[컴퓨터월드] 이글루시큐리티가 20여년간 축적해온 보안 관제 역량을 바탕으로 보안 오케스트레이션 및 자동화·대응(SOAR. Security Orchestration, Automation & Response) 솔루션 ‘스파이더(SPiDER) SOAR’를 출시했다. 이글루시큐리티가 보유한 관제 역량과 위협 인텔리전스를 바탕으로 국내 환경에 최적화된 자동화 솔루션을 제공한다는 것이다. 특히 ‘스파이더 SOAR’에는 이글루시큐리티가 집중 개발하고 있는 AI 기술이 녹아들어 있다.

이글루시큐리티는 클라우드 역량 또한 강화하고 있다. 지난 2월 말 클라우드 기반 통합보안관제 솔루션을 개발 완료하고, MS 애저를 비롯한 주요 퍼블릭 클라우드 마켓플레이스를 통해 공급할 예정이라고 밝힌 바 있다. 이글루시큐리티는 현재 제공하고 있는 주요 솔루션을 모두 클라우드 서비스로 공급한다는 계획이다.

이글루시큐리티 빅데이터연구소의 류승환 소장과 전영주 전문위원을 만나, 이글루시큐리티의 신제품 ‘스파이더 SOAR’ 및 클라우드 서비스에 대해 들어봤다.

보안 역량 총집약한 ‘스파이더 SOAR’

이글루시큐리티는 지난 1월 말 ‘스파이더 SOAR’를 선보였다. SOAR는 보안 위협의 대응 프로세스를 자동화해 보안 업무의 효율성을 높이는 솔루션이다. 공격 유형별 대응을 위한 수많은 요소들(솔루션, 업무 절차, 위협 정보 등)을 하나의 과정으로 묶은 ‘플레이북(Playbook)’에 기반해 단순 반복적인 프로세스는 자동 처리하고 보안 위협 우선순위에 따라 대응 단계를 자동으로 분류하여 표준화된 업무 절차에 따라 대응한다. 위협 탐지에서 대응에 이르는 과정을 실질적으로 단축시킬 수 있다.

SOAR는 ▲다양한 보안 솔루션 간의 워크플로우를 자동화시키는 ‘SOA(Security Orchestration and Automation)’ ▲일관된 결과를 도출하도록 대응 프로세스를 표준화하는 ‘SIRP(Security Incident Response Platforms)’ ▲위협 데이터를 수집하고 상관 분석하는 ‘TIP(Threat Intelligence Platforms)’ 등으로 구성된다. 표준화된 대응 프로세스에 기반한 SOAR 기술을 통해 조직들은 단순 반복적인 업무를 자동화하고 위협 수준에 맞는 효율적인 대응이 가능해짐으로써 고도화된 보안관제를 구현할 수 있다.

이글루시큐리티에서 ‘스파이더 SOAR’를 담당하고 있는 정영주 빅데이터보안연구소 전문위원은 “SOAR에 대한 개념은 2017년부터 나왔다. 디지털 전환이 가속화되면서 수많은 보안 솔루션을 밀접히 연결해 잘 활용하기 위한 SOAR 역량의 필요성이 부각되고 있다. 그러나 국내 보안 환경과 조직에 최적화된 플레이북 생성의 어려움으로 인해, 솔루션 도입을 망설이는 조직도 있는 것이 사실이다. 국내 기업들이 SOAR 도입을 통해 보안관제센터의 복잡성이 해소되는 효과를 얻기 위해서는 국내 상황에 최적화된 형태의 자동화 기능을 제공하는 SOAR 솔루션이 요구된다”고 설명했다.

이어 “이글루시큐리티는 20여 년 넘게 국내 수많은 기업·기관을 대상으로 보안관제 서비스를 제공하며 국내 조직의 업무와 고위험군 위협을 반영한 ‘플레이북’을 만들어왔다. 이글루시큐리티가 그 누구보다 잘 할 수 있는 분야라고 말할 수 있다”고 덧붙였다.

전 위원에 따르면, 이글루시큐리티는 글로벌 시장에서 SIEM과 관련된 SOAR 기술의 중요성이 부각됐던 2017년경부터 연구개발에 뛰어들었다. SOAR가 보안관제의 효율성을 높이는 핵심 열쇠가 될 것이라는 확신 아래, 2019년 초 SOAR팀을 마련하며 본격적인 사업 추진에 나섰다. 올해 1월에는 20여 년 이상의 보안관제 노하우와 독자적인 인공지능(AI) 기술력에 기반한 SOAR 솔루션인 ‘스파이더 SOAR’를 출시했다. 그리고 지속적인 연구개발을 통해 더욱 선진화된 SOAR 기능을 선보인다는 방침이다.

