[아이티데일리] 사이버 위협이 갈수록 지능화되면서 그에 대응하는 보안 솔루션들이 쏟아지고 있다. 그러나 보안 담당자들은 늘어난 솔루션의 종류만큼 업무 역시 나날이 과중해지고 있다며 어려움을 호소하고 있다. 이에 보안 업계는 자동화를 통해 보안 업무의 효율성을 높이고, 나아가 운영 비용까지 절감하고자 그동안 쌓아온 노하우를 기반으로 해결책을 선보였다. ‘보안 오케스트레이션, 자동화 및 대응(Security Orchestration, Automation and Response)’, 줄여서 SOAR로 불리는 솔루션이 주목받는 배경이다.

일정 규모 이상 갖춘 조직에서 우선 도입

글로벌 시장에서는 팔로알토네트웍스, IBM, D3시큐리티, 엑사빔, 서비스나우, 스플렁크, 심플리파이 등이 SOAR 선도 업체로 평가받고 있다. 또한 국내에서는 2019년 이후 국내외 벤더들이 SOAR를 출시, 시장에 선보이고 있으며 2020년부터 여러 기업에서 꾸준히 SOAR를 도입 중인 것으로 파악된다. 특히 국내 SOAR 도입 수요는 주로 중견기업, 금융권, 정부 기관 등과 같이 일정 규모 이상의 조직에서 발생하는 것으로 파악된다.

이글루코퍼레이션 양학모 SOAR PO는 “전 세계적인 디지털 대전환 움직임에 발맞춰 보안 강화의 필요성이 부각되고 있는 만큼, 국내에서도 SOAR에 대한 수요가 발생하고 있다. 주로 많은 보안 솔루션을 보유하고 있고, 보안관제 업무가 표준화돼 있는 공공·정부 기관과 금융 산업을 중심으로 SOAR 도입이 이뤄지고 있는 모양새”라면서 “특히 자체적으로 보안관제센터를 운영하고 있는 IT 보안 부서에서 대부분의 수요가 발생한다. 소규모 업체 또는 외주 업체를 통해 IT 기능을 실행하는 기업의 경우에는 기존의 보안관제 서비스에 SOAR 기능을 포함하는 형태로도 전환하고 있다”고 말했다.

국내 SOAR 벤더로는 안랩, 이글루코퍼레이션, 시큐레이어, 쿼리시스템즈 등이 경쟁 중인 것으로 파악된다. 다만 이글루코퍼레이션 양학모 SOAR PO는 “아직은 시장 형성 초기인 만큼, 국내의 키 플레이어를 꼽기는 어려울 것으로 보인다”는 의견을 내놨다. 안랩 제품서비스기획팀 권용 부장은 “국내 SOAR 벤더들은 국내 사용자들에게 친숙한 사용자경험(UX) 등 국내 환경에 최적화된 솔루션 제공을 강조하고 있다”고 덧붙였다.

SOAR, 제대로 사용하려면?

SOAR가 제대로 동작하기 위해서는 내부의 수많은 보안 제품이 유연하게 연결돼야 하고, 업무 프로세스가 디지털화된 플레이북으로 잘 구현돼 있어야 한다. 그리고 분석 이후 생성되는 결과물과 위협 인텔리전스를 잘 관리하는 것도 필수다. 많은 보안업체가 SOAR 제품을 출시하면서 기업들은 선택의 폭이 넓어졌다. 하지만 각 업체의 SOAR 접근법이 조금씩 다르기 때문에, 기업은 선택 기준을 명확히 하고 제품을 확인할 필요가 있다. 이와 같은 관점에서 팔로알토네트웍스 최대수 이사는 SOAR를 선택하는 데 있어 4가지 기준을 제시했다.

