SOAR 솔루션, 전 세계 시장 연평균 15% 성장...2025년까지 약 18억 달러 규모 전망
보안관제 업무 중 가장 큰 문제점 : 미·오탐 업무 과중 31.3%, 보안전문 인력 부족 26.9%
[인터뷰] 한국사회보장정보원 최주원 박사, SOAR 솔루션 시험 운영 사례
SOAR 대표 솔루션 집중분석 : 로그프레소, 안랩, 이글루코퍼레이션, 투씨에스지, 팔로알토 네트웍스
[보안뉴스 기획취재팀] 날로 복잡해지고 고도화되고 있는 보안 위협의 효율적 대응 방안으로 ‘SOAR(Security Orchestration, Automation and Response)’ 솔루션이 떠오르고 있다.
[이미지=utoimage]
2017년 가트너가 정의한 SOAR는 다양한 사이버 위협에 효율적으로 대응하기 위한 ‘보안 오케스트레이션·자동화 및 대응’ 플랫폼으로 등장했다. 복잡한 보안 위협 대응 환경에 빠른 분석과 조치를 가능케 하고, 프로세스를 자동화해 보안 업무의 효율성을 높여준다. 보안 운영센터(Security Operation Center)에서 단순 반복 업무에 대한 자동화 수요가 높아진 가운데, 보안 위협의 대응 프로세스를 자동화해 위협 인텔리전스 분석을 강화할 수 있다는 점에서 SOAR가 각광 받고 있다. 한 글로벌 보안기업에 따르면 국내 SOAR 솔루션은 3년여 전 국내 굴지의 대기업에서 최초 도입한 것으로 알려졌다. 이후 대기업을 중심으로 현재까지 꾸준히 도입하는 추세다.
가트너의 하이프 사이클(Hype Cycle)에서는 SOAR를 성장 및 성숙 분야로 표현하고 있다. 2019년 가트너에서 발표한 ‘SOAR 마켓 가이드’에서는 2022년 말 기준으로 5인 이상의 보안팀을 가진 조직의 30%가 SOAR 툴을 사용할 것으로 예측했다. 2023년에는 SOAR 시장규모가 5억 5,000만 달러에 이를 것으로 내다봤다.
마켓앤마켓은 2018년~2025년 사이 전 세계 SOAR 시장이 연평균 성장률 15%를 기록하며 2025년까지 약 18억 달러 규모로 성장할 것으로 전망했다. 여러 글로벌 보안 컨퍼런스에서도 SOAR가 지속적으로 소개되고 있는 만큼 향후 시장은 더욱 커질 전망이다.
이에 <보안뉴스>에서는 ‘SOAR 인식 및 선택기준에 대한 설문조사’ 결과와 함께 SOAR 솔루션 구축 사례 인터뷰, 그리고 SOAR 솔루션 대표주자인 로그프레소, 스윔레인, 안랩, 이글루코퍼레이션, 투씨에스지(스텔라사이버 총판), 팔로알토 네트웍스, 포티넷 코리아, 한국IBM 8개 기업(업체명 가나다순)과의 인터뷰를 통해 SOAR 솔루션 도입 시 고려사항과 차별점에 대해 들어봤다.
‘SOAR 인식도 및 선택기준’에 대한 설문조사 결과 분석
보안관제 업무 중 가장 어려운 점, 미·오탐 업무 과중 31.3%
SOAR 솔루션이 주목되는 이유 중 하나는 바로 보안관제 업무이다. 본지가 SOAR 솔루션 도입의 필요성을 파악하기 위해 2022년 8월 1일부터 8일까지 ‘SOAR 인식 및 선택기준에 대한 설문조사’를 진행한 결과, ‘보안관제 업무에 있어 시간이 가장 많이 소요되는 주요 업무’에 대해 ‘실시간 관제화면을 통한 침해위협 탐지 및 모니터링’ 28.1%, ‘단순 보안 위협으로부터 고도화된 공격에 대한 필터링 작업 및 분석 업무’ 22.1%, ‘네트워크와 시스템의 침입 차단 등 발생된 보안위협 대응’ 21.7 %, ‘하위레벨(기초 업무)의 분석 및 단순반복적인 업무’ 16.5% 순으로 답변했다.
▲ ‘SOAR 인식 및 선택기준에 대한 설문조사’[자료=보안뉴스]
‘보안관제 업무에 있어 가장 어려운 점’으로는 ‘오탐·미탐 발생 등 부정확한 이벤트 탐지로 인한 업무 과중’ 31.3%, ‘보안전문 인력 부족’ 26.9%, ‘비효율적인 보안관제 시스템 및 복잡한 업무 프로세스’ 20.5%, ‘보안관제 예산 부족’ 18.1% 순으로 집계됐다.
보안관제 업무 과중은 자동화에 대한 갈증과 수요로 이어졌고, SOAR 솔루션에 대한 관심도 높아졌다. 한 SOAR 솔루션 제조사는 “주로 중견기업, 정부기관 등 일정 규모 이상의 조직에서 수요가 발생하고 있다”며 “최근에는 국내 대기업 SOC와 자체적으로 보안관제센터를 운영하고 있는 IT 보안부서에서의 수요가 증가하고 있다”고 밝혔다.
이처럼 효과가 입증되고 있는 만큼 SOAR의 도입은 계속 늘고 있으며, 중견기업 금융기관과
MSSP(Managed Security Service Provider) 등에서도 도입이 증가할 것으로 예상되고 있다. 소규모 기업과 외주 업체를 통해 IT 업무를 처리하는 기업은 기존의 보안관제 서비스에 SOAR 기능을 포함하는 형태로 전환하고 있다.
SOAR 솔루션 제공업체는 최근 기업의 제품 활용도와 운영 편리성 제고를 위해 문제점을 개선하고 주요 기능을 고도화하는데 초점을 맞추고 있다. 특히, 국내 사용자에게 친숙한 UX 환경 등 국내 환경에 최적화한 기능 제공을 강점으로 부각하고 있다.
===============================================
[인터뷰] 한국사회보장정보원 최주원 박사, SOAR 솔루션 시험 운영 사례
▲한국사회보장정보원 최주원 박사
그렇다면 SOAR 솔루션의 효용성은 어떨까? 시장이 무르익어 가고 있는 만큼 솔루션이 지속적으로 발전하기 위해 성능, 호환성, 기능 등 기업의 니즈 반영은 충분한지 점검할 필요가 있다. 이에 본지는 한국사회보장정보원 최주원 박사와의 인터뷰를 통해 SOAR 솔루션의 효용성, 개선점에 대해 들어봤다.
Q. SOAR 플랫폼 도입 결정 배경은?
첫째, 현 보안관제 프로세스에서는 오탐과 미탐의 발생률이 있다. 둘째, 보안관제 수행 간에 각 요원들이 트래픽에서 이상 패턴을 확인하고 분석하는 과정에서 상당한 시간과 노력이 소요된다. 셋째, 이 과정에서 휴리스틱한 부분에 의존해 심각한 공격에 대한 대응 골든타임을 놓칠 수 있다. SOAR를 도입하면 이러한 부분에서 시간 절약이 가능하며, 관제요원들이 미처 발견하지 못한 위협을 탐지할 수 있다. 이외에도 관제요원 업무 간편화, 리포팅 자동화 등을 통한 관제업무 효율성 증대, 미탐과 오탐 확률 감소 등의 관제업무 신뢰성 증대, 차세대 보안관제 솔루션 도입에 따른 기관 홍보 및 이미지 제고를 위해 도입을 결정하게 됐다.
SOAR 플랫폼 구축 예산과 규모는 어떻게 되나요?
SOAR 도입 총예산은 8억원 정도로 예상하고 있고, 코어, 라이선스 등 3개년에 걸쳐 점진적으로 도입할 예정이다. 그리고 1년간 관제 운영예산은 20억원 규모이며, 총 49개 기관의 TMS, UTM, IPS 등 보안 시스템과 연동해 실시간 보안관제 업무를 처리(2021년 말 기준)하는 것을 관제범위로 하고 있다.
SOAR 플랫폼 구축에 있어 가장 중요하게 생각하는 기능은 무엇인가요?
특별히 선호하는 제품은 없지만, 우선 오탐·미탐에 대한 위험을 감소시키는 등 보안 인력의 노력 비용을 절감해줄 수 있어야 한다. 이어 현재 관제 시스템과의 호환성 이슈가 없어야 한다.
SOAR 솔루션의 기술적 측면에서 요구되는 사항은 무엇인가요 ?
