[컴퓨터월드] 사이버 위협이 갈수록 지능화되면서 그에 대응하는 보안 솔루션들이 쏟아지고 있다. 그러나 보안 담당자들은 늘어난 솔루션의 종류만큼 업무 역시 나날이 과중해지고 있다며 어려움을 호소하고 있다. 이에 보안 업계는 자동화를 통해 보안 업무의 효율성을 높이고, 나아가 운영 비용까지 절감하고자 그동안 쌓아온 노하우를 기반으로 해결책을 선보였다. ‘보안 오케스트레이션, 자동화 및 대응(Security Orchestration, Automation and Response)’, 줄여서 SOAR로 불리는 솔루션이 주목받는 배경이다.

보안 위협 대응을 자동화해 효율성 높이는 ‘SOAR’

보안 오케스트레이션, 자동화 및 대응, 즉 SOAR는 보안 위협에 대한 대응 프로세스를 자동화해 보안 업무의 효율성을 높이는 솔루션이라고 정의할 수 있다.

안랩 제품서비스기획팀 권용 부장은 “보안 위협에 대한 대응 레벨을 자동으로 분류하고, 표준화된 업무 프로세스로 사람과 기계 간의 유기적인 협력을 돕는 대응 플랫폼이 SOAR”라면서 “고도화되는 위협 동향에 따라 보안 솔루션 도입이 증가하면서 다양한 위협을 ‘탐지할 수는’ 있게 됐다. 그러나 이에 반해 보안 관리자들은 폭발적으로 증가하는 다양한 보안 위협 이벤트에 효율적으로 대응하기 위한 고민이 늘어가는 상황이었다. 이에 2017년 가트너에서 최초로 SOAR라는 개념을 제시했다”고 설명했다.

가트너는 SOAR 솔루션을 △보안 오케스트레이션 및 자동화(Security Orchestration and Automation, SOA) △보안 사고 대응 플랫폼(Security Incident Response Platform, SIRP) △위협 인텔리전스 플랫폼(Threat Intelligence Platform, TIP) 등 3가지 요소를 통합해 단일 플랫폼에서 제공하는 솔루션으로 정의한다.

[인터뷰]

SOAR의 3가지 하부 요소들

SOAR는 보안관제 및 운영팀의 업무 가속화를 목표로 하는 플랫폼이다. 팀의 보안 위협 대응 업무를 가속화하기 위해 아래의 요소들을 포함한다.

1. 보안 오케스트레이션 및 자동화(SOA): 타 시스템에 대한 상호작용 역량(Orchestration) 및 이를 기반으로 하는 자동화 역량(Automation)을 의미한다.

▶ 이 역량을 통해 기존의 수동적, 반복적 위협 대응 업무를 자동화함으로써 위협에 대한 빠른 선제적 대응을 가능하게 하며, 기존 인력의 업무 피로도를 줄여 다른 업무에 집중할 수 있도록 해 준다. 또한 조직의 위협 대응 절차를 플레이북(Playbook)화해 베스트 프랙티스(Best Practice)를 구성함으로써 모든 조직원이 업무를 처리할 때 표준화된 업무절차에 기반해 일을 할 수 있게 되며, 분석 업무절차를 시스템을 통해 ‘강제화’함으로써 신입직원이라 해도 투명하고 절차화된 분석업무를 수행할 수 있도록 해 준다.

2. 보안 사고 대응 플랫폼(SIRP): 위협 대응을 위해 분리돼있는 이기종의 다수 시스템에 각각 접속해 조회하고 이벤트에 대한 상세 개별 분석을 수행하는 것이 전통적인 보안위협 대응 방식이라면, SIRP는 사고 발생 인지부터 조치 완결까지 일련의 사고 대응 과정을 하나의 플랫폼 내에서 처리할 수 있는 역량을 담당한다.

▶ 해당 역량을 통해 기존의 보안팀이 수동적으로 다수 시스템에 일일이 접속해 업무를 봐야 하는 분석 사일로를 최소화하고, 타 시스템과 상호 작용 가능한 자동화 역량을 갖춘 지능형 SOC(Security Operations Center, 보안 운영 센터) 포털 환경을 제공함으로써 진정한 단일 창(Single Pane of Glass) 형태를 달성할 수 있게 한다.

SOC 포털이 오케스트레이션 역량을 가졌다는 의미는 다양한 업무 포털로의 활용이 가능하다는 의미이기도 하다. 일례로 보안팀 위협대응 업무 중에는 보안 이벤트가 아닌 관리적 정보가 필요한 경우들이 있으며, 관리적 정보를 보유하는 시스템은 타 부서의 관리 하에 있는 경우가 있다. 이때 타 부서의 시스템을 SOAR와 오케스트레이션 환경을 구성해 두면, 보안팀 업무를 수행하면서 매번 해당 부서에게 승인을 받아 업무를 처리하는 방식이 아닌, 보안 업무 중 필요한 데이터에 대해 할당된 권한만큼 SOAR에서 조회해 사용할 수도 있게 된다.

3. 위협 인텔리전스 플랫폼(TIP): 조직이 보유 또는 이용하고 있는 사이버 위협에 대한 인텔리전스 정보들을 하나의 플랫폼으로 통합하고, 통합된 인텔리전스를 활용해 조직에서 발생하는 다양한 신규 이벤트에 적용함으로써 위협 대응에 활용할 수 있는 플랫폼 역량을 뜻한다.

▶ 해당 역량을 활용해 보안 조직에서 탐지 및 분석이 완료된 다양한 인디케이터에 대한 평결 정보를 TI(위협 인텔리전스) DB화하거나, 또는 보유하고 있는 보안 시스템 및 외부 평판 피드(Feed) 제공 서비스 등에서 수집된 다양한 위협 대응 관점의 피드를 중앙화해 관리할 수 있다. 단순히 쌓아 놓는 것이 아니라 새로운 이벤트 분석 등에 활용할 수 있도록 객체기반으로 관리할 수 있게 된다.