첫 번째, ‘안정적이고 검증된 솔루션’이다. SOAR는 SIEM에서 발생하는 경보와 각종 위협 인텔리전스에서 제공하는 피드를 통해 데이터를 수집한다. 이렇게 수집된 정보를 플레이북을 통해 자동화하고 분석가와의 협업과 티케팅, 사례 관리 기능을 통해 빠르게 처리해야 한다. 특히 위협 인텔리전스 관리는 단순히 정보를 통합한다는 의미가 아니다. 다양한 인텔리전스 정보, 침해사고지표(IOC) 정보들을 축적하는 것은 기본이며, 플레이북을 통해 이를 정제해 우선 순위화함으로써 내부에서 활용하면서 외부 보안 시스템에서도 적용해 정보를 출력할 수 있어야 한다.

두 번째, ‘유연하고 확장 가능한 아키텍처’다. 많은 SOAR 제품이 한정된 서버에서 운영되기 때문에 확장에 한계가 있다. 그리고 네트워크를 분리, 활용하는 기업의 경우에는 데이터를 한 곳으로 취합하는 데 많은 제약이 뒤따른다. 따라서 기업은 수집 데이터 양, 경보수, 인시던트 수, 플레이북 수에 맞게 SOAR 서버를 조정, 활용할 수 있는지 확인해야 한다. 특히 처리량이 많은 경우, 각 기능을 분리해 구성할 수 있는지 파악해야 한다. 이를 간과하면 구축 단계에서부터 어려움을 겪을 수 있다.

세 번째, ‘충분한 콘텐츠 제공’이다. SOAR를 제대로 활용하기 위해서는 다른 솔루션과의 연결이 무엇보다 중요하다. 또한 서로 연동해 이벤트를 주고받아야 하는데, 이를 위한 인테그레이션(integration) 모듈이 필수적이다. 특히 통합만 하면 되는 것이 아니라 연동한 후, 해당 데이터를 갖고 업무에 반영해 자동화 플레이북을 만들고, 그 후 결과를 데이터 유형에 맞게 표현하는 대시보드를 구성할 수 있어야 한다.

마지막으로 ‘강력한 서비스 지원’이다. SOAR는 도입해서 바로 사용할 수 있는 플러그앤플레이(Plug&Play) 제품이 아니며, 관제센터 내부 환경에 맞게 여러 가지 커스터마이징(customizing)이 필요하다. 또한 SOAR를 도입하기 전에 자체 보안관제 프로세스가 구체적으로 정의돼야 하는 등 사전에 갖춰야 할 요건들이 까다롭다. 특히 구축 이후에도 급변하는 위협 환경에 빠르게 대응하기 위해서는 SOAR 업체의 지원이 중요하다고 팔로알토네트웍스 최대수 이사는 강조했다.

또한 안랩도 SOAR의 핵심 경쟁 포인트를 △위협 종류와 상황별 대응 프로세스를 표준화한 ‘플레이북’ 제공 및 대응 자동화 △전체적 관점의 보안 운영(Orchestration)을 위한 주요 보안 솔루션과 연동 기능 등 2가지로 요약해 설명했다. 특히 “대응 역량(퍼포먼스)의 효율성을 높이기 위해 필요한 보안/비보안 솔루션 연동 기능을 잘 활용하기 위해서는 수집되는 다양한 영역의 보안위협 데이터를 하나의 화면에서 탐색하고 처리할 수 있는 역량이 중요하다”고 안랩 제품서비스기획팀 권용 부장은 덧붙였다.

이글루코퍼레이션도 단순히 SOAR 도입을 통해 모든 문제점이 해결되는 것은 아니라고 강조했다. SOAR를 도입해 경보에 대한 피로감을 줄이고 보안관제센터의 복잡성이 해소되는 효과를 얻기 위해서는, 조직 상황에 최적화된 형태의 자동화 기능이 구현돼야 한다는 게 회사 측 설명이다. 이글루코퍼레이션 양학모 SOAR PO는 “먼저 이미 조직 내에 이미 설치돼 운영 중인 수많은 보안 솔루션과 연계해 시너지를 낼 수 있도록, 기존에 도입한 여러 보안 솔루션 및 장비와의 호환성 및 확장성을 따져봐야 한다. SOAR 솔루션을 도입했다고 할지라도 이전에 도입한 솔루션과의 연동 과정이 어렵다면, 자동화 기능 역시 활용하기 어렵기 때문이다”라고 말했다.

