|

지능형 차세대 보안관제로의 전환, SOAR로 SOC ‘레벨업’하기

By이유지

[전문가기고 ]  이세호 이글루코퍼레이션 수석부장

최근 들어 보안 담당자의 기분은 우울하다. 디지털 트랜스포메이션의 가속화로 공격 표면이 넓어지면서, 보안 경보는 늘어났고, 보안관제센터(SOC, Security Operation Center)에서 사용하는 보안 도구들은 복잡해졌기 때문이다. 보안 담당자들은 경보의 홍수 속에서 날마다 엄청난 양의 사이버 위협을 분석·대응하고, 단순 반복적인 업무도 처리해야 하는 부담에 직면하고 있다. 고단한 보안 담당자들이 경보에 점점 둔감해지면서, 이들이 주의를 기울여야 하는 경보마저 놓치는 일이 종종 발생하고 있다.

이러한 경보 피로(alert fatigue)와 SOC의 복잡성을 해소하고자, ‘보안 오케스트레이션·자동화·대응(SOAR)’ 솔루션을 도입하는 보안 조직의 움직임이 활발해지고 있다. SOC에서 일반적으로 사용하는 ‘보안 정보 및 이벤트 관리(SIEM)’에서 더 나아가, 보안 위협의 대응 프로세스를 자동화해 보안 업무의 효율성을 높여주는 것이 주요 골자다. 한정된 보안 인력들이 단순 반복적인 업무에 매달리다가 고위험군 위협 이벤트 중 10-20%만 처리하는 등의 문제점을 해소하기 위한 목적이다.

SOC 효율성에 영향을 미치는 문제점 <출처: 이글루코퍼레이션>

최적의 SOAR 솔루션, 어떻게 가려낼까?

조직의 보안 환경과 여건에 부합하는 SOAR 솔루션은 어떻게 가려낼 수 있을까? 기업은 SOAR 솔루션 도입에 앞서, 해당 솔루션이 아래 요건을 충족하는지 검토해 볼 필요가 있다.

우선 조직이 도입한 수많은 보안 솔루션과 조직의 보안 업무환경을 잘 반영할 수 있는지 따져보아야 한다. 아무리 많은 보안 솔루션 연동을 지원한다고 할지라도 해당 조직이 도입한 보안 솔루션, 보안 업무환경과 연계되지 않는다면, 자동화 기능을 구현하기가 어렵기 때문이다. 따라서 SOAR 도입 시에는 기존에 사용 중인 보안 솔루션과의 연동 여부와 함께, 해당 솔루션 제공 기업이 SOAR를 기반으로 보안관제 프로세스를 재설계할 수 있는 역량을 보유했는지 확인하는 과정이 요구된다.

또한 제공되는 ‘플레이북(Playbook)이 해당 조직에 최적화되어 있는지를 따져볼 필요가 있다. 대규모 SOC와 1-2인사이트를 아울러 조직의 업무와 인력 운영 현황, 위협에 대한 이해가 선행될 때, 비로소 조직에 부합하는 업무 자동화 매뉴얼인 ‘플레이북’을 만들어 낼 수 있기 때문이다. 다시 말해 얼마나 많은 플레이북이 제공되느냐보다는 실제로 자동 대응 기능을 사용할 수 있는 플레이북이 몇 개인지, 플레이북을 최적화할 수 있는지, 플레이북 활용을 위한 전문가 지원이 뒷받침되는지를 확인하는 것이 더 중요하다.

조직의 상황에 알맞은 침해대응 자동화를 추진하라

그렇다면 SOAR 솔루션 도입을 통해, 보안 조직은 어떠한 목표를 달성할 수 있을까? SOAR의 궁극적인 목표는 보안관제 업무 자동화를 통해 대응력을 향상하고 관제범위를 확대하는 ‘침해대응 자동화 추진’에 있다. 이글루코퍼레이션은 자사의 SOAR 솔루션인 ‘스파이더 SOAR(SPiDER SOAR)’ 활용을 통해, 총 4단계에 걸친 침해대응 자동화를 구현하고 있다.

첫 번째 프로세스는 ‘플레이북 자동 대응’이다. 이 프로세스는 공격은 맞지만 유효성이 낮고 단순 반복적인 공격을 대상으로 하며, 사람의 개입 없이 오직 플레이북만으로 자동 분석-차단 실행-보고서 생성까지 진행되는 완전 자동 프로세스이다. 확실한 고위협군 공격과 스캔(scan)성 공격을 중심으로 적용된다.

