[컴퓨터월드] 보안 운영 센터(SOC) 담당자들이 과중한 업무에 시달리고 있다. 클라우드, 인공지능(AI) 등으로 시스템의 공격 표면이 늘어남에 따라 SOC로 각종 위협 정보가 쏟아지고 있기 때문이다. 하지만 이에 대응하는 데 필요한 보안 운영 인력은 턱없이 부족한 상황이다. 운영 기술(OT), 산업 제어 시스템(ICS) 등 더 많은 시스템이 IT와 연결되면서 그 부담은 더욱 커질 전망이다.

이런 가운데 반복되는 위협 대응을 자동화하는 ‘보안 오케스트레이션, 자동화 및 대응(SOAR)’이 인력 부족 해법으로 주목받아 왔다. 일부 기업에서는 SOAR로 일일 보안 이벤트의 65%를 자동 처리하는 성과를 거두기도 했다. 물론 보안업체들은 SOAR가 만능열쇠가 아님을 경고한다. 운영 프로세스 표준화와 관리 체계 마련이 선행돼야 진정한 효과를 볼 수 있다는 지적이다. SOAR가 주목받는 이유와 각축을 벌이고 있는 업체들의 사업 전략을 살펴본다.

쏟아지는 위협 정보, 자동화된 대응으로 해결

SOAR는 위협 대응 프로세스를 자동화해 업무 효율성을 높이는 솔루션이다. 솔루션, 업무 절차, 위협 정보 등 요소를 유형에 따라 매뉴얼로 만들어 표준화된 대응을 가능케 한다. 보안 운영 센터(SOC)는 SOAR로 반복적인 업무를 줄임으로써 고도화된 공격을 분석하는 데 들이는 시간을 확보할 수 있다.

많은 조직들은 본래 로그를 분석하는 목적으로 ‘보안 이벤트 정보 관리(SIEM)’를 운영했다. SIEM은 다양한 시스템의 로그를 한데 모아 위협을 탐지하고 분석하는 허브 역할을 한다. SOAR는 여기서 한 단계 더 나아가 경보를 자동으로 처리하는 통합 플랫폼이다.

글로벌 리서치 기관 가트너(Gartner)는 지난 2015년 SOAR 개념을 처음 언급했다. 당시 가트너는 SOAR를 ‘보안 운영, 분석 및 보고(Security Operatios, Analytics and Reporting)’의 약자로 사용했다.

2017년에 이르러 가트너 △보안 사고 대응 플랫폼(SIRP) △보안 오케스트레이션 및 자동화(SOA) △위협 인텔리전스 플랫폼(TIP) 등 세 가지 기술을 결합한 솔루션으로 SOAR를 재정의했다. SIRP는 위험 유형에 따라 대응 절차를 체계적으로 관리하며, SOA는 여러 보안 시스템을 연동하고 작업 흐름을 자동화한다. TIP는 외부 위협 정보를 수집·분석해 대응의 정확성을 높인다.

늘어나는 IT 인프라, 부족한 보안 운영 인력

SOAR가 주목받는 배경에는 SOC의 인력 부족 문제가 자리한다. 클라우드 도입 등 디지털 전환(DX)으로 인해 시스템 내 공격 표면은 넓어지고, 해커들의 수법은 나날이 지능화되고 있다. 이러한 상황은 SOC가 더 많은 보안 경보와 위협을 살펴야 하는 부담을 안게 만든다. 하지만 SOC에 투입되는 인력은 늘어나는 위협에 비해 부족한 실정이다.

한국정보보호산업협회(KISIA)가 지난 2월 발표한 ‘2024년 사이버보안 인력수급 실태조사’에 따르면, 지난 1년간 사이버보안 인력을 채용한 기업은 7.6%에 그쳤다. 기업 66.8%는 구체적인 사이버보안 인력 채용 계획이 없다고 답했다. 2023년 12월 기준 보안 인력 총 7만 9,500여 명 중 5만 595명(63.6%)은 다른 일과 보안 업무를 겸업하고 있었다.

시큐레이어 관계자는 “다수의 기관과 기업은 SOC로 24시간 보안 관제를 수행 중이다. 하지만 폭증하는 보안 이벤트와 알림에 비해 전문 인력은 턱없이 부족하다”고 말했다. 이어 “하루에도 많게는 수만 건의 이벤트가 발생하나 실제 위협은 그중 극히 일부”라며 “인력이 부족한 상태에서 많은 업무를 처리하다 보면 놓쳐선 안 될 위협을 간과하거나 우선순위를 잘못 파악하는 문제가 발생한다”고 지적했다.

스플렁크(Splunk)가 지난 6월 발표한 ‘2025 보안 현황(State of Security 2025)’ 보고서에도 이 같은 SOC 인력 부족 실태를 확인할 수 있는 내용이 실렸다. 미국, 일본 등 9개국 보안 책임자 2,058명이 참여한 이 조사에서 응답자 52%는 과중한 업무에 시달리고 있다고 답했으며 42%는 운영 인력이 부족하다고 밝혔다.

