[아이티데일리] 최근 보안 시장에도 자동화 바람이 불고 있다. 현재 많은 조직에서 지능화되는 사이버 위협에 대응하기 위해 다양한 솔루션을 도입하고 있다. 하지만 너무 많은 솔루션을 도입할 경우 업무 증가와 더불어 인력 전문성 및 숙련도의 한계와 편차 등 문제를 야기하고 있다.

이런 문제의 해결방안으로 ‘보안 오케스트레이션·자동화 및 대응(SOAR: Security Orchestration, Automation and Response)’ 솔루션이 떠오르고 있다. 많은 보안 기업들이 솔루션을 출시, 개화되는 시장을 선점하기 위해 치열한 경쟁을 벌이고 있다. 특히 글로벌 기업들은 활발한 인수합병을 통해 솔루션을 선보이고 있다. 국내 기업 중에는 안랩이 자사의 노하우를 반영한 솔루션을 공급하고 있다.

한편으로, 국내 시장이 본격적으로 성장하기 위해서는 국산 보안 솔루션과의 연동 문제 등이 해결돼야 한다는 목소리가 커지고 있다. 이와 더불어 솔루션 구축 과정에서는 종류 및 상황별 대응 프로세스를 표준화한 플레이북 ▲UX ▲솔루션 연계 능력 ▲개발 등이 프로젝트에 포함되기 때문에 공급사의 역량이 매우 중요하다는 주장이다.

인수합병 통해 SOAR 역량 확보나선 글로벌 기업

시장 확대가 확실시되는 상황에서 글로벌 보안 기업들이 SOAR 솔루션을 속속 출시하고 있다. 파이어아이, 팔로알토네트웍스, 포티넷 등 보안 기업뿐만 아니라, 마이크로소프트, IBM, 스플렁크 등 IT 기업들도 SOAR 시장에 진출하고 있다.

SOAR 시장의 특징은 오케스트레이션·자동화 및 대응에 의미를 부여하고 있는 만큼, 많은 기업들간의 협업 및 연동이 이뤄지고 있다. 특히 IBM, 스플렁크 등 경쟁 업체 간에 통합이 진행되고 있다는 점은 주목할만하다.

협업 및 연동이 활발한 만큼, 인수합병도 활발하다. 파이어아이는 힐릭스(Helix) 및 베로딘(Verodin)을, 팔로알토네트웍스는 데미스토(Demisto)를 인수해 SOAR 솔루션을 선보였으며, 포티넷은 사이버스폰스(CyberSponse)를 인수해 ‘포티넷 보안 패브릭(Fortinet’s Security Fabric)’을 SOAR 솔루션까지 확장했다.

이 외에도 ▲IBM은 리질리언트시스템즈(Resilient Systems) ▲스플렁크는 팬텀 사이버 코퍼레이션(Phantom Cyber Corporation) ▲마이크로소프트는 헥사다이트(Hexadite)를 인수해 SOAR 솔루션을 선보이고 있다.

국내에서는 안랩이 유일하게 SOAR 솔루션 ‘안랩 세피니티 에어(AhnLab Sefinity AIR: Advanced Incident Response)’를 출시했다. 안랩은 ▲보안 관제 노하우를 반영해 대응 프로세스를 표준화한 플레이북 ▲안랩 주요 솔루션과의 연동 기능 ▲머신러닝 기반 분석 엔진 등을 강점으로 내세우고 있다.