SOAR 침해대응 프로세스 1단계 <출처: 이글루코퍼레이션>

두 번째 프로세스는 ‘플레이북 승인 대기’로, 첫 번째 프로세스와 동일하지만 위협 발생 시 관제 전문가가 티켓을 승인받은 후 차단 여부를 결정한다. 앞선 프로세스에서 한 번의 서비스 영향도 검증 과정이 추가된 과정이다.

SOAR 침해대응 프로세스 2단계 <출처: 이글루코퍼레이션>

세 번째 프로세스는 ‘전문가 모드’이다. 이 프로세스는 전문가의 판단과 플레이북을 동시에 적용하는 정밀분석에 해당한다. 정탐과 오탐 판별에 필요한 공격 IP, 타임라인, 목적지 IP 등의 정보 수집·분석은 플레이북으로 처리하고, 대응 단계에서 관제 전문가가 플레이북의 분석 결과를 토대로 검토 후 차단 여부를 결정한다. 이 단계에는 고위협군이면서 출발지 IP가 국내 IP인 경우처럼 사람의 개입이 필요한 위협이 해당된다.

SOAR 침해대응 프로세스 3단계 <출처: 이글루코퍼레이션>

네 번째 프로세스는 ‘관제 전문가 대응 모드’이다. 이는 외부로 이관해 대응하는 프로세스로, 상위기관 혹은 본사로 이관하거나, 국가사이버안보센터(NCSC)에 조사 요청 혹은 수동 접수를 통해 이력을 남긴다.

SOAR 침해대응 프로세스 4단계 <출처: 이글루코퍼레이션>

위의 네 가지 프로세스의 대응 처리 시간을 살펴보면 평균적으로 각 12초, 1분, 1분, 5분 내외로 대응이 가능하다. 물론 사이트마다 보안 환경과 여건에 따라 수치는 달라질 수 있지만, 현재 대응 시간이 평균 15분 정도인 점을 감안했을 때 SOAR 도입을 통해 시간이 현저히 단축되었음을 느낄 수 있을 것이다.

SOAR 도입에 앞서 확실한 목표 수립 및 기존 업무 절차 재정은 필수

지금까지 보안관제 효율성을 높일 수 있는 SOAR 솔루션의 요건과 SOAR 도입을 통한 침해대응 자동화 효과에 대해 알아보았다. SOAR는 규모가 있는 조직뿐만 아니라 보안 인력이 적은 조직에도 꼭 필요한 핵심 솔루션이며, 도입 시 예상할 수 있는 기대 효과에도 차이가 있다.

대형 조직의 경우, SOAR 도입을 통해, 보안관제센터의 성숙도와 효율성을 높이는 효과를 기대할 수 있다. 자동화 처리를 통해 보안 담당자의 역량 편차를 좁히고, 미탐 분석에 집중할 수 있는 시간을 벌어주기 때문이다. 소형 사이트의 경우, 사람 개입 없이 플레이북만으로 자동 분석 및 차단을 수행하는 형태로 적용함으로써, 관제 인력 변동 시에도 일정 수준 이상의 지속적인 침해 대응 모드를 유지하는 효과를 얻을 수 있다. 또한, 보안 인력 공백이 발생하는 야간과 주말에도 SOAR가 사람을 대신해 보안관제 업무를 수행하기 때문에 향상된 보안 수준을 유지할 수 있다.

단, SOAR 도입의 효과를 극대화하기 위해서는 반드시 선결되어야 할 핵심 과제가 있다. SOAR를 도입하고자 하는 조직들은 ▲SOAR 도입을 통해 이루고자 하는 목표가 무엇인지 ▲자동화 프로세스에 맞게 기존의 SIEM 중심 보안관제 업무 절차를 어떻게 정의 및 개선할 수 있는지를 면밀히 따져 보기를 권고한다. 이러한 작업이 선행됐을 때, 비로소 조직의 목표와 보안관제 업무에 최적화된 SOAR 솔루션을 도입할 수 있기 때문이다.

다시 말해 SOAR 도입을 통해 SOC를 레벨 업하기 위해서는, 솔루션 도입에 앞서 확실한 목표 수립 및 기존의 업무 절차 개선이 함께 요구된다. 이를 토대로 성숙도 높은 자동 공격 탐지와 대응 기능을 구현함으로써, 수많은 보안 솔루션 도입에 따른 복잡성, 사이버 공격의 고도화, 보안 인력 부족과 운영 비용 증가 등 SOC 운영의 어려움에서 벗어나 보길 바란다.

글. 이세호 이글루코퍼레이션 수석부장

이유지

씩씩하고 당당하게, 그리고 신나게!

이유지 기자 yjlee@byline.network

관련 글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다