만 아니라 경력직 친구들도 같이 잘 해나갈수 있는 강점이지 않을까요?!🙋‍♂️🙋‍♀️
제목없음
Q. 보안 데이터 분석외에 다른 중요한 역량이나 지식이 있을까요?
수진 : 최근에 Google SecOps 환경에서 SentinelOne을 API 방식으로 연동했을 때 데이터 양이 매우 방대하여 단순 API 기반 수집으로는 효율적인 운영이 어려울 수 있는 상황이 있었습니다. 이 경우 로그 분석 이전 단계에서 데이터 수집 방식과 아키텍처를 고려하여 다른 방향으로 수집 방식을 권장한 경험이 있습니다.💬 이처럼 SIEM 엔지니어는 로그 분석뿐 아니라 데이터 수집 구조와 성능까지 고려할 수 있는 IT 지식이 필요하다고 생각합니다. 또 다른 사례로는 DHCP 장비 로그를 수집하는 환경에서 Cisco ISE 로그의 주요 정보가 description 필드에 함께 포함되어 들어오는 경우가 있었습니다. 단순히 필드 구조만 보면 불필요한 데이터처럼 보일 수 있지만 실제로는 고객이 보안 분석에 활용하는 중요한 정보였습니다.🌐 이 경우 해당 솔루션의 로그 생성 방식과 파이프라인 구조를 이해하고 있어야 데이터의 의미를 정확히 판단할 수 있다고 생각합니다. 또한 운영 과정에서는 로그만 보고도 서버 헬스체크와 같은 정상적인 시스템 동작 로그를 구분할 수 있는 기본적인 시스템 지식도 필요합니다.💻 예를 들어 특정 주기로 반복되는 요청이나 상태 확인 메시지는 보안 이벤트가 아니라 서비스 상태를 확인하기 위한 헬스체크 로그일 수 있기 때문입니다. 이처럼 SIEM/SOAR 엔지니어는 단순히 보안 이벤트를 분석하는 역할을 넘어서 로그 수집 구조, 시스템 아키텍처, 로그의 기술적 의미까지 함께 이해하는 IT 기반 역량이 중요하다고 생각합니다.🚀
제목없음
Q. SIEM 엔지니어는 여러 보안 장비의 데이터를 다루다 보니 다른 팀과 협업할 일도 많을 것 같은데, 실제로는 어떤 방식으로 협업이 이루어지나요?
수진 : 실제로 SIEM 구축이나 마이그레이션 프로젝트를 진행하다 보면 고객사의 다양한 운영팀과 협업하는 경우가 많습니다.🤝 예를 들어 새로운 보안 장비나 시스템 로그를 SIEM으로 연동할 때 해당 장비를 운영하는 팀과 먼저 로그 전송 방식이나 수집 가능한 로그 범위를 확인하는 과정이 필요합니다. 장비마다 로그 구조나 전송 방식이 다르기 때문에 어떤 로그를 수집할 수 있는지, 어떤 이벤트가 실제로 의미 있는 데이터인지 담당자와 함께 확인하면서 수집 구성을 진행합니다. 또 마이그레이션 프로젝트에서는 기존 SIEM에서 어떤 로그를 수집하고 있었는지 파악하고 새로운 플랫폼에서 동일하게 수집이 가능한지 확인하는 과정이 필요합니다.📈 이때 보안팀뿐 아니라 네트워크나 시스템 운영팀과 함께 로그 발생 위치나 전송 경로를 확인하면서 수집 구성을 조정하는 경우도 있습니다. 그래서 SIEM 엔지니어는 단순히 플랫폼을 운영하는 역할보다는 여러 시스템과 보안 장비를 연결하는 과정에서 다양한 팀과 협업하면서 로그 수집 구조를 설계하는 역할에 가깝다고 생각합니다.✨
제목없음
Q. 보안 데이터 분석 엔지니어(SIEM/SOAR) 직무에서만 할 수 있는 특별한 경험이 있나요?
수진 : 다른 곳에서 경험하기 힘든 테라(TB) 단위의 대규모 보안 로그와 정형·비정형을 아우르는 다양한 보안 데이터를 실제 서비스 환경에서 다룹니다.🌐 데이터의 규모가 커질수록 기하급수적으로 늘어나는 보안 위협과 기술적 이슈들을 직접 해결하며, 대용량 데이터를 가공하여 유의미한 보안 인텔리전스를 도출하는 전 과정을 주도합니다.📣 특히 방대한 데이터 속에서 정교하게 숨겨진 이상 징후를 식별하고 분석하는 과정은 데이터 업계에서도 매우 흥미로운 경험입니다. 우리 팀원들은 큰 규모의 데이터에서 가치있는 값을 얻어냈을때의 경험에서 성취감을 얻으며 지속 가능한 동기를 얻습니다.⚡
제목없음
Q. SIEM 구축 프로젝트에서 새로운 로그를 온보딩할 때 보통 어떤 순서로 작업을 진행하시나요?
수진 : 보통 새로운 로그를 온보딩하거나 SIEM 구축을 진행할 때는 먼저 전체 아키텍처를 파악하는 것부터 시작합니다.🔍 로그가 어떤 시스템에서 발생하고 어떤 경로로 전달되는지 확인해야 이후 수집 구성을 설계할 수 있기 때문입니다. 그 다음으로는 데이터 파이프라인을 확인하거나 구성합니다.⚙️ 로그가 어떤 방식으로 전달될지 정하고 SIEM까지 안정적으로 들어올 수 있는 수집 경로를 먼저 잡는 과정입니다. 이후에는 실제 로그 수집과 파싱 작업을 진행합니다. 로그가 정상적으로 들어오는지 확인하고 필요한 필드들이 제대로 추출되는지 데이터를 보면서 파서를 조정하는 작업을 진행합니다. 로그 데이터가 안정적으로 들어오기 시작하면 그 다음 단계로 탐지 룰을 작성하거나 필요한 분석 로직을 구성합니다.💻 이후에는 보안팀에서 쉽게 확인할 수 있도록 대시보드나 가시화 구성을 진행하기도 합니다. 마지막으로 운영 단계에서는 SOAR와 연동해서 일부 대응 절차를 자동화하는 작업까지 이어지는 경우도 있습니다. 그래서 전체적으로 보면 보통 아키텍처 파악 → 데이터 파이프라인 구성 → 로그 수집/파싱 → 탐지 룰 → 가시화 → SOAR 연동 이런 흐름으로 작업이 진행되는 경우가 많습니다.🔗
제목없음
#3 Meet Halo
제목없음
Q. 미래의 HALO 크루가 될 주니어 지원자에게, '우리 팀에 오면 이런 건 확실히 보장한다!'라고 약속할 수 있는 딱 한 가지는 무엇인가요?
수진 : 같이 고민할 수 있는 팀! 약속하겠습니다. 각자 맡은 솔루션, 고객사의 환경에 따라 똑같아 보이는 작업이라도 다르게 풀어가야하는 상황이 분명 있습니다. 혼자 고민하게 두지않고 각자가 가진 노하우를 나누며 같이 고민해나가며 풀어가는 동행이 될 수 있도록 하겠습니다!🙌