위협 자동 처리의 핵심은 ‘플레이북’

SOAR 솔루션은 공격 유형별 대응을 위한 솔루션, 업무절차, 위협 정보 등 수많은 요소들을 하나의 과정으로 묶은 ‘플레이북’에 기반한다. 플레이북에 따라 단순 반복적인 프로세스는 자동 처리하고, 보안 위협 우선순위에 따라 대응 단계를 자동으로 분류해 표준화된 업무절차에 따라 대응한다.

팔로알토네트웍스 최대수 이사는 “SOAR는 보안 제품들을 통합하고 워크플로우를 조정 및 자동화해 빠른 처리 결과와 더 큰 가시성을 확보하는 것을 목적으로 하는 솔루션이며, 구조적으로 보안관제센터에서 중앙 허브 역할을 담당한다”고 설명하고 “보안 오케스트레이션, 자동화 및 대응 업무를 담당하는 보안팀은 엄청난 양의 알림을 분석하는 등 끝없는 보안 업무를 담당한다. 하지만 이를 제때 처리할 수 있는 인력과 확장 가능한 프로세스가 부족하다. 관제센터의 분석가는 데이터 수집, 가용성 확인, 인시던트(incident, 보안 사고) 수명 주기 전반에 걸친 반복적인 수동 작업을 위해 콘솔 사이를 오가느라 시간을 낭비하고 있다. 또한 기술 부족이 점점 심화함에 따라, 보안 책임자들은 사후 처리 방식의 단편적인 대응에 허덕이는 대신 중요한 의사 결정에 더 많은 시간을 써야 하는 상황이다”라고 덧붙였다.

이글루코퍼레이션 이규환 전략기획팀장은 “운전 능력과 내비게이션 예시를 들어보면 SOAR에 대한 이해가 쉬울 것 같다. 과거에는 운전자가 지도를 보고 도로의 이정표를 살펴 가며 스스로의 판단에 따라 목적지를 찾아가야 했다. 여기서 운전 능력을 보안관제 전문가의 분석 흐름에 대입해 볼 수 있다. 운전자의 경력에 따라 도로를 찾아가는 능력이 천차만별이듯, 보안관제 전문가의 역량에 따라 보안관제 분석을 하는 방법과 수준에 차이가 발생하기 때문이다”라고 비유해 설명하고 “그러나 내비게이션이 보급된 후에는 대부분의 운전자들이 운전 경력과 관계없이 상향평준화된 운전 경로 판단을 내릴 수 있게 됐다. 이는 보안관제에도 유사하게 적용된다. 출발지와 목적지를 넣으면 내비게이션이 최적의 경로를 찾아주듯이, 플레이북은 공격 유형별 해결 방법을 제시해준다. 즉 보안관제 전문가의 역량과 무관하게, 제대로 개발된 플레이북이 있다면 보안관제 역량이 상향평준화될 수 있다”고 덧붙였다.

이규환 팀장은 이어 “그러나 숙련된 운전자라면 내비게이션이 모르는 길을 찾거나, 돌발 상황 발생 시 본인의 판단에 따라 길을 찾아가기도 한다. 보안관제 전문가 역시 마찬가지다. 자동화가 가능한 부분은 플레이북에 맡기되, 고도화된 공격은 전문가가 직접 분석을 수행할 수 있어야 한다. 즉 자동화할 수 있는 부분은 플레이북을 통해 자동화 처리하고, 그동안 시간이 없어 못 하던 고도화된 분석을 보안관제 전문가가 할 수 있도록 만들어 주는 데 SOAR의 궁극적인 목표가 있다. 이러한 과정을 통해 궁극적으로 보안관제의 성숙도를 향상할 수 있다”면서 “단 내비게이션에 방대한 운전 노하우가 반영됐듯, 플레이북에도 보안관제 전문가의 노하우가 집약돼야 한다. 다시 말해 보안관제센터 안에 SOAR를 구축할 시에는 보안관제센터의 흐름을 잘 이해하고 보안관제를 잘 아는 전문가가 개발한 플레이북이 적용돼야 그 효과를 기대할 수 있다”고 강조했다.

보안 업무 효율성 제고 및 인력 문제 해결 대안으로 주목

팔로알토네트웍스가 2021년 보안 자동화에 대해 실시한 연구 조사에 따르면, 응답자의 90%가 자체적으로 인시던트 대응을 처리하고 있으며, 절반 이상이 5명 이하의 인원으로 관련 조직을 운영하고 있는 것으로 나타났다. 또한 인시던트 대응팀의 69%는 네트워크 관리자 및 방화벽 관리자와 긴밀히 협업해야 한다고 답했는데, 위협 관리의 경우 절반 이상이 매뉴얼 프로세스에 머물러 있어 제한된 인력 내에서 과도한 업무 부담으로 어려움을 겪고 있는 것으로 조사됐다.

이러한 가운데 플레이북 기반의 자동화가 핵심이라고 할 수 있는 SOAR는 보안 업무 효율성을 높이고 보안 인력 부족 문제를 해결할 수 있는 대안으로 떠오르고 있다. 실제 전 세계 SOAR 시장 역시 주목할 만한 성장세를 기록 중이다.

글로벌 시장조사기관 마켓앤마켓이 2022년 발표한 ‘SOAR 시장 레포트’에 따르면, SOAR 시장 규모는 2022년 약 11억 달러(약 1조 5,825억 원)에서 2027년에는 약 23억 달러(약 3조 1,960억 원) 규모로 성장할 것으로 전망된다. 전 세계적으로 단시간 대응이 중요한 피싱 이메일 및 랜섬웨어에 의한 사고가 증가함에 따라, 초 단위로 탐지와 대응 과정을 수행할 수 있는 SOAR 솔루션에 대한 수요가 빠르게 증가하고 있다는 게 마켓앤마켓의 분석이다.

글로벌 시장조사기관 가트너도 2019년 발표한 ‘SOAR 마켓 가이드’를 통해 2022년 말 기준으로 5인 이상의 보안팀을 가진 조직의 30%가 SOAR 툴을 사용할 것으로 예측하면서, 글로벌 SOAR 시장의 성장이 지속적으로 이어질 것이라고 내다본 바 있다. 더불어 글로벌 보안 컨퍼런스인 RSA 등에서도 SOAR가 지속적으로 언급되는 점으로 봤을 때, SOAR 시장이 더욱 커질 것이라는 게 국내 업계 전문가들의 예상이다.

