[아이티데일리] 사이버 위협이 갈수록 지능화되면서 그에 대응하는 보안 솔루션들이 쏟아지고 있다. 그러나 보안 담당자들은 늘어난 솔루션의 종류만큼 업무 역시 나날이 과중해지고 있다며 어려움을 호소하고 있다. 이에 보안 업계는 자동화를 통해 보안 업무의 효율성을 높이고, 나아가 운영 비용까지 절감하고자 그동안 쌓아온 노하우를 기반으로 해결책을 선보였다. ‘보안 오케스트레이션, 자동화 및 대응(Security Orchestration, Automation and Response)’, 줄여서 SOAR로 불리는 솔루션이 주목받는 배경이다.

보안 위협 대응을 자동화해 효율성 높이는 ‘SOAR’

보안 오케스트레이션, 자동화 및 대응, 즉 SOAR는 보안 위협에 대한 대응 프로세스를 자동화해 보안 업무의 효율성을 높이는 솔루션이라고 정의할 수 있다.

안랩 제품서비스기획팀 권용 부장은 “보안 위협에 대한 대응 레벨을 자동으로 분류하고, 표준화된 업무 프로세스로 사람과 기계 간의 유기적인 협력을 돕는 대응 플랫폼이 SOAR”라면서 “고도화되는 위협 동향에 따라 보안 솔루션 도입이 증가하면서 다양한 위협을 ‘탐지할 수는’ 있게 됐다. 그러나 이에 반해 보안 관리자들은 폭발적으로 증가하는 다양한 보안 위협 이벤트에 효율적으로 대응하기 위한 고민이 늘어가는 상황이었다. 이에 2017년 가트너에서 최초로 SOAR라는 개념을 제시했다”고 설명했다.

가트너는 SOAR 솔루션을 △보안 오케스트레이션 및 자동화(Security Orchestration and Automation, SOA) △보안 사고 대응 플랫폼(Security Incident Response Platform, SIRP) △위협 인텔리전스 플랫폼(Threat Intelligence Platform, TIP) 등 3가지 요소를 통합해 단일 플랫폼에서 제공하는 솔루션으로 정의한다.

[인터뷰]

SOAR의 3가지 하부 요소들

SOAR는 보안관제 및 운영팀의 업무 가속화를 목표로 하는 플랫폼이다. 팀의 보안 위협 대응 업무를 가속화하기 위해 아래의 요소들을 포함한다.

1. 보안 오케스트레이션 및 자동화(SOA): 타 시스템에 대한 상호작용 역량(Orchestration) 및 이를 기반으로 하는 자동화 역량(Automation)을 의미한다.

▶ 이 역량을 통해 기존의 수동적, 반복적 위협 대응 업무를 자동화함으로써 위협에 대한 빠른 선제적 대응을 가능하게 하며, 기존 인력의 업무 피로도를 줄여 다른 업무에 집중할 수 있도록 해 준다. 또한 조직의 위협 대응 절차를 플레이북(Playbook)화해 베스트 프랙티스(Best Practice)를 구성함으로써 모든 조직원이 업무를 처리할 때 표준화된 업무절차에 기반해 일을 할 수 있게 되며, 분석 업무절차를 시스템을 통해 ‘강제화’함으로써 신입직원이라 해도 투명하고 절차화된 분석업무를 수행할 수 있도록 해 준다.

2. 보안 사고 대응 플랫폼(SIRP): 위협 대응을 위해 분리돼있는 이기종의 다수 시스템에 각각 접속해 조회하고 이벤트에 대한 상세 개별 분석을 수행하는 것이 전통적인 보안위협 대응 방식이라면, SIRP는 사고 발생 인지부터 조치 완결까지 일련의 사고 대응 과정을 하나의 플랫폼 내에서 처리할 수 있는 역량을 담당한다.

▶ 해당 역량을 통해 기존의 보안팀이 수동적으로 다수 시스템에 일일이 접속해 업무를 봐야 하는 분석 사일로를 최소화하고, 타 시스템과 상호 작용 가능한 자동화 역량을 갖춘 지능형 SOC(Security Operations Center, 보안 운영 센터) 포털 환경을 제공함으로써 진정한 단일 창(Single Pane of Glass) 형태를 달성할 수 있게 한다.