<솔루션 소개> 안랩 관제 노하우 접목된 SOAR 솔루션 ‘안랩 세피니티 에어’ 안랩의 SOAR솔루션 ‘안랩 세피니티 에어’는 국내 기업 중 처음으로 SOAR 개념을 도입한 보안 운영 플랫폼이다. ‘안랩 세피니티 에어’의 주요 기능은 ▲안랩의 축적된 보안관제 노하우를 집약해 위협 종류, 상황별 대응 프로세스를 표준화한 ‘플레이북(Playbook)’ 제공 및 대응 자동화 ▲전체적 관점의 보안 운영(Orchestration)을 위한 안랩 엔드포인트 솔루션 및 주요 보안 솔루션과 연동 기능 ▲위협종류 분별 및 정오탐 식별을 자동화하는 머신러닝 기반 ASA(Advanced Security Analytics) 엔진 등이다. ‘안랩 세피니티 에어’는 다년간 축적된 안랩의 위협 대응 시나리오 바탕으로 설계된 플레이북을 제공한다. 이를 기반으로 자동화된 대응 절차를 지원하기 때문에 보안 담당자의 경험과 전문성에 따른 편차없이 일정한 품질 이상의 보안위협 대응수준을 유지할 수 있다는 것이 강점이다. 또한 보안/비보안 솔루션 연동으로 수집되는 다양한 영역의 보안위협 데이터를 하나의 화면에서 탐색하고 처리할 수 있고, 고객사별 환경에 맞게 프로세스를 최적화할 수도 있어 전반적인 보안위협 대응과 운영 업무의 효율성을 높일 수 있다. 안랩 관계자는 “안랩은 변화하는 고객 환경에 대응하기 위해 꾸준히 제품 콘텐츠를 업그레이드 하고 있다. 안랩이 현장에서 수행하는 보안위협 대응을 바탕으로 최신 보안위협 정보를 수집하고, 대응 절차 수립, 자동화 프로세스, 관제 연동 등 제품 역량을 강화하고 있다. 이외에도 클라우드, 운영기술(OT) 환경에서도 SOAR를 활용할 수 있도록 지원하는 연구개발을 진행하고 있다”고 설명했다. 이어 “안랩은 다양한 환경에서 SOAR를 활용할 수 있도록 보안 위협 종류, 상활별 대응 프로세스 표준화와 위협 종류 분별 및 정오탐 식별을 자동화하는 머신러닝 기반 엔진 강화 등 연구 개발을 지속하고 있다”고 덧붙였다.

솔루션 연동 문제 해결해야

인수합병이 활발한 글로벌 시장에 비해 국내는 아직 초기시장이라 할 수 있다. 도입을 위해 테스트를 진행하며 신중하게 접근하고 있는 상황이다. 다만 글로벌 보안 컨퍼런스에서 지속적으로 회자되고 있고 국내 기업 및 기관들도 관련 정보를 지속적으로 공유하고 있는 만큼, 조만간 시장이 크게 확대될 것으로 보인다.

글로벌 기업들은 국내 시장의 성장이 더딘 이유로 국산 보안 솔루션과의 연동 문제를 지적한다. 국산 보안 솔루션의 경우 API가 제한적이기 때문에, 글로벌 제품과의 연동이 어렵다는 것이다. 김기환 포티넷코리아 이사는 “글로벌 시장에서는 얼라이언스 등 협업이 활성화돼 있다. 이를 통해 많은 보안 솔루션이 REST API로 연동된다. 하지만 국산 보안 솔루션은 API를 오픈하지 않기 때문에 연동이 어렵다. 국내에서 프로젝트를 추진하기 위해서는 국내 제품과의 연동 작업을 별도로 진행해야 한다”고 설명했다.

현재 국내 SOAR 시장은 글로벌 기업들이 주도하고 있다. 국산 제품인 ‘안랩 세피니티 에어’가 있지만, 해외 유명 업체와 경쟁하기에는 아직 역부족이다.

글로벌 기업들은 국내 시장이 활성화되기 위해서는 국산 보안 솔루션의 API를 오픈해야 한다고 주장한다. 글로벌 제품과 국산 제품 간 API를 오픈하고 데이터를 확보하는 것이 선행돼야, 국내 상황에 맞게 기술을 발전시킬 수 있다는 것이다. 국내 기업들도 글로벌 트렌드에 따라 협업하는 방안을 모색해야 한다는 이야기다.

한편으론 SOAR를 IT 인프라 전체에 대한 자동화 개념으로 도입해야 한다는 주장도 나오고 있다. 보안 업무 자동화뿐만 아니라 시스템 리소스 사용률 등을 자동으로 관리할 수 있는 방안을 고려한다면 SOAR의 활용범위는 무궁무진할 것이라는 설명이다.