양학모 PO는 또한 “사전에 정의된 규칙에 따라 자동으로 실행 가능한 대응 방안을 모은 ‘플레이북’ 역시 국내 보안 환경과 조직에 알맞은 형태로 만들어져야 한다”고 덧붙였다. 아무리 많은 플레이북이 제공된다고 할지라도, 조직의 보안 사고별 대응 프로세스를 토대로 한 플레이북이 아니라면 그 활용도가 낮을 것이기 때문이라는 설명이다. 이에 조직에 최적화된 플레이북이 얼마나 제공되는지, 기존의 플레이북을 쉽게 수정할 수 있는 기능 등이 제공되는지 여부를 따져봐야 한다고 양학모 PO는 조언했다.

포티넷코리아 시스템엔지니어 김재환 차장은 SOAR라는 제품이 성립하기 위해 가트너에서 정리한 기능 요소인 △SOA △SIRP △TIP 등 3가지 영역의 기능이 충실해야 한다고 강조했다.

첫 번째, 고객이 보유한 시스템들과의 오케스트레이션 및 오토메이션(automation, 자동화)를 하기 위해서는 연동에 대한 부분이 잘 지원돼야 하고, 오토메이션을 하기 위한 플레이북 빌더 등의 편의성이 높아야 한다. 그래야 구축에 있어 고객과 협력 업체에게 주어진 시간 내에 요구되는 핵심성과지표(KPI) 만큼의 시나리오가 잘 구현될 수 있다는 것이다. 또한 오케스트레이션 및 오토메이션 기능이 잘 지원된다는 의미는 새로운 요구사항에 대해 매번 무거운 개발 자원(resource)이 필요하거나 그로 인해 추가 비용이 발생하지 않는 형태로 유지관리가 가능해진다는 맥락도 된다는 설명이다.

두 번째, SOC 포털(Portal)로써의 기능요소들을 보유하고 있어야 한다. 보안관제팀 및 운영팀이 사고 대응 과정을 SOAR 플랫폼 UI를 통해 수행해야 하는 만큼, 우리 조직의 업무절차를 해당 시스템에 반영해 우리 조직원 입장에서의 높은 사용자 경험(UX)을 제공하는 것이 매우 중요하다는 설명이다. 포티넷코리아 김재환 차장은 “오케스트레이션 및 오토메이션을 수행했으나, 그 결괏값을 활용해 위협대응을 SOAR에서 하느니 차라리 원래 이벤트 발생 시스템에 접속해서 보는 게 낫다는 상황이라면 SOAR의 가치는 매우 떨어진다고 볼 수 있다”고 설명했다.

이와 함께 우리 조직의 업무절차를 제품이 추구하는 방향에 맞추는 게 아니라, 맞춤옷을 입듯 우리 조직의 데이터 및 업무 특성에 맞게 화면구성을 할 수 있는 등의 커스터마이징 요소가 매우 중요하다고 김재환 차장을 덧붙였다. 전통적인 시스템에서의 커스터마이징은 보여주는 화면의 스타일을 고객 입맛에 맞추거나 데이터 표현 범위 정도를 수정하는 정도라고 한다면, SOAR의 커스터마이징은 새로운 기능을 추가하는 것이라고 말할 수 있다는 설명이다.