팔로알토네트웍스 최대수 이사는 “보안팀은 엄청난 양의 알림을 분석하고 끝없는 보안 업무를 제때 처리할 수 있는 인력을 확보하기 어렵고 분석가는 데이터 수집, 가용성 확인, 인시던트 수명 주기 전반에 걸친 반복적인 수동 작업을 위해 콘솔 사이를 오가느라 시간을 낭비하게 된다. 기술 부족이 점점 심화함에 따라, SOAR에 대한 수요는 더 높아질 것으로 전망된다”고 말했다.

일정 규모 이상 갖춘 조직에서 우선 도입

글로벌 시장에서는 팔로알토네트웍스, IBM, D3시큐리티, 엑사빔, 서비스나우, 스플렁크, 심플리파이 등이 SOAR 선도 업체로 평가받고 있다. 또한 국내에서는 2019년 이후 국내외 벤더들이 SOAR를 출시, 시장에 선보이고 있으며 2020년부터 여러 기업에서 꾸준히 SOAR를 도입 중인 것으로 파악된다. 특히 국내 SOAR 도입 수요는 주로 중견기업, 금융권, 정부 기관 등과 같이 일정 규모 이상의 조직에서 발생하는 것으로 파악된다.

이글루코퍼레이션 양학모 SOAR PO는 “전 세계적인 디지털 대전환 움직임에 발맞춰 보안 강화의 필요성이 부각되고 있는 만큼, 국내에서도 SOAR에 대한 수요가 발생하고 있다. 주로 많은 보안 솔루션을 보유하고 있고, 보안관제 업무가 표준화돼 있는 공공·정부 기관과 금융 산업을 중심으로 SOAR 도입이 이뤄지고 있는 모양새”라면서 “특히 자체적으로 보안관제센터를 운영하고 있는 IT 보안 부서에서 대부분의 수요가 발생한다. 소규모 업체 또는 외주 업체를 통해 IT 기능을 실행하는 기업의 경우에는 기존의 보안관제 서비스에 SOAR 기능을 포함하는 형태로도 전환하고 있다”고 말했다.

국내 SOAR 벤더로는 안랩, 이글루코퍼레이션, 시큐레이어, 쿼리시스템즈 등이 경쟁 중인 것으로 파악된다. 다만 이글루코퍼레이션 양학모 SOAR PO는 “아직은 시장 형성 초기인 만큼, 국내의 키 플레이어를 꼽기는 어려울 것으로 보인다”는 의견을 내놨다. 안랩 제품서비스기획팀 권용 부장은 “국내 SOAR 벤더들은 국내 사용자들에게 친숙한 사용자경험(UX) 등 국내 환경에 최적화된 솔루션 제공을 강조하고 있다”고 덧붙였다.

SOAR, 제대로 사용하려면?

SOAR가 제대로 동작하기 위해서는 내부의 수많은 보안 제품이 유연하게 연결돼야 하고, 업무 프로세스가 디지털화된 플레이북으로 잘 구현돼 있어야 한다. 그리고 분석 이후 생성되는 결과물과 위협 인텔리전스를 잘 관리하는 것도 필수다. 많은 보안업체가 SOAR 제품을 출시하면서 기업들은 선택의 폭이 넓어졌다. 하지만 각 업체의 SOAR 접근법이 조금씩 다르기 때문에, 기업은 선택 기준을 명확히 하고 제품을 확인할 필요가 있다. 이와 같은 관점에서 팔로알토네트웍스 최대수 이사는 SOAR를 선택하는 데 있어 4가지 기준을 제시했다.

첫 번째, ‘안정적이고 검증된 솔루션’이다. SOAR는 SIEM에서 발생하는 경보와 각종 위협 인텔리전스에서 제공하는 피드를 통해 데이터를 수집한다. 이렇게 수집된 정보를 플레이북을 통해 자동화하고 분석가와의 협업과 티케팅, 사례 관리 기능을 통해 빠르게 처리해야 한다. 특히 위협 인텔리전스 관리는 단순히 정보를 통합한다는 의미가 아니다. 다양한 인텔리전스 정보, 침해사고지표(IOC) 정보들을 축적하는 것은 기본이며, 플레이북을 통해 이를 정제해 우선 순위화함으로써 내부에서 활용하면서 외부 보안 시스템에서도 적용해 정보를 출력할 수 있어야 한다.

두 번째, ‘유연하고 확장 가능한 아키텍처’다. 많은 SOAR 제품이 한정된 서버에서 운영되기 때문에 확장에 한계가 있다. 그리고 네트워크를 분리, 활용하는 기업의 경우에는 데이터를 한 곳으로 취합하는 데 많은 제약이 뒤따른다. 따라서 기업은 수집 데이터 양, 경보수, 인시던트 수, 플레이북 수에 맞게 SOAR 서버를 조정, 활용할 수 있는지 확인해야 한다. 특히 처리량이 많은 경우, 각 기능을 분리해 구성할 수 있는지 파악해야 한다. 이를 간과하면 구축 단계에서부터 어려움을 겪을 수 있다.

세 번째, ‘충분한 콘텐츠 제공’이다. SOAR를 제대로 활용하기 위해서는 다른 솔루션과의 연결이 무엇보다 중요하다. 또한 서로 연동해 이벤트를 주고받아야 하는데, 이를 위한 인테그레이션(integration) 모듈이 필수적이다. 특히 통합만 하면 되는 것이 아니라 연동한 후, 해당 데이터를 갖고 업무에 반영해 자동화 플레이북을 만들고, 그 후 결과를 데이터 유형에 맞게 표현하는 대시보드를 구성할 수 있어야 한다.

