전 세계적으로, 마르셀은 포럼과 블로그 포스트를 통해 Microsoft Sentinel 및 Microsoft Defender XDR에 대한 실용적인 탐지 엔지니어링(Detection Engineering) 통찰력을 공유합니다. 지역적으로는 마이크로소프트 기술을 사용하는 독일 기업들이 실제 경험과 전문 지식을 교환하는 '마이크로소프트 비즈니스 사용자 포럼(Microsoft Business User Forum)'의 IT 보안 그룹에서 소속 회사를 대표하고 있습니다.
마르셀이 가장 가치 있게 여기는 일은 사람들이 IT 분야에 진입할 수 있도록 돕는 것입니다. 독일에서 "Fachinformatiker(전문 정보 기술자)"는 수년간의 도제 교육(Apprenticeship)을 통해 습득하는 공인된 IT 직업이며, 그는 수습생들을 직접 교육해 온 것에 자부심을 느낍니다. 또한 그는 독일 상공회의소(IHK)의 시험관으로서 이러한 IT 수습생들의 최종 시험을 평가하는 역할도 맡고 있습니다.
이러한 헌신은 그를 더 어린 학습자들에게로 이끌었고, 학교에서 사이버 보안 수업을 가르치거나 '걸스 데이(Girls’ Day)'에 참여하여 여학생들에게 이 분야를 소개하기도 했습니다. “제가 이 일을 하는 이유는 대부분의 사람들이 교육 과정의 아주 후반부에 이르러서야, 혹은 아예 기회조차 없이 보안 업무에 대한 정직한 시각을 갖게 되기 때문입니다. 이 분야가 창의적이고 다양하며 정말 흥미롭다는 것을 누군가에게 일찍 보여주는 것만으로도 그 사람의 인생 경로를 바꿀 수 있습니다. 단 몇 명에게라도 그런 영향을 미칠 수 있다는 것은 제 이력서에 적힐 그 어떤 화려한 경력보다 큰 의미가 있습니다.”
이제 마르셀로부터 그의 마이크로소프트 보안 커뮤니티 활동과 제품 경험에 대해 더 자세히 들어보겠습니다.
모든 답변은 마르셀의 말을 직접 인용한 것입니다.
마이크로소프트 보안 커뮤니티의 일원으로서 가장 보람 있는 점은 무엇인가요?
제게 가장 보람 있는 부분은 교류가 매우 실용적이라는 점입니다. 마이크로소프트 보안 도구들은 매우 빠르게 변화합니다. Microsoft Sentinel, Microsoft Defender XDR, 그리고 Microsoft Security Copilot 모두 매달 기능이 바뀌며, 그 누구도 혼자서는 이 모든 것을 따라잡을 수 없습니다. 커뮤니티는 바로 그 간극을 메워주는 곳입니다. 다른 사람이 자신의 환경에서 탐지 기능을 어떻게 튜닝했는지 읽을 때, 혹은 제가 게시한 내용에 대해 제가 고려하지 못했던 문제점을 누군가 지적해 줄 때 제 작업의 품질은 더욱 높아집니다. 이것은 공식 문서에서는 얻을 수 없는 피드백 루프입니다. 또 다른 가치는 이것이 양방향으로 작동한다는 점입니다. 저는 저보다 경험이 많은 사람들에게 배우는 독자로 시작했지만, 이제는 제가 가진 것을 되돌려줄 수 있는 위치에 왔습니다. 그러한 변화를 지켜보는 것 자체가 정말 큰 동기부여가 되었습니다.
마이크로소프트 보안 제품을 사용한 지 얼마나 되셨나요?
10년이 넘었습니다! 제가 마이크로소프트 보안 분야로 들어온 길은 보안 그 자체보다는 인프라를 통해서였습니다. 저는 Active Directory와 VMware 환경, 즉 온프레미스 세상을 관리하는 것으로 시작했습니다. 그곳에서 저는 ID, 엔드포인트, 그리고 그것들이 만들어내는 조용한 공격 표면(Attack Surface)을 처음으로 이해하게 되었습니다. 당시 보안은 인프라 위에 겹쳐진 무언가였습니다. 모든 것을 바꾼 것은 클라우드로의 전환이었습니다.
제가 작업하는 환경이 Microsoft Azure와 Microsoft 365로 이동하면서, "운영하는 것"과 "보안을 유지하는 것" 사이의 오래된 구분이 더 이상 의미가 없어졌습니다. 클라우드 우선(Cloud-first) 환경에서는 ID가 경계(Perimeter)가 되고, 로그인 로그가 범죄 현장이 되며, 예전에는 여러 서버에 흩어져 있던 텔레메트리가 한곳에 모여 실제로 쿼리를 날릴 수 있게 되었습니다. 그 순간 마이크로소프트의 보안 스택은 저에게 단순한 제품 세트가 아니라 하나의 작업 환경이 되었습니다.