중장기적으로는 머신러닝(Machine Learning) 기반의 인공지능 데이터 학습 기능을 내장해 신규 위협에 대해 학습하고, 룰셋(Rule Set) 개발 → 차단 → 사전 대응의 선행 프로세스가 구축될 수 있도록 지원돼야 한다.
SOAR 솔루션을 사용하면서 불편한 점과 개선해야 할 점은 무엇인가요
첫째, 업무 프로세스가 개선됐으나 실제 보안관제 요원의 인건비 절감까지 연결되지는 않았다. 둘째, 제품의 기능 및 성능에 대한 발전이 필요하다. 초기 제품을 도입할 경우 도입 이후 차기 버전 재도입 등의 중복 투자 우려가 발생할 수 있다. 셋째, 각 솔루션 기업별로 기능이나 성능 편차가 있다. 특히, 각 조직별로 원하는 사용자의 요구가 다양해 이에 따른 커스터마이징은 필수다. 사용자 요구 분석부터 실제 구축 완료까지 상당 기간의 시간과 노력이 소요된다. 또한, 제품의 컨셉과 효용성은 인정하지만 투자 대비 어느 정도의 효율성이 있을지에 대한 우려가 있다. 필요한 인증 획득, 표준화된 기능/비기능 요구사항 정의, 산업표준으로의 확대까지는 다소 시간이 소요될 것으로 예상된다.
SOAR 솔루션 공급업체에게 바라는 점은?
지속적인 기술 연구개발, 신규 기능을 탑재한 제품의 버전 업그레이드 등 성장기와 성숙기로의 이행이 필요하다. 아직 기술수용 주기이론 중 유아기에 해당돼 주변에서는 시기상조라는 의견들이 많다. 다양한 사용자와 시스템을 고려해 기능/비기능 요구사항들을 미리 폭넓게 개발하고, 다양한 버전의 제품을 출시해야 한다. 제품의 성능 고도화, 비용 대비 도입 타당성이 확보된다면 보안관제를 수행하는 조직에서는 필수 시스템으로써 트렌드를 선도할 수 있을 것으로 기대된다.
=================================================
△ SOAR, 도입시 고려해야 할 사항
효율성과 편의성을 위해 SOAR 솔루션을 도입하려면 여러 가지를 고려해야 한다. 효율적인 플레이북(PlayBook) 제작을 위해 세부사항 준비는 물론, 프로세스 정립 등 여러 가지를 준비해야 한다. 이에 대해 SOAR 솔루션 기업은 솔루션 도입시 각종 고려사항을 제시했다.
로그프레소, 자동화 효과 사전조사와 API 지원 및 지속 연동돼야
로그프레소는 다음의 검토사항을 제시했다. 첫째, 기존의 위협 분석 및 대응 과정을 정리한 수작업 단계 중 어느 단계를 자동화하는게 효과가 가장 클지 사전 조사를 해야 한다. 둘째, 앞 단계에서 조사한 프로세스에 관련된 기존 운영 장비나 서비스가 API를 지원하는지 확인해야 한다. 기존 장비나 서비스가 API를 지원하지 않는다면 해당 솔루션 기업과 협의해 투입 비용 및 일정을 수립해야 한다. 셋째, SOAR 도입 후에도 지속적으로 연동 지원이 가능한지 검토해야 한다. 구축 시점에만 API 연동이 지원된다면 이후 운영 단계에서 어려움을 겪을 수 있다.
스윔레인, MTTx·ROI·애널리스트 작업 부하 따져봐야
스윔레인은 SOAR 도입의 성공 여부와 척도에 대해 모든 보안팀이 측정해야 하는 몇 가지 기본 핵심 성과 지표(KPI)인 MTTx(MTTD: 평균 탐지 시간, MTTI: 평균 조사 시간, MTTR: 평균 응답 시간), 세분화된 ROI 분석 및 애널리스트 작업 부하를 지목했다. 또한, 전통적으로 SOC(보안관제센터)로 제한된 SOAR의 가치를 보안 자동화의 미래 측면으로 확장시켜 SOC 메트릭(Metric)의 개념을 보안 메트릭도 포함시킬 수 있는 강력한 자동화 엔진이 필수 항목이라고 강조했다.
안랩, 업무 프로세스 수립·자동화 대상 선정·관리방안 중요
안랩은 프로세스와 자동화 대상 선정, 관리방안의 중요성을 강조했다. 첫째, SOAR 도입 전 세부적인 업무 프로세스가 명확하게 수립돼야 한다. 두 번째로는 자동화 대상 선정이다. 업무 생산성 향상과 편의성 등 효과적인 자동화 구현을 위해서는 사전에 수립된 업무 프로세스에서 진행하는 업무 중 자동화를 적용할 부분을 확정해야 한다. 또한, 잘못 설정된 자동화 프로세스는 사람이 수행하는 것보다 효율을 떨어뜨릴 수도 있어 자동화 리스크(Risk)에 대한 고려도 필요하다. 마지막은 관리방안으로, 도입 후 변하는 업무 프로세스에 따라 SOAR에 적용된 플레이북을 지속적으로 최적화하고, 연동된 장비의 변경에 따른 수정/개발도 필요하다.
이글루코퍼레이션, 형상관리·플레이북 수립·자동화 범위 중요
이글루코퍼레이션은 형상관리와 플레이북 수립, 자동화 범위를 고려할 것을 권고했다. 먼저, 조직이 도입한 보안 시스템을 파악하고 이를 연동하는 방안을 모색하는 형상관리 과정이 진행돼야 한다. 이미 보유한 보안 솔루션과 연계해 시너지가 날 수 있도록 조직의 업무 파악과 정리가 필요하기 때문이다. 이후, 공격 그룹별 특성을 분류해 자주 사용되는 TTP(Tactics: 전술, Techniques: 기법, Procedure: 절차)로 분류하고, 공격 단계별 대응방안을 잘 정리한 양질의 플레이북을 만들어야 한다. 다음으로 플레이북을 토대로 자동화할 업무 범위를 정하고, SOAR 구축 후, 성숙도 높은 자동화 기능 구현 여부도 따져봐야 한다. 보안 솔루션 연동과 표준화 단계부터 침해사고 대응 경험을 축적한 플레이북 개발, 시스템 설계까지 면밀히 검토해야 한다.
투씨에스지, 어떤 형태의 SOAR 도입이 효과적일지 고려해야
투씨에스지는 기업 현재 상황과의 적합성과 대응 프로세스 자동화의 근거가 되는 위협에 대한 명확한 탐지가 가장 중요한 고려사항이라고 설명했다. SOAR를 효과적으로 운영하기 위해서는 다양한 노하우와 지속적인 관리, 업무 프로세스에 대한 꾸준한 정의 및 개선이 필요하며, 정확한 탐지와 그에 대한 대응 방향이 명확해야 한다. 따라서 SOAR를 통한 실제적인 운영 효과를 보기 위해서는 IT 인프라 환경의 다양한 요소를 통합해 의사결정의 방향성을 제시하는 명확한 결론을 도출해낼 수 있는지, 보안 업무 프로세스 상에 자리 잡고 있는 대응 요소(보안시스템, 메일, 메신저 등)에 유연하게 녹아들 수 있는지를 고민해야 한다.
팔로알토 네트웍스, 가시성·분석 콘텐츠 지속 제공·분석가 사용이 편리해야
팔로알토 네트웍스는 실제 업무를 수행하는 보안 분석가가 사용하기 좋은 솔루션인지, 전체 처리·결과 현황을 가시성 있게 보여줄 수 있는지, 도입 이후에도 분석 콘텐츠(플레이북 등)를 지속적으로 제공받아 솔루션 활용을 지속할 수 있는지를 고려해야 한다고 설명했다.
포티넷 코리아, 잘 정리된 프로세스와 업무별 세분화·고도화 필요
포티넷 코리아는 정리된 프로세스와 업무별 세분화, 그리고 고도화 구현을 강조했다. 특히, SOAR 솔루션을 최대한 활용하기 위해서는 SIEM과 같은 솔루션을 보유하고, 자사의 보안 환경 및 정책에 대해 잘 정리된 프로세스를 보유해야 빠른 SOAR 전환이 가능하다. 중소기업의 경우, SOAR를 대외 서비스용으로 구축해 서비스하는 MSSP 기업들을 이용하는 것도 방법이다. 솔루션 자체 역량으로는, 보안업무 세분화와 세분화된 업무별로 다양한 액션을 지정해 줄 수 있는 고객 맞춤형 솔루션 구현과 같은 유연함이 가장 중요하다. 구축 후에는 회사의 보안정책 변경 등을 꾸준히 업데이트하며 고도화시켜 나갈 수 있어야 한다. 제조사는 SOAR 솔루션 구축 전문 파트너를 보유하고 한국 지사 내에 충분한 SOAR 전담 엔지니어를 확보해야 정해진 기간 내에 성공적인 프로젝트를 완수할 수 있다.
