보안 위협 대응 자동화로 업무 효율성 높이는 ‘SOAR’
[아이티데일리] 사이버 위협이 갈수록 지능화되면서 그에 대응하는 보안 솔루션들이 쏟아지고 있다. 그러나 보안 담당자들은 늘어난 솔루션의 종류만큼 업무 역시 나날이 과중해지고 있다며 어려움을 호소하고 있다. 이에 보안 업계는 자동화를 통해 보안 업무의 효율성을 높이고, 나아가 운영 비용까지 절감하고자 그동안 쌓아온 노하우를 기반으로 해결책을 선보였다. ‘보안 오케스트레이션, 자동화 및 대응(Security Orchestration, Automation and Response)’, 줄여서 SOAR로 불리는 솔루션이 주목받는 배경이다.
[SOAR ①] 보안 위협 대응 자동화해 효율성 높여…핵심은 ‘플레이북’
[SOAR ②] SOAR, 일정 규모 이상 조직에서 우선 도입 중…제대로 사용하려면?
[SOAR ③] 안랩 | “국내 첫 SOAR ‘세피니티 에어’ 지속 고도화”
[SOAR ④] 이글루코퍼레이션 | “보안관제 효율성 제고 핵심 열쇠 ‘스파이더 SOAR’”
[SOAR ⑤] 포티넷 | “충실한 SOA, SIRP, TIP 기능…국내 맞춤 커스터마이징 가능”
[SOAR ⑥] 팔로알토네트웍스 | “검증된 ‘코어텍스 XSOAR’, 전 세계 1천여 기업이 사용”
이글루코퍼레이션은 보안 정보 및 이벤트 관리(SIEM), 인공지능(AI), 사이버 위협 인텔리전스(CTI), SOAR, 취약점 진단 등을 포함하는 보안관리 영역의 포트폴리오를 강화하고, 각 제품 간의 유기적인 연동을 통해 보안 효율성을 극대화하는 데 주력하고 있다. 특히 이글루코퍼레이션은 SOAR 중심의 보안관제체계 구축을 통해 보안관제센터의 성숙도를 끌어올릴 수 있는 만큼, SOAR가 자사 보안관리 포트폴리오의 필수 요소로 자리매김할 것으로 전망한다고 밝혔다.
이글루코퍼레이션은 글로벌 시장에서 SIEM과 관련된 SOAR 기술의 중요성이 부각됐던 2017년경부터 연구개발에 뛰어들었다. SOAR가 보안관제의 효율성을 높이는 핵심 열쇠가 될 것이라는 확신 아래, 2019년 초 전담팀을 마련하며 본격적인 사업 추진에 나섰다. 2020년 1월 ‘스파이더 SOAR(SPiDER SOAR)’를 출시한 이래 국내 공공·정부 기관 및 금융·통신 산업 분야 고객에게 제품을 공급해왔다. ‘스파이더 SOAR’의 개발은 이글루코퍼레이션 연구개발본부 빅데이터보안연구소 산하 SOAR PO팀에서 담당하고 있다.
긴밀한 연동 지원, 다년간 검증받은 플레이북 보유
‘스파이더 SOAR’는 국내 보안관제센터에서 운영 중인 이기종 보안 솔루션·업무 시스템 간의 긴밀한 연동을 지원한다. 조직들은 통합보안관제(SIEM), 머신러닝(ML) 기반 보안관제 시스템, CTI, 자산 정보 및 취약점 관리 솔루션 등 여러 이기종 보안 솔루션을 손쉽게 연동해 자동화된 침해 대응 프로세스를 구현할 수 있다. 예를 들어 일일 경보량이 많은 대규모 사이트의 경우, ML 기반 AI 시스템이 이상 행위로 판단한 중요(Critical) 이벤트를 자동 플레이북 대응 처리할 수 있도록 연계하고 있다. 또한 플레이북을 통해, 해당 경보에 대한 다양한 CTI 소스를 침해 대응을 위한 분석 정보와 연동해 제공하고 있다.
이글루코퍼레이션은 또한 많은 고객사에서 효율성을 검증받은 플레이북 역시 스파이더 SOAR의 특장점이라고 덧붙였다. 플레이북은 보안관제를 위한 업무 자동화 매뉴얼로서 보안관제센터의 현황이 반영돼 있을 때, 즉 보안관제 현장에 맞을 때 비로소 그 가치를 발할 수 있다는 게 회사 측 설명이다. 스파이더 SOAR는 이글루코퍼레이션이 다년간 보안관제를 수행하며 도출한 핵심 보안관제 처리 프로세스에 기반한 표준 플레이북을 토대로, 국내 보안관제 환경에 최적화된 자동화 기능을 구현한다. 고객사들은 국내 수많은 사이트에서 실제로 활용되고 있는 플레이북을 토대로 탐지된 공격에 대한 자동 분석·대응 기능을 사용할 수 있다.
이글루코퍼레이션은 표준 플레이북 도입에서 더 나아가 표준 플레이북이 적용된 보안관제센터의 보안관제 프로세스를 분석하고 플레이북을 최적화하며, 플레이북의 활용도 및 정확도를 높이는 데 힘을 싣고 있다. 이는 오랜 기간 보안관제를 수행한 기업만이 제공할 수 있는 고유의 노하우 덕분이라고 회사 측은 강조했다.
보안 조직들은 스파이더 SOAR 도입을 통해 기존 수동 분석 시 50~60분가량 소요됐던 경보를 1분 이내에 자동화 대응함으로써 경보 처리의 효율성을 높이고 중요한 상세 분석에 더욱 집중할 수 있다. 또한 플레이북 활용을 통해 보안 인력 간 역량 편차 문제를 해결하고, 상향된 수준의 대응 체계를 유지할 수 있게 된다.
이글루코퍼레이션은 경보(Alert) 탐지 중심 대응에서 한 단계 나아가, 보다 선제적으로 고도화된 위협을 찾아내는 침해 대응 중심 체계를 구현한다는 계획이다. 이를 위해 공격자가 노릴 만한 잠재적인 위협 요인을 능동적으로 탐지하는 ‘위협 헌팅(Threat Hunting)’ 기능 및 ‘마이터 어택(MITRE ATT&CK)’ 프레임워크 기반 분석 프로세스, 보안관제에 필요한 핵심 기능인 협업 지원을 위한 ‘케이스 관리(Case Management)’ 기능을 추가할 예정이다. 또한 이글루 얼라이언스 협약 모델을 통해 자동 차단을 위한 제품군 연동을 지속적으로 확대하고, 사용자 정의 플레이북에 기반한 자동화 비중을 높이는 데 힘을 실을 계획이다.