인프라 운영에서 보안 중심으로 역할을 옮기면서(처음에는 IT 인프라 및 보안 팀장으로, 그다음에는 IT 보안 전문가로, 현재는 Azure 및 M365 환경의 아키텍처와 침해 사고 대응에 집중하는 IT 보안 관리자로), Sentinel과 Defender XDR은 '알고 있는 도구'에서 '매일 사용하는 도구'가 되었습니다. 인프라 배경지식은 우회로가 아니라 오히려 강점이 되었습니다. 탐지 엔지니어링은 여러분이 직접 탐지 규칙을 작성하고 있는 바로 그 신호를 생성하는 Active Directory와 엔드포인트를 직접 운영해 본 경험이 있을 때 훨씬 더 깊이 이해됩니다. 또한 클라우드 보안은 온프레미스 모델의 한계를 몸소 느껴본 후에야 클라우드가 왜 그 모델을 대체했는지 더 명확히 이해할 수 있습니다. 제가 계속 이 일에 몰입하는 이유는 이 모든 것이 멈춰있지 않기 때문입니다. 클라우드 보안 환경은 끊임없이 변하고, 일은 결코 끝나지 않으며, 그것이 바로 제가 이 일을 좋아하는 이유입니다.
어떤 마이크로소프트 보안 기능이나 제품이 가장 큰 영향을 주었나요?
저에게 가장 큰 영향을 준 단 하나를 꼽으라면 클라우드 네이티브 SIEM 및 SOAR 플랫폼인 Microsoft Sentinel입니다. 자체 호스팅 SIEM에서 벗어난다는 것은 겉으로 보이는 것보다 더 큰 의미를 갖습니다. 전통적인 SIEM은 그 자체가 사이징, 호스팅, 패치, 확장이 필요한 하나의 인프라였고, 그러한 노력은 실제 보안 업무와 끊임없이 경쟁해야 했습니다. Microsoft Sentinel은 그 계층을 제거해 줍니다. 유지해야 할 플랫폼 자산도 없고 SIEM 자체에 대한 용량 계획도 필요 없으므로, 정작 중요한 일, 즉 올바른 텔레메트리를 확보하고 탐지 및 대응을 제대로 수행하는 데 집중할 수 있게 해줍니다.
제가 가장 높게 평가하는 점은 Sentinel이 현대적인 클라우드 우선 환경에 얼마나 자연스럽게 녹아드는가 하는 점입니다. 보호해야 할 자산이 이미 Azure와 Microsoft 365에 있다면, 같은 위치에 있는 보안 플랫폼을 사용하는 것만으로도 통합 과정의 마찰이 크게 줄어듭니다. 또 다른 강점은 데이터 온보딩의 폭이 넓다는 것입니다. 전통적인 SIEM의 경우, 새로운 로그 소스를 연결하는 것은 커넥터를 만들고 파서를 유지 관리해야 하는 그 자체로 하나의 작은 프로젝트였습니다. Sentinel을 사용하면 그러한 마찰이 거의 사라집니다. 소스가 온프레미스에 있든, 다른 클라우드에 있든, 제3자 제품에 있든 간에 연결이 매우 직관적이며, 단순한 연결을 넘어 실질적으로 중요한 통합의 깊이를 제공합니다. Microsoft Sentinel은 여러분이 연결하려는 거의 모든 것을 처리해 냅니다.
마찬가지로 중요한 점은 SIEM과 SOAR가 별개의 플랫폼이 아니라는 점입니다. 오케스트레이션 및 자동화 계층이 동일한 솔루션 내에 구축되어 있으므로, 탐지에 사용된 것과 동일한 데이터를 기반으로 대응 플레이북이 실행됩니다. 아키텍처 측면에서 이는 실질적인 이점입니다. 탐지와 대응이 나중에 짜맞춰진 것이 아니라 하나의 시스템으로 설계되었기 때문입니다. 중앙 집중식 텔레메트리 계층은 나중에 되돌리기 정말 어려운 결정 중 하나인데, Sentinel은 그 결정을 매우 쉽게 만들어 줍니다.
마이크로소프트 커뮤니티에 참여하고 싶어 하는 다른 분들에게 해주고 싶은 조언이 있나요?