로그프레소 구동언 전무는 “IT와 연계된 업무는 점점 더 늘어날 것이다. 그만큼 넓어진 영역을 보호하기 위한 사이버보안 업무가 많아질 수밖에 없다”며 “관리가 필요한 IT 인프라는 증가하는 반면 우리나라 인구는 감소하고 있어 만성적인 인력 부족 현상이 발생한다”고 설명했다.

보안 인력 부족과 맞물려 전 세계 시장 지속 성장

SOC의 인력 부족과 그로 인한 업무 부담은 국내에만 국한된 것은 아니며 세계적인 현상이다. SOAR가 이 문제를 해결하는 대안으로 떠오르며 관련 시장도 크게 성장하고 있다.

글로벌 마켓 인사이트(Global Market Insight)는 ‘SOAR 마켓(Market)’ 보고서를 통해 2023년 전 세계 SOAR 시장 규모를 16억 달러(약 2조 2,408억 원)로 평가했다. 또 2024년부터 2032년까지 연평균 성장률 15%를 기록하며 2032년에는 57억 달러(약 7조 9,828억 원) 규모에 이를 것으로 예측했다.

시장 조사 기관 그랜드 뷰 리서치(Grand View Research)도 2024년 전 세계 SOAR 시장을 17억 2,000만 달러(약 2조 4,092억 원) 규모로 추산했다. 2025년부터 2030년까지 연평균 15.8% 성장해 2030년 41억 1,000만 달러(약 5조 7,568억 원)를 기록할 것으로 내다봤다.

국내 시장도 세계적 흐름과 궤를 같이 할 것으로 보인다. 그랜드 뷰 리서치는 2024년 한국의 SOAR 시장 규모를 3,860만 달러(약 536억 원)로 추산했다. 또한 2025년부터 2030년까지 연평균 17.1% 성장하며 2030년 9,910만 달러(약 1,377억 원) 규모의 시장을 형성할 것으로 예상했다.

포티넷코리아 시스템 엔지니어링 총괄 박현희 상무는 “SOAR는 SOC 영역을 넘어 범용적인 자동화 플랫폼으로 진화하는 과도기 단계에 놓여 있다”며 “향후 5년 안에 SOAR라는 용어가 더 포괄적인 개념으로 변할 가능성이 있으나 보안 자동화 시장 자체의 전망은 긍정적”이라고 평가했다.

자동화 핵심은 ‘플레이북’…관건은 조직별 맞춤 조정

SOAR의 자동화를 가능케 하는 밑그림은 플레이북(Playbook)이다. 플레이북은 솔루션, 업무 절차, 위협 정보 등 보안 요소를 공격 유형별 대응 과정으로 묶은 결과물이다. SOAR는 플레이북을 바탕으로 단순 반복적인 프로세스를 자동 처리하며, 대응 단계를 우선순위에 맞게 분류하고 표준화된 업무 절차에 따라 문제를 해결한다.

로그프레소 구동언 전무는 “시스템에서 심상치 않은 로그가 들어왔을 때 IP나 URL 경로를 살펴보는 등 확인하는 절차가 있다”며 “플레이북은 이 과정을 지정해 둠으로써 특정 로그에 대한 대응을 자동화하는 매뉴얼”이라고 설명했다.

보안 운영과 위협 대응에 최적화된 플레이북을 얼마나 보유했는가는 SOAR 도입의 성패를 가르는 중요한 요인이다. 잘 만들어진 플레이북을 많이 갖출수록 SOAR가 더 많은 문제를 해결할 수 있다.

SOAR 업체들은 조직에서 플레이북을 쉽게 구성할 수 있도록 템플릿을 제공한다. 조직은 위협 종류, 상황별 대응 프로세스에 따라 템플릿을 골라 SOAR를 운영할 수 있다. 다만 회사마다 우선순위나 업무 처리 절차가 다르기 마련이다. 따라서 제공된 템플릿을 활용하되 조직의 성격에 맞게 조정하는 작업이 필수적이라고 전문가들은 조언했다.

[인터뷰] “단계적 접근이 SOAR 도입 성공 비결”

Q. 우리나라 SOC 환경의 현주소는 어떠한가.

“국내 SOC는 심각한 구조적 문제에 직면해 있다. 가장 큰 문제는 경보 폭증과 인력 부족이다. 발생하는 보안 경보 중 약 40%만 조사할 수 있는 상황으로 확인된다. 경보가 너무 많은 데에 비해 분석 절차는 표준화되지 않아 개인 역량에 과도하게 의존하고 있다. 추가로 정부·규제기관이 배포하는 침해지표(IoC) 권고사항을 수동으로 처리·보고하는 업무가 더해지며 운영 피로도 또한 증가하고 있다.”