한국IBM, 프로세스 정의·자동화 프로세스·플레이북 업데이트해야
한국IBM은 프로세스 정의와 자동화 프로세스, 플레이북 업데이트 등 3가지를 제시했다. 첫째, 자동화할 수 있는 탐지 및 사고 대응 프로세스를 정의해야 한다. SOAR 도입 전 자동화할 수 있는 반복 가능하고 일관된 프로세스를 문서화해야 한다. 둘째, 자동화할 수 있는 업무 프로세스를 지속적으로 보완해야 한다. SOAR 도입 후 몇 년 동안 총 5~10개의 플레이북을 구현하는 경우가 많아 일관되고 반복 가능한 프로세스를 식별하고 자동화해야 한다. 셋째, 지속적인 유지를 위해 자원을 할당해야 한다. 통합 도구, 플레이북 및 사용 사례(예: 탐지 및 대응, 위협 인텔리전스, 메트릭 수집 및/또는 사례 관리)의 수에 따라 운영인력을 할당하고, 변화하는 내부 탐지/대응 프로세스에 따라 지속적으로 플레이북을 업데이트해야 한다.
[국내외 주요 SOAR 솔루션 간단 요약]
SOAR, 차별화된 특장점으로 시장 ‘공략’
로그프레소의 ‘로그프레소 마에스트로(Logpresso Maestro)’는 최다 API 연동 기능을 제공한다. 로그프레소 스토어를 통해 앱을 배포하고, 플랫폼에 앱을 설치하면 기능이 지속적으로 확장된다. 보안 장비나 인텔리전스 서비스뿐 아니라 퍼블릭 클라우드, SaaS, 메신저 등 광범위한 연동 기능을 제공한다. 파이썬 코딩 없이 쿼리만으로 임의의 REST API 서비스 연동이 가능하고, 단일 시스템으로 SIEM + SOAR 통합 구축이 가능하다. 특히, SIEM과 SOAR 제품이 모두 제공되더라도 별도의 시스템과 콘솔 로그인으로 지원되지 않는 경우도 있으니 도입 전 이에 대해 확인해야 한다.
스윔레인의 ‘터바인(Turbine)’은 SOAR의 사용을 SOC 밖으로도 확장할 수 있도록 대규모의 빅데이터를 처리하고 광범위한 장비들과 연동 및 연결할 수 있는 로우코드 자동화 솔루션을 제공한다. 터바인은 중앙집중식 관리 허브와 복잡한 공격에 대한 단순화된 시각화를 제공해 XDR이 본 기능을 다할 수 있는 가능성을 열어준다. 이를 통해 보안팀은 탐지 전략에서 행동 중심 전략으로 전환해 실시간에 가까운 정교한 공격자 식별이 가능하다.
안랩의 ‘AhnLab Sefinity AIR’는 머신러닝과 관제포탈 기능 적용으로 차별화하고 있다. 가장 먼저 머신러닝(Machine Learning) 기반의 위협 분석 엔진을 함께 사용할 경우 위협의 종류, 정·오탐 식별을 자동화할 수 있게 해 효율성을 높여줄 수 있다. 관제포탈 기능은 관제요원과 포탈(Portal) 사용자를 분리해 멀티테넌시(Multitenancy)를 지원하며, 각 테넌트별 사이트를 제공하기 때문에 그룹사 또는 세부조직별로 분리해서 별도의 대시보드 범위나 정보 공개 범위 등을 사용할 수 있도록 지원한다.
이글루코퍼레이션의 ‘스파이더 SOAR(SPiDER SOAR)’는 플레이북으로 차별화하고 있다. 국내 수많은 사이트에서 실제로 활용되고 있는 ‘플레이북’을 토대로 탐지된 공격에 대한 자동 분석·대응 기능을 제공한다. 또한, 국내 보안관제센터에서 운영 중인 이기종 보안 솔루션, 업무 시스템 간의 긴밀한 연동을 지원한다. 조직들은 통합보안관제(SIEM), 머신러닝(ML) 기반 보안관제 시스템, 위협 인텔리전스, 자산 정보 및 취약점 관리 솔루션 등 여러 이기종 보안 솔루션을 손쉽게 연동해 자동화된 침해 대응 프로세스를 구현할 수 있다.
투씨에스지가 제공하는 ‘스텔라사이버(Stellar Cyber) Open XDR’은 기존의 SOAR 단일 플랫폼의 한계를 뛰어넘어 XDR 기반의 차별화된 SOAR 기능을 제공하고 있다. 다양한 단위 보안 솔루션과의 연동, 트래픽 분석 및 상관관계분석을 통해 MITRE ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge : 실제 발생한 침해사고에 대한 분석을 바탕으로 축적된 공격자의 전략·기술 정보의 집합) 기반의 정확한 보안 이벤트를 자동으로 탐지하고, 이에 대한 인시던트(Incident)를 구성해 준다. 이를 바탕으로 보안 운영자가 위협을 신속하게 탐지·분석하고, 플레이북을 통해 자동으로 대응할 수 있도록 설계돼 있다.
팔로알토 네트웍스의 ‘코어텍스 XSOAR’는 분석가와 개발자의 입장에서 개발됐다는 점과 관제서비스에서 현실적으로 필요한 기능이 반영됐다는 점을 차별화 포인트로 내세우고 있다. SOAR 연동 생태계 구축은 물론 위협 인텔리전스 관리 기능을 통합해 제공하는 게 특징이다.
포티넷 코리아의 ‘FortiSOAR’는 오케스트레이션 기술과 플레이북을 차별화 요소로 강조하고 있다. 사전에 마련돼 있는 400개 이상의 연동 가능한 커넥터를 통해 다수 상용 보안 솔루션 및 IT인프라와의 연동이 가능하다. 커넥터가 없는 장비 및 솔루션은 맞춤 사용 가능한 커넥터를 제작해 연동하는 형태로 지원한다. SOAR 구축 과정에서도 추가될 수 있는 연동 대상 장비는 연동해 플랫폼으로 함께 동작하도록 해준다. 1,000개 이상 플레이북 예제 제공, 3,000개 이상의 액션을 제공해 다양한 요구사항을 개발 없이 기업에서 편리하고 유연하게 활용할 수 있다.
한국IBM의 ‘IBM 시큐리티™ 큐레이더® SOAR (IBM Security™ QRadar® SOAR)’는 동적 플레이북과 개인정보 유출에 대한 대응절차 제공으로 차별화에 나서고 있다. 동적 플레이북(Dynamic PlayBooks)은 지능형 오케스트레이션을 통해 사람, 프로세스 및 기술을 강력한 IRP 안에서 상황에 맞춰 동적으로 적응하는 플레이북으로 코드화 할 수 있다. 개인정보 유출 대응절차 제공은 발생한 보안사고가 정보 유출을 동반하거나 의심될 경우, 데이터 타입 및 유출 지역을 정의해 공유하고 국가별 적합한 사고 대응절차를 제공한다. 기업이 복잡한 위반 알림 요구사항을 계속 준수할 수 있도록 지원되며, GDPR, HIPPA, PCI-DSS 등 170개 이상의 글로벌 개인정보 유출 대응 프로세스 뿐만 아니라 국내 개인정보 유출과 관련해 ISMS-P 대응 프로세스도 지원하고 있다.
[SOAR 대표 솔루션 집중분석-1]
로그프레소의 보안운영 자동화 솔루션, ‘로그프레소 마에스트로’
앱 설치 통해 플레이북 기능 지속 확장되는 보안운영 자동화 플랫폼
코로나로 인한 재택 근무의 확대, 클라우드 전환 등 비즈니스 환경의 급격한 변화로 관리해야 하는 IT 인프라 영역이 나날이 확장되고 있다. 반면, 수작업에 의존하는 기존 보안관제 체계는 폭증하는 위협 경보를 모두 처리하기 어려운 상태에 이르렀다. 로그프레소는 보안운영 및 대응 자동화 플랫폼 ‘로그프레소 마에스트로(Logpresso Maestro)’를 통해 이러한 환경 변화에 대응할 수 있는 효과적인 보안관제 체계 구축 방안을 고객에게 제시하고 있다.
