01 · 제가 하는 일
실제 업무
- 단일 인스턴스든, 분산 구성이든, 포워더 기반 수집이든 환경에 맞게 Splunk를 배포하고 사이징합니다.
- 데이터 유형별로 인덱스와 보존 기간을 설계해 검색은 빠르게, 스토리지는 합리적으로 유지합니다.
- 정확한 sourcetype, 타임스탬프, 줄바꿈, 필드 추출로 소스를 깔끔하게 온보딩합니다.
- 로그를 Common Information Model로 정규화해 여러 벤더에 걸쳐 검색과 탐지가 동작하도록 합니다.
- MITRE ATT&CK 기법에 매핑된 알림과 상관 검색을 설계하고, 오탐을 줄이도록 튜닝합니다.
- SOC 분류, 경영진 가시성, 감사 보고를 위한 역할 기반 대시보드를 구축합니다.
- 탐지 로직과 튜닝 내용을 문서화해, 제가 없어도 팀이 이를 유지하고 확장할 수 있게 합니다.
02 · 얻으시는 것
최종적으로 남는 결과물
- 데이터와 예산에 맞는 인덱스와 보존 정책을 갖춘, 실제로 작동하는 Splunk 배포 환경.
- 온보딩되고 CIM으로 정규화된 소스. 검색 한 번으로 여러 벤더를 아우릅니다.
- ATT&CK에 매핑되어 튜닝된 알림 세트. 노이즈가 아니라 실제 위협에만 호출이 울립니다.
- SOC, 경영진, 감사자가 저마다 실제로 읽을 수 있는 대시보드.
- 모든 탐지·소스·튜닝 결정에 대한 문서. 계약이 끝나도 시스템이 살아남도록 합니다.
03 · 도구와 지식
이 분야에서 다루는 것들
04 · 제 접근 방식
계획하고, 범위를 정하고, 끝까지 책임집니다
30분 범위 산정 통화로 시작해, 당일에 적합성 평가서를 서면으로 보내 드립니다. 그래야 무엇이 현실적인지 서로 분명해집니다. 운영 환경에 손대기 전에 저는 롤백을 포함한 문서화된 변경 계획을 작성하며, 알려진 상태로 되돌릴 수 있도록 데이터와 설정 백업까지 포함합니다. 온보딩과 탐지 변경은 정해진 작업 시간 내에 진행하고, 올바른 파싱, CIM 필드 커버리지, 알림 발생률 같은 게이트로 검증하며, 그 과정 내내 롤백을 직접 책임집니다. 좋은 탐지는 반복을 거쳐 다듬어지기에 한 번에 몰아서가 아니라 여러 차례에 걸쳐 튜닝합니다. 노이즈가 줄어든다고 약속만 하기보다 줄어드는 모습을 직접 보여 드리고 싶기 때문입니다.
05 · 질문
좋은 질문에 대한 솔직한 답변
새로 배포하는 대신 기존 Splunk 설치 환경에서 작업할 수 있나요?
네. 제 가치의 상당 부분은 이미 있는 것을 정리하는 데 있습니다. 깨진 sourcetype과 타임스탬프를 바로잡고, CIM으로 정규화하고, 시끄러운 알림을 솎아 내고, 대시보드를 다시 구축하는 일이죠. 재구축을 권하기 전에 먼저 현재 환경부터 평가합니다.
알림이 오탐으로 팀을 압도하지 않게 하려면 어떻게 하나요?
탐지를 특정 ATT&CK 기법에 매핑하고, 먼저 정상 활동의 기준선을 잡은 뒤, 발생률을 지켜보며 여러 차례에 걸쳐 튜닝합니다. 호출을 울리는 알림이라면 누군가를 깨울 만한 가치가 있어야 하며, 나중에 임계값을 조정할 수 있도록 그 로직을 문서로 남깁니다.
Splunk만 다루시나요, 아니면 다른 SIEM 플랫폼도 다루시나요?
이 페이지는 Splunk에 관한 것이며, 인덱스 설계, CIM, 탐지 엔지니어링에서 제가 가장 깊이 파고드는 분야입니다. 깔끔한 온보딩과 ATT&CK에 매핑된 알림이라는 기본 방법론은 다른 플랫폼에도 그대로 이어지지만, 시작하기 전에 제 숙련도가 어느 정도인지 솔직하게 말씀드리겠습니다.
06 · 관련 경험