폭증하는 보안위협과 이벤트…삼성SDS가 해결한 방법은 ‘SOAR’

▲사용하는 보안 솔루션이 너무 많다. ▲복잡하고 반복적인 보안 업무에 지친다. ▲외부 위협부터 사람(고객·직원)으로부터 발생하는 수많은 요청에 대응하기도 힘들다.

보안담당자들이 공통적으로 토로하는 세가지다.

삼성SDS(대표 홍원표)가 10일 온라인으로 개최한 ‘리얼(REAL) 2020’ 행사에서 배건률·고대영 삼성SDS 보안플랫폼팀 프로들이 이같은 보안담당자들의 고충을 해결할 수 있는 방법으로 ‘SOAR(Security Ochestration, Automation, Response)’를 꼽았다. SOAR를 기반으로 자동화를 구현해 실제 SDS 보안관제 프로세스를 혁신한 사례를 소개했다.

보안 솔루션 수가 많아진 것은 보안위협이 크게 증가했기 때문이다. 이에 따라 보안 솔루션에서 탐지하는 로그와 이벤트 수도 기하급수적 늘어났다. 그로 인해 연관된 로그를 모아 탐지 정책을 적용해 보다 효율적으로 이벤트를 처리할 수 있도록 도와주는 보안정보이벤트관리(SIEM) 솔루션이 등장했다. 그러나 계속해서 보안 솔루션 수가 늘어나고 각각 다른 공격 탐지 정책을 설정해 처리하게 되면서 보안 로그와 이벤트 수는 사람이 수용할 수 있는 범위를 넘어선 상황이다.

삼성SDS만해도 하루 평균 발생하는 공격 이벤트 수는 170억 건(8월 기준)이나 된다. SIEM에 의해 줄어든 분석 대상 이벤트 수는 2만 건에 달한다.

고대영 프로는 “2만 건을 한정된 보안관제 인력이 처리해야 하는 실정”이라며 “이는 삼성SDS뿐 아니라 각 기업의 보안 운영팀이나 관제서비스 기업에서 직면하는 현실”이라고 지적했다.

그 해결책으로 늘어나는 분석 이벤트만큼 보안인력을 뽑으면 되지만 보안전문가 부족 현상과 높은 인건비 부담, 기업의 여력 부족 등으로 이마저도 쉽지 않다.

사람은 필요한만큼 못늘려도 SOAR를 도입하면 이기종의 보안 솔루션을 하나의 플랫폼으로 통합해 반복 업무를 자동으로 실시간 처리해줄 뿐만 아니라 복잡한 대응도 한 번에 처리할 수 있도록 해준다는 게 이들의 설명이다.

가중되는 보안담당자들의 업무…보안 자동화가 해답

SOAR는 애플리케이션프로그래밍인터페이스(API)나 구성도구를 제공해 수백 개 단위의 보안 솔루션과 통합하고 제어할 수 있게 지원한다. 또 공격 이벤트 분석부터 대응까지 일련의 과정을 자동화한다.

“통상 공격 이벤트가 탐지되면 분석가들은 특정 IP가 공격 이력이 있는지, 어떠한 공격 방식을 사용했고 얼마나 위협적인지, 공격 대상에 영향을 미칠만큼 실제 위험한 공격인지 분석하는데 10분에서 30분까지 걸린다. 이 정도도 빠른 거라 할 수 있다. 만일 한 건 당 10분 걸린다고 보면 필요한 분석가 수는 400여명이라는 얘기다. 결국 자동화밖에 답이 없다.”

SOAR는 ‘플레이북’이라고 부르는 위협대응 절차서를 쉽게 구현할 수 있어 업무 프로세스가 변경되어도 즉시 적용할 수 있다. 플레이북은 공격이 보안 솔루션에서 탐지된 경우 조회하고 분석하고 영향도를 확인하고 처리하는 일련의 보안업무를 미리 정의해놓고 자동으로 실행할 수 있게 한다.

“자동화된 분석 결과 해당 공격이 실제 영향을 준 사실을 알게 된다면, 경보 메일을 보내고 공격을 차단하기 위해 솔루션을 호출한다. 특정 호스트가 공격에 악용되고 있다면 이를 담당자에게 알려줘야 한다.”

시행착오 줄이려면 도입 전 사전 준비가 중요

SOAR 도입시 고려해야 할 세 가지 사항으로는 ▲현재 업무를 명확하게 분석하고 ▲보안 솔루션과 어떻게 연동하는지 확인하고 ▲시스템을 구성해야 한다고 했다.

먼저 업무분석 등 준비 없이 솔루션부터 도입하려고 하면 많은 시행착오를 겪을 것이라는 게 이들의 조언이다.

“플레이북으로 자동화할 업무는 몇 가지나 되고, 플레이북을 구성하는 각각의 태스크가 어떤 흐름으로 연결되고 또 어떤 작업 수행하는지 태스크 간에 주고받는 데이터 확인해야 한다. 또 태스크 수행에 필요한 분석 솔루션은 어떤 것이 있고, 태스크별 활동을 정리해 상세 명세서를 문서화하면 도움이 될 것이다.”

“연동할 솔루션이 어떠한 인터페이스를 제공하는지도 파악해야 한다. 제각각이다. 만일 특정 솔루션이 자동화하는 기능을 제공하지 않는다면 미리 방법을 마련해야 한다. 로보틱프로세스자동화(RPA)를 통해 별도 개발해 구현할 수 있다. 삼성SDS VTS라는 RPA 솔루션으로 쉽게 해결했다.”

내부 프로세스 변경, SOAR 전담조직도 필요

SOAR를 구축한 뒤에도 내부 프로세스를 자동화 가능한 상태로 변경해야 한다. 이는 쉽지 않은 일이다.

고 프로는 “SOAR에 맞게 프로세스를 다듬는데 오랜 시간이 걸리기 때문에 구축을 고려할 때 작업 시간을 충분히 고려해야 한다”고 강조했다.

아울러 “SOAR에 대해 오해가 있는 것이 바로 SOAR를 인력 효율화 도구로 인식하고 있다는 점”이라며 “틀린 말은 아니긴 하다. 하지만 새로운 위협에 대응하는 인력이 필요하다. 이를 SOAR에 적용하고 개선하고 관리하는 인력이 필요한 것”이라고 지적했다.

이어 배 프로는 “결국 SOAR 전담조직이 필요하다”고 정리했다.

SOAR 도입 후 효과…이벤트 분석시간 획기적 개선

이들은 가장 큰 SOAR 도입 효과로는 이벤트 분석 업무를 획기적으로 효율화했다는 점을 꼽았다. 이벤트당 분석 시간은 기존 10~30분에서 1~5분,으로 이벤트 처리시 평균 접속하는 보안 솔루션은 5~8개에서 1개로 줄었다고 했다.

이벤트 당 분석시간이 무려 90%나 효율화됐다.

배 프로와 고 프로는 “앞으로 보안관제는 SOAR 없이는 안될 것 같다. 현재 SOAR 적용한 기업이 5% 미만이라는 통계가 있다. 많은 기업들이 관심갖고 있는 추세라 더 기대되는 솔루션이다. 더이상 SOAR 도입을 망설이지 말고 적극 검토해볼 것을 권한다”고 강조했다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network