SOC 포털이 오케스트레이션 역량을 가졌다는 의미는 다양한 업무 포털로의 활용이 가능하다는 의미이기도 하다. 일례로 보안팀 위협대응 업무 중에는 보안 이벤트가 아닌 관리적 정보가 필요한 경우들이 있으며, 관리적 정보를 보유하는 시스템은 타 부서의 관리 하에 있는 경우가 있다. 이때 타 부서의 시스템을 SOAR와 오케스트레이션 환경을 구성해 두면, 보안팀 업무를 수행하면서 매번 해당 부서에게 승인을 받아 업무를 처리하는 방식이 아닌, 보안 업무 중 필요한 데이터에 대해 할당된 권한만큼 SOAR에서 조회해 사용할 수도 있게 된다.

3. 위협 인텔리전스 플랫폼(TIP): 조직이 보유 또는 이용하고 있는 사이버 위협에 대한 인텔리전스 정보들을 하나의 플랫폼으로 통합하고, 통합된 인텔리전스를 활용해 조직에서 발생하는 다양한 신규 이벤트에 적용함으로써 위협 대응에 활용할 수 있는 플랫폼 역량을 뜻한다.

▶ 해당 역량을 활용해 보안 조직에서 탐지 및 분석이 완료된 다양한 인디케이터에 대한 평결 정보를 TI(위협 인텔리전스) DB화하거나, 또는 보유하고 있는 보안 시스템 및 외부 평판 피드(Feed) 제공 서비스 등에서 수집된 다양한 위협 대응 관점의 피드를 중앙화해 관리할 수 있다. 단순히 쌓아 놓는 것이 아니라 새로운 이벤트 분석 등에 활용할 수 있도록 객체기반으로 관리할 수 있게 된다.

 위협 자동 처리의 핵심은 ‘플레이북’

SOAR 솔루션은 공격 유형별 대응을 위한 솔루션, 업무절차, 위협 정보 등 수많은 요소들을 하나의 과정으로 묶은 ‘플레이북’에 기반한다. 플레이북에 따라 단순 반복적인 프로세스는 자동 처리하고, 보안 위협 우선순위에 따라 대응 단계를 자동으로 분류해 표준화된 업무절차에 따라 대응한다.

팔로알토네트웍스 최대수 이사는 “SOAR는 보안 제품들을 통합하고 워크플로우를 조정 및 자동화해 빠른 처리 결과와 더 큰 가시성을 확보하는 것을 목적으로 하는 솔루션이며, 구조적으로 보안관제센터에서 중앙 허브 역할을 담당한다”고 설명하고 “보안 오케스트레이션, 자동화 및 대응 업무를 담당하는 보안팀은 엄청난 양의 알림을 분석하는 등 끝없는 보안 업무를 담당한다. 하지만 이를 제때 처리할 수 있는 인력과 확장 가능한 프로세스가 부족하다. 관제센터의 분석가는 데이터 수집, 가용성 확인, 인시던트(incident, 보안 사고) 수명 주기 전반에 걸친 반복적인 수동 작업을 위해 콘솔 사이를 오가느라 시간을 낭비하고 있다. 또한 기술 부족이 점점 심화함에 따라, 보안 책임자들은 사후 처리 방식의 단편적인 대응에 허덕이는 대신 중요한 의사 결정에 더 많은 시간을 써야 하는 상황이다”라고 덧붙였다.

이글루코퍼레이션 이규환 전략기획팀장은 “운전 능력과 내비게이션 예시를 들어보면 SOAR에 대한 이해가 쉬울 것 같다. 과거에는 운전자가 지도를 보고 도로의 이정표를 살펴 가며 스스로의 판단에 따라 목적지를 찾아가야 했다. 여기서 운전 능력을 보안관제 전문가의 분석 흐름에 대입해 볼 수 있다. 운전자의 경력에 따라 도로를 찾아가는 능력이 천차만별이듯, 보안관제 전문가의 역량에 따라 보안관제 분석을 하는 방법과 수준에 차이가 발생하기 때문이다”라고 비유해 설명하고 “그러나 내비게이션이 보급된 후에는 대부분의 운전자들이 운전 경력과 관계없이 상향평준화된 운전 경로 판단을 내릴 수 있게 됐다. 이는 보안관제에도 유사하게 적용된다. 출발지와 목적지를 넣으면 내비게이션이 최적의 경로를 찾아주듯이, 플레이북은 공격 유형별 해결 방법을 제시해준다. 즉 보안관제 전문가의 역량과 무관하게, 제대로 개발된 플레이북이 있다면 보안관제 역량이 상향평준화될 수 있다”고 덧붙였다.