Q. SOAR가 보안 운영 인력 부족을 어떻게 해소할 수 있는지.

“SOAR의 핵심은 자동화다. SOC 분석가들이 매일 겪는 단순 반복적인 업무를 자동으로 처리할 수 있다. 기존 보안 솔루션은 ‘데이터 레이크(Data Lake)’에서 로그를 통합하고 SIEM을 통해 상관관계 분석을 수행했다. SOAR는 한 단계 더 나아가 SOC에서 발생하는 경보와 위협 정보를 효율적으로 처리할 수 있다.”

“초기에는 반복 작업을 스크립트로 자동화하는 수준에 그쳤다. 하지만 이제는 경보 수집과 분류, 이벤트와 티켓 관리, 취약점 관리까지 아우르는 종합 플랫폼으로 발전했다. ‘포티SOAR’를 도입한 고객 중에는 유형별 자동화를 적용함으로써 일일 이벤트의 65%를 자동으로 처리하는 성과를 거뒀다. 재분석 과정에서 발생하던 오류율 역시 크게 줄어들었다.”

Q. 성공적인 SOAR 도입을 위해 고려해야 할 점은.

“SOAR 도입에서 가장 중요한 점은 단계적 접근이다. 한 번에 너무 많은 일을 해결하려 하면 프로젝트가 성공할 수 없다. SOAR를 도입하기에 앞서 조직의 보안 운영 환경과 프로세스를 점검하고 적절한 인력과 체계를 갖추는 것이 첫째다. 이 과정에서 경험과 구축 사례를 보유한 전문 파트너의 도움을 받는 게 좋다.”

“둘째, 도입 전에 반드시 데모나 개념 검증(PoC)으로 정량적 개선 효과를 확인해야 한다. 단순한 기능 나열에 그치지 않고 실제 워크플로에 적용했을 때 생산성이 얼마나 개선되는지, 대응 속도는 얼마나 빨라지는지 눈으로 확인해야 한다.”

“마지막으로 솔루션의 기능과 아키텍처를 꼼꼼히 살펴봐야 한다. 예를 들어 팀 단위 협업 공간을 제공하는지, 플레이북을 쉽게 편집할 수 있는지 등을 점검해야 한다. 역할 기반 사용자 권한 관리가 가능한지, 장기적으로 확장할 수 있는 아키텍처를 지원하는지도 중요한 판단 기준이 된다. 이런 요소를 종합적으로 검토해야만 SOAR 도입이 실제 성과로 이어질 수 있다.”

SOAR 도입, 핵심은 표준화와 지속적 관리

최근 통신사, 카드사 등 국내 유수의 기업을 대상으로 사이버 공격이 잇따르고 있다. 지난 4월 SK텔레콤에서 2,300만 명 가입자의 유심(USIM) 정보가 유출됐다. 지난달에는 KT와 롯데카드가 시스템 침해로 곤욕을 치렀다. KT는 불법 초소형 기지국을 통한 무단 소액결제 피해뿐 아니라 서버 해킹 정황까지 발견됐다. 롯데카드는 297만 명의 정보 200기가바이트(GB)가 유출됐다.

범람하는 해킹에 SOAR가 얼마나 효과적으로 대응할 수 있을지에 의문을 나타내는 목소리도 있다. 큰 비용을 들여 SOAR를 도입했는데도 자동화된 대응이 여전히 어렵다는 볼멘소리도 들린다.

전문가들은 SOAR 도입이 성공하기 위해선 전략 수립과 운영 체계 마련이 필요하다고 말한다. 보안 업무 전반이 일정 수준 이상 표준화돼야 SOAR의 자동화 기능이 효과를 볼 수 있다는 지적이다.

시큐레이어 관계자는 “SOAR는 단순한 도구가 아니라 프로세스를 표준화하는 혁신 작업”이라며 “도입에 앞서 조직의 보안 성숙도와 운영 절차를 점검해야 한다”고 말했다. 이어 “보안 체계가 성숙되어 있지 않은 조직이라면 기초적인 자동화부터 단계별로 적용해야 하며, 이미 SIEM을 활용 중인 기업은 솔루션 간 긴밀한 통합을 통한 확장 전략을 고민해야 한다”고 덧붙였다.

도입 이후에도 지속적인 관리가 뒷받침돼야 한다. 조직의 보안 환경은 위협 트렌드 변화, 업무 프로세스 변경 등 여러 이유로 끊임없이 변화한다. 따라서 초기 도입 시 설계한 플레이북을 점검하는 한편 운영자 교육, 우수 사례 공유 등으로 조직 내 활용도를 높여 가야 한다.

시큐어시스템즈 관계자는 “SOAR를 도입하기에 앞서 보안 운영 프로세스를 표준화하고 내부 로그 및 이벤트 관리 체계를 정비해야 한다. 운영 담당 인력에 대한 교육도 필요하다. 일련의 준비 과정을 거쳐야만 SOAR를 통한 자동화된 보안 체계를 마련할 수 있다”고 조언했다.