보안 운영 효율을 극대화하는 SOAR 플랫폼 ‘로그프레소 마에스트로’
지금까지는 통합보안관제시스템에 발생한 위협 경보에 대해 외부 인텔리전스, 이전 동일 경보 이력, 기존 IP 차단 여부, 내부 자산정보 등을 확인하는 과정을 거치고, 차단 조치 필요 시 각 방화벽, DDoS 장비 콘솔에 접속해 차단 대상 IP 주소를 입력하는 작업을 수행해야만 했다.
로그프레소 마에스트로는 플레이북 기반의 보안 운영 및 대응 자동화 체계를 제공해 단순 반복 작업에 의한 관제 업무 피로도를 감소시키고 고위험군 분석 업무에 집중할 수 있도록 한다. 예를 들면, 위협 경보 발생 시 추가로 확인해야 할 정보들을 각 보안 장비나 서비스로부터 미리 자동으로 취합해 제시하고, 보안 분석가의 판단에 따라 IP 차단, 호스트 격리, 계정 비활성화 등의 조치를 자동으로 수행한다.
▲로그프레소 마에스트로 (Logpresso Maestro)[이미지=로그프레소]
원천 로그의 유형이나 위협 탐지 방식에 따라 추가로 수행해야 할 제품 연동이나 대응 조치 방식은 달라질 수 있으므로, SOAR 솔루션 선정 시 사용자가 얼마나 자유롭게 플레이북을 편집할 수 있는가, 현재 운영하고 있는 제품이나 서비스가 모두 지원 가능한가 살펴보는 것이 중요하다.
로그프레소 마에스트로는 국내외 다양한 보안 벤더의 제품과 서비스를 연동하는 240개 이상의 명령어를 제공한다. 위지윅(WYSIWYG) 기반의 플레이북 편집을 지원하고, 파이썬 코딩을 전혀 모르더라도 쿼리만으로 복잡한 자료 변환과 REST API 연동을 수행할 수 있다.
로그프레소 마에스트로는 SIEM, SOAR 기능을 모두 포함하고 있다. 고객사 환경에 따라 기존에 운영하던 SIEM에 SOAR만 추가로 구축하거나, 기존 SIEM을 대체하면서 SIEM과 SOAR가 완전하게 통합된 보안운영 플랫폼을 새로이 구축하는 방식 중 하나를 선택할 수 있다.
▲ ‘로그프레소 스토어(Logpresso Store)[이미지=로그프레소]’
로그프레소 스토어를 통한 앱 제공으로 지속적 플랫폼 기능 확장
언제든지 새로운 보안 장비나 서비스가 도입될 수 있기 때문에, 보안운영 자동화 솔루션의 기능이 지속적으로 확장될 수 있는가 하는 점은 매우 중요하다. 로그프레소는 국내 제조사 중 유일하게 로그프레소 스토어를 통해 새로운 앱을 지속적으로 배포한다. 사용자는 로그프레소 스토어에서 국내외 보안 장비와 인텔리전스 서비스를 지원하는 다양한 앱을 살펴보고 다운로드 할 수 있다. 로그프레소 마에스트로의 특징은 앱을 설치하면 플레이북에서 사용할 수 있는 자동화 기능이 확장된다는 점이다. 이러한 확장성을 가지고 있기 때문에 로그프레소 마에스트로는 단순한 솔루션이 아니라 보안운영 플랫폼으로 기능한다.
예를 들어, 금융기관의 경우 금융보안원 FCTI(Financial Cyber Threat Intelligence) 앱을 설치하면 기존 룰을 변경할 필요도 없이 요주의 IP 주소, 악성코드 해시, 악성코드 유포지 URL 피드가 자동으로 활성화되어 실시간 위협 탐지에 적용된다.
포티넷, 팔로알토 네트웍스, 엑스게이트 등 방화벽 앱을 설치하면 IP 차단을 원 클릭으로 수행할 수 있는 것은 기본이고, 위협 세션을 강제 종료하거나 룰 설정 정보, 세션 통신량을 실시간으로 대시보드에 시각화 할 수 있다.
파이어아이 EX 앱을 설치하면 기존의 단순 APT 경보 수신에 그치지 않고, 샌드박스에서 분석된 침해지표들을 자동으로 수집해 DB화함으로써 이미 차단된 악성코드의 변종에 대해서도 자동화된 탐지와 대응을 기대할 수 있다.
AWS 앱을 설치하면 AWS 지출 비용을 실시간으로 조회할 수 있으며, Cloud Trail 연동을 통해 의도하지 않은 클라우드 인프라 형상 변경을 모니터링 할 수 있다. 또한, S3에 적재된 다양한 로그를 원격으로 수집해 각종 지표를 표시하고 위협을 탐지할 수 있다.
클라우드 SOAR 서비스 제공을 통해 변화하는 인프라 보안 수요에 대응
로그프레소는 퍼블릭 클라우드 중심으로 변화하는 인프라 환경을 지원하기 위해, 가까운 시일 내에 클라우드 SOAR 서비스를 출시할 계획이다. 로그프레소는 아마존, 구글, 네이버클라우드, NHN클라우드, KT 클라우드 등 국내외 다양한 퍼블릭 클라우드 사업자와 협력해 기업에서 자사의 클라우드 구성 형태에 따라 다양한 방식으로 로그프레소 클라우드 SOAR 서비스를 제공한다.
[SOAR 대표 솔루션 집중분석-2]
‘AhnLab Sefinity AIR’: 보안의 복잡성을 푸는 열쇠
안랩의 기술력과 노하우를 집약시킨 SOAR 솔루션
‘AhnLab Sefinity AIR’는 보안 관제 분야에서 오랜 기간 축적된 안랩의 기술력과 노하우를 집약시킨 SOAR 솔루션이다. 표준화된 플레이북과 자유로운 편집 기능을 제공하며, 다양한 솔루션과의 연동을 통해 오케스트레이션 개념을 업무에 도입할 수 있다. 프로세스 자동화와 머신러닝 기반 분석 모듈로 위협 요소를 자동 식별하고, 식별된 요소로 위협을 추론해 대응 업무의 효율성을 향상시킬 수 있다. 다음은 ‘AhnLab Sefinity AIR’의 주요 기능 4가지를 정리한 것이다.
1. 오케스트레이션
‘AhnLab Sefinity AIR’는 하나의 위협 대응 프로세스에 속해 있는 각각의 태스크(Task)를 조절한다. 인력과 자동화의 투입을 적절하게 조율함으로써 업무 수행을 최적화시키는 것이다. 안랩 제품을 기본으로 고객사에서 많이 사용하는 SIEM, 로그관리 시스템, 보안 솔루션, 업무지원 시스템과 연동도 가능하다. 기업 내부 자체적인 시스템과의 연동은 커스터마이징을 지원한다. 이 밖에, 발생한 이벤트에 해당되는 대응 프로세스를 자동으로 매칭해준다. 필수 수행 플레이북과 케이스와 플레이북의 테넌트(Tenant) 및 레이블(Label) 정보를 매칭시켜 주는 기능도 갖추고 있다.
2. 자동화
‘AhnLab Sefinity AIR’는 추상적인 개념의 워크플로우를 구체화하고 태스크 별로 정의해 플레이북으로 제작할 수 있도록 한다. 재사용성이 높은 안랩의 보안관제 노하우가 적용된 ‘Built-in Playbook’도 제공한다. 업무의 비즈니스 로직, 위험도 판단을 위한 계산식 및 추가적인 정보 수집을 위한 내용 등을 스크립트로 구현해 즉각적으로 업무 효율성을 개선할 수 있다. 또, 추가된 스크립트는 스크립트 라이브러리를 통해 관리한다.
3. 사고 대응 및 협업
‘AhnLab Sefinity AIR’를 활용하면 실행 중인 모든 케이스를 처리가 완료될 때까지 진행 상황 관리가 가능하다. 케이스 처리 상세 화면을 통해 케이스 생성, 진행 상태, 처리 시간 등을 실시간으로 제공하며, 유형별 위험도 현황 리스트도 확인할 수 있다. 동일 유형의 이벤트는 관리자가 설정한 조건에 따라 하나의 케이스로 축약해 불필요한 작업을 최소화할 수 있다. 대응 내역과 의사결정 증적 관리, 대응 근무자와 분석가 간 원활한 커뮤니케이션도 지원된다.
