[아이티데일리] 갈수록 지능화되는 사이버 위협에 보다 효율적으로 대응할 수 있는 보안 솔루션의 중요성이 커지고 있다. 조직은 빠르게 증가하는 위협에 맞서고자 다양한 보안 솔루션을 도입하지만, 수많은 솔루션들을 관리해야 하는 보안 담당자들의 업무 역시 그만큼 늘어난다는 게 문제다. 보안 업계는 이에 대한 해결책으로 자동화 기반의 통합 보안 솔루션을 제시하고 있다. ‘보안 오케스트레이션, 자동화 및 대응(Security Orchestration, Automation and Response)’, 줄여서 SOAR로 불리는 이 솔루션은 최근 세계시장은 물론 국내에서도 도입이 점차 늘어나는 추세다. 특히 국내 대표 정보보호 기업인 안랩은 국내 최초 SOAR 솔루션임을 자부하는 ‘안랩 세피니티 에어(AhnLab Sefinity AIR)’를 선보이며 고객을 확대해 나가고 있다.

단순 위협 탐지 넘어 자동 대응으로 효율 높이는 SOAR

SOAR는 보안 위협에 대한 대응 프로세스를 자동화해 보안 업무의 효율성을 높이는 솔루션이다. 특히 단순히 보안 위협을 ‘탐지’하는 데 그치지 않고, 자동화를 기반으로 전체 시스템 측면에서의 ‘대응’에 초점을 맞추고 있다는 점이 특징적이다.

안랩 관계자는 “고도화되는 위협 동향에 따라 보안솔루션 도입이 증가해 다양한 위협을 ‘탐지할 수는’ 있게 됐다. 이에 반해 보안관리자들은 폭발적으로 증가하는 다양한 보안 위협 이벤트에 효율적으로 대응하기 위한 고민이 늘어가는 상황이었다. 이에 2017년 가트너에서 최초로 SOAR라는 개념을 제시했다”고 설명했다.

가트너는 SOAR를 △SIRP(Security Incident Response Platform, 보안 사고 대응 플랫폼) △SOA(Security Orchestration and Automation, 보안 오케스트레이션 및 자동화) △TIP(Threat Intelligence Platform, 위협 인텔리전스 플랫폼) 등 3가지 요소를 통합해 단일 플랫폼에서 제공하는 솔루션이라고 정의하고 있다.

먼저 SIRP는 사고 발생 인지부터 조치 완료까지의 대응 과정을 하나의 플랫폼 내에서 처리할 수 있는 역량을 담당한다. 기존에는 보안 팀이 수동으로 다수의 시스템에 일일이 접속해 업무를 수행해야 했지만, 타 시스템과 상호 작용이 가능한 자동화 역량을 갖춘 기능형 SOC(보안 운영 센터) 포털 환경을 제공함으로써 단일 창에서 오케스트레이션을 할 수 있도록 한다.

다음으로 SOA는 기존에 수동적이고 반복적인 작업이었던 위협 대응 업무를 자동화함으로써 위협에 빠르게 선제 대응할 수 있도록 하는 기능이다. 결과적으로 보안 담당 인력의 업무 피로도를 줄여 보다 중요한 다른 업무에 집중할 수 있도록 해 준다. 특히, 위협 절차를 플레이북(Playbook)화해 베스트 프랙티스(Best Practice)를 구성함으로써 조직의 누구나 업무를 처리할 때 표준화된 업무 절차를 기반으로 일할 수 있게 한다. 특히 분석 업무의 절차를 시스템으로 강제화함으로써 경험이 부족한 실무자라 하더라도 투명하고 절차화된 분석 업무를 수행할 수 있도록 해준다.

마지막으로 TIP는 조직이 보유 및 이용하고 있는 사이버 위협에 대한 인텔리전스 정보들을 하나의 플랫폼으로 통합해 발견된 새로운 이벤트에 적용함으로써 위협에 대응할 수 있도록 하는 요소다.

결과적으로 SOAR는 이러한 3가지 요소들을 기반으로 보안 위협에 대한 대응 레벨을 자동으로 분류하고, 각 레벨에 맞춰 표준화된 업무 프로세스를 바탕으로 보안 위협을 처리하도록 함으로써 사람과 기계 간의 유기적인 협력을 돕는 대응 플랫폼이라고 할 수 있다.