솔루션 연동이 중요…통합 플랫폼으로 해법 제시

설치된 보안 솔루션과 SOAR를 어떻게 연계하는가도 중요하다. SOAR를 도입했다 할지라도 기존 솔루션과 연동이 이뤄지지 않는다면 자동화 기능은 ‘빛 좋은 개살구’에 그칠 수 있다. 이미 설치·운영 중인 보안 솔루션과 SOAR가 시너지 효과를 낼 수 있도록 호환성, 확장성을 고려해야 한다.

다양한 보안 제품군을 보유한 안랩, 포티넷의 경우 SOAR와 다른 솔루션을 연계하는 플랫폼을 제공한다. ‘안랩 플러스(AhnLab PLUS)’는 SOAR를 중심축으로, 탐지부터 분석, 대응에 이르는 전 과정을 단일 플랫폼으로 연결한다. 조직은 확장형 탐지 및 대응(XDR), 위협 인텔리전스(TI) 등을 필요에 따라 모듈 형태로 플랫폼에 더할 수 있다.

포티넷은 ‘보안 패브릭(Security Fabric)’이라는 통합 전략 아래 차세대 방화벽(NGFW), 침입 방지 시스템(IPS) 등 다양한 솔루션을 유기적으로 연결해 왔다. ‘포티SOAR(FortiSOAR)’는 보안 패브릭의 중앙 허브로서, 개별 장비가 가진 탐지·차단 역량이 하나의 워크플로 안에서 자동으로 실행될 수 있도록 지원한다.

로그프레소는 SIEM과 SOAR를 통합하는 데 초점을 맞췄다. SOAR는 SIEM에서 발견한 보안 이벤트를 플레이북 등 사전에 정의된 절차에 맞춰 자동 대응하는 솔루션이다. 완성도를 높이기 위해선 SIEM과 SOAR 간 연계가 중요하다. 로그프레소는 완성도 제고를 위해 SIEM 플랫폼 ‘로그프레소 소나(Sonar)’와 SOAR 솔루션 ‘로그프레소 마에스트로(Maestro)’를 통합된 형태로 제공하고 있다.

로그프레소 구동언 전무는 “SIEM과 SOAR가 분리돼 있으면 데이터 연동이 어렵다. 이는 비효율적인 운영 체계로 이어진다”며 “로그프레소는 별도 API 연동 없이도 솔루션 간 연계가 원활히 이뤄지도록 SIEM과 SOAR를 완전히 통합했다”고 설명했다.

스플렁크도 조직이 보유한 보안 생태계와 SOAR을 통합하기 위한 기능을 제공하고 있다. ‘스플렁크 SOAR’는 300개 이상의 앱(커넥터)과 API 연결 등으로 외부 시스템과의 연계를 지원한다.

스플렁크 세일즈 엔지니어팀 김현준 전무는 “SOAR와 다양한 보안 및 IT 시스템 간 호환 과정에서 인프라 복잡성으로 인한 어려움을 겪는 곳이 많다. 이러한 문제는 SOAR 시장 확대에 걸림돌이 되고 있다”며 “SOAR를 자동화만이 아닌, 위협의 탐지부터 조사, 대응까지 전체 프로세스의 주축을 담당하는 솔루션으로 인식할 필요가 있다”고 말했다.

아직 인간 판단 필요하지만…AI 발전으로 ‘완전 자동화’ 기대

SOAR의 주요 기능은 ‘자동화’지만 아직 사람을 완전히 대체할 수준에 이르지는 못했다. 로그프레소 구동언 전무는 “플레이북을 바탕으로 AI가 많은 일을 자동화하고 있다. 하지만 생각지 못한 변수가 발생하거나 복잡한 분석을 요구하는 상황에는 여전히 인간의 판단이 개입될 수밖에 없다”고 밝혔다.

그럼에도 빠른 AI 기술의 발전 속도는 더욱 진일보한 자동화 기능을 기대케 한다. 일례로 미국의 보안 스타트업 ‘드롭존 AI(Dropzone AI)’는 AI를 활용한 SOC 분석 도구를 개발하고 있다. 이 기업은 반복적인 1차 보안 경보를 신속하고 정확히 처리하는 알고리듬을 제공하고 있다. 거대언어모델(LLM)로 보안 분석가의 사고 과정을 흉내 내 위협 대응 속도를 높이는 것이 큰 특징이다.

AI를 활용한 위협 대응은 보안 업계에서 주목받는 분야다. 가트너는 2025년 ‘보안 운영 하이프 사이클(Hype Cycle for Security Operations)’에서 ‘보안 운영을 위한 AI 사용 사례’를 3대 핵심 주제 중 하나로 꼽았다. 또 자동화로 SOC의 효율을 향상하는 ‘AI SOC 에이전트’가 올해 새롭게 등재됐다. 앞서 언급된 드롭존 AI가 지난 7월 520억 원(3,700만 달러) 규모의 투자를 유치한 점 또한 AI 기술에 대한 보안 시장의 기대를 엿볼 수 있는 대목이다.

