그만 두자 캠페인 — 공포·유행어 추격을 멈추고 ‘증거 중심 보안’으로 🛑
By PLURA
🕵️♂️ 캠페인: 그만 두자 캠페인
🛑 공포 마케팅을 멈추고,
⛔ 유행어 추격을 멈추고,
💡 증거로 설득하자.
한 줄 선언
“우리는 더 이상 ‘공포’나 ‘신종 제품 유행어’로 보안을 팔지 않는다.
정의(Problem Definition) → 증거(Evidence) → 성과(Outcome)로 보안을 운영한다.”
1) 왜 지금 ‘그만 두자’인가
- 공포 마케팅의 부작용: 불필요한 과투자·과대응을 유발하고, 실제 위험과 우선순위를 흐립니다.
- 유행어 추격의 비용: SIEM → SOAR → ZTA → SASE/SSE → SaAT … 이름만 바뀔 뿐 조직의 핵심 리스크는 그대로입니다.
- 현장의 피로: 도구가 전략을 지배하면 운영자는 알림·대시보드 노동에 매몰되고, 사고의 본질·증거가 사라집니다.
- 대안: 증거 중심 보안(Evidence-based Security) — 측정 가능한 위협 가설을 세우고, 로그·텔레메트리·사건 기록으로 검증하며, SLO로 책임집니다.
2) 우리는 ‘이것’을 그만 둔다
- 공포 마케팅 그만: “XX 안 하면 망한다” 대신, 위험 시나리오·발생빈도·영향을 계량치로 제시.
- 신종 제품 유행어 추격 그만: 제품군 명칭이 아니라 해결할 문제 정의로 요구사항을 작성.
- 도구 주도 전략 그만: “제품 기능”이 아닌 공격자 모델·ATT&CK 맵·운영 시나리오가 우선.
- 미검·오탐 감추기 그만: 탐지 갭 리포트를 정기 공개(내부)하고, 개선 목표를 분기 SLO로 고정.
- 브랜드/슬로건 남용 그만: 지표 없이 “AI/지능형” 금지. 탐지 리드타임·차단율·MTTR이 없으면 주장도 없다.
3) 대신 ‘이것’을 시작한다 — 3단 분해 운영
A. 정의(Problem Definition)
- 상위 5개 비즈니스 프로세스와 그 공급망 의존성을 식별
- 각 프로세스별 가장 경제적인 공격 경로(예: 초기웹침투→백도어→데이터 이탈)를 ATT&CK로 표기
- SLO: “우선순위 #1 경로에 대한 ‘탐지까지 시간(TTD)’ 7분 이내”
B. 증거(Evidence)
- PLURA-XDR로 웹/WAF + EDR + OS/클라우드 로그를 단일 타임라인 증거로 수집
- 탐지 갭 표(탐지 실패/오탐/과탐)를 월간 공개(내부) 및 보완 계획 병기
- SLO: 오탐 비율 ≤ 2.5%, 미탐 재현 테스트 통과율 ≥ 95%
C. 성과(Outcome)
- 사건 스토리보드(Kill-Chain/ATT&CK)로 재구성 → 재발 방지 변경점을 CMDB/정책 PR에 연결
- SLO: MTTR 90p ≤ 60분, 동일경로 재발 ≤ 1건/분기
4) ‘유행어 추격’ 대신 쓰는 요구사항 템플릿
문제 정의 → 증거 → 성과 3문장 규격
- 문제: “협력사 웹 서비스 경유 공급망 침투(T1190/웹 취약점 악용) 위험이 ‘중’이며, 월 3회 재현됨.”
- 증거: “지난 60일간 WAF 미탐 4건은 EDR/OS 로그 상 RCE 흔적으로 검증됨. IoC 18건 축적.”
- 성과: “PLURA-XDR로 WAF 미탐 재현 테스트를 CI처럼 주 1회 자동화, TTD 7분, 차단율 99% 달성.”
5) 실행 체크리스트(주간·월간)
- 탐지 갭 리포트 발행: 미탐/오탐/과탐과 원인·개선 기록
- 재현 테스트 세트 운영: 최근 사고 5종, 릴리즈 후 자동 실행
- 아웃바운드 통제 점검: 차단 규칙·허용 리스트 드리프트 탐지
- 공급망(협력사) 가시성: 계정·API·SSH 키 사용 흔적 상관
- 사건 스토리보드: 모든 P1/P2 사건은 ATT&CK 타임라인으로 정리 후 지식화
6) 측정 지표(SLO/북극성)
- 탐지까지 시간(TTD) P90 ≤ 7m / P99 ≤ 15m
- 대응까지 시간(TTR) P90 ≤ 30m
- 오탐 비율(FPR) ≤ 2.5% / 미탐 재현 통과율 ≥ 95%
- 차단 전 데이터 유출 바이트 P90 = 0
- 협력사 가시성 커버리지 ≥ 85% (로그 수집 동의+전송 정상)
7) PLURA-XDR로 ‘증거 중심’ 구현하기 (간단 맵)
- 웹 진입면: WAF 탐지 + 미탐 원시 로그 → XDR 상관으로 RCE/RFI/HFS 패턴 검증
- 호스트면: EDR 프로세스·파일·네트워크 → 웹 이벤트와 교차(PID/Hash/IP)
- 증거묶음: 사건별 타임라인 카드(지표·PCAP·해시·ATT&CK 태그) 자동 저장
- 재현 테스트: 최근 미탐 페이로드 CI 파이프라인 연결 → 배포 전/후 아웃컴 비교
8) 메시지 가이드(내부·대외)
- 금지: “최신 위협 무조건 위험”, “XXX 안 쓰면 뚫린다”, “AI가 다 해결”
- 권장: “우리의 최상위 위험 시나리오는 X이며, 최근 60일간 Y로 입증. SLO는 Z다.”
- 한 문장 버전: “우리는 공포·유행어 대신 정의·증거·성과로 보안을 말합니다.”
9) 포스터/배너 문구
- “공포 말고 증거.”
- “유행어 말고 성과.”
- “도구가 아니라 문제정의부터.”
10) FAQ
Q. ‘SIEM/SOAR/ZTA 안 쓰면 위험’ 아닌가요?
A. 기술은 수단입니다. 우리 위험 시나리오에 대한 측정 가능한 개선이 없으면, 도입 이유가 없습니다.
Q. 영업에 불리하지 않나요?
A. 오히려 신뢰를 얻습니다. TTD·MTTR·차단율 같은 결과로 설득합니다.