사이버 공격이 다양해지면서 기업들은 여러 보안 솔루션을 사용하고 있다. 이를 통해 탐지한 로그, 이벤트 등은 통합보안관제(SIEM) 솔루션을 통해 확인할 수 있다. 보안 이벤트를 탐지하고 안내하는 과정까지 자동화가 되어 있기 때문이다. 그러나 이벤트를 분석하고, 대응하는 작업은 보안 전문가가 수동으로 해야 한다. 이 경우, 보안 전문가의 역량에 따라서 기업의 보안 수준이 달라질 수 있는 문제가 생긴다.

그러나 보안 오케스트레이션 자동화 대응(SOAR) 기술을 적용하면 달라진다. 보안 이벤트 탐지부터 대응까지 모든 과정을 자동화할 수 있다. 따라서 기업의 보안수준이 보안 전문가의 역량에 좌우되지 않고, 상향평준화할 수 있는 장점이 있다.

최대수 팔로알토네트웍스코리아 이사는 최근 바이라인네트워크가 진행한 ‘보안운영 자동화 혁신 플랫폼으로 부상한 SOAR’ 웨비나에서 SOAR에 대해 소개하고, 적용사례와 효과를 설명했다.

최 이사는 “최근 기업들이 보안관제 영역을 네트워크부터 엔드포인트까지 확장하면서, 많은 보안 위협을 탐지하고 있다”며 “그러나 오탐도 늘어나면서 관제센터 인력이 분석해야 할 데이터가 많아졌다”고 지적했다.

이러한 비효율적인 문제를 해결하기 위해 등장한 것이 바로 ‘SOAR’다. 보안 사고대응, 오케스트레이션 자동화, 위협 인텔리전스 관리 기능을 결합해 단일 플랫폼에서 제공하는 솔루션을 말한다. 보안 솔루션을 통합하고 워크플로우를 조정, 자동화해 빠르게 원하는 결과와 가시성을 확보할 수 있는 것이 특징이다.

팔로알토네트웍스도 SOAR 솔루션을 제공하고 있다. ‘코어텍스 XSOAR(Cortex XSOAR)’는 지난해 3월 인수한 데미스토의 SOAR 제품을 통합하고 고도화한 것이다. 이 과정에서 고객의 요구와 의견을 반영했다.

코어텍스 XSOAR는 전세계 640여개의 고객사에 도입됐다. 금융사, 대기업 등 대형 고객사들을 다수 확보했다. 많은 고객들이 쓰는 만큼 XSOAR는 500개 이상의 서드파티 솔루션과 연동, 통합을 제공한다. 최근 1년간 연동된 사례는 100개 이상이다.

유연하고 확장가능한 아키텍처도 특징이다. SIEM은 수많은 이벤트를 탐지해야 하는 만큼, 빅데이터 처리 기능이 필요하다. 마찬가지로, SOAR도 이벤트가 탐지되면 여러 시스템에 접속해 자동으로 확인하고 대응한다. 이 경우 처리해야 하는 이벤트가 많을수록 SOAR의 성능은 저하될 수밖에 없다.

팔로알토네트웍스는 이 점에 주목해 유연하게 서버를 구성할 수 있도록 했다. 최 이사는 “업무 부하분산을 위해 엔진을 여러 대 설치할 수 있도록 했다”며 “예를 들어, 내부에서 업무처리를 하다가 인터넷으로 이벤트 평판조회를 할 수 있도록 별도의 엔진서버를 구성하는 등 이벤트가 많이 발생하면 서버를 추가할 수 있다”고 설명했다.



또 XSOAR는 풍부한 유즈케이스를 제공하는 것이 특징이다. 일반적으로 기업들은 보안경보 이벤트를 수집하기위해 일종의 자동화된 스크립트인 ‘플레이북’을 작성한다. 이를 만들기 위해 기업들은 일일이 보안 이벤트를 분석하고, 결과를 유형별로 대시보드에 표기해야 한다.

팔로알토는 이러한 일련의 과정을 묶어 ‘콘텐츠 팩’으로 제공한다. 콘텐츠 팩은 안티그레이션 모듈, 서브스크립션 서비스, 자동화 스크립트, 자동화 플레이북, 대시보드 레이아웃을 모두 포함한다. XSOAR는 앱스토어와 비슷한 마켓플레이스를 통해 약 515개의 무료 콘텐츠 팩을 제공하고 있다.

예를 들어, 보안관제센터의 분석가나 포렌식 담당자가 주로 하는 ‘네트워크 패킷 캡쳐 파일 분석’을 한다고 가정해보자. 이때 XSOAR의 마켓플레이스에서 관련 콘텐츠 팩을 다운받으면, 패킷 분석을 위한 기본 설정인 파일 연동, 추출, 파싱, 대시보드 구성 등이 자동으로 이뤄진다.

실제로 팔로알토네트웍스의 한 고객사는 XSOAR를 도입해 보안업무의 효율성을 높였다. 해당 고객사는 여러 글로벌 보안 솔루션과 SIEM 제품을 사용하는 만큼, 하루에 발생하는 이벤트 수만 약 170억건, 분석 이벤트 수가 약 2만 건에 달했다. 보안 담당자가 한 이벤트를 분석할 때 평균 최소 10분에서 30분이 소요되고, 5개~8개 시스템에 접속해 대응을 했다.

그러나 XSOAR 도입으로 이벤트 하나당 분석 시간은 약 1분~5분으로 줄었고, 대응을 위해 외부 별도 시스템에 접속하지 않고 XSOAR로 자동 처리하게 됐다. 덕분에 한 이벤트 당 분석시간이 최대 90% 단축, 접속 솔루션 수가 80% 가량 감소됐다.

한편, 최 이사는 기업들이 보안관제를 고도화하려면 자동화 관점으로 바라봐야 한다고 강조했다. 이를 위해 최 이사는 ▲보안 분석업무, 대응 효율화가 가능한 범위를 고민해 식별해야 하며 ▲기존의 수동 보안분석, 대응 업무를 가능한 문서화해 구체적으로 정의해야 하며 ▲지속적인 유지관리를 위한 전담인력을 배정해야 한다고 권유했다.

글. 바이라인네트워크
<홍하나 기자>0626hhn@byline.network


[바이라인플러스 7월 무료 웨비나 ]
  • 진화된 클라우드 보안 방안과 제로트러스트 업무환경 구현
    날짜 : 2022년 7월 6일 (수)
    시간 : 13:10 ~ 17:35
    자세히보기