구동언 전무는 “인프라 영역까지 너른 이해도를 갖춘 엔지니어를 길러내기란 어렵다. 좋은 엔지니어를 확보하는 일은 갈수록 힘들어지고 이에 따라 인력 부족도 심화할 것”이며 “AI를 SOAR에 어떻게 결합하는지가 성패를 가르는 지점이 될 것이다. 보안업체들은 AI 기술 경쟁력을 확보하기 위해 분주히 움직이고 있다”고 설명했다.

[인터뷰] “SOAR 시장 경쟁, AI 기술 역량이 판가름할 것”

Q. 최근 보안업계에서 통합이 트렌드로 자리하고 있다.

“고객의 요구에서 시작된 변화다. 과거에는 엔드포인트, 네트워크, 클라우드 등 영역마다 각기 다른 업체로부터 솔루션을 구입했다. 솔루션이 늘어나며 비용, 운영 측면 모두 부담이 커졌다. 기업, 기관에서는 점차 하나의 도구로 모든 기능을 제공하길 바라는 목소리가 높아졌다. 데이터도, 통제 영역도 한데 모으려는 것이다.”

“SOAR도 예외는 아니다. 가트너는 이미 SOAR가 단일한 시장으로는 사라지고 있다고 평가한 바 있다. SOAR만 단독 운영해서는 별 다른 효과가 없다. SOAR는 SIEM에서 발견한 보안 이벤트를 토대로 대응을 자동화한다. 두 솔루션 간 연계가 원활하지 않거나 SIEM이 정확히 탐지하지 못한다면 SOAR 역시 잘못된 판단을 내릴 수밖에 없다.”

“해외에서는 SIEM과 SOAR를 통합하려는 움직임이 이어지고 있다. ‘마이크로소프트 센티널(Microsoft Sentinal)’은 SOAR을 내장한 형태로 SIEM을 제공하고 있다. 로그프레소 역시 SIEM과 SOAR를 통합된 하나의 솔루션으로 만들고 있다. SOAR를 단독 제품으로 공급하는 경우는 드물다. 이처럼 SIEM에 여러 기능이 더해진 구조를 가트너에서는 ‘현대적인 SIEM(Modern SIEM)’이라 일컫는다.”

Q. SOAR의 자동화 수준에 아쉬움을 표하는 이들도 있는데.

“현재 SOAR는 플레이북 기반 자동화에 그치고 있다. 미리 정의된 시나리오에 따라 단순 반복 작업은 처리하지만, 생각지 못한 변수가 발생하거나 복잡한 분석을 요구하는 상황에서는 인간이 판단에 개입해야 한다.”

“자동화는 그리 녹록지 않다. 회사들이 비슷한 솔루션을 쓴다 해도 업무 구조, 우선순위 등 여러 상황이 제각기 다르다. SOAR 업체에서 플레이북을 템플릿으로 제공하더라도 조직의 성격, 환경에 맞게 조정하는 작업이 필요하다. 이러한 측면에서 SOAR 무용론 같은 이야기가 나오는 점도 이해한다.”

“AI 에이전트가 발전하면 SOAR가 지닌 한계를 상당 부분 해결할 수 있을 것으로 기대한다. AI 기술은 굉장히 빠른 속도로 발전하고 있다. 몇 년 전만 해도 챗GPT 같은 생성형 AI 서비스를 너나 할 것 없이 쓰는 시대가 오리라고는 예상치 못했다. 정교한 판단이 요구되는 사이버보안에서도 머지않은 시일 내에 저숙련 업무는 AI가 대체할 것이다.”

Q. 향후 SOAR의 시장 경쟁력을 판가름하는 지점은 무엇일지.

“AI 기술이 핵심이다. SIEM, SOAR에 AI를 어떻게 접목하는가. AI로 얼마나 많은 업무를 자동화할 수 있는가. 이러한 문제에 먼저 해답을 내놓을 수 있는 곳이 승자가 될 것이다. 보안업계가 겪는 인력 부족은 갈수록 심화하고 있다. 우리는 과거보다 더 많은 업무를 IT 기반 위에서 해결하고 있고, 앞으로 더 많은 일이 그렇게 될 것이다. 관리해야 하는 인프라 영역은 넓어지는데 젊은 인구는 감소하고 있다. 숙련된 전문 인력을 찾는 건 더욱 힘들다. 결국 사이버보안도 AI 기반 자동화로 나아갈 수밖에 없다. 그런 측면에서 AI 기술이 앞으로 SOAR 시장에서도 경쟁을 판가름하는 요인이 될 것이다.”