전 위원은 “궁극적으로 이글루시큐리티는 통합보안관제(SIEM), AI, CTI, SOAR, 취약점 진단 등을 포함하는 보안관리 영역의 포트폴리오를 강화하고, 각 제품 간의 유기적인 연동을 통해 보안관제 효율성을 극대화하는데 주력한다는 전략”이라고 강조했다.

국내환경에 최적화된 플레이북 제공

전영주 위원은 ‘스파이더 SOAR’의 가장 큰 특징으로 국내 환경 최적화를 꼽았다. 국내에서 20여년간 보안 관제 서비스를 제공해온 이글루시큐리티의 역량을 집약했으며, 이를 기반으로 자동화된 대응이 가능하다는 설명이다. 전영주 위원은 “‘스파이더 SOAR’는 국내 수많은 사이트에서 실제로 서비스되고 있는 침해대응시스템을 바탕으로 개발한 ‘플레이북’으로 탐지된 공격에 대해 자동 분석·대응 기능을 제공한다. 다년간 검증된 보안 관제·분석·대응 노하우와 보안 환경에 대한 이해를 바탕으로 국내 보안 조직들이 도입한 보안 솔루션·업무 시스템 간의 긴밀한 연동을 지원하고, 현장의 보안 담당자들이 잘 사용할 수 있는 수준 높은 자동화 기능을 제공한다. 기업·기관의 담당자들은 손쉽게 플레이북을 개발·관리하고 이를 잘 활용할 수 있다”고 설명했다.

더불어 이글루시큐리티는 ‘스파이더 SOAR’에 이글루시큐리티의 특허 기술 2건을 반영할 계획이라고 덧붙였다. 이 기술들은 AI 기술을 활용해 이벤트와 공격 유형 별로 대응 프로세스를 정의한 ‘플레이북(Playbook)’을 자동 생성하고, 플레이북 실행을 위한 승인 절차 시스템을 개선하는 데 목적을 두고 있다. 과거 보안 전문가가 수많은 공격 유형과 이벤트에 대응했던 프로세스와 프로세스별 승인 절차를 머신러닝이 학습하게 함으로써, 새로운 이벤트 발생 시 플레이북을 자동 생성하고 프로세스 별 최적의 결정을 예측하는 방식이다.

더불어 ‘스파이더 SOAR’는 플레이북 에디터 기능을 제공한다. 이 기능을 통해 보안 담당자는 플레이북을 쉽게 생성, 업데이트할 수 있다. 초기에는 이글루시큐리티의 관제 역량이 집약된 플레이북 또한 제공되며, 보안 담당자가 조직 환경에 맞춰 플레이북을 커스터마이징 할 수 있다. 전영주 위원은 “플레이북 에디터 기능은 그리기의 개념이 적용돼 있기 때문에 쉽게 플레이북을 구성할 수 있도록 지원한다. 보안 담당자는 이 기능과 API 라이브러리를 활용해 자동화된 프로세스를 구성할 수 있다”고 말했다.

전 위원은 또한 “이글루시큐리티는 오케스트레이션 기술에서도 강점을 갖고 있다. 보안 관제 서비스를 통해 국내에서 많이 사용하는 보안 솔루션과의 연동을 해왔던 경험이 있기 때문이다. 국내 조직들이 사용하고 있는 대부분의 보안 솔루션과 연동이 가능하며, 이를 바탕으로 데이터를 다양하게 수집해 대응 역량을 강화할 수 있다”고 설명했다.

토털 보안 관제 역량 제공…향후 위협사냥 기능 강화

이글루시큐리티는 SOAR까지 솔루션 라인업을 확장해 토털 보안 관제 역량을 제공한다는 전략이다. 전영주 위원은 “이글루시큐리티는 ‘스파이더 SOAR’ 또한 SIEM 솔루션 등 주요 라인업과 함께 영업할 방침이다. 국내에서는 현재 SOAR 시장이 막 개화되기 시작한 단계로, 하반기부터 본격적인 매출이 나올 것으로 예상된다. 상반기는 SOAR의 필요성에 대해 설명하는 시기가 될 것으로 보인다”고 말했다.

전 위원에 따르면, 국내에서도 SOAR 솔루션에 대한 관심이 높아지고 있다. 다양한 보안 솔루션 도입으로 보안 체계가 복잡해지면서, 자동화에 대한 요구가 늘어나고 있다는 것이다. 이러한 환경에서 SOAR는 인력 및 자원, 시간을 단축시킬 수 있는 방안으로 주목받고 있다. 실제로 이글루시큐리티는 ‘스파이더 SOAR’ 출시 이후, 많은 문의를 받고 있다.

