[이솔소] 위협 인텔리전스와 SOAR의 만남, 팔로알토네트웍스 XSOAR TIM

By심재석

이 솔루션을 소개합니다. 기업의 디지털 혁신 과정에는 다양한 소프트웨어와 하드웨어 솔루션이 사용됩니다. 이솔소 코너에서는 이런 솔루션들의 특징과 장단점, 활용사례 등을 살펴봅니다.

지난 몇 년간 정보보호 업계에서 주목하는 기술 키워드 중 ‘SOAR’라는 것이 있다. SOAR는 Security Orchestration, Automation and Response의 약자로, 보안 오케스트레이션·자동화·대응을 의미한다.

SOAR의 목표는 사내에 존재하는 다양한 보안 도구가 생성하는 정보를 종합하고 분석해 보안업무를 자동화하고, 위협에 대한 진화된 대응책을 마련하는 것이다.

[box]

  • 오케스트레이션(Orchestration) : 사내의 다양한 보안 도구로부터 데이터를 수집해 가시성 확보
  • 자동화(Automation) : 보안 전문가가 반복적으로 처리하는 업무를 자동화
  • 대응(Response) : 확보된 가시성과 자동화를 기반으로 위협에 대응

[/box]

SOAR는 2017년 가트너가 처음 제시한 개념인데, 가트너는 SOAR가 사이버 세계의 미래가 될 것이라고 예측했다. 실제로 보안 위협이 기업과 사회의 큰 걱정거리로 떠오른 현재 SOAR는 가장 주목받는 보안 기술로 자리잡았다.

SOAR의 중요성이 커지면서 각 보안업체들은 앞다퉈 관련 제품과 솔루션을 선보였다. 이 중에서 오늘 소개할 솔루션은 팔로알토네트웍스의 ‘코어텍스 XSOAR’다. 이 제품은 팔로알토네트웍스가  2019년 3월 인수한 ‘데미스토’ 제품을 고도화해서 2020년 3월 시장에 선보인 것이다.

회사 측은 이 제품에 대해 “플레이북 기반의 자동화와 위협 인텔리전스 관리를 통합합으로써 보안 운영을 간소화시키는 확장형 SOAR”라고 소개한다.

회사 측의 소개에서 나온 두 개의 핵심 키워드 ‘플레이북 기반의 자동화’와 ‘위협 인텔리전스 관리’에 대해 좀더 구체적으로 알아보자.

플레이북이란 보안관제 프로세스를 자동으로 수행하기 위해 업무 프로세스를 정리한 것을 말한다. 이전까지 보안관제센터는 전문가의 경험과 지식을 활용한 수동분석에 의존하는 경향이 많았다. 그러나 시스템이 다양해지고 적용된 보안기술도 복잡해지면서 사람의 수동분석은 한계에 달했다. 보안전문가의 반복적 업무는 최대한 자동화하고, 전문가는 정책수립 등 고차원적 업무에 집중하도록 할 필요가 있었다.

이 때 등장한 것이 플레이북이다. 플레이북은 XSOAR의 핵심이다. 보안을 지키기 위한 프로세스를 정리해 자동화할 수 있다. 예를 들어 이메일이나 첨부파일의 정보를 분석하는 플레이북을 만들 수 있으며, 사고가 발생했을 경우 내외부 사용자에게 설문조사를 전송하고 이를 수집할 수도 있다.

팔로알토네트웍스는 “600개 이상의 써드파티 제품의 대응 조치에 대한 오케스트레이션이 담긴 플레이북을 통해 수백 여개의 보안 사용 사례를 손쉽게 자동화할 수 있다”고 설명했다.

그 다음으로 주목할 키워드는 ‘위협 인텔리전스 관리’다. 위협 인텔리전스는 지능형 사이버공격과 위협을 빠르게 탐지하고 대응하기 위해 필요한 정보를 말한다. 단순한 위협에 대한 데이터셋이 아니라 사이버 공격의 전술, 기법, 절차 등에 대해 증거에 기반해 확보된 정보를 말한다. 간단히 말하면 “사이버 방어체계 구축을 위한 고급정보” 정도로 표현할 수 있겠다. 사이버 위협이 지능화, 정교화되고 있고 그 위협의 수 역시 지속적으로 증가하고 있기 때문에 위협 인텔리전스 확보는 안전한 디지털 비즈니스를 위한 필수적인 요소로 평가받는다.