4. 대시보드 및 리포팅
‘AhnLab Sefinity AIR’는 대시보드에 하이차트(Highchart), 동적 레이아웃 등을 적용해 실시간 처리 현황 및 시스템 정보를 한눈에 식별할 수 있는 공용·개인별 대시보드를 제공한다. 의사결정을 지원하는 공용 대시보드의 콘텐츠는 위젯으로 구성해 사용자가 정의할 수 있다. 콘텐츠는 업무 종류별 현황, 조직별 업무 현황, 처리 시간, 공격자, 피해자, 공격 종류 등이 포함된다. 개인 대시보드의 경우, 개인이 처리한 업무, 처리 중인 업무 및 일정이 등록된 예약 작업 등 할당된 업무와 개인에게 전달된 문의, 응답을 확인할 수 있다.
아울러, 타 SOAR 솔루션과 차별화되는 ‘AhnLab Sefinity AIR’의 특장점은 크게 △머신러닝 기능 적용과 △관제포탈기능을 꼽을 수 있다. 먼저, ‘AhnLab Sefinity AIR’와 머신러닝 기반 위협 분석 엔진을 함께 사용할 경우 위협 종류 정/오탐 식별을 자동화해 효율성을 높일 수 있다. 또, 관제 요원과 포탈(Portal) 사용자를 분리해 멀티테넌시(Multi Tenancy)를 지원한다. 각 테넌트별 사이트를 제공해 그룹사 또는 세부 조직별로 별도 대시보드 및 정보 공개 범위 등을 적용하도록 한다.
‘AhnLab Sefinity AIR’는 위와 같이 다양하고 우수한 성능을 인정받아 2020년 12월, 한국정보통신기술협회로부터 굿소프트웨어(GS)인증 1등급을 획득하기도 했다.
▲‘AhnLab Sefinity AIR’[이미지=안랩]
[SOAR 대표 솔루션 집중분석-3]
이글루코퍼레이션 ‘스파이더 SOAR’
국내 보안관제 환경에 최적화된 자동화 기능 제공
디지털 전환 가속화에 따라 복잡해진 보안 운영 환경을 노리는 보안 위협이 빠르게 진화하고 있다. 방대한 보안 이벤트와 복잡한 보안 컴플라이언스에 직면한 보안 담당자들의 부담은 날로 무거워지고 있다. 이에 인공지능(AI) 기반의 이상 행위 탐지와 보안 오케스트레이션·자동화·대응(Security Orchestration, Automation and Response, SOAR)을 수행하는 4세대 보안관제 체계의 중요성이 날로 부각되고 있다.
이글루코퍼레이션은 국내 조직들이 SOAR 도입을 통해 보안관제센터의 복잡성을 해소할 수 있도록 국내 조직의 상황에 부합하는 SOAR 솔루션인 ‘스파이더 SOAR(SPiDER SOAR)’를 제공하고 있다. 보안 위협 유형별 최적의 대응 방안을 매뉴얼화한 ‘플레이북(Playbook)’에 기반해, 보안 위협 탐지에서 대응에 이르는 과정을 실질적으로 단축시키기 위해서다.
이기종 보안 솔루션·업무 시스템 간의 긴밀한 연동 지원
‘스파이더 SOAR’는 이글루코퍼레이션의 보안 솔루션 연동 및 자동 차단 기능을 토대로 국내 보안관제센터에서 운영 중인 이기종 보안 솔루션·업무 시스템 간의 긴밀한 연동을 지원한다. 조직들은 통합보안관제(SIEM), 머신러닝(ML) 기반 보안관제 시스템, 위협 인텔리전스, 자산 정보 및 취약점 관리 솔루션 등 여러 이기종 보안 솔루션을 손쉽게 연동해, 자동화된 침해 대응 프로세스를 구현할 수 있다.
많은 기업에서 효율성을 검증받은 ‘플레이북’ 제공
보안 조직들은 ‘스파이더 SOAR’ 도입을 통해, 기존 수동 분석 시 50∼60분가량 소요되었던 경보를 1분 이내에 자동화 대응함으로써 경보 처리의 효율성을 높이고 중요한 상세 분석에 더욱 집중할 수 있다. 또한 수많은 보안 조직에서 검증된 ‘플레이북’ 활용을 통해 보안 인력 간 역량 편차 문제를 해결하고, 상향된 수준의 대응 체계를 유지할 수 있게 된다.
2022년 이글루코퍼레이션은 보안관제센터의 성숙도가 높고 중요 데이터를 다량 보유하고 있는 공공·정부 기관 및 금융·통신 산업 분야의 기업에 SOAR 솔루션을 확대 공급하는 데 주력할 방침이다.
▲‘스파이더 SOAR(SPiDER SOAR)’[이미지=이글루코퍼레이션]
[SOAR 대표 솔루션 집중분석-4]
투씨에스지, 주요 정보통신 기반시설에 ‘스텔라사이버 Open XDR’ 구축
IT인프라 전반의 데이터 수집 및 자동화된 대응 통해 평균 대응 시간 감소
IT인프라 구성요소와 유형이 갈수록 다양해지고 복잡해지고 있다. 이와 더불어 내외부 공격 표면(Attack Surface) 또한 빠르게 확장하고 있다. 이는 보안 상태를 유지하기 위해 보안 담당자들이 살펴봐야 할 범위가 넓어졌음을 의미한다. IT보안 전문기업 투씨에스지는 차세대 SOAR를 품은 ‘스텔라사이버(Stellar Cyber) Open XDR’을 적용해 공격 표면 전반의 보안 요소를 통합하고 자동화된 대응을 통해 고도화된 보안 위협에 대한 효과적인 탐지/대응 전략을 제시하고 있다.
AI기반 통합 보안 분석 플랫폼 ‘스텔라사이버 Open XDR’
‘스텔라사이버(Stellar Cyber) Open XDR’은 다양한 시스템의 이벤트 로그, 네트워크 트래픽 뿐만 아니라 Microsoft 365, Google Workspace(G-Suite)와 같은 SaaS Application의 정보와 Container, Virtual Machine에 이르기까지 자체 센서와 커넥터를 통해 IT인프라 전반에 대한 데이터를 수집·통합하고, 상관 분석을 바탕으로 실제적인 보안 위협을 효과적으로 탐지하고 대응할 수 있다.
보안 위협에 대한 자동화된 대응 프로세스 수립을 위해 ‘스텔라사이버 Open XDR’은 강력한 플레이북 기능을 제공한다. 이를 바탕으로 방화벽·스위치 등의 네트워크 차단이나 엔드포인트 차단·격리, 스크립트 실행 등을 통한 직접적인 대응과 API/Webhook/Email/Slack 등을 활용해 제한 없이 확장 가능한 연동 대응을 지원한다.
또한 이러한 자동화된 대응이 즉각적으로 이루어질 수 있도록 AI 기반 위협 분석을 통해 무수히 많은 보안 이벤트 내에서 실제적인 위협을 보다 정확하게 탐지한다. 탐지된 위협에 대해서는 리스크 스코어링과 함께 심각도와 빈도 등 위협의 근거를 명확하게 제시한다. 해당 위협이 미치는 영향을 시각적으로 확인할 수 있는 토폴로지뷰(Topology View)와 함께 MITRE ATT&CK Framework를 실용적으로 녹여낸 XDR Kill Chain을 통해 공격의 단계를 명확하게 제시한다.
포네몬 연구소(Ponemon Institute)의 연구 결과에 따르면 이러한 AI 기술의 활용을 통해 보안 담당자는 기존 레거시 환경 대비 4배가량 빠르게 위협을 탐지·분석하고, 시스템의 보완·재가동 시간을 25% 수준으로 줄일 수 있다고 한다.
주요 정보통신 기반시설의 통합 보안 인프라 구축
‘스텔라사이버 Open XDR’의 국내 총판사인 투씨에스지는 국내 금융기업에 ‘스텔라사이버 Open XDR’ 적용을 통해 차세대 보안관제 시스템을 구축한 데에 이어 주요 정보통신기반시설에 네트워크 트래픽 및 이기종 보안 시스템을 아우르는 통합 보안 인프라 구축에 돌입했다.
‘스텔라사이버 Open XDR’의 시큐리티 센서를 내·외부 네트워크망에 각각 적용해 망별 학습을 통해 네트워크를 통한 보안 위협 탐지 정확도를 높이고, 스텔라사이버 데이터 재처리 기술 ‘Interflow™’를 적용해 네트워크를 비롯한 이기종 보안 장비의 보안 이벤트를 빅데이터화 할 예정이다. 이를 바탕으로 AI기반 위협 탐지 능력을 강화하고, 표준화된 보안 워크플로우를 적용해 보안 위협에 대한 자동화된 대응체계를 수립할 계획이다.