전영주 위원은 ‘스파이더 SOAR’ 등 국산 솔루션의 출시로, 국내 시장이 본격화될 것으로 전망했다. 외산 SOAR 솔루션의 경우 국내 환경에 맞지 않아 사용하고 있는 조직이 적으며, 시장도 크게 성장하지 못했다는 설명이다. 외산 보안 솔루션의 경우, 최근 연동을 위한 협업이 활발하게 추진되고 있다. 하지만 국산 솔루션의 경우 표준화된 연계성이 없기 때문에 외산 SOAR 솔루션과의 연동이 어렵다. 그렇다면 국내 환경에 맞게 커스터마이징을 해야하는데, 외산 솔루션은 글로벌 정책에 따라 커스터마이징을 지원하지 않는 경우도 있다. 이에 시장에서는 국내 환경에 최적화된 SOAR 솔루션을 요구하기 시작했고, 이글루시큐리티는 이러한 수요를 적극 공략한다는 전략이다.

전 위원은 “주요 타깃은 국내 보안 관제 센터다. 이글루시큐리티는 보안관제센터의 성숙도가 높고 중요 데이터를 다량 보유하고 있는 공공·정부 기관 및 금융·통신 산업 분야의 고객에게 ‘스파이더 SOAR’를 공급할 계획이다. 오랜 기간 축적한 보안관제 역량과 AI 기술력을 토대로 각 조직에 최적화된 형태의 보안 업무 자동화를 구현하는 데 중점을 둘 방침”이라고 말했다.

더불어 이글루시큐리티는 플레이북 기반 자동 대응을 수행하는 경보(Alert) 중심 대응에서 한 단계 나아가 보다 선제적으로 고도화된 위협을 찾아내는 위협(Threat) 중심 대응 체계를 구현한다는 계획이다. 이를 위해 공격자가 노릴만한 잠재적인 위협 요인을 능동적으로 탐지하는 ‘위협 사냥(Threat Hunting)’ 기능을 추가할 예정이다.

전 위원은 “SOAR는 실제 프로세스 기반의 시스템이기 때문에 환경이 매우 중요하다. 좋은 옷도 맞지 않으면 어울리지 않는다. 외국 솔루션도 국내에서 사용할 수 있는 기능은 제한적이다. 국내 환경에 필요한 기능과 프로세스에 적합해야 한다. 효율성을 극대화할 수 있는 방안을 모색해야 한다. 이러한 관점에서 이글루시큐리티의 ‘스파이더 SOAR’는 국내 환경에 최적화된 솔루션이라고 자부한다”고 덧붙었다.

서비스형 보안(SECaaS) 시장 진출

이글루시큐리티는 ‘스파이더 SOAR’ 출시 등 보안 관제 역량 강화와 더불어, 클라우드 시장에도 진출한다. 지난 2월 클라우드 기반 SIEM 서비스를 개발하는 등 클라우드 서비스 확대에 박차를 가하고 있다.

이와 관련해 류승환 이글루시큐리티 빅데이터보안연구소장은 “현재 이글루시큐리티의 솔루션 라인업은 ▲스파이더 TM(SPiDER TM) ▲스파이더 TM AI 에디션(SPiDER TM AI Edition) ▲스마트[가드](Smart[Guard]) ▲스파이더 로그박스(SPiDER Logbox) ▲스파이더 SOAR 등이다. 현재 ‘스파이더 TM’ 클라우드 서비스 준비에 박차를 가하고 있으며, 올해 상반기부터 본격적으로 서비스할 계획이다. 이후 이글루시큐리티의 주요 솔루션을 모두 클라우드 서비스로 선보일 계획”이라고 설명했다.

류승환 소장에 따르면, 이글루시큐리티는 고객이 사용하는 퍼블릭/프라이빗 클라우드 인프라에 SIEM 솔루션 ‘스파이더 TM V5.0’ 전체 또는 일부 기능을 설치하는 형태로 클라우드 보안을 제공해 왔다. 최근 개발 완료한 클라우드 기반 SIEM 솔루션은 클라우드 환경의 이글루시큐리티 영역에 설치돼 고객에게 서비스되는 SaaS 방식이다.

류 소장은 최근 개발 완료한 클라우드 기반 ‘스파이더 TM’ 서비스의 장점에 대해 “클라우드 환경에 최적화된 형태로 필요시 수분 내 시스템 처리량을 증가시킬 수 있는 확장성과 서비스 장애에 대비한 가용성을 보장한다. 리소스 자원 공유를 통해 비용 관리의 효율성을 높이는 멀티테넌시(Multi-tenancy) 기능도 지원한다. 구독 모델에 기반해 고객이 별도의 설치 과정 없이 낮은 비용으로 솔루션을 사용하고 손쉽게 관리할 수 있다”고 설명했다.