팔로알토네트웍스는 ‘XSOAR 위협 인텔리전스 관리(TIM)’라는 솔루션을 제공한다. 회사 측에 따르면, 이는 네이티브 위협 인텔리전스 관리 고유의 접근 방식으로 플레이북 중심 자동화를 통해 위협 인텔리전스 집계, 채점, 공유를 통합한다.

보안팀은 과중한 업무로 인해 위협 인텔리전스를 제대로 활용하지 못할 때가 많다. 매일같이 수천 건의 알림과 수백만 가지 지표가 쏟아지기 때문이다. 정보를 잘 모은다고 해도 이를 제대로 활용하지 못하면 의미가 없다. 위협 인텔리전스에서 진정한 가치를 창출하려면 맥락 확보, 공동작업, 자동화 등이 필요한 이유다.

회사 측에 따르면, XSOAR TIM은 위협 인텔리전스 집계, 평가, 공유를 플레이북 기반 자동화와 통합한다. 이 기능을 통해 보안 책임자는 우선순위가 높은 위협을 즉시 파악할 수 있어 엔터프라이즈 전반에 걸쳐 올바른 방법으로 적절한 대응을 유도할 수 있다.

회사 측은 “XSOAR TIM은 외부 위협 데이터와 사용자 환경의 데이터를 통합하고, 기업의 인시던트 데이터는 소속 조직에서 이용할 수 있는 가장 중요한 위협 인텔리전스 소스로 간주된다”면서 “종합 케이스 관리를 통해 팀 간의 업무 효율성을 높이고 자동화 플레이북이 신속하게 대응할 수 있도록 한다”고 강조했다.

예를 들어 알려진 위협이 접근했을 때는 보자. 불량 도메인이나 IP가 접속을 시도할 경우 차단하고 관련된 다른 보안 도구에 알림을 보내야 한다. 또 여러 출처에서 수집된 데이터이기 때문에 SIEM이나 방화벽에 알림을 보내기 전에 데이터 정규화와 분석을 진행해야 한다. 또 탐지 도구는 제한된 양의 위협 인텔리전스 데이터만 처리하므로 지표의 우선순위를 끊임없이 재지정해야 한다.

또 위협 인텔리전스 팀은 자세한 공격 정보와 조직의 취약점을 파악해야 한다. 조직에 미치는 영향을 파악하기 위한 기본은 위협 분석가가 공격을 프로파일링하는 데서부터 시작된다. 이를 위해서는 XSOAR TIM는 위협 모델링으로 위협이 시스템에 미치는 영향을 차단하거나 완화할 수 있다. 위협 행위자의 프로필을 구축하고, 위협 행위자가 어떤 기술과 도구를 사용했는지 찾아낸다. 이 정보는 보안 운영자와 경영진을 비롯한 이해관계자에게 공유하게 된다.

팔로알토 네트웍스 김병장 전무는 “맥락에 대한 이해가 포함되지 않은 위협 인텔리전스는 단순 데이터일 뿐이다. 위협 인텔리전스를 제대로 활용하기 위해서는 기본 맥락을 적절하게 적용하고 내부의 인시던트 및 정책에 매핑해야 한다. 그러나 자동화 없이는 실시간 위협 피드의 규모와 속도에 맞춰 이러한 작업을 수행하기 어렵다. 위협 인텔리전스에 SOAR를 적용함으로써 인시던트 대응 프로그램의 모든 요소들에 이를 통합시킬 수 있다”고 말했다.

글. 바이라인네트워크
<심재석 기자>shimsky@byline.network

심재석

노안 심스키. 슬플 땐 난 봉산탈춤을 추지. 낙양동천이화정
https://www.facebook.com/shimgiza

관련 글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다