데브옵스와 같이 단계적으로 프로젝트 진행해야

SOAR는 다양한 솔루션 연동을 통해 대응 프로세스의 효율성을 높이는 오케스트레이션과 반복적으로 행해지는 업무 자동화에 초점을 맞춘 솔루션이다. 때문에 소규모 사업체보다, 많은 보안 솔루션을 도입하고 보안팀을 보유한 중·대규모의 조직에서 도입하는 것이 효과적이다.

SOAR 기능을 온전하게 사용하기 위해서는 ▲종류 및 상황별 대응 프로세스를 표준화한 플레이북 ▲UX ▲솔루션 연계 능력 ▲개발 등이 프로젝트에 포함돼야 한다. 하지만 플레이북을 제외한 UX, 개발 등은 기존 보안 조직의 역량과 동떨어지기 때문에, SOAR 벤더의 역할이 중요하다.

김기환 포티넷코리아 이사는 “SOAR를 구축하기 위해서는 자산에서 운영되고 있는 솔루션 연계성을 통해 시나리오를 만들 수 있는 역량, 대응 정책 설정이 선행돼야 한다. 이와 더불어 구축 과정에서 솔루션간 연동을 위한 API 변경 등 인프라 변경 작업이 들어갈 수 있어 개발 역량도 필요하다. 기존 보안 조직만으로는 감당할 수 없는 다양한 역량을 요구하다 보니, 이런 역량을 지원할 수 있는 벤더를 선택해야 한다”고 설명했다.

특히 김기환 이사는 SOAR 솔루션 도입 과정에 있어 데브옵스(DevOps)와 같이 단계적으로 추진하는 것이 중요하다고 강조했다. SOAR 솔루션은 단순 구매 및 설치하면 되는 것이 아니라, 조직에 최적화된 업무 프로세스를 설계하고 자동화하는 과정이 필요하기 때문에 프로젝트 범위 및 결과를 명확하게 설정하고 단계별로 진행해야 한다는 것이다.

SOAR를 도입하는 과정을 살펴보면, 조직 시스템에 대한 형상관리가 선행돼야 한다. 시스템 현황을 파악하고, 이를 연동할 수 있는 방안을 모색한다. 이후 프로젝트 범위를 설정하고 시스템을 구축한다. 이 과정에서 기존에 사용하던 보안 정보 관리(SIM: Security Information Management) 등이 있다면 활용할 수 있다. 특히 기존에 운영하고 있던 시나리오 룰과 위협 대응에 대한 규정이 있다면 쉽게 구축이 가능하다.

전문 인력 부족 문제 해결책 될 수도

IT 업계, 특히 보안 업계에서는 ‘인력이 부족하다’는 말이 심심치 않게 들려온다. 기업 환경에서의 보안의 중요성이 높아짐에 따라 전문 인력에 대한 수요도 당연히 높아지고 있다. 하지만 여전히 공급은 부족한 상황이며, 기업에서 인력을 육성하는 것도 한계가 있다.

이런 관점에서 SOAR 벤더들은 보안 업무를 효율화하고, 투자수익률(ROI: Return on Investment)을 높일 수 있는 솔루션이라는 것을 강조한다. 대응 레벨을 자동으로 분류하고, 표준화된 업무 프로세스에 따라 사람과 기계가 유기적으로 협력할 수 있도록 지원한다는 설명이다. 이를 통해 전문인력이 고부가가치 업무에 집중할 수 있도록 하며, 초급 인력도 자동화 기능을 통해 일정 수준 이상의 업무 성과를 유지할 수 있도록 돕는다.

보안 인력의 부족, 전문성 및 숙련도의 격차 등 문제는 지속적으로 제기돼 왔던 만큼, SOAR 솔루션의 수요는 많을 것으로 생각된다. 다만 아직까지 솔루션 간의 연동 등 해결해야 하는 과제도 남아있는 실정이다. 2022년까지 본격적으로 확산될 것으로 전망되는 SOAR 솔루션의 귀추가 주목된다.