이글루코퍼레이션 “하루에 4600건 처리…SOC 경험 녹인 ‘스파이더 SOAR’”

이글루코퍼레이션의 ‘스파이더 SOAR(SPiDER SOAR)’는 위협 대응 프로세스를 자동화해 보안 운영의 효율성을 높이는 솔루션이다. SOAR가 제 역할을 하기 위해선 보안 솔루션 및 업무 시스템과 긴밀히 연계돼야 한다. 회사는 방화벽, IPS, EDR(엔드포인트 탐지 및 대응) 등 국내 기관, 기업이 많이 사용하는 솔루션을 조사 분석해 스파이더 SOAR와 연동이 가능토록 구현했다.

SOAR의 완성도를 높이기 위해 최근 5년간 기술 개발을 지속해 왔다. 그 결과 지난달 기준 보안 운영 자동화 품질 향상을 위한 SOAR 관련 특허 7건을 확보했다. 플레이북에는 20여 년간 보안을 운영한 노하우를 담았다. 특히 탐지된 이벤트에 두 단계의 플레이북을 적용해 가중치를 산출하고 학습 데이터를 확보해 정확성을 제고했다.

이글루코퍼레이션에 따르면 한 기업은 스파이더 SOAR 도입 후 기존 보안 인력이 처리하던 위협 분석 및 대응 작업 중 약 83%를 자동화했다. 하루 이벤트 대응 건수도 200건에서 4,600건으로 늘어났다. 사람이 직접 대응할 때 최대 60여 분이 소요되던 위협 대응도 1분 이내로 단축되는 성과를 거뒀다.

이글루코퍼레이션은 SOAR를 넘어 하이브리브 XDR 기반 ‘자율형 보안운영센터(Autonomous SOC)’ 구현에 속도를 내고 있다. 자율형 SOC는 SIEM, SOAR를 연계해 일원화된 대응 체계를 수립하고 AI·머신러닝 기반 자동 위협 분석·탐지를 지원한다.

AI 에이전트를 SOC와 연계하는 방안도 모색하고 있다. 챗봇·분석 AI 에이전트는 물론, 위협 헌팅 등 다양한 보안 업무를 수행할 수 있는 AI 에이전트를 자체 개발 중이다. 이를 통해 AI 에이전트의 신뢰성을 높이고 SOC 내 자율화 비중을 높여 나갈 계획이다.

안랩 “머신러닝 엔진으로 정오탐 식별 및 통합 위협 대응”

‘안랩 SOAR’는 안랩이 보안 운영 및 위협 대응 분야에서 축적한 기술력으로 오케스트레이션과 자동화를 구현한 플랫폼이다. 위협 종류, 상황별 대응 프로세스를 표준화한 플레이북과 함께 위협 종류 분별 및 정오탐 식별을 자동화하는 머신러닝 기반 ASA(Advanced Security Analytics) 엔진 등을 주요 기능으로 제공한다.

안랩의 강점은 폭넓은 보안 솔루션 생태계다. 안랩은 다양한 보안 기술을 SOAR와 유기적으로 연계할 수 있도록 ‘안랩 플러스’ 플랫폼을 제공 중이다. 안랩 플러스는 단일한 사용자 인터페이스(UI)로 운영 복잡성을 낮추며 탐지·분석·대응 과정을 하나의 플랫폼 내에서 모두 구현한다. 비용 부담을 줄이고자 XDR 등 구성 요소는 고객 필요에 따라 모듈형으로 선택할 수 있도록 했다.

안랩 관계자는 “안랩은 국내 보안관제 환경에 대한 깊은 이해를 바탕으로 다수의 SOAR 구축 사례를 만들어 왔다. 이를 기반으로 초기 도입 단계부터 커스터마이징, 테스트 환경에서 실제 운영 환경으로의 전환 등 SOAR 구축 전 과정에서 풍부한 노하우를 보유했다”고 말했다.

안랩에 따르면 금융권 A사는 안랩 SOAR를 도입해 보안 업무 효율성을 제고하는 데 성과를 거뒀다. A사는 과거 외부 기관으로부터 수신한 악성 IP 정보를 수동으로 정책에 반영해 위협 대응에 어려움을 겪었다. 안랩 SOAR 도입 후 악성 IP 정보를 주기적으로 수집해 자동 차단 정책에 반영했다. 또 ‘공통 취약점 및 노출(CVE)’ 기반 플레이북을 구축해 침해 지표(IoC) 수집부터 자산 검색·조치까지 자동화된 워크플로를 구현했다.

로그프레소 “SIEM+SOAR 네이티브 통합 ‘소나 마에스트로’”

로그프레소는 SOAR를 SIEM에 내재적으로(Native) 결합, 별도 연동 없이도 완전히 통합된 형태로 개발했다. SIEM과 ‘사용자 및 엔티티 행동 분석(UEBA)’를 통합한 플랫폼 ‘로그프레소 소나(Logpresso Sonar)’를 근간으로 삼고, 여기에 SOAR 솔루션 ‘로그프레소 소나 마에스트로(Logpresso Sonar Maestro)’를 부가 기능으로 제공하고 있다.

