이글루코퍼레이션 “SOAR, 다양한 대응 프로세스 우선 정의해야”
“보안 오케스트레이션·자동화 및 대응(SOAR)는 단순한 보안 솔루션이 아닌 보안 관제 프로세스에 관여하는 솔루션입니다. 다양한 사이버 위협에 대응 수준을 자동으로 분류하고 표준화된 업무 프로세스로 담당자와 솔루션이 유기적으로 협력할 수 있도록 지원합니다. 그렇기 때문에 구축을 위해서는 다양한 내용에 대한 정의가 필요합니다.”
황범석 이글루코퍼레이션 기술센터장은 지난 2일 바이라인네트워크가 주최한 ‘보안운영 자동화·통합보안 위험관리 핵심 플랫폼으로 부상한 SOAR와 XDR’ 웨비나에서 SOAR 구축 과정의 중요성을 강조했다. 이글루코퍼레이션은 SOAR 솔루션 구축 최적화 설계 등을 지원하는 통합 보안관리기업이다.
보안관제센터(SOC) 운영에서 업무 효율성이 부각되는 상황에서, 인공지능(AI) 기반 지능형 통합 보안관제시스템은 대안으로 부상했다는 게 황범석 기술센터장의 설명이다. 그는 현재 SOC 운영의 어려운 점으로 보안 관제 범위 확대와 맞물려 보안관제시스템 수가 늘어나고, 이에 따라 관제 경보도 늘어나고 있는 점을 꼽았다.
SOC 운영관리적 측면에서는 ▲IT 인프라 복잡성 증가에 따른 공격 요인 증가 ▲대응해야 하는 컴플라이언스 증가 ▲보안예산 부족으로 인한 보안 담당 인력 부족이, 기술적 측면에서는 ▲신규 보안위협 증가로 인한 보안 솔루션 복잡도 증가 ▲보안 관제 업무 급증 ▲보안 전문 인력 부족 및 성숙도 부족에 따른 휴먼 에러(human error)가 발생하고 있다는 게 그의 설명이다.
황 센터장은 SOC 운영의 어려움을 개선하기 위해서는 프로세스 변화를 통한 대응이 필요하다고 강조했다. 가장 많이 발생하는 업무의 자동화가 가능하다면 한정된 인력을 활용, 최적화된 보안 관제 업무를 수행할 수 있다는 설명이다. 또한 위협 헌팅과 같은 새로운 공격에 대한 대응을 하는 데 업무를 집중할 수 있다고 덧붙였다.
평균 대응 시간을 기준으로 보면 SOAR의 강점이 두드러진다. 황 센터장은 사람이 경보 발생 후 차단까지 직접 대응하는 수동대응은 평균 5~60분이 소요되는 반면, SOAR에서 잘 짜여진 위협대응 플레이북에 의한 자동화 처리는 1분 이내로 대응이 가능하다고 설명했다.
현재 SOC 운영에서 지능형 보안관제는 4세대 보안관제로 AI, SOAR, 위협정보서비스(Ti)를 결합한 통합 관제 시스템이다. AI 기술을 적용해 정오탐을 신속하게 판별하고 SOAR 플레이북을 통한 자동화 가능 업무를 수행한다. Ti 위협 정보와 연계해 침해 이력을 검증한 뒤 보안 관제 업무에서 시스템 간 연계를 통한 자동화 업무가 가능하다는 설명이다.
이 때 지능형 통합 보안 관제 시스템을 구성하는 첫 번째 요소는 ‘보안 정보 및 이벤트 관리(SIEM)’다. 빅데이터 기반 SIEM으로 발전, 마이터어택(MITRE ATT&CK) 체계의 SIEM으로 업데이트되고 있다. 마이터 어택은 공격자들의 최신 공격 기법 등을 분류해 목록화한 표준화 데이터 모음이다.