마지막으로 ‘강력한 서비스 지원’이다. SOAR는 도입해서 바로 사용할 수 있는 플러그앤플레이(Plug&Play) 제품이 아니며, 관제센터 내부 환경에 맞게 여러 가지 커스터마이징(customizing)이 필요하다. 또한 SOAR를 도입하기 전에 자체 보안관제 프로세스가 구체적으로 정의돼야 하는 등 사전에 갖춰야 할 요건들이 까다롭다. 특히 구축 이후에도 급변하는 위협 환경에 빠르게 대응하기 위해서는 SOAR 업체의 지원이 중요하다고 팔로알토네트웍스 최대수 이사는 강조했다.

또한 안랩도 SOAR의 핵심 경쟁 포인트를 △위협 종류와 상황별 대응 프로세스를 표준화한 ‘플레이북’ 제공 및 대응 자동화 △전체적 관점의 보안 운영(Orchestration)을 위한 주요 보안 솔루션과 연동 기능 등 2가지로 요약해 설명했다. 특히 “대응 역량(퍼포먼스)의 효율성을 높이기 위해 필요한 보안/비보안 솔루션 연동 기능을 잘 활용하기 위해서는 수집되는 다양한 영역의 보안위협 데이터를 하나의 화면에서 탐색하고 처리할 수 있는 역량이 중요하다”고 안랩 제품서비스기획팀 권용 부장은 덧붙였다.

이글루코퍼레이션도 단순히 SOAR 도입을 통해 모든 문제점이 해결되는 것은 아니라고 강조했다. SOAR를 도입해 경보에 대한 피로감을 줄이고 보안관제센터의 복잡성이 해소되는 효과를 얻기 위해서는, 조직 상황에 최적화된 형태의 자동화 기능이 구현돼야 한다는 게 회사 측 설명이다. 이글루코퍼레이션 양학모 SOAR PO는 “먼저 이미 조직 내에 이미 설치돼 운영 중인 수많은 보안 솔루션과 연계해 시너지를 낼 수 있도록, 기존에 도입한 여러 보안 솔루션 및 장비와의 호환성 및 확장성을 따져봐야 한다. SOAR 솔루션을 도입했다고 할지라도 이전에 도입한 솔루션과의 연동 과정이 어렵다면, 자동화 기능 역시 활용하기 어렵기 때문이다”라고 말했다.

양학모 PO는 또한 “사전에 정의된 규칙에 따라 자동으로 실행 가능한 대응 방안을 모은 ‘플레이북’ 역시 국내 보안 환경과 조직에 알맞은 형태로 만들어져야 한다”고 덧붙였다. 아무리 많은 플레이북이 제공된다고 할지라도, 조직의 보안 사고별 대응 프로세스를 토대로 한 플레이북이 아니라면 그 활용도가 낮을 것이기 때문이라는 설명이다. 이에 조직에 최적화된 플레이북이 얼마나 제공되는지, 기존의 플레이북을 쉽게 수정할 수 있는 기능 등이 제공되는지 여부를 따져봐야 한다고 양학모 PO는 조언했다.

포티넷코리아 시스템엔지니어 김재환 차장은 SOAR라는 제품이 성립하기 위해 가트너에서 정리한 기능 요소인 △SOA △SIRP △TIP 등 3가지 영역의 기능이 충실해야 한다고 강조했다.

첫 번째, 고객이 보유한 시스템들과의 오케스트레이션 및 오토메이션(automation, 자동화)를 하기 위해서는 연동에 대한 부분이 잘 지원돼야 하고, 오토메이션을 하기 위한 플레이북 빌더 등의 편의성이 높아야 한다. 그래야 구축에 있어 고객과 협력 업체에게 주어진 시간 내에 요구되는 핵심성과지표(KPI) 만큼의 시나리오가 잘 구현될 수 있다는 것이다. 또한 오케스트레이션 및 오토메이션 기능이 잘 지원된다는 의미는 새로운 요구사항에 대해 매번 무거운 개발 자원(resource)이 필요하거나 그로 인해 추가 비용이 발생하지 않는 형태로 유지관리가 가능해진다는 맥락도 된다는 설명이다.

두 번째, SOC 포털(Portal)로써의 기능요소들을 보유하고 있어야 한다. 보안관제팀 및 운영팀이 사고 대응 과정을 SOAR 플랫폼 UI를 통해 수행해야 하는 만큼, 우리 조직의 업무절차를 해당 시스템에 반영해 우리 조직원 입장에서의 높은 사용자 경험(UX)을 제공하는 것이 매우 중요하다는 설명이다. 포티넷코리아 김재환 차장은 “오케스트레이션 및 오토메이션을 수행했으나, 그 결괏값을 활용해 위협대응을 SOAR에서 하느니 차라리 원래 이벤트 발생 시스템에 접속해서 보는 게 낫다는 상황이라면 SOAR의 가치는 매우 떨어진다고 볼 수 있다”고 설명했다.

이와 함께 우리 조직의 업무절차를 제품이 추구하는 방향에 맞추는 게 아니라, 맞춤옷을 입듯 우리 조직의 데이터 및 업무 특성에 맞게 화면구성을 할 수 있는 등의 커스터마이징 요소가 매우 중요하다고 김재환 차장을 덧붙였다. 전통적인 시스템에서의 커스터마이징은 보여주는 화면의 스타일을 고객 입맛에 맞추거나 데이터 표현 범위 정도를 수정하는 정도라고 한다면, SOAR의 커스터마이징은 새로운 기능을 추가하는 것이라고 말할 수 있다는 설명이다.

예를 들어 SOAR에 새롭게 ‘자산정보’라는 메뉴를 만들고, 이곳에 우리 조직의 자산정보를 담을 수 있는 게시판 형태의 새로운 테이블을 만들어 고객이 제작한 ‘플레이북’이 해당 ‘자산정보’를 참조하도록 함으로써 우리 조직이 원하는 취약점 진단 자동화 플레이북을 구현할 수도 있다. 또한 ‘차단관리’ 메뉴를 만들고 ‘IP’를 입력했을 때 고객이 만든 ‘플레이북’이 자동으로 동작하며 해당 IP에 대한 차단상태를 각 시스템에 자동 조회하는 등의 다양한 시나리오 활용이 가능하다. 포티넷코리아 김재환 차장은 “그만큼 SOAR에서의 커스터마이징은 단순한 화면 튜닝 수준이 아닌 새로운 기능 개발과 같은 맥락을 보유하며, 한편으로 UX 관점에서 좋은 환경을 제공해줄 수 있는 가장 기본이다”라고 덧붙였다.

