[아이티데일리] 사이버 위협이 갈수록 지능화되면서 그에 대응하는 보안 솔루션들이 쏟아지고 있다. 그러나 보안 담당자들은 늘어난 솔루션의 종류만큼 업무 역시 나날이 과중해지고 있다며 어려움을 호소하고 있다. 이에 보안 업계는 자동화를 통해 보안 업무의 효율성을 높이고, 나아가 운영 비용까지 절감하고자 그동안 쌓아온 노하우를 기반으로 해결책을 선보였다. ‘보안 오케스트레이션, 자동화 및 대응(Security Orchestration, Automation and Response)’, 줄여서 SOAR로 불리는 솔루션이 주목받는 배경이다.

포티넷은 지난 2019년 SOAR 개발사인 사이버스폰스(CyberSponse)를 인수하고 이후 지속적인 투자를 하면서 제품 개발을 이어 나가고 있어 SOAR 관련 핵심 기술을 직접 개발한 것이라 볼 수 있다고 설명했다.

유연한 연동, 3대 SOAR 기능 충실히 제공

포티넷의 ‘포티SOAR(FortiSOAR)’ 제품은 400여 개의 연동 모듈과 4천여 개에 달하는 사용 가능 액션을 제공하며, 사전에 개발되지 않은 대상 시스템과도 API 등 연동 창구가 있다면 맞춤형(Custom) 모듈을 제작해 연결할 수 있다는 장점이 있다. 또한 가트너가 제시하는 SOAR로서의 3대 요건인 SOA, SIRP, TIP에 대한 기능을 충실히 제공하면서도, 한국 고객의 눈높이와 입맛에 맞춰 사용 가능한 수준으로 커스터마이징할 수 있는 역량을 제공한다.

포티넷은 포티SOAR가 이러한 핵심 특징을 통해 고객에게 SOC 포털로서 다양한 활용도를 제공한다고 밝혔다. 여기에는 △매스 데이터(Mass Data) 처리를 위한 자동화 엔진 △조직 SOC 통합 포털로 사용 △보안관제포털 활용 △이기종 시스템 통합(오케스트레이션)용 플랫폼 활용 △API 서버 역할을 통한 외부 시스템과의 연동 △자동화 플랫폼 활용 등이 포함된다.

게임사, 금융권, 대기업 등에 공급

글로벌 게임사 N사는 포티넷의 글로벌 MSSP(Managed Security Service Provider, 관리형보안서비스공급자) 서비스를 통해 지능형 SOC 보안관제 포털을 활용하고 있다. 이는 기존에 분리되고 권한이 나뉜 다양한 보안시스템 및 IT시스템들을 SOAR 기능으로 통합하고, 포티SOAR의 오케스트레이션 기능을 통해 포티SOAR 포털에서 보안이벤트 대응, 보안이벤트 분석 보강, 데이터 중앙화, 관리적 정보 통합 등을 이뤄낸 사례라는 설명이다. 또한 커스터마이징 기능을 활용, 고객 자체적으로 기능을 개발해 IP차단관리 자동화 시스템으로도 사용 중이다.

또한 금융권 공공기관인 A원의 경우 통합 SOC 포털 및 자동화 사고대응 처리 플랫폼을 활용하고 있다. 솔루션 구축 중 기존 인력에 대비해 대량으로 발생하는 인시던트를 기본대응/정밀대응 필요건으로 분리하고, 자동화 시스템을 통해 기본대응이 가능한 인시던트들은 선제적으로 포티SOAR가 자동 대응하도록 플레이북을 구성했다. 또한 정밀대응건은 사람 대신 분석에 필요한 데이터를 수집해 즉각 쉽게 판단할 수 있도록 플레이북 및 화면을 구성해 제공했다.

국내 1금융권 은행에서는 SOC 포털 위협 자동화 엔진 및 위협DB 프로파일링 시스템을 활용하고 있다. 시스템 구축 중, 기존에 사용하고 있는 SOC 포털을 고도화하고 백그라운드에 포티SOAR를 구축해 조직에서 발생하는 대량 데이터를 자동 분석 및 필터 아웃(Filter Out)하기 위한 다양한 시나리오 플레이북을 개발했다. 자동화 처리된 데이터는 포티SOAR DB에 쌓이며, SOC 포털에서 포티SOAR의 API를 활용해 데이터를 가져가 화면에 표현하고, SOC 포털에서 관제 인시던트 티케팅 업무를 수행한다.

마지막으로 국내 대기업 S전자는 자체 보안운영 위협대응 자동화 플랫폼을 구축하면서 포티SOAR를 활용했다. 보안운영팀의 반복업무 및 자동화 가능한 업무들을 시나리오로 구축하고, 사람은 플레이북의 동작성만 관리하겠다는 콘셉트로 사업에 도입됐으며, 임직원의 평상시 업무 중 기계로 처리할 수 있는 업무들을 목표로 삼아 플레이북 시나리오를 적용했다.