▲‘스텔라사이버(Stellar Cyber) Open XDR’[이미지=투씨에쓰지]
[SOAR 대표 솔루션 집중분석-5]
업계 최초 확장된 SOAR 솔루션 팔로알토 네트웍스 ‘코어텍스 XSOAR’
자동화로 대응시간 최대 90%, 알림 최대 95%까지 줄일 수 있어
보안 오케스트레이션, 자동화 및 대응 업무를 담당하는 보안팀은 엄청난 양의 알림을 분석하고 끝없는 보안 업무를 제때 처리할 수 있는 인력과 확장 가능한 프로세스가 부족하다. 분석가는 데이터 수집, 가용성 확인, 인시던트 수명 주기 전반에 걸친 반복적인 수동 작업을 위해 콘솔 사이를 오가느라 시간을 낭비하고 있다. 기술 부족이 점점 심화함에 따라, 보안 책임자들은 사후 처리 방식의 단편적인 대응에 허덕이는 대신, 중요한 의사 결정에 더 많은 시간을 써야 하는 상황이다.
▲SOAR 플랫폼의 새로운 핵심 요소[이미지=팔로알토 네트웍스]
코어텍스 XSOAR, ‘업계 최초 위협인텔리전스 관리 플랫폼 탑재’
‘코어텍스™ XSOAR’는 엔터프라이즈 보안을 위한 세계에서 가장 포괄적인 운영 플랫폼을 통해 SOC(Security Operations Center: 보안 운영 센터)의 효율성을 높인다. ‘코어텍스 XSOAR’는 업계 최초의 확장된 SOAR(Security Orchestration, Automation and Response: 보안 오케스트레이션, 자동화 및 대응) 제품에 사례 관리, 자동화, 실시간 협업 및 네이티브 위협 인텔리전스 관리를 통합하고 있다. 보안팀은 모든 소스에서 알림을 관리하고 플레이북으로 프로세스를 표준화하며, 위협 인텔리전스에 대해 조치를 취하고 모든 보안 사용 사례에 대한 대응을 자동화함으로써 대응 시간을 최대 90% 단축하고 인적 개입이 필요한 알림을 최대 95%까지 줄일 수 있다.
▲‘코어텍스 XSOAR’[이미지=팔로알토 네트웍스]
[기획취재팀(boan3@boannews.com)]
보안관제 업무 중 가장 큰 문제점 : 미·오탐 업무 과중 31.3%, 보안전문 인력 부족 26.9%
[인터뷰] 한국사회보장정보원 최주원 박사, SOAR 솔루션 시험 운영 사례
SOAR 대표 솔루션 집중분석 : 로그프레소, 안랩, 이글루코퍼레이션, 투씨에스지, 팔로알토 네트웍스
[보안뉴스 기획취재팀] 날로 복잡해지고 고도화되고 있는 보안 위협의 효율적 대응 방안으로 ‘SOAR(Security Orchestration, Automation and Response)’ 솔루션이 떠오르고 있다.
[이미지=utoimage]
2017년 가트너가 정의한 SOAR는 다양한 사이버 위협에 효율적으로 대응하기 위한 ‘보안 오케스트레이션·자동화 및 대응’ 플랫폼으로 등장했다. 복잡한 보안 위협 대응 환경에 빠른 분석과 조치를 가능케 하고, 프로세스를 자동화해 보안 업무의 효율성을 높여준다. 보안 운영센터(Security Operation Center)에서 단순 반복 업무에 대한 자동화 수요가 높아진 가운데, 보안 위협의 대응 프로세스를 자동화해 위협 인텔리전스 분석을 강화할 수 있다는 점에서 SOAR가 각광 받고 있다. 한 글로벌 보안기업에 따르면 국내 SOAR 솔루션은 3년여 전 국내 굴지의 대기업에서 최초 도입한 것으로 알려졌다. 이후 대기업을 중심으로 현재까지 꾸준히 도입하는 추세다.
가트너의 하이프 사이클(Hype Cycle)에서는 SOAR를 성장 및 성숙 분야로 표현하고 있다. 2019년 가트너에서 발표한 ‘SOAR 마켓 가이드’에서는 2022년 말 기준으로 5인 이상의 보안팀을 가진 조직의 30%가 SOAR 툴을 사용할 것으로 예측했다. 2023년에는 SOAR 시장규모가 5억 5,000만 달러에 이를 것으로 내다봤다.
마켓앤마켓은 2018년~2025년 사이 전 세계 SOAR 시장이 연평균 성장률 15%를 기록하며 2025년까지 약 18억 달러 규모로 성장할 것으로 전망했다. 여러 글로벌 보안 컨퍼런스에서도 SOAR가 지속적으로 소개되고 있는 만큼 향후 시장은 더욱 커질 전망이다.
이에 <보안뉴스>에서는 ‘SOAR 인식 및 선택기준에 대한 설문조사’ 결과와 함께 SOAR 솔루션 구축 사례 인터뷰, 그리고 SOAR 솔루션 대표주자인 로그프레소, 스윔레인, 안랩, 이글루코퍼레이션, 투씨에스지(스텔라사이버 총판), 팔로알토 네트웍스, 포티넷 코리아, 한국IBM 8개 기업(업체명 가나다순)과의 인터뷰를 통해 SOAR 솔루션 도입 시 고려사항과 차별점에 대해 들어봤다.
‘SOAR 인식도 및 선택기준’에 대한 설문조사 결과 분석
보안관제 업무 중 가장 어려운 점, 미·오탐 업무 과중 31.3%
SOAR 솔루션이 주목되는 이유 중 하나는 바로 보안관제 업무이다. 본지가 SOAR 솔루션 도입의 필요성을 파악하기 위해 2022년 8월 1일부터 8일까지 ‘SOAR 인식 및 선택기준에 대한 설문조사’를 진행한 결과, ‘보안관제 업무에 있어 시간이 가장 많이 소요되는 주요 업무’에 대해 ‘실시간 관제화면을 통한 침해위협 탐지 및 모니터링’ 28.1%, ‘단순 보안 위협으로부터 고도화된 공격에 대한 필터링 작업 및 분석 업무’ 22.1%, ‘네트워크와 시스템의 침입 차단 등 발생된 보안위협 대응’ 21.7 %, ‘하위레벨(기초 업무)의 분석 및 단순반복적인 업무’ 16.5% 순으로 답변했다.
▲ ‘SOAR 인식 및 선택기준에 대한 설문조사’[자료=보안뉴스]
‘보안관제 업무에 있어 가장 어려운 점’으로는 ‘오탐·미탐 발생 등 부정확한 이벤트 탐지로 인한 업무 과중’ 31.3%, ‘보안전문 인력 부족’ 26.9%, ‘비효율적인 보안관제 시스템 및 복잡한 업무 프로세스’ 20.5%, ‘보안관제 예산 부족’ 18.1% 순으로 집계됐다.
보안관제 업무 과중은 자동화에 대한 갈증과 수요로 이어졌고, SOAR 솔루션에 대한 관심도 높아졌다. 한 SOAR 솔루션 제조사는 “주로 중견기업, 정부기관 등 일정 규모 이상의 조직에서 수요가 발생하고 있다”며 “최근에는 국내 대기업 SOC와 자체적으로 보안관제센터를 운영하고 있는 IT 보안부서에서의 수요가 증가하고 있다”고 밝혔다.
이처럼 효과가 입증되고 있는 만큼 SOAR의 도입은 계속 늘고 있으며, 중견기업 금융기관과
MSSP(Managed Security Service Provider) 등에서도 도입이 증가할 것으로 예상되고 있다. 소규모 기업과 외주 업체를 통해 IT 업무를 처리하는 기업은 기존의 보안관제 서비스에 SOAR 기능을 포함하는 형태로 전환하고 있다.
SOAR 솔루션 제공업체는 최근 기업의 제품 활용도와 운영 편리성 제고를 위해 문제점을 개선하고 주요 기능을 고도화하는데 초점을 맞추고 있다. 특히, 국내 사용자에게 친숙한 UX 환경 등 국내 환경에 최적화한 기능 제공을 강점으로 부각하고 있다.
