01 · 제가 하는 일
실제 업무
- Windows와 Linux 전반에 Trellix 엔드포인트 보호를 배포하고 튜닝하며, 벤더 기본값이 아니라 귀사 환경에 맞춘 정책을 적용합니다.
- 엔드포인트와 서버의 하드닝 기준을 설정한 뒤, 이를 문서화하고 강제하여 설정 변동이 조용히 묻히지 않고 눈에 보이도록 만듭니다.
- 취약점 스캔 결과를 단순 CVSS 점수가 아니라 실제 악용 가능성과 노출도를 기준으로 분류하여, 팀이 정말 중요한 것부터 먼저 고치도록 합니다.
- 검증된 방법으로 발견된 문제를 조치합니다. 패치, 설정 변경, 그리고 아직 패치가 없는 경우에는 보완 통제를 적용합니다.
- 모든 조치를 재스캔으로 검증하고 증거를 기록하여, 닫힘으로 표시된 문제가 계속 닫힌 상태로 유지되도록 합니다.
- 엔드포인트 탐지와 커버리지를 MITRE ATT&CK에 매핑하여, 무엇을 탐지하고 있고 어디에 공백이 있는지 한눈에 볼 수 있게 합니다.
- 오탐을 줄이도록 알림을 튜닝하여, 아무도 보지 않는 콘솔이 아니라 팀이 실제로 대응할 신호만 남깁니다.
02 · 얻으시는 것
최종적으로 남는 결과물
- 귀사 환경에 맞게 튜닝된 관리형 Trellix 배포 환경으로, 팀이 읽고 변경할 수 있는 정책을 갖춥니다.
- 감사 기준으로 삼을 수 있는 문서화된 엔드포인트 기준으로, 변동이 쌓이기 전에 일찍 잡아냅니다.
- 실제로 줄어드는 취약점 백로그로, 닫힌 문제 하나하나가 재스캔으로 뒷받침됩니다.
- 팀이 신뢰하는 알림 체계입니다. 잡음이 사라지고 남은 것은 모두 실제 신호이기 때문입니다.
- 무엇이 바뀌었고, 왜 바뀌었으며, 무엇이 아직 추적 중인지를 담은 짧은 서면 기록을 팀에 전달합니다.
03 · 도구와 지식
이 분야에서 다루는 것들
04 · 제 접근 방식
계획하고, 범위를 정하고, 끝까지 책임집니다
30분간의 범위 산정 통화로 시작하며, 그날 안에 서면 적합성 평가를 보내드려서 어디에 진짜 노출이 있는지 무엇을 건드리기 전에 먼저 파악하실 수 있습니다. 그다음에는 모든 운영 환경 변경에 대해 롤백이 포함된 문서화된 변경 계획을 따라 작업합니다. 운영 중인 엔드포인트를 하드닝하다가 무언가가 망가질 수 있으니, 되돌아갈 경로를 먼저 종이에 적어 두고 싶기 때문입니다. 정책 배포, 기준 변경, 조치 작업은 정해진 작업 시간 안에서 진행하고, 사전에 합의한 검증 기준에 비추어 확인하며, 기준을 통과하지 못하면 롤백은 제가 직접 책임집니다. 제 말만으로 완료 처리되는 것은 아무것도 없습니다. 발견된 문제는 재스캔으로 확인되고 그 증거가 기록되었을 때 비로소 닫힙니다.
05 · 질문
좋은 질문에 대한 솔직한 답변
엔드포인트 도구를 교체하시나요, 아니면 이미 사용 중인 것을 그대로 활용하시나요?
둘 다 가능합니다. 이미 Trellix를 쓰고 계시면 기존 환경을 튜닝하고 정리합니다. 새로 도입하거나 전환하시는 경우에는 처음부터 배포하고 구성합니다. 필요하지도 않은 전면 교체를 밀어붙이지 않습니다.
무엇부터 먼저 조치할지 어떻게 정하시나요?
단순 스캔 점수가 아니라 실제 노출도를 기준으로 정합니다. 격리된 장비의 높은 CVSS 문제는, 인터넷에 노출되어 실제로 표적이 되고 있는 중간 등급 문제보다 뒤로 밀릴 수 있습니다. 악용 가능성, 노출도, 그리고 MITRE ATT&CK가 보여주는 공격자의 실제 사용 기법을 따져본 뒤 그 순서대로 고칩니다.
당장 패치할 수 없는 문제는 어떻게 하시나요?
그대로 열어둔 채 잊혀지지 않습니다. 아직 패치가 없는 경우에는 보완 통제를 적용하고, 위험과 대응 계획을 문서화하며, 실제 해결책이 적용될 때까지 추적 관리합니다.
06 · 관련 경험