예를 들어 SOAR에 새롭게 ‘자산정보’라는 메뉴를 만들고, 이곳에 우리 조직의 자산정보를 담을 수 있는 게시판 형태의 새로운 테이블을 만들어 고객이 제작한 ‘플레이북’이 해당 ‘자산정보’를 참조하도록 함으로써 우리 조직이 원하는 취약점 진단 자동화 플레이북을 구현할 수도 있다. 또한 ‘차단관리’ 메뉴를 만들고 ‘IP’를 입력했을 때 고객이 만든 ‘플레이북’이 자동으로 동작하며 해당 IP에 대한 차단상태를 각 시스템에 자동 조회하는 등의 다양한 시나리오 활용이 가능하다. 포티넷코리아 김재환 차장은 “그만큼 SOAR에서의 커스터마이징은 단순한 화면 튜닝 수준이 아닌 새로운 기능 개발과 같은 맥락을 보유하며, 한편으로 UX 관점에서 좋은 환경을 제공해줄 수 있는 가장 기본이다”라고 덧붙였다.

빠르게 변하는 보안 환경에 대응하는 자동화 기반 SOAR

포티넷코리아 김재환 차장은 “빠르게 변하기 때문에 우리는 가끔 잊지만, 국내 사이버위협 대응의 역사는 이제 겨우 10여년 정도밖에 되지 않았다. 그러나 벌써부터 전문가 부족 및 개인간 스킬 갭 발생, 대량의 이벤트 발생 등과 같은 어려움을 겪고 있으며, 시스템 발달 및 데이터 증가 등의 속도는 당연하게도 줄어들 기미가 보이지 않고 있다. 고객의 입장에서, 현재 및 미래에 점차 늘어날 보안 이벤트를 지금의 인력으로 표준업무절차에 기반해 대응하기 위해서는 ‘자동화’ 영역이 필수요건으로 부상할 수밖에 없다고 생각한다. SOAR는 자동화 영역에 속하는 제품 중 하나로서 자연스럽게 필요성이 늘어날 것으로 예상한다”고 말했다.

최근 클라우드로의 급격한 전환이 이뤄지고 코로나19 확산으로 인한 원격 및 재택근무가 증가함에 따라 외부로부터의 보안 위협이 다각화되는 동시에 보호해야 할 대상 역시 확대되고 있다. 하지만 조직들은 증가하는 보안 위협에 대응하기 위해 그만큼 다양한 보안 솔루션을 도입하고 있다. 이에 다수의 보안 솔루션으로부터 발생하는, 처리하고 관리해야 할 보안 이벤트 또한 매년 늘어나는 실정이다. 반면 많은 조직에서는 솔루션을 운영할 전문 보안 인력의 부족 등으로 인해 빠르게 변화하는 보안 환경에 대응하기가 어렵다. 이런 상황에서 조직들은 효율적인 보안 운영을 위한 도구로 SOAR를 주목하고 있다.

이글루코퍼레이션 양학모 SOAR PO는 “디지털 전환이 가속화되면서 사이버 공격자가 노릴 만한 공격면이 더 넓어졌다. 이에 맞서 더 많은 보안 솔루션을 도입하고 있지만, 방어력을 높이는 근본적인 해결책이 되기는 어렵다. 한정된 보안 인력이 처리하기에는 너무나 방대한 양의 보안 이벤트가 생성되므로, 자칫 단순 반복적인 업무에 매달리다가 고위험군 위협을 흘려보내는 문제가 발생할 수 있기 때문이다”라면서 “이에 반복적으로 처리하던 업무를 자동화해 단순 업무 소요 시간을 절감하고, 인력별 기술 수준에 따른 대응 편차를 감소시킬 수 있는 SOAR 기술에 대한 수요가 지속적으로 증가할 전망이다. 보안 인력은 반복적인 단순 대응 업무의 부담(alert fatigue)을 해소하고 탐지 및 대응 시간을 감소할 수 있게 된다. 또한 분석 및 경고 알람 등이 질적으로 향상됨에 따라, 보다 선제적으로 보안 사고를 식별하고 대응할 수 있게 된다. 더불어 공격 유형별 운영 절차를 체계화함으로써 보안 인력 간 역량 격차를 줄이고 업무 처리의 일관성을 높일 수 있게 된다”고 설명했다.