전 세계적 성장세 속 국내도 도입 꾸준히 늘어

SOAR는 보안 업무 효율성을 높이고 보안 인력 부족 문제를 해결할 수 있는 대안으로 떠오르면서 전 세계적으로 빠른 시장 성장세를 보이고 있다. 특히 최근 몇 년 사이 실제 도입 및 운영사례가 생기기 시작하면서 보안 업계뿐만 아니라 실제 고객 사이에서도 SOAR에 대한 관심이 높아지고 있으며, 지속적인 시장 확대가 예상된다.

글로벌 시장조사기관 마켓앤마켓이 2022년 발표한 ‘SOAR 시장 레포트’에 따르면, SOAR 시장은 2022년 약 11억 달러(약 1조 5,825억 원)에서 2027년에는 약 23억 달러(약 3조 1,960억 원) 규모로 성장할 전망이다. 마켓앤마켓은 전 세계적으로 단시간 대응이 중요한 피싱 이메일 및 랜섬웨어에 의한 사고가 증가함에 따라, 초 단위로 탐지와 대응 과정을 수행할 수 있는 SOAR 솔루션에 대한 수요가 빠르게 증가하고 있다고 분석했다.

글로벌 시장조사기관 가트너도 SOAR 시장의 지속적인 성장을 점치고 있다. 가트너는 지난 2019년 ‘SOAR 마켓 가이드’를 발표하면서 2022년 말에는 5인 이상의 보안팀을 가진 조직의 30%가 SOAR 툴을 사용할 것으로 예측하고 글로벌 SOAR 시장의 성장이 지속적으로 이어질 것이라고 전망했다.

이와 함께 국내 보안 업계 전문가들 역시 글로벌 보안 컨퍼런스인 RSA 등에서 매년 SOAR의 중요성이 지속적으로 언급되는 점을 들어, 앞으로도 SOAR 시장이 성장을 이어갈 것으로 예상하고 있다. 국내에서는 2019년 이후 해외뿐만 아니라 국내 업체들까지 가세해 SOAR 제품을 속속 출시하고 있으며, 2020년부터 다수의 기업이 실제 도입을 이어가고 있다.

국내 SOAR 공급업체로는 안랩, 이글루코퍼레이션, 시큐레이어, 쿼리시스템즈 등이 경쟁하고 있으며, 이들은 주로 국내 사용자들에게 친숙한 UI/UX 등 국내 환경에 최적화된 솔루션을 제공한다는 것을 강점으로 내세우고 있다.

안랩 관계자는 “특히 여러 솔루션과의 연동을 기반으로 SIEM(Security Information & Event Management, 보안 정보와 이벤트 관리) 솔루션에서 탐지된 경보(Alert)에 대한 대응을 자동화하는 것이 SOAR 제품의 주된 기능인 만큼, 현재는 주로 보안운영 또는 관제팀을 갖춘 중견 및 대기업, 금융권, 정부기관 등 일정 규모 이상을 갖춘 조직에서 수요와 관심이 높아지는 추세”라고 밝혔다.

플레이북으로 대응 자동화, 주요 솔루션과 연동이 핵심

SOAR의 핵심 경쟁력으로는 위협 종류와 상황별 대응 프로세스를 표준화한 플레이북 제공 및 대응 자동화를 첫 번째로 꼽을 수 있다. SOAR 솔루션은 공격 유형별 대응을 위한 솔루션, 업무 절차, 위협 정보 등 수많은 요소들을 하나의 과정으로 묶은 플레이북에 기반한다. 플레이북에 따라 단순 반복적인 프로세스는 자동 처리하고, 보안 위협 우선순위에 따라 대응 단계를 자동으로 분류해 표준화된 업무절차에 따라 대응한다.

두 번째로는 전체적 관점의 보안 운영(Orchestration)을 위한 주요 보안 솔루션과의 연동 기능이다. SOAR가 제대로 동작하기 위해서는 내부의 수많은 보안 제품이 유연하게 연결돼야 한다. 기존에 도입한 솔루션 및 장비와 잘 호환 및 연동돼야만 온전하게 SOAR가 추구하는 자동화 기능을 활용할 수 있기 때문이다.

마지막으로 분석 이후 생성되는 결과물과 위협 인텔리전스를 잘 관리하는 것도 필수적이다.

안랩 관계자는 “SOAR 솔루션이 보유한 대응 역량(performance)의 효율성을 높이기 위해 요구되는 보안/비보안 솔루션들의 연동 기능을 잘 활용하려면, 수집되는 다양한 영역의 보안위협 데이터를 하나의 화면에서 탐색하고 처리할 수 있는 역량이 특히 중요하다”고 덧붙였다.