===============================================
[인터뷰] 한국사회보장정보원 최주원 박사, SOAR 솔루션 시험 운영 사례
▲한국사회보장정보원 최주원 박사
그렇다면 SOAR 솔루션의 효용성은 어떨까? 시장이 무르익어 가고 있는 만큼 솔루션이 지속적으로 발전하기 위해 성능, 호환성, 기능 등 기업의 니즈 반영은 충분한지 점검할 필요가 있다. 이에 본지는 한국사회보장정보원 최주원 박사와의 인터뷰를 통해 SOAR 솔루션의 효용성, 개선점에 대해 들어봤다.
Q. SOAR 플랫폼 도입 결정 배경은?
첫째, 현 보안관제 프로세스에서는 오탐과 미탐의 발생률이 있다. 둘째, 보안관제 수행 간에 각 요원들이 트래픽에서 이상 패턴을 확인하고 분석하는 과정에서 상당한 시간과 노력이 소요된다. 셋째, 이 과정에서 휴리스틱한 부분에 의존해 심각한 공격에 대한 대응 골든타임을 놓칠 수 있다. SOAR를 도입하면 이러한 부분에서 시간 절약이 가능하며, 관제요원들이 미처 발견하지 못한 위협을 탐지할 수 있다. 이외에도 관제요원 업무 간편화, 리포팅 자동화 등을 통한 관제업무 효율성 증대, 미탐과 오탐 확률 감소 등의 관제업무 신뢰성 증대, 차세대 보안관제 솔루션 도입에 따른 기관 홍보 및 이미지 제고를 위해 도입을 결정하게 됐다.
SOAR 플랫폼 구축 예산과 규모는 어떻게 되나요?
SOAR 도입 총예산은 8억원 정도로 예상하고 있고, 코어, 라이선스 등 3개년에 걸쳐 점진적으로 도입할 예정이다. 그리고 1년간 관제 운영예산은 20억원 규모이며, 총 49개 기관의 TMS, UTM, IPS 등 보안 시스템과 연동해 실시간 보안관제 업무를 처리(2021년 말 기준)하는 것을 관제범위로 하고 있다.
SOAR 플랫폼 구축에 있어 가장 중요하게 생각하는 기능은 무엇인가요?
특별히 선호하는 제품은 없지만, 우선 오탐·미탐에 대한 위험을 감소시키는 등 보안 인력의 노력 비용을 절감해줄 수 있어야 한다. 이어 현재 관제 시스템과의 호환성 이슈가 없어야 한다.
SOAR 솔루션의 기술적 측면에서 요구되는 사항은 무엇인가요 ?
중장기적으로는 머신러닝(Machine Learning) 기반의 인공지능 데이터 학습 기능을 내장해 신규 위협에 대해 학습하고, 룰셋(Rule Set) 개발 → 차단 → 사전 대응의 선행 프로세스가 구축될 수 있도록 지원돼야 한다.
SOAR 솔루션을 사용하면서 불편한 점과 개선해야 할 점은 무엇인가요
첫째, 업무 프로세스가 개선됐으나 실제 보안관제 요원의 인건비 절감까지 연결되지는 않았다. 둘째, 제품의 기능 및 성능에 대한 발전이 필요하다. 초기 제품을 도입할 경우 도입 이후 차기 버전 재도입 등의 중복 투자 우려가 발생할 수 있다. 셋째, 각 솔루션 기업별로 기능이나 성능 편차가 있다. 특히, 각 조직별로 원하는 사용자의 요구가 다양해 이에 따른 커스터마이징은 필수다. 사용자 요구 분석부터 실제 구축 완료까지 상당 기간의 시간과 노력이 소요된다. 또한, 제품의 컨셉과 효용성은 인정하지만 투자 대비 어느 정도의 효율성이 있을지에 대한 우려가 있다. 필요한 인증 획득, 표준화된 기능/비기능 요구사항 정의, 산업표준으로의 확대까지는 다소 시간이 소요될 것으로 예상된다.
SOAR 솔루션 공급업체에게 바라는 점은?
지속적인 기술 연구개발, 신규 기능을 탑재한 제품의 버전 업그레이드 등 성장기와 성숙기로의 이행이 필요하다. 아직 기술수용 주기이론 중 유아기에 해당돼 주변에서는 시기상조라는 의견들이 많다. 다양한 사용자와 시스템을 고려해 기능/비기능 요구사항들을 미리 폭넓게 개발하고, 다양한 버전의 제품을 출시해야 한다. 제품의 성능 고도화, 비용 대비 도입 타당성이 확보된다면 보안관제를 수행하는 조직에서는 필수 시스템으로써 트렌드를 선도할 수 있을 것으로 기대된다.
=================================================
△ SOAR, 도입시 고려해야 할 사항
효율성과 편의성을 위해 SOAR 솔루션을 도입하려면 여러 가지를 고려해야 한다. 효율적인 플레이북(PlayBook) 제작을 위해 세부사항 준비는 물론, 프로세스 정립 등 여러 가지를 준비해야 한다. 이에 대해 SOAR 솔루션 기업은 솔루션 도입시 각종 고려사항을 제시했다.
로그프레소, 자동화 효과 사전조사와 API 지원 및 지속 연동돼야
로그프레소는 다음의 검토사항을 제시했다. 첫째, 기존의 위협 분석 및 대응 과정을 정리한 수작업 단계 중 어느 단계를 자동화하는게 효과가 가장 클지 사전 조사를 해야 한다. 둘째, 앞 단계에서 조사한 프로세스에 관련된 기존 운영 장비나 서비스가 API를 지원하는지 확인해야 한다. 기존 장비나 서비스가 API를 지원하지 않는다면 해당 솔루션 기업과 협의해 투입 비용 및 일정을 수립해야 한다. 셋째, SOAR 도입 후에도 지속적으로 연동 지원이 가능한지 검토해야 한다. 구축 시점에만 API 연동이 지원된다면 이후 운영 단계에서 어려움을 겪을 수 있다.
스윔레인, MTTx·ROI·애널리스트 작업 부하 따져봐야
스윔레인은 SOAR 도입의 성공 여부와 척도에 대해 모든 보안팀이 측정해야 하는 몇 가지 기본 핵심 성과 지표(KPI)인 MTTx(MTTD: 평균 탐지 시간, MTTI: 평균 조사 시간, MTTR: 평균 응답 시간), 세분화된 ROI 분석 및 애널리스트 작업 부하를 지목했다. 또한, 전통적으로 SOC(보안관제센터)로 제한된 SOAR의 가치를 보안 자동화의 미래 측면으로 확장시켜 SOC 메트릭(Metric)의 개념을 보안 메트릭도 포함시킬 수 있는 강력한 자동화 엔진이 필수 항목이라고 강조했다.
안랩, 업무 프로세스 수립·자동화 대상 선정·관리방안 중요
안랩은 프로세스와 자동화 대상 선정, 관리방안의 중요성을 강조했다. 첫째, SOAR 도입 전 세부적인 업무 프로세스가 명확하게 수립돼야 한다. 두 번째로는 자동화 대상 선정이다. 업무 생산성 향상과 편의성 등 효과적인 자동화 구현을 위해서는 사전에 수립된 업무 프로세스에서 진행하는 업무 중 자동화를 적용할 부분을 확정해야 한다. 또한, 잘못 설정된 자동화 프로세스는 사람이 수행하는 것보다 효율을 떨어뜨릴 수도 있어 자동화 리스크(Risk)에 대한 고려도 필요하다. 마지막은 관리방안으로, 도입 후 변하는 업무 프로세스에 따라 SOAR에 적용된 플레이북을 지속적으로 최적화하고, 연동된 장비의 변경에 따른 수정/개발도 필요하다.
이글루코퍼레이션, 형상관리·플레이북 수립·자동화 범위 중요
이글루코퍼레이션은 형상관리와 플레이북 수립, 자동화 범위를 고려할 것을 권고했다. 먼저, 조직이 도입한 보안 시스템을 파악하고 이를 연동하는 방안을 모색하는 형상관리 과정이 진행돼야 한다. 이미 보유한 보안 솔루션과 연계해 시너지가 날 수 있도록 조직의 업무 파악과 정리가 필요하기 때문이다. 이후, 공격 그룹별 특성을 분류해 자주 사용되는 TTP(Tactics: 전술, Techniques: 기법, Procedure: 절차)로 분류하고, 공격 단계별 대응방안을 잘 정리한 양질의 플레이북을 만들어야 한다. 다음으로 플레이북을 토대로 자동화할 업무 범위를 정하고, SOAR 구축 후, 성숙도 높은 자동화 기능 구현 여부도 따져봐야 한다. 보안 솔루션 연동과 표준화 단계부터 침해사고 대응 경험을 축적한 플레이북 개발, 시스템 설계까지 면밀히 검토해야 한다.