빠르게 변하는 보안 환경에 대응하는 자동화 기반 SOAR

포티넷코리아 김재환 차장은 “빠르게 변하기 때문에 우리는 가끔 잊지만, 국내 사이버위협 대응의 역사는 이제 겨우 10여년 정도밖에 되지 않았다. 그러나 벌써부터 전문가 부족 및 개인간 스킬 갭 발생, 대량의 이벤트 발생 등과 같은 어려움을 겪고 있으며, 시스템 발달 및 데이터 증가 등의 속도는 당연하게도 줄어들 기미가 보이지 않고 있다. 고객의 입장에서, 현재 및 미래에 점차 늘어날 보안 이벤트를 지금의 인력으로 표준업무절차에 기반해 대응하기 위해서는 ‘자동화’ 영역이 필수요건으로 부상할 수밖에 없다고 생각한다. SOAR는 자동화 영역에 속하는 제품 중 하나로서 자연스럽게 필요성이 늘어날 것으로 예상한다”고 말했다.

최근 클라우드로의 급격한 전환이 이뤄지고 코로나19 확산으로 인한 원격 및 재택근무가 증가함에 따라 외부로부터의 보안 위협이 다각화되는 동시에 보호해야 할 대상 역시 확대되고 있다. 하지만 조직들은 증가하는 보안 위협에 대응하기 위해 그만큼 다양한 보안 솔루션을 도입하고 있다. 이에 다수의 보안 솔루션으로부터 발생하는, 처리하고 관리해야 할 보안 이벤트 또한 매년 늘어나는 실정이다. 반면 많은 조직에서는 솔루션을 운영할 전문 보안 인력의 부족 등으로 인해 빠르게 변화하는 보안 환경에 대응하기가 어렵다. 이런 상황에서 조직들은 효율적인 보안 운영을 위한 도구로 SOAR를 주목하고 있다.

이글루코퍼레이션 양학모 SOAR PO는 “디지털 전환이 가속화되면서 사이버 공격자가 노릴 만한 공격면이 더 넓어졌다. 이에 맞서 더 많은 보안 솔루션을 도입하고 있지만, 방어력을 높이는 근본적인 해결책이 되기는 어렵다. 한정된 보안 인력이 처리하기에는 너무나 방대한 양의 보안 이벤트가 생성되므로, 자칫 단순 반복적인 업무에 매달리다가 고위험군 위협을 흘려보내는 문제가 발생할 수 있기 때문이다”라면서 “이에 반복적으로 처리하던 업무를 자동화해 단순 업무 소요 시간을 절감하고, 인력별 기술 수준에 따른 대응 편차를 감소시킬 수 있는 SOAR 기술에 대한 수요가 지속적으로 증가할 전망이다. 보안 인력은 반복적인 단순 대응 업무의 부담(alert fatigue)을 해소하고 탐지 및 대응 시간을 감소할 수 있게 된다. 또한 분석 및 경고 알람 등이 질적으로 향상됨에 따라, 보다 선제적으로 보안 사고를 식별하고 대응할 수 있게 된다. 더불어 공격 유형별 운영 절차를 체계화함으로써 보안 인력 간 역량 격차를 줄이고 업무 처리의 일관성을 높일 수 있게 된다”고 설명했다.

■ 주요 SOAR 업체별 제품과 구축사례 ■

▶ 안랩 | “국내 첫 SOAR ‘세피니티 에어’ 지속 고도화”

기업, 기관 등 각 조직은 점차 지능화되는 보안위협에 대응하기 위해 다양한 솔루션을 도입 중이다. 하지만 보안 위협 대응 인력의 전문성과 숙련도에 따른 편차가 있어 보안 운영 효율화에 대한 수요 역시 늘고 있다는 점은 문제로 꼽힌다. 이에 따라 안랩은 그간 쌓아온 보안관제 역량을 바탕으로 고객의 효율적인 보안 운영을 지원하고자 지난 2019년 3월 국내 기업 최초로 SOAR 솔루션인 ‘안랩 세피니티 에어(AhnLab Sefinity Advanced Incident Response)’를 출시했다.

안랩은 변화하는 고객 환경에 대응하고 고객의 효율적인 보안 운영을 돕기 위한 연구개발을 전략적으로 이어가고 있으며, 세피니티 에어 역시 더 다양한 고객을 지원할 예정이라고 밝혔다. 지금까지 시장에서 SOAR 제품은 일정 규모 이상의 조직 내 전문가를 위한 솔루션으로 인식됐지만, 안랩은 앞으로 작은 규모의 조직에서도 SOAR의 기능을 좀 더 쉽게 사용할 수 있도록 솔루션을 제공할 예정이다. 또한 자사 제품 간의 연계 연동을 강화해 제품의 가시성 및 운영의 효율성을 높인다는 계획이다.

기업 환경에 맞는 플레이북으로 신속하고 효과적으로 보안 위협 대응

‘안랩 세피니티 에어’는 안랩이 국내에서 처음으로 SOAR 개념을 도입한 ‘보안 운영 플랫폼’이다. 세피니티 에어는 안랩의 관제 경험 노하우를 바탕으로 위협 대응 및 자동화 프로세스 수립을 위한 대응 절차서인 ‘플레이북’ 제작을 지원한다. 이를 바탕으로 고객사 보안담당자는 기업 환경에 맞는 플레이북으로 더욱 신속하고 효과적으로 보안 위협에 대응할 수 있다. 이와 함께 보안 담당자의 숙련도나 경험 등 개인 역량에 따른 편차 없이 일정한 품질의 보안 위협 대응을 제공해 안정적인 보안 운영이 가능하다는 장점이 있다.

또한 자사 제품을 포함한 다양한 솔루션(보안/비보안)과의 연동으로 한 화면에서 다양한 업무를 수동 또는 자동으로 진행할 수 있으며, 고객사별 업무 환경 및 정책에 따라 프로세스를 최적화할 수 있어 보안 운영 효율성을 높일 수 있다.

