SOC Platform · Splunk API · PostgreSQL Performance · SOAR Automation
Python/Django 기반 보안관제 플랫폼을 개발·운영하며,
대량 보안 이벤트 처리, PostgreSQL 성능 개선, Splunk API 연동 최적화, SOAR 기반 자동 대응을 다루고 있습니다.
운영 환경에서 반복되는 문제를 단순 처리하지 않고,
API·DB·배치·보안장비 연동 구조 개선을 통해 관제 지연과 장애 가능성을 줄이는 데 관심이 있습니다.
SOC 환경에서 대량 보안 이벤트 유입 시 발생하던 Splunk 연동 지연 문제를 개선했습니다.
jobs.create + job.results / ResultsReader기반 수집 구조를search/jobs/exportstreaming 방식으로 전환- 중복 검사 로직을 HashSet 기반 조회 구조로 개선
- 1,000건 처리 시간 30분 이상 → 약 5초
- Docker 기반 benchmark와 Splunk Python SDK 내부 분석 수행
SOC 포탈 대용량 조회 화면의 PostgreSQL 실행계획을 분석하고 조회 성능을 개선했습니다.
- Full Scan 발생 구간을 EXPLAIN 기반으로 분석
- 복합 인덱스, LATERAL JOIN, HOT/COLD 데이터 분리 적용
- 주요 조회 화면 응답시간 10초 → 0.5초, 30초 → 0.3초
SOAR를 보안장비 API Relay/실행 계층으로 활용하여 자동 대응 구조를 설계했습니다.
- Imperva WAF 기반 고객사 SaaS형 서비스 40개 연동
- 온프레미스 WINS IPS 16대 연동
- DDoS 임계치 기반 자동 차단 플레이북 구현
- 수동 차단·해제 작업 3~5분 → 30초 이내