SIEM과 SOAR의 통합으로 더욱 원활한 보안 운영이 가능하다. 가령 API 연계를 거치지 않고도 SIEM에서 티켓 발생 시 SOAR가 플레이북을 참조해 즉각 동작할 수 있다. 또 다양한 솔루션을 고객이 연계할 수 있도록 다른 업체들과 제휴해 앱 스토어 형태로 클라우드 보안 유지 관리(CSPM), 웹 방화벽(WAF) 등을 제공하고 있다.

로그프레소 구동언 전무는 “SIEM과 SOAR를 별도로 개발할 경우, 두 제품을 API로 연결하는 추가 작업이 필요한 데다 데이터 간 연동이 매끄럽지 않은 문제도 빚어질 수 있다”며 “로그프레소는 SIEM과 SOAR를 하나의 형태로 개발했다. SIEM 안에 SOAR의 플레이북을 내장해 더욱 신속한 위협 대응이 가능하다”고 설명했다.

로그프레스는 국내 모 기업에 로그프레소 소나를 공급하고 ‘네트워크 탐지 및 대응(NDR)’ 솔루션과 연계해 내부 정보 유출 분석 업무를 자동화했다. 또 공공기관의 보안관제센터에도 공급해 보안운영 자동화 환경을 구축하기도 했다.

시큐레이어 “아이클라우드XOAR로 공공 조달 시장에 두각”

시큐레이어의 ‘아이클라우드XOAR(eyeCloudXOAR)’은 보안 성숙도에 따라 기초 자동화에서 AI 기반 고도화까지 단계적 확장이 가능한 솔루션이다. 시큐레이어는 다양한 보안 솔루션을 아이클라우드XOAR과 연동할 수 있도록 자체 개발한 개방형 API 프레임워크를 지원한다.

아이클라우드XOAR는 ‘노코드(No-code)’ 플레이북으로 코딩 지식이 부족한 현장 담당자도 시나리오를 설계·운영할 수 있다. 또 직관적인 UI와 시각화된 워크플로로 도입 장벽을 완화했다.

규제·컴플라이언스 대응은 기업과 기관이 SIEM과 SOAR 도입을 고려하는 이유 중 하나다. 아이클라우드XOAR는 모든 대응 과정을 자동으로 기록해 규제 준수와 감사 대응을 지원한다. 증적 관리와 보고서 생성 기능도 제공하고 있다.

시큐레이어는 지난 2021년 국가정보자원관리원의 ‘AI 기반 적응형 보안시스템’ 3차 구축에 참여하는 등 공공 부문에서 두각을 나타내고 있다. 시큐레이어 관계자는 “공공기관은 상위 중앙관제센터와 하위 관제센터가 연결된 형태를 갖추고 있다. 따라서 SOAR 솔루션 간 실시간 연계로 전체 보안 체계를 통합 관리하는 기능이 중요하다. 또 공공 부문은 각종 보안 규제와 감사 준수 의무가 있어 상세한 로그와 증적 확보가 요구된다”고 설명했다.

실제 A 기관에서는 하루 평균 400GB 이상의 보안 로그를 분석했는데 기존의 수동적 보안 운영 방식에 한계를 느꼈다. 이에 시큐레이어의 SOAR 솔루션을 도입해 반복적인 탐지, 분석, 대응 업무를 자동화했다. 또 노후화된 시스템으로 신속한 위협 대응에 제약이 있던 B 기관에서도 시큐레이어 SOAR 도입으로 대응 시간을 단축할 수 있었다.

시큐어시스템즈 “AI 기반 분석으로 SOC 운영 효율성 극대화”

시큐어시스템즈의 ‘시큐어 오케스트라(Secure Orchestra) V3.0’은 AI 기반 분석에 특화된 SOAR 플랫폼이다. 내장된 모델로 악성 의심 로그를 추출하고 위협 인텔리전스와 연계해 오탐을 최소화하고 위협 탐지 정확도를 높였다.

플레이북 활용도를 높이기 위한 기능도 탑재했다. 비전문가도 플레이북 구축이 용이하도록 드래그 앤 드롭(Drag and Drop) UI를 지원하며, 초기 설정 없이도 즉시 SOAR를 사용할 수 있도록 사전 정의된 정책과 데이터셋을 제공한다. 이뿐 아니라 고객사 환경별 맞춤형 컴포넌트 설정으로 유연한 커스터마이징도 가능하다.

시큐어시스템즈는 모 공공기관에 ‘시큐어 오케스트라’를 공급한 바 있다. 이 기관은 적은 인력으로 다수의 보안 장비와 정책을 관리하고 있었다. 시큐어 오케스트라를 도입해 상위기관의 위협 정보를 방화벽 정책에 반영하는 플레이북을 구축했으며, IPS와 WAF에서 탐지 이벤트를 AI 분석 후 정탐 결과만 경고하도록 구현했다.