안랩은 제품의 편의성, 사용성에 대한 부분을 꾸준하게 개선해 나갈 예정이며, 특히 머신러닝 엔진인 ‘세피니티-ASA(Sefinity-ASA)’를 고도화해 공격 수순에 대한 예측을 해주는 모델을 개발하고 있다고 덧붙였다.

안랩은 대형 금융사, 은행 등 금융권 고객을 비롯해 제조 및 의료 등 다양한 고객사를 대상으로 ‘안랩 세피니티 에어’를 구축한 바 있다고 밝혔다. 안랩 제품서비스기획팀 권용 부장은 “SOAR를 도입하는 고객은 제품의 기능뿐만 아니라 제품을 운용할 수행 인원에 대해서도 중요하게 고려한다. 안랩은 SOAR 개발사이자 보안관제 전문기업으로서 SOAR 구축부터 관제 컨설팅까지 필요한 제품과 서비스를 동시에 제공해 고객의 호응을 얻은 바 있다”고 말했다.

▶ 이글루코퍼레이션 | “보안관제 효율성 제고 핵심 열쇠 ‘스파이더 SOAR’”

이글루코퍼레이션은 보안 정보 및 이벤트 관리(SIEM), 인공지능(AI), 사이버 위협 인텔리전스(CTI), SOAR, 취약점 진단 등을 포함하는 보안관리 영역의 포트폴리오를 강화하고, 각 제품 간의 유기적인 연동을 통해 보안 효율성을 극대화하는 데 주력하고 있다. 특히 이글루코퍼레이션은 SOAR 중심의 보안관제체계 구축을 통해 보안관제센터의 성숙도를 끌어올릴 수 있는 만큼, SOAR가 자사 보안관리 포트폴리오의 필수 요소로 자리매김할 것으로 전망한다고 밝혔다.

이글루코퍼레이션은 글로벌 시장에서 SIEM과 관련된 SOAR 기술의 중요성이 부각됐던 2017년경부터 연구개발에 뛰어들었다. SOAR가 보안관제의 효율성을 높이는 핵심 열쇠가 될 것이라는 확신 아래, 2019년 초 전담팀을 마련하며 본격적인 사업 추진에 나섰다. 2020년 1월 ‘스파이더 SOAR(SPiDER SOAR)’를 출시한 이래 국내 공공·정부 기관 및 금융·통신 산업 분야 고객에게 제품을 공급해왔다. ‘스파이더 SOAR’의 개발은 이글루코퍼레이션 연구개발본부 빅데이터보안연구소 산하 SOAR PO팀에서 담당하고 있다.

긴밀한 연동 지원, 다년간 검증받은 플레이북 보유

‘스파이더 SOAR’는 국내 보안관제센터에서 운영 중인 이기종 보안 솔루션·업무 시스템 간의 긴밀한 연동을 지원한다. 조직들은 통합보안관제(SIEM), 머신러닝(ML) 기반 보안관제 시스템, CTI, 자산 정보 및 취약점 관리 솔루션 등 여러 이기종 보안 솔루션을 손쉽게 연동해 자동화된 침해 대응 프로세스를 구현할 수 있다. 예를 들어 일일 경보량이 많은 대규모 사이트의 경우, ML 기반 AI 시스템이 이상 행위로 판단한 중요(Critical) 이벤트를 자동 플레이북 대응 처리할 수 있도록 연계하고 있다. 또한 플레이북을 통해, 해당 경보에 대한 다양한 CTI 소스를 침해 대응을 위한 분석 정보와 연동해 제공하고 있다.

이글루코퍼레이션은 또한 많은 고객사에서 효율성을 검증받은 플레이북 역시 스파이더 SOAR의 특장점이라고 덧붙였다. 플레이북은 보안관제를 위한 업무 자동화 매뉴얼로서 보안관제센터의 현황이 반영돼 있을 때, 즉 보안관제 현장에 맞을 때 비로소 그 가치를 발할 수 있다는 게 회사 측 설명이다. 스파이더 SOAR는 이글루코퍼레이션이 다년간 보안관제를 수행하며 도출한 핵심 보안관제 처리 프로세스에 기반한 표준 플레이북을 토대로, 국내 보안관제 환경에 최적화된 자동화 기능을 구현한다. 고객사들은 국내 수많은 사이트에서 실제로 활용되고 있는 플레이북을 토대로 탐지된 공격에 대한 자동 분석·대응 기능을 사용할 수 있다.

이글루코퍼레이션은 표준 플레이북 도입에서 더 나아가 표준 플레이북이 적용된 보안관제센터의 보안관제 프로세스를 분석하고 플레이북을 최적화하며, 플레이북의 활용도 및 정확도를 높이는 데 힘을 싣고 있다. 이는 오랜 기간 보안관제를 수행한 기업만이 제공할 수 있는 고유의 노하우 덕분이라고 회사 측은 강조했다.

보안 조직들은 스파이더 SOAR 도입을 통해 기존 수동 분석 시 50~60분가량 소요됐던 경보를 1분 이내에 자동화 대응함으로써 경보 처리의 효율성을 높이고 중요한 상세 분석에 더욱 집중할 수 있다. 또한 플레이북 활용을 통해 보안 인력 간 역량 편차 문제를 해결하고, 상향된 수준의 대응 체계를 유지할 수 있게 된다.

이글루코퍼레이션은 경보(Alert) 탐지 중심 대응에서 한 단계 나아가, 보다 선제적으로 고도화된 위협을 찾아내는 침해 대응 중심 체계를 구현한다는 계획이다. 이를 위해 공격자가 노릴 만한 잠재적인 위협 요인을 능동적으로 탐지하는 ‘위협 헌팅(Threat Hunting)’ 기능 및 ‘마이터 어택(MITRE ATT&CK)’ 프레임워크 기반 분석 프로세스, 보안관제에 필요한 핵심 기능인 협업 지원을 위한 ‘케이스 관리(Case Management)’ 기능을 추가할 예정이다. 또한 이글루 얼라이언스 협약 모델을 통해 자동 차단을 위한 제품군 연동을 지속적으로 확대하고, 사용자 정의 플레이북에 기반한 자동화 비중을 높이는 데 힘을 실을 계획이다.