국내 최초 SOAR 솔루션 ‘안랩 세피니티 에어’

기업, 기관 등 각 조직은 점차 지능화되는 보안위협에 대응하기 위해 다양한 솔루션을 도입 중이다. 하지만 보안 위협에 대응하는 인력의 전문성과 숙련도에 따른 편차가 있어 보안 운영 효율화에 대한 수요가 증가하고 있다. 이에 따라 안랩은 그간 쌓아온 보안관제 역량을 바탕으로 고객의 효율적인 보안 운영을 지원하고자 지난 2019년 3월, 국내 기업으로는 최초로 SOAR 솔루션인 ‘안랩 세피니티 에어(AhnLab Sefinity AIR(Advanced Incident Response))’를 출시했다.

안랩은 ‘안랩 세피니티 에어’에 대해 자사가 국내에서 처음으로 SOAR 개념을 도입한 ‘보안 운영 플랫폼’이라고 소개하고 있다. ‘세피니티 에어’는 △위협 종류·상황별 대응 프로세스를 표준화한 플레이북 제공 및 대응 자동화 △전체적 관점의 보안 운영을 위한 안랩 엔드포인트 솔루션 및 주요 보안 솔루션과의 연동 기능 △위협 종류 분별 및 정오탐 식별을 자동화하는 머신러닝 기반 분석 엔진(Advanced Security Analytics, ASA) 등을 제공한다.

‘세피니티 에어’는 안랩의 관제 경험 노하우를 바탕으로 위협 대응 및 자동화 프로세스 수립을 위한 대응 절차서인 플레이북 제작을 지원한다. 고객사 보안담당자는 기업 환경에 맞는 플레이북으로 더욱 신속하고 효과적으로 보안 위협에 대응할 수 있다. 이와 함께 보안 담당자의 숙련도나 경험 등 개인 역량에 따른 편차 없이 일정한 품질의 보안 위협 대응을 제공해 안정적인 보안 운영이 가능하다는 장점이 있다.

또한 안랩의 제품을 포함한 다양한 보안 및 비 보안 솔루션과의 연동을 지원해 한 화면에서 다양한 업무를 수동 또는 자동으로 진행할 수 있으며, 고객사별 업무 환경 및 정책에 따라 프로세스를 최적화할 수 있어 보안 운영 효율성을 높일 수 있다.

안랩 관계자는 “세피니티 에어를 도입할 경우 보안 담당자는 표준화된 보안 대응 프로세스와 자동화를 기반으로, 사람의 판단이 필요한 보다 중요한 업무에 집중할 수 있다”고 강조했다.

제품 편의성, 사용성 꾸준히 개선하며 고객 확대

안랩은 변화하는 고객 환경에 대응하고 고객의 효율적인 보안 운영을 돕기 위한 연구개발을 전략적으로 이어가고 있으며, 세피니티 에어 역시 더 다양한 고객을 지원할 예정이라고 밝혔다. 안랩 관계자는 “지금까지 시장에서 SOAR 제품이 일정 규모 이상의 조직 내 전문가를 위한 솔루션이었다면, 안랩은 앞으로 작은 규모의 조직에서도 SOAR의 기능을 좀 더 쉽게 사용할 수 있는 SOAR를 제공할 예정이다. 또한 자사 제품 간의 연계 연동을 강화해 제품의 가시성 및 운영의 효율성을 높일 계획이다”라고 덧붙였다.

최근 안랩은 사용자의 환경에 맞게 유연한 방식으로 ‘세피니티 에어’를 운영할 수 있도록 돕기 위해 △엔진 클러스터링 기능 △멀티도메인 기능 등을 새롭게 도입했다. 이를 바탕으로 제품의 편의성, 사용성에 대한 부분을 꾸준하게 개선해 나갈 예정이다. 특히 머신러닝 엔진인 ‘세피니티-ASA(Sefinity-ASA)’를 고도화하고, 상관 분석 엔진을 이용해 공격에 대한 예측을 해 주는 모델을 개발 중이다.

안랩은 대형 금융사, 은행 등 금융권 고객을 비롯해 제조 및 의료 등 다양한 고객사를 대상으로 ‘안랩 세피니티 에어’를 구축한 경험을 갖고 있다. 안랩 측은 “SOAR를 도입하는 고객들이 제품의 기능뿐만 아니라 제품을 운용할 수행 인원에 대해서도 중요하게 고려한다”면서 “SOAR 개발사이자 보안관제 전문 기업으로서, 안랩은 SOAR 구축부터 관제 컨설팅까지 필요한 제품과 서비스를 동시에 제공해 고객의 호응을 얻고 있다”고 강조했다.