제 조언은 "준비가 되었다고 느끼기 전에 시작하라"는 것입니다. 저도 직접 게시물을 올리기 전까지 수년 동안 마이크로소프트 테크 커뮤니티(Microsoft Tech Community) 포럼을 읽기만 했습니다. 항상 더 많은 경험이 필요하다고 느꼈고, 제가 올리는 글이 그저 소음이 될까 봐 걱정했습니다. 하지만 그것은 잘못된 생각이었습니다. 실제로 기여를 시작한 순간, 제가 받은 피드백은 제 작업을 더 낫게 만들었고, 누군가에게 도움이 되는 기준이 밖에서 보는 것보다 훨씬 낮다는 것을 깨달았습니다. 해당 주제에 대한 최고의 전문가가 될 필요는 없습니다. 여러분이 겪은 실제 문제와 그것을 어떻게 해결했는지 기록하려는 의지만 있으면 됩니다. 지금 이 순간에도 누군가는 정확히 그 문제로 고생하고 있을 것입니다. 작게 시작하고, 꾸준함을 유지하며, 커뮤니티를 '무대'가 아닌 '교류의 장'으로 대하십시오. 단 하나의 화려한 게시물보다 꾸준함이 더 중요합니다.
그의 저서에 대하여 (All About His Book)
작년에 저는 "사이버 보안의 새로운 현실(Die neue Realität der Cybersecurity)"(2025)을 출간했습니다. 이 책은 현재 모든 보안 팀이 고민하고 있는 질문을 다룹니다. “AI가 보안 아키텍처와 침해 사고 대응을 진정으로 강화하는 부분은 어디이며, 단순히 마케팅적 소음에 불과한 부분은 어디인가?” 이 책은 추상적인 이론에 머물기보다 실무자의 관점에서 질문을 던집니다. AI가 방어 가능한 시스템을 설계하고 사고에 대응하는 업무를 실제로 어떻게 변화시키는지, 그리고 그 한계와 위험이 어디에 있는지 살펴봅니다. 보안 아키텍트, 침해 사고 대응(IR) 실무자, 그리고 마케팅 미사여구 없이 AI에 대한 결정을 내려야 하는 리더들을 위해 쓰여졌습니다. 여러분의 책상 위에도 이 질문이 놓여 있다면 읽어볼 가치가 있을 것입니다.
마르셀과 연결하기
![Marcel Graewer Image]
- Microsoft Tech Community: @marcel_graewer
- Linkedin: https://www.linkedin.com/in/mgraewer/
- Github: https://github.com/bifrost0x
- 블로그: graewer.com 및 magra-sec.de
- 도서: Die neue Realität der Cybersecurity (ISBN: 9783695708833)
마르셀 그래버는 현재 Festool Group의 IT 보안 관리자이며 CISSP 자격증을 보유하고 있습니다. 업무 외적으로 그는 자신만의 방식으로 기술을 실험할 때 가장 행복해합니다. 그는 Playground이자 테스트베드로 Proxmox 기반의 홈랩을 운영하며 다양한 셀프 호스팅 서비스와 Docker 컨테이너를 실행합니다. 이곳은 공식적인 변경 관리 프로세스의 제약 없이 무언가를 깨뜨리고, 배우고, 탐구할 수 있는 공간입니다. 또한 그는 Hack The Box와 TryHackMe에 시간을 투자하며, 공격적인 측면(Offensive side)을 날카롭게 유지하는 것이 그를 더 강력한 방어자로 만든다고 믿습니다. 키보드를 떠나면 그의 삶은 상쾌할 정도로 아날로그적입니다. 두 자녀를 포함한 그의 가족은 항상 할 일이 끊이지 않는 오래된 집에 살고 있습니다. 홈랩과 집 관리 사이에서 고칠 거리가 부족할 틈이 없으며, 그는 그런 삶에 매우 만족하고 있습니다.
마이크로소프트 보안 커뮤니티에서 배우고 참여하세요
- 로그인 후 마이크로소프트 보안 커뮤니티 블로그(Microsoft Security Community Blog)를 팔로우하세요.
- 팔로우 방법 = 로그인 후 오른쪽 상단의 하트(🤍)를 클릭하세요.
- 마이크로소프트 보안 커뮤니티(Microsoft Security Community)에 가입하여 향후 이벤트, 제품 피드백 설문 조사 등의 알림을 받으세요.
- 마이크로소프트 보안 어드바이저(Microsoft Security Advisors)에 가입하여 마이크로소프트 보안 제품을 조기에 사용해 보고 엔지니어에게 피드백을 전달하세요.
- 마이크로소프트 보안 커뮤니티 LinkedIn 그룹에 가입하고 LinkedIn의 Microsoft Entra 커뮤니티를 팔로우하세요.