▶ 포티넷 | “충실한 SOA, SIRP, TIP 기능…국내 맞춤 커스터마이징 가능”

포티넷은 지난 2019년 SOAR 개발사인 사이버스폰스(CyberSponse)를 인수하고 이후 지속적인 투자를 하면서 제품 개발을 이어 나가고 있어 SOAR 관련 핵심 기술을 직접 개발한 것이라 볼 수 있다고 설명했다.

유연한 연동, 3대 SOAR 기능 충실히 제공

포티넷의 ‘포티SOAR(FortiSOAR)’ 제품은 400여 개의 연동 모듈과 4천여 개에 달하는 사용 가능 액션을 제공하며, 사전에 개발되지 않은 대상 시스템과도 API 등 연동 창구가 있다면 맞춤형(Custom) 모듈을 제작해 연결할 수 있다는 장점이 있다. 또한 가트너가 제시하는 SOAR로서의 3대 요건인 SOA, SIRP, TIP에 대한 기능을 충실히 제공하면서도, 한국 고객의 눈높이와 입맛에 맞춰 사용 가능한 수준으로 커스터마이징할 수 있는 역량을 제공한다.

포티넷은 포티SOAR가 이러한 핵심 특징을 통해 고객에게 SOC 포털로서 다양한 활용도를 제공한다고 밝혔다. 여기에는 △매스 데이터(Mass Data) 처리를 위한 자동화 엔진 △조직 SOC 통합 포털로 사용 △보안관제포털 활용 △이기종 시스템 통합(오케스트레이션)용 플랫폼 활용 △API 서버 역할을 통한 외부 시스템과의 연동 △자동화 플랫폼 활용 등이 포함된다.

게임사, 금융권, 대기업 등에 공급

글로벌 게임사 N사는 포티넷의 글로벌 MSSP(Managed Security Service Provider, 관리형보안서비스공급자) 서비스를 통해 지능형 SOC 보안관제 포털을 활용하고 있다. 이는 기존에 분리되고 권한이 나뉜 다양한 보안시스템 및 IT시스템들을 SOAR 기능으로 통합하고, 포티SOAR의 오케스트레이션 기능을 통해 포티SOAR 포털에서 보안이벤트 대응, 보안이벤트 분석 보강, 데이터 중앙화, 관리적 정보 통합 등을 이뤄낸 사례라는 설명이다. 또한 커스터마이징 기능을 활용, 고객 자체적으로 기능을 개발해 IP차단관리 자동화 시스템으로도 사용 중이다.

또한 금융권 공공기관인 A원의 경우 통합 SOC 포털 및 자동화 사고대응 처리 플랫폼을 활용하고 있다. 솔루션 구축 중 기존 인력에 대비해 대량으로 발생하는 인시던트를 기본대응/정밀대응 필요건으로 분리하고, 자동화 시스템을 통해 기본대응이 가능한 인시던트들은 선제적으로 포티SOAR가 자동 대응하도록 플레이북을 구성했다. 또한 정밀대응건은 사람 대신 분석에 필요한 데이터를 수집해 즉각 쉽게 판단할 수 있도록 플레이북 및 화면을 구성해 제공했다.

국내 1금융권 은행에서는 SOC 포털 위협 자동화 엔진 및 위협DB 프로파일링 시스템을 활용하고 있다. 시스템 구축 중, 기존에 사용하고 있는 SOC 포털을 고도화하고 백그라운드에 포티SOAR를 구축해 조직에서 발생하는 대량 데이터를 자동 분석 및 필터 아웃(Filter Out)하기 위한 다양한 시나리오 플레이북을 개발했다. 자동화 처리된 데이터는 포티SOAR DB에 쌓이며, SOC 포털에서 포티SOAR의 API를 활용해 데이터를 가져가 화면에 표현하고, SOC 포털에서 관제 인시던트 티케팅 업무를 수행한다.

마지막으로 국내 대기업 S전자는 자체 보안운영 위협대응 자동화 플랫폼을 구축하면서 포티SOAR를 활용했다. 보안운영팀의 반복업무 및 자동화 가능한 업무들을 시나리오로 구축하고, 사람은 플레이북의 동작성만 관리하겠다는 콘셉트로 사업에 도입됐으며, 임직원의 평상시 업무 중 기계로 처리할 수 있는 업무들을 목표로 삼아 플레이북 시나리오를 적용했다.

▶ 팔로알토네트웍스 |
“검증된 ‘코어텍스 XSOAR’, 전 세계 1천여 기업이 사용”

팔로알토네트웍스는 2015년 이스라엘에서 만들어진 ‘데미스토(Demisto)’ 솔루션을 인수해 지금의 ‘코어텍스 XSOAR’를 출시했다. 팔로알토는 코어텍스 XSOAR에 대해, 가트너가 SOAR에서 요구하는 기능인 워크플로우 자동화 엔진, 인시던트 관리 및 협업 플랫폼, 보안 티케팅 시스템, 위협 인텔리전스 관리 플랫폼 등을 충실히 구현했다고 소개했다. 타 제품에 비해 가장 많은 플레이북과 서드파티 연결 인테그레이션을 제공하며, 이미 전 세계 약 1천여 고객이 보안관제 및 운영에 활용하고 있다는 게 회사 측 설명이다. TIP와 SOAR를 통합해 진정한 보안관제 자동화를 구현하도록 설계된 ‘코어텍스 XSOAR’를 통해 우선순위가 높은 위협을 즉시 파악할 수 있으며, 기업 전반에 강력한 보안을 유지할 수 있다고 팔로알토는 설명한다.

