OCSF란 무엇인가?
OCSF(Open Cybersecurity Schema Framework)는 보안 데이터 사일로를 제거하고 벤더와 애플리케이션 간 이벤트 형식을 표준화하기 위한 오픈소스 프로젝트입니다. 2022년 8월 Splunk, AWS, IBM 및 15개 사이버보안 기업들이 Black Hat USA 2022에서 출시했습니다.
주요 발전 현황
OCSF는 설립 1주년을 맞아 다음과 같은 성과를 이루었습니다:
- 커뮤니티 대폭 확장: 145개 이상의 조직과 435명의 개인 기여자로 8배 이상 성장
- 벤더 중립적 보안 스키마: 조직이 어떤 환경, 애플리케이션, 솔루션에도 통합할 수 있는 오픈 프레임워크 제공
- 주요 기업 도입: 다수의 Fortune 500 기업과 공공 기관에서 내부적으로 OCSF 스키마 채택
기술적 의의
OCSF의 핵심 가치는 다음과 같습니다:
- 데이터 정규화 비용 절감: 보안팀이 데이터 변환에 시간을 소모하지 않고 분석에 집중할 수 있음
- 일관된 데이터 형식: OCSF 스키마를 활용하는 보안 솔루션은 동일한 형식의 데이터를 생성
- 위협 탐지 시간 단축: 표준화된 데이터로 분석 속도가 향상되어 탐지 시간 단축
실무적 이점
보안 엔지니어와 운영자들에게 OCSF는 다음과 같은 실질적 이점을 제공합니다:
- 여러 보안 도구의 데이터를 하나의 일관된 형식으로 통합
- 복잡한 데이터 변환 작업 없이 보안 데이터 분석 가능
- 다양한 벤더의 도구 간 상호운용성 향상
OCSF의 핵심 설계 원칙
OCSF는 다음과 같은 주요 설계 원칙에 따라 개발되었습니다:
- 객체 지향 접근방식: 이벤트를 명사(객체)와 동사(활동)로 구조화하여 보안 데이터의 의미론적 표현을 가능하게 함
- 이벤트 중심 설계: 모든 보안 데이터를 이벤트로 모델링하여 일관된 처리 가능
- 확장성: 기본 클래스를 확장하여 새로운 이벤트 유형과 속성을 추가할 수 있는 유연한 구조
- 계층적 구조: 상속을 통해 이벤트 유형 간 관계를 정의하고 중복을 최소화
OCSF 스키마의 구성요소
OCSF 스키마는 다음과 같은 주요 구성요소로 이루어져 있습니다:
- 이벤트 클래스: 보안 이벤트의 종류를 정의 (예: 인증, 파일 활동, 네트워크 활동 등)
- 확장: 특정 영역이나 사용 사례에 맞는 추가 속성 정의
- 프로필: 특정 도메인이나 산업에 맞게 커스터마이징된 스키마 버전
- 딕셔너리: 속성과 열거형 값의 정의를 포함한 용어 사전
Reference)
OCSF Celebrates First Anniversary with the Launch of a New Open Data Schema
Black Hat USA 2023-- The Open Cybersecurity Schema Framework (OCSF), an open-source project established to remove security data silos and standardize event f...
www.businesswire.com
Open Cybersecurity Schema Framework
Open Cybersecurity Schema Framework has 14 repositories available. Follow their code on GitHub.
github.com
'Security' 카테고리의 다른 글
| [Security] DSPM/DLP: 현대 데이터 보안의 핵심 전략과 구현 방안 (4) | 2025.07.31 |
|---|---|
| [Security] AWS Security Hub: AWS CSPM 도구 (0) | 2024.09.04 |
| [Security] CSF Tools 소개 및 가이드 (0) | 2024.08.06 |
| [Security] 보안 공학 원칙 (SA-8: Security Engineering Principles) (0) | 2024.08.05 |
| [Security] SLSA 프레임워크 내에서 시크릿 탐지와 제거의 중요성 (0) | 2024.07.31 |
