보안담당자의 업무 지옥 탈출기 (1)

야근할것 같아가 ‘정신이 혼미해져서’ 자동화를 만들었다

솔직히 말하면 이 글은 토할것 같은 업무량과 퇴근시간을 지키고 싶어 시작된 프로젝트다.

문득 생각했다.

‘나 왜 이러고 살지?’

 

그렇게 업무 지옥 탈출 프로젝트가 시작되었다.

 

회사에서 내부정보 유출 모니터링을 맡고 있다.
쉽게 말하면 "회사 자료 몰래 빼가는 사람 잡는 일"인데, 실제로는 ‘잡는’ 것보다 ‘기록하고 메일 보내고 엑셀 정리하고 추적관리’ 하는게 더 힘들다. (디질거 같음)

---

문제의 시작: 자기 메일 유출

가장 흔한 유출 패턴이 뭔지 아는가.
USB? 클라우드?

아니다. 개인 메일 보내기다.

 

dbac@회사.com → dbac123@naver.com

이런 식이다.

본인 아이디랑 거의 비슷한 외부 메일로, 첨부파일 달아서 슝 보내버린다.
퇴사 전에 자료 슬쩍 빼가는, 아주 클래식한 수법이다.
그리고 의외로… 이거 잡기 어렵다. (양도 오지게 많음)

---

내가 하던 방식 (지옥 오브 지옥)

 

1. 보안장비 접속
2. 쿼리 돌려서 로그 검색
3. 눈으로 하나하나 확인
4. 의심 건 발견 → Outlook 열어서 소명요청 메일 작성
5. 보내고 엑셀에 기록
6. 회신 오면 또 엑셀에 기록
7. 안 오면 리마인더 메일
8. 주간 보고서 작성

이걸 매일 했다. 진짜로, 매.일.

출근하면 확인, 점심 전에 메일, 오후엔 회신 체크, 퇴근 전에 엑셀 정리.
탐지 건수 많으면 하루가 그냥 이걸로 끝났다.
내 인생도 같이 끝나는 줄.

---

진짜 문제는 따로 있었다

단순히 귀찮은 게 아니었다.
사람이 하는 일이니 오류가 생겼다.

•  휴가 가면 아무도 안 한다
•  누락 생긴다 → ‘이거 보냈나…?’ 엑셀 뒤져야 함
•  이력 추적 안 된다 → 감사팀에서 "3개월 전 김OO 건?" 물어보면 엑셀 5개 뒤짐
•  미회신자 관리 힘듦 → 매번 필터 돌려서 수작업 확인

보다 보면 이런 문제에 대해
다른 팀에서 협조 요청이 올 것 같고,
윗선에서는 “이거 네가 좀 해봐” 할 게 뻔히 보였다.

어차피 받을 업무면 먼저 주도해서 해버리자 싶었다.
그래서 시작했다.

근데 업무 전체 프로세스를 A부터 Z까지 쭉 살펴봤는데...

이거 내가 한다고 해버리면, 진짜 이 일만 하다가 인생 끝나겠구나.

진심으로… 자동화 말고는 살 길이 없었다.

---

마침 회사에 M365가 있었다

회사에서 M365를 이미 쓰고 있었고,
Power Automate, SharePoint, Teams, Forms
이 모든 게 라이선스만 있고, 아무도 안 쓰고 있었다.

"이거다…" 싶은 촉이 왔다.

그래서 한 번 그림을 그려봤다.

---

자동화 구조 설계

[Splunk] → 10분마다 탐지, 웹훅 전송  
   ↓  
[Power Automate]  
  - Teams 알림 (보안팀 채널)  
  - SharePoint 저장 (이력 관리)  
  - 소명요청 메일 (유출 사용자에게 발송)

[MS Forms] 소명서 작성  
   ↓  
[Power Automate]  
  - 자동으로 상태 업데이트  
  - 회신 없으면 매일 9시 리마인더  
  - 매주 월요일 주간 리포트 자동 전송

 

핵심은 Power Automate 흐름 4개로
탐지부터 알림, 회신, 리포트까지 전부 자동화하는 거였다.

---

유출 탐지 기준은 이렇게 잡았다

자기 메일 유출을 잡으려면
**“보낸 메일 주소랑 받은 메일 주소가 비슷한가?”**를 봐야 한다.

• bacd@회사.com → bacd@naver.com → 유사도 100%
• bacd@회사.com → bacd@gmail.com → 꽤 높음
• bacd@회사.com → bacd@naver.com → 낮음

그래서 발신자-수신자 유사도 70% 이상이면 의심 대상!

거기에 조건을 더 붙였다:

• 외부 도메인일 것
• 첨부파일이 있을 것
• 10분 주기로 탐지

하루에 몇 건 안 잡히는데,
그 몇 건이 진짜 중요한 거다.

---

“Python으로 짜면 되지 않음?”

처음엔 나도 그 생각했다.
근데 곧 현실이 나를 때렸다.

• 서버는 어디에 올릴 건데?
• 누가 유지보수 하지?
• 나 퇴사하면? (거절하기엔 너무 나도 많은 돈이었다.jpg)

M365는 이미 회사에 있었고, 서버도 필요 없고, GUI 기반이라 후임도 금방 배운다.
솔직히 Power Automate가 답답할 때도 있지만, 이런 업무 자동화에는 꽤 괜찮다.

---

다음 편 예고

이번 글에서는
왜 만들었는지, 어떻게 설계했는지를 소개했다.

다음 편에서는 실전 편이다.

• Power Automate 흐름 4개 어떻게 만들었는지
• SharePoint 필드 설계할 때 삽질 안 하는 팁
• Forms랑 어떻게 매칭시키는지
• 중복 알림, 화이트리스트 같은 예외처리는 어떻게 했는지

같은 고민 중인 보안담당자 분들께
진짜 현실적인 팁이 되었으면 좋겠다.

궁금한 거 있으면 댓글 주세요.
야근 동지끼리는… 돕고 살아야지.

 

---

사용한 도구 & 명령어 요약

• Power Automate
  • 흐름 자동화 (알림, 메일, 리마인더, 리포트 등)
• SharePoint
  • 탐지 이력 저장 및 상태 관리
• MS Forms
  • 소명서 수집 및 자동 매칭
• Splunk
  • 로그 탐지 및 웹훅 전송
• Teams
  • 보안팀 채널 알림