또한 팔로알토는 올해 초 통합보안관제(SIEM) 시장을 겨냥해 설계 단계에서부터 자율 보안 플랫폼으로 구성돼 지원하는 ‘코어텍스 XSIAM(Extended Security Intelligence & Automation Management)’을 출시했다. 로그와 알림을 집계해 분석하는 방법을 사용하는 기존 SIEM 제품들의 경우, 보안 운영팀에서 각각의 문제가 발생할 때마다 이에 맞춰 설계된 새로운 툴을 적용해야 한다. 이 때문에 보안 아키텍처가 파편화되고 비효율적으로 구성되는 문제를 겪게 된다. 서버, 스토리지가 폭발적으로 증가하는 상황에서 AI 기반의 광범위한 사이버 공격을 실시간으로 막아낼 수 있는 근본적인 변화의 필요성이 높아지는 상황이다. 코어텍스 XSIAM은 로그와 알림뿐만 아니라 세분화된 단위 데이터를 수집해 머신러닝으로 자동 대응하는 방식을 사용한다. 알림과 데이터 사이의 상관관계를 분석하고, 고도로 복잡하게 구성된 새로운 위협을 탐지하는 한편 네이티브 위협 인텔리전스 및 공격 표면 데이터를 기반으로 자동 조치를 실시하는 등의 기능이 탑재됐다.

엔터프라이즈 보안을 위한 포괄적 운영 플랫폼

코어텍스 XSOAR는 엔터프라이즈 보안을 위한 포괄적인 운영 플랫폼을 통해 SOC의 효율성을 높인다. ‘코어텍스 XSOAR’는 업계 최초의 확장된 SOAR 제품에 사례 관리, 자동화, 실시간 협업 및 네이티브 위협 인텔리전스 관리를 통합하고 있다. 보안팀은 모든 소스의 알림을 통합 관리하고 플레이북으로 프로세스를 표준화하며, 위협 인텔리전스에 대해 조치를 취하고 모든 보안 사용 사례에 대한 대응을 자동화함으로써 대응 시간을 최대 90% 단축하고 인적 개입이 필요한 알림을 최대 95%까지 줄일 수 있다.

코어텍스 XSOAR는 여러 피드 소스에 걸쳐 매일 수백만 개의 지표를 집계하고 구문 분석과 중복 제거 및 관리할 수 있는 자동화된 플레이북을 제공한다. 이를 통해 보안 인력의 수작업을 제거해 업무를 줄이고 실수 및 오판으로 미숙하게 대응하는 것을 방지한다. IOC 평가를 손쉽게 확장·편집할 수 있으며 특정 환경에 대해 가장 관련성이 높은 지표를 가진 공급자를 찾아 정확한 대응이 가능하도록 한다.

조직이 자체적으로 축적한 위협 인텔리전스와 팔로알토네트웍스의 위협 인텔리전스 서비스인 ‘오토포커스(AutoFocus)’, 그리고 외부 위협 인텔리전스를 결합해 탐지된 위협의 수준을 객관화하고 더 높은 수준의 위협에 먼저 대응할 수 있도록 한다. 또한 전사적으로 위협을 즉시 차단할 수 있는 자동화된 조치를 취할 수 있게 한다. 내부 팀 및 신뢰할 수 있는 조직 간에 위협 인텔리전스를 쉽게 공유함으로써 조사 범위를 확대한다.

A그룹 보안관제센터, 이벤트당 분석 시간 90% 단축

국내 A그룹의 보안관제센터는 20여 년간 전 세계 그룹 관계사와 여러 산업군의 기업 고객에게 통합보안관제 서비스를 제공하고 있다. 다양한 업종 환경에서 축적된 보안관제 노하우와 고도화된 보안관제 거버넌스를 보유한 이 관제센터는 팔로알토네트웍스의 코어텍스 XSOAR를 활용하고 있다.

A그룹은 다양한 SIEM 제품을 활용하고 있는데, 실제 하루 평균 이벤트가 170억 건, 분석 대상 이벤트 2만 건, 악성 의심 파일 정밀 분석 건수는 하루 3,000건이 넘었다. 코어텍스 XSOAR를 활용하기 전에는 보안 분석가가 이벤트를 수동으로 분석했다. 이벤트 하나를 처리할 때 소요되는 시간이 10~30분 정도였으며, 이벤트 처리 시 접속해 확인해야 하는 보안 시스템이 5~8개 정도였다. 이 관제센터는 고도화된 침해 탐지 시스템을 갖추고 안정적인 서비스를 제공하고 있었지만, 나날이 늘어나는 분석 업무를 감당하기 어려웠다. 이에 빠르게 증가하는 보안 이벤트를 수용할 수 있는 확장 가능한 아키텍처, 다양한 보안 솔루션과 즉시 연동할 수 있는 편의성, 보안관제 전문가의 커뮤니케이션과 실시간 위협 분석에 최적화된 인터페이스를 갖춘 솔루션을 찾기 시작했다. 특히 향후 새로운 보안 솔루션이 추가되거나 관제 업무가 증가해도 현재 구성원만으로 향상된 서비스 품질을 유지하기를 원했다.

팔로알토네트웍스의 코어텍스 XSOAR를 도입한 후 A그룹 보안관제센터는 이벤트당 분석 시간을 90% 단축해 5분 이내로 처리할 수 있었으며, 다른 시스템에 접속하는 과정을 SOAR가 전담하게 돼 이벤트 처리 시 접속하는 보안 솔루션 수를 80% 감소시켰다. 또한 관제 업무의 상당 부분을 자동화해 보안 분석가의 성숙도와 관계없이 일정 수준 이상의 서비스 품질을 보장할 수 있게 됐다. 특히 보안 인력은 단순 반복적인 업무에서 벗어나 심화 분석, 탐지 룰 고도화 등 좀 더 가치 있는 역량 개발에 집중할 수 있었다.

팔로알토는 코어텍스 XSOAR가 국내 A그룹 보안관제센터, 국내 B 철강회사, 국내 C 금융회사를 비롯해 전 세계 1천여 곳의 기업에서 사용하는 이미 검증된 솔루션이라고 강조했다. 코어텍스 XSOAR는 빠른 수평적 확산으로 운영의 안정성과 향상된 성능을 제공하며 850개 이상의 연동 시스템과 650개 이상의 플레이북, 정기적으로 새로운 콘텐츠 팩을 업데이트한다. 프리미엄 서비스인 전담 CS 매니저를 통해 설치부터 구현은 물론 성공적인 활용을 지원하는 서비스도 제공한다.