이글루시큐리티가 클라우드 서비스를 선보이며 시장을 확대하는 배경에 대해서는 “전 세계적인 디지털 전환에 발맞춰 기업 인프라와 데이터가 클라우드로 이동하면서, 클라우드 환경에 최적화된 형태로 설계·개발된 SaaS에 대한 수요가 증가하고 있다. SaaS 애플리케이션은 수많은 서비스 사용자들이 다수의 인프라와 하나의 서비스를 중앙집중식으로 공유하는 멀티테넌트(Multi-tenant) 환경에 기반해 활용되고 있다. 이에 따라 멀티테넌트 환경에서 발생할 수 있는 여러 보안 위협에 기민하게 대응하기 위한 선제적인 탐지·분석·대응 역량이 요구되고 있다”고 말했다.

이어 “이에 약 20년간 ‘스파이더 TM’을 제공하며 축적한 보안 역량과 노하우를 토대로, 클라우드 기반의 통합보안관제(SIEM) 솔루션 개발에 착수하게 됐다. 고객이 온프레미스 환경은 물론 클라우드 환경에서도 강력한 보안 체계를 구축할 수 있도록 지원하기 위해서다”라고 덧붙였다.

류승환 소장은 클라우드 서비스의 장점에 대해 “클라우드 서비스는 초기 구축 비용 부담이 적으며, 사용량만큼 비용을 지불하면 된다. 더불어 서비스 가입 및 해지도 자유롭다. 이러한 장점들이 보안 관제 서비스와의 시너지가 좋을 것으로 예상된다. 실제로 SIEM 솔루션 구축 시 예상보다 데이터가 늘어나는 경우가 있다. 이를 위해 서버를 구축한다면, 서버 배송 등 많은 시간이 소요되게 된다. 하지만 클라우드 서비스는 바로 이용할 수 있다는 게 장점이다”라고 말했다.

클라우드 서비스로 글로벌 시장 공략 확대

류 소장은 이글루시큐리티가 클라우드 시장에 진출하는 이유로, 클라우드 전환 트렌드와 글로벌 서비스 강화를 꼽았다. 최근 클라우드 전환이 본격화되면서 보안 관제 역시 클라우드 서비스로 이용하고자 하는 요구가 늘어나고 있다는 것이다. 더불어 CSP의 마켓플레이스에 서비스가 오픈되면, 바로 글로벌 서비스가 가능해 시장성을 키울 수 있다고 설명했다.

류 소장은 “이글루시큐리티는 서비스 기반 글로벌화 및 공공시장 공략을 위해 클라우드 서비스 사업을 추진하고 있다. 정부가 2025년까지 행정기관·공공기관 전산실에 흩어져 있는 IT시스템들을 모두 클라우드로 이전·통합하겠다는 ‘행정·공공기관 정보시스템 클라우드 전환 계획’을 발표함에 따라, 이글루시큐리티도 관련 시장에 대비하기 위해 클라우드 서비스 개발을 추진하고 있다. 이와 함께 글로벌 CSP 마켓플레이스를 활용해 글로벌 시장도 공략하려고 한다”고 말했다.

이글루시큐리티는 클라우드 서비스 수요에 대응하기 위해 클라우드 팀을 조직했으며, 현재 구축과 운영 파트로 운영되고 있다. AWS, MS 애저, KT 등 다양한 CSP와 협업을 진행하고 있으며, 올 상반기 MS 애저를 통해 서비스를 선보인 이후, AWS 및 KT 등을 통해서도 서비스를 오픈한다는 계획이다. 류승환 소장은 MS 애저와 협업 배경에 대해 “CSP와의 협업 순서에는 큰 의미가 있는 것이 아니다. 협업이 빨리 진행된 순서로 서비스를 오픈할 예정”이라고 말했다. 이글루시큐리티는 MS 애저와 협업하면서, 교육 지원 및 컨설팅을 받았다. 향후에는 공동 마케팅 및 영업도 진행할 방침이다.

류승환 소장은 마지막으로 “디지털 트랜스포메이션의 큰 축이 클라우드 전환이다. 클라우드 환경에 많은 데이터가 저장되는 만큼, 보안의 중요성도 높아진다. 이글루시큐리티는 이러한 시장 트렌드에 맞춰 클라우드 보안의 주요 솔루션이 제공하는 기업이 되겠다”고 강조했다.