시큐어시스템즈 관계자는 “앞으로의 보안은 속도와의 싸움이다. 자동화된 위협 대응 없이는 급증하는 공격을 차단하기 어렵다”며 “고객사가 SOAR를 성공적으로 도입하고 활용할 수 있또록 지속적으로 지원하겠다”고 밝혔다.

포티넷 “보안 플랫폼 허브로 진화한 ‘포티SOAR’”

포티넷의 ‘포티SOAR’는 침해사고 관리, 위협 대응뿐 아니라 다양한 보안 업무 자동화를 지원하는 통합 플랫폼이다. 포티SOAR를 도입한 조직은 SOAR를 관제 체계 중심에 두고 여러 업무를 관리하는 허브로 활용하며 워크플로를 표준화하거나 경고를 분석하는 데 사용하고 있다.

포티SOAR 플랫폼은 모듈, 커넥터, 플레이북 등 세 가지 요소로 구성된다. 포티넷은 마켓플레이스에서 제공하는 680여 개의 커넥터로 손쉬운 보안 제품 연계를 지원한다. 플레이북은 드래드 앤 드롭 방식으로 직관적으로 구현할 수 있으며 여러 유즈 케이스(Use-case)도 제공한다.

포티넷코리아 박현희 상무는 “포티SOAR의 차별화된 기능은 ‘모듈’이다. 사용자가 원하는 화면과 데이터를 유연하게 구성할 수 있으며 경고 외에도 데이터를 배치하고 자동화할 수 있다”고 설명했다.

포티넷은 포티SOAR를 비롯한 자사 보안 솔루션을 연계하는 ‘보안 패브릭’이라는 전략을 펼치고 있다. 포티SOAR는 보안 패브릭에서 중앙 조율 허브 역할을 맡아 개별 장비의 탐지·차단 역량을 통합 제공한다.

포티넷에 따르면 국내 한 금융사는 전체 이벤트 발생 수에 비해 운영 자원이 부족한 상태였다. 포티SOAR를 도입하고 유형별 자동화를 적용, 일일 이벤트의 65%를 자동으로 처리했고 재분석 과정에서 발생하던 오류율도 크게 낮추는 성과를 거뒀다. 제조업체 A사에서도 포티SOAR를 통해 SIEM과 물리 보안 경보를 단일 체제로 통합하고 유형별 분석 시나리오를 적용해 SOC의 부담을 줄였다.

스플렁크 “보안 운영의 복잡성을 해결하는 ‘스플렁크 SOAR’”

‘스플렁크 SOAR(Splunk SOAR)’는 기존 제공되는 앱(커넥터)으로 350여 개의 보안 솔루션과 IT 도구를 연동할 수 있다. 여러 시스템에서 일어나는 경고와 데이터를 통합 관리하고 상관 분석해 근본 원인을 빠르게 찾아낼 수 있다.

기본 제공되는 플레이북 80여 개로 SOC 업무 중 조사, 분석, 대응 작업을 자동화할 수 있다. UI 내 포함된 편집기로 기존 플레이북을 수정하거나 조직 환경에 맞춤형으로 제작함으로써 반복적인 보안 작업에 대한 커스터마이징도 제공한다. 스플렁크는 향후 AI로 플레이북을 추천받거나 제작하는 기능을 업데이트할 예정이다.

스플렁크는 ‘스플렁크 ES 프리미어 에디션’으로 SOAR와 UEBA, AI 어시스턴트 등 자사 제품군을 하나로 통합해 일관된 사용자 경험으로 제공한다. 이러한 솔루션을 통해 조직은 더 나은 가시성과 맥락을 갖춘 SOC를 운영할 수 있다.

일본에 본사를 둔 ‘미쓰이 물산 시큐어 디렉션즈(MBSD)’는 스플렁크 SOAR를 도입해 보안 인프라 오케스트레이션 등을 간소화했다. 현지 기관, 기업 대상으로 보안 운영 솔루션을 제공하던 MBSD는 자사 솔루션으로는 복잡해지는 보안 운영 요구를 충족하는 데 한계를 느껴 스플렁크 SOAR를 채택했다.

스플렁크 코리아 김현준 전무는 “클라우드로 운영 환경이 확장되고 AI, 사물인터넷 등 신규 기술 사용이 늘어나며 보안 환경은 날이 갈수록 복잡해지고 있다. 이를 효과적으로 관리하기 위해 SOAR 도입을 검토하는 기업이 점차 증가하고 있다”며 “스플렁크 SOAR는 조사 프로세스를 몇 분 내로 단축하며 탐지부터 대응에 이르는 과정을 하나의 워크스페이스에서 처리할 수 있다”고 말했다.