이규환 팀장은 이어 “그러나 숙련된 운전자라면 내비게이션이 모르는 길을 찾거나, 돌발 상황 발생 시 본인의 판단에 따라 길을 찾아가기도 한다. 보안관제 전문가 역시 마찬가지다. 자동화가 가능한 부분은 플레이북에 맡기되, 고도화된 공격은 전문가가 직접 분석을 수행할 수 있어야 한다. 즉 자동화할 수 있는 부분은 플레이북을 통해 자동화 처리하고, 그동안 시간이 없어 못 하던 고도화된 분석을 보안관제 전문가가 할 수 있도록 만들어 주는 데 SOAR의 궁극적인 목표가 있다. 이러한 과정을 통해 궁극적으로 보안관제의 성숙도를 향상할 수 있다”면서 “단 내비게이션에 방대한 운전 노하우가 반영됐듯, 플레이북에도 보안관제 전문가의 노하우가 집약돼야 한다. 다시 말해 보안관제센터 안에 SOAR를 구축할 시에는 보안관제센터의 흐름을 잘 이해하고 보안관제를 잘 아는 전문가가 개발한 플레이북이 적용돼야 그 효과를 기대할 수 있다”고 강조했다.

보안 업무 효율성 제고 및 인력 문제 해결 대안으로 주목

팔로알토네트웍스가 2021년 보안 자동화에 대해 실시한 연구 조사에 따르면, 응답자의 90%가 자체적으로 인시던트 대응을 처리하고 있으며, 절반 이상이 5명 이하의 인원으로 관련 조직을 운영하고 있는 것으로 나타났다. 또한 인시던트 대응팀의 69%는 네트워크 관리자 및 방화벽 관리자와 긴밀히 협업해야 한다고 답했는데, 위협 관리의 경우 절반 이상이 매뉴얼 프로세스에 머물러 있어 제한된 인력 내에서 과도한 업무 부담으로 어려움을 겪고 있는 것으로 조사됐다.

이러한 가운데 플레이북 기반의 자동화가 핵심이라고 할 수 있는 SOAR는 보안 업무 효율성을 높이고 보안 인력 부족 문제를 해결할 수 있는 대안으로 떠오르고 있다. 실제 전 세계 SOAR 시장 역시 주목할 만한 성장세를 기록 중이다.

글로벌 시장조사기관 마켓앤마켓이 2022년 발표한 ‘SOAR 시장 레포트’에 따르면, SOAR 시장 규모는 2022년 약 11억 달러(약 1조 5,825억 원)에서 2027년에는 약 23억 달러(약 3조 1,960억 원) 규모로 성장할 것으로 전망된다. 전 세계적으로 단시간 대응이 중요한 피싱 이메일 및 랜섬웨어에 의한 사고가 증가함에 따라, 초 단위로 탐지와 대응 과정을 수행할 수 있는 SOAR 솔루션에 대한 수요가 빠르게 증가하고 있다는 게 마켓앤마켓의 분석이다.

글로벌 시장조사기관 가트너도 2019년 발표한 ‘SOAR 마켓 가이드’를 통해 2022년 말 기준으로 5인 이상의 보안팀을 가진 조직의 30%가 SOAR 툴을 사용할 것으로 예측하면서, 글로벌 SOAR 시장의 성장이 지속적으로 이어질 것이라고 내다본 바 있다. 더불어 글로벌 보안 컨퍼런스인 RSA 등에서도 SOAR가 지속적으로 언급되는 점으로 봤을 때, SOAR 시장이 더욱 커질 것이라는 게 국내 업계 전문가들의 예상이다.

팔로알토네트웍스 최대수 이사는 “보안팀은 엄청난 양의 알림을 분석하고 끝없는 보안 업무를 제때 처리할 수 있는 인력을 확보하기 어렵고 분석가는 데이터 수집, 가용성 확인, 인시던트 수명 주기 전반에 걸친 반복적인 수동 작업을 위해 콘솔 사이를 오가느라 시간을 낭비하게 된다. 기술 부족이 점점 심화함에 따라, SOAR에 대한 수요는 더 높아질 것으로 전망된다”고 말했다.