두 번째 요소는 AI 기술이다. 지도학습 알고리즘과 비지도학습을 통해 이상행위, 정오탐 분석을 수행한다. 또한 AI 기술은 설명 가능한(XAI) 모델로 발전해 분석 원본데이터 외 예측 결과 측정 지수, 판단 기준 설명, 주요 판단 데이터 표시 기준을 제시한다. 이를 바탕으로 기존 보안관제인력이 AI 기술에 손쉽게 접근할 수 있도록 한다.
특히 AI는 최적의 알고리즘 및 변수 테스트 후 최적의 모델을 생성하는 수준까지 발전했다. 최종적으로 AI 알고리즘으로 탐지된 이벤트를 종합적으로 분석하기 위해서는 지도, 비지도 및 위협정보, 자산 정보까지 포함한 공격자 IP별 스코어링 및 시계열 분석을 통해 분석 영역을 확대할 수 있어야 한다.
또한 SOAR 아키텍쳐는 자동화 대응 중심 및 상세 분석 관제로의 관제 프로세스 개선을 위해 구성돼 있으며 응용프로그래밍인터페이스(API) 연계 및 플레이북 기반 자동대응을 수행한다고 설명했다. 그는 “이를 통한 조치에는 원인 제공,보안 위험 및 취약점 패치, 분석 보고서 작성 등이 있다”며 “보안관제의 시간 단축, 보안요원의 기술 상향 평준화가 가능하다”고 말했다.
그는 SOAR의 보안 관제 자동화 효과로 표준화된 플레이북에 기반한 보안 관제 대응 역량이 향상될 수 있다는 점을 꼽았다. 지속적으로 발생하는 경보 다수, 불규칙한 대응 품질, 프로세스 가시성 부족, 단순 반복 작업 등을 개선할 수 있다는 의미다. 또한 보안 관제 대응 자동화 업무 프로세스 도입으로 관제센터 역량 상향 평준화가 가능하다고 강조했다.
또한 황 기술센터장은 SOAR 시스템을 성공적으로 구축하기 위해서는 SOAR와 SOC에서 운영 중인 통합 보안관제시스템, 침입방지시스템(IPS)와 같은 단위 보안관제시스템과의 조화가 핵심이라고 강조했다.
SOAR의 핵심은 자동화된 침해대응 프로세스의 운영을 위한 SIEM, AI, 위협인텔리전스를 포함한 자동 차단 영역이다. 검증 API와 대응 API를 통해 보안관제요원이 반복적으로 해야 하는 행위를 자동 대응으로 바꿔 수고를 덜어준다는 설명이다. 황 센터장에 따르면 로그4j 공격이 새로 발생할 때, SIEM에서 경고, 플레이북을 생성해 동일 공격이 발생하면 최소 10건에서 수천건의 공격을 SOAR 플레이북으로 자동 차단할 수 있다.
그는 현재 지능형 보안관제 기술의 발전 방향에 대해 빅데이터 기반 SIEM, XDR 통한 확장, 보안 미래 기술인 사이버보안 메시 아키텍처(CSMA)까지 발전 확대되고 있다고 바라봤다.
SOAR은 단순한 보안 솔루션이 아니라 보안 관제 프로세스에 관여하는 솔루션이기에 구축을 위해서는 사전에 다양한 정의가 필요하다고 짚었다. 공격별, 소속기관별, 상세 침해 대응 프로세스의 정의를 비롯해 ▲플레이북으로 구현하고자 하는 공격에 대한 유형 사전 정의 ▲위협정보 연계 ▲AI 보안 관제 시스템 연계를 통한 시너지 도출 ▲기존 구축된 통합 보안 관제 솔루션과의 연계방안을 고려한 목표 보안관제모델을 수립해야 한다고 말했다.
황 기술센터장은 “보안담당자 혼자 관제 하는 곳, 관제 요원이 상주하는 곳의 프로세스는 다를 수 밖에 없다”며 “고객사에 최적화된 설계를 하겠다”고 강조했다.
글. 바이라인네트워크
<성아인 기자> aing8@byline.network