투씨에스지, 어떤 형태의 SOAR 도입이 효과적일지 고려해야
투씨에스지는 기업 현재 상황과의 적합성과 대응 프로세스 자동화의 근거가 되는 위협에 대한 명확한 탐지가 가장 중요한 고려사항이라고 설명했다. SOAR를 효과적으로 운영하기 위해서는 다양한 노하우와 지속적인 관리, 업무 프로세스에 대한 꾸준한 정의 및 개선이 필요하며, 정확한 탐지와 그에 대한 대응 방향이 명확해야 한다. 따라서 SOAR를 통한 실제적인 운영 효과를 보기 위해서는 IT 인프라 환경의 다양한 요소를 통합해 의사결정의 방향성을 제시하는 명확한 결론을 도출해낼 수 있는지, 보안 업무 프로세스 상에 자리 잡고 있는 대응 요소(보안시스템, 메일, 메신저 등)에 유연하게 녹아들 수 있는지를 고민해야 한다.
팔로알토 네트웍스, 가시성·분석 콘텐츠 지속 제공·분석가 사용이 편리해야
팔로알토 네트웍스는 실제 업무를 수행하는 보안 분석가가 사용하기 좋은 솔루션인지, 전체 처리·결과 현황을 가시성 있게 보여줄 수 있는지, 도입 이후에도 분석 콘텐츠(플레이북 등)를 지속적으로 제공받아 솔루션 활용을 지속할 수 있는지를 고려해야 한다고 설명했다.
포티넷 코리아, 잘 정리된 프로세스와 업무별 세분화·고도화 필요
포티넷 코리아는 정리된 프로세스와 업무별 세분화, 그리고 고도화 구현을 강조했다. 특히, SOAR 솔루션을 최대한 활용하기 위해서는 SIEM과 같은 솔루션을 보유하고, 자사의 보안 환경 및 정책에 대해 잘 정리된 프로세스를 보유해야 빠른 SOAR 전환이 가능하다. 중소기업의 경우, SOAR를 대외 서비스용으로 구축해 서비스하는 MSSP 기업들을 이용하는 것도 방법이다. 솔루션 자체 역량으로는, 보안업무 세분화와 세분화된 업무별로 다양한 액션을 지정해 줄 수 있는 고객 맞춤형 솔루션 구현과 같은 유연함이 가장 중요하다. 구축 후에는 회사의 보안정책 변경 등을 꾸준히 업데이트하며 고도화시켜 나갈 수 있어야 한다. 제조사는 SOAR 솔루션 구축 전문 파트너를 보유하고 한국 지사 내에 충분한 SOAR 전담 엔지니어를 확보해야 정해진 기간 내에 성공적인 프로젝트를 완수할 수 있다.
한국IBM, 프로세스 정의·자동화 프로세스·플레이북 업데이트해야
한국IBM은 프로세스 정의와 자동화 프로세스, 플레이북 업데이트 등 3가지를 제시했다. 첫째, 자동화할 수 있는 탐지 및 사고 대응 프로세스를 정의해야 한다. SOAR 도입 전 자동화할 수 있는 반복 가능하고 일관된 프로세스를 문서화해야 한다. 둘째, 자동화할 수 있는 업무 프로세스를 지속적으로 보완해야 한다. SOAR 도입 후 몇 년 동안 총 5~10개의 플레이북을 구현하는 경우가 많아 일관되고 반복 가능한 프로세스를 식별하고 자동화해야 한다. 셋째, 지속적인 유지를 위해 자원을 할당해야 한다. 통합 도구, 플레이북 및 사용 사례(예: 탐지 및 대응, 위협 인텔리전스, 메트릭 수집 및/또는 사례 관리)의 수에 따라 운영인력을 할당하고, 변화하는 내부 탐지/대응 프로세스에 따라 지속적으로 플레이북을 업데이트해야 한다.
[국내외 주요 SOAR 솔루션 간단 요약]
SOAR, 차별화된 특장점으로 시장 ‘공략’
로그프레소의 ‘로그프레소 마에스트로(Logpresso Maestro)’는 최다 API 연동 기능을 제공한다. 로그프레소 스토어를 통해 앱을 배포하고, 플랫폼에 앱을 설치하면 기능이 지속적으로 확장된다. 보안 장비나 인텔리전스 서비스뿐 아니라 퍼블릭 클라우드, SaaS, 메신저 등 광범위한 연동 기능을 제공한다. 파이썬 코딩 없이 쿼리만으로 임의의 REST API 서비스 연동이 가능하고, 단일 시스템으로 SIEM + SOAR 통합 구축이 가능하다. 특히, SIEM과 SOAR 제품이 모두 제공되더라도 별도의 시스템과 콘솔 로그인으로 지원되지 않는 경우도 있으니 도입 전 이에 대해 확인해야 한다.
스윔레인의 ‘터바인(Turbine)’은 SOAR의 사용을 SOC 밖으로도 확장할 수 있도록 대규모의 빅데이터를 처리하고 광범위한 장비들과 연동 및 연결할 수 있는 로우코드 자동화 솔루션을 제공한다. 터바인은 중앙집중식 관리 허브와 복잡한 공격에 대한 단순화된 시각화를 제공해 XDR이 본 기능을 다할 수 있는 가능성을 열어준다. 이를 통해 보안팀은 탐지 전략에서 행동 중심 전략으로 전환해 실시간에 가까운 정교한 공격자 식별이 가능하다.
안랩의 ‘AhnLab Sefinity AIR’는 머신러닝과 관제포탈 기능 적용으로 차별화하고 있다. 가장 먼저 머신러닝(Machine Learning) 기반의 위협 분석 엔진을 함께 사용할 경우 위협의 종류, 정·오탐 식별을 자동화할 수 있게 해 효율성을 높여줄 수 있다. 관제포탈 기능은 관제요원과 포탈(Portal) 사용자를 분리해 멀티테넌시(Multitenancy)를 지원하며, 각 테넌트별 사이트를 제공하기 때문에 그룹사 또는 세부조직별로 분리해서 별도의 대시보드 범위나 정보 공개 범위 등을 사용할 수 있도록 지원한다.
이글루코퍼레이션의 ‘스파이더 SOAR(SPiDER SOAR)’는 플레이북으로 차별화하고 있다. 국내 수많은 사이트에서 실제로 활용되고 있는 ‘플레이북’을 토대로 탐지된 공격에 대한 자동 분석·대응 기능을 제공한다. 또한, 국내 보안관제센터에서 운영 중인 이기종 보안 솔루션, 업무 시스템 간의 긴밀한 연동을 지원한다. 조직들은 통합보안관제(SIEM), 머신러닝(ML) 기반 보안관제 시스템, 위협 인텔리전스, 자산 정보 및 취약점 관리 솔루션 등 여러 이기종 보안 솔루션을 손쉽게 연동해 자동화된 침해 대응 프로세스를 구현할 수 있다.
투씨에스지가 제공하는 ‘스텔라사이버(Stellar Cyber) Open XDR’은 기존의 SOAR 단일 플랫폼의 한계를 뛰어넘어 XDR 기반의 차별화된 SOAR 기능을 제공하고 있다. 다양한 단위 보안 솔루션과의 연동, 트래픽 분석 및 상관관계분석을 통해 MITRE ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge : 실제 발생한 침해사고에 대한 분석을 바탕으로 축적된 공격자의 전략·기술 정보의 집합) 기반의 정확한 보안 이벤트를 자동으로 탐지하고, 이에 대한 인시던트(Incident)를 구성해 준다. 이를 바탕으로 보안 운영자가 위협을 신속하게 탐지·분석하고, 플레이북을 통해 자동으로 대응할 수 있도록 설계돼 있다.
팔로알토 네트웍스의 ‘코어텍스 XSOAR’는 분석가와 개발자의 입장에서 개발됐다는 점과 관제서비스에서 현실적으로 필요한 기능이 반영됐다는 점을 차별화 포인트로 내세우고 있다. SOAR 연동 생태계 구축은 물론 위협 인텔리전스 관리 기능을 통합해 제공하는 게 특징이다.
포티넷 코리아의 ‘FortiSOAR’는 오케스트레이션 기술과 플레이북을 차별화 요소로 강조하고 있다. 사전에 마련돼 있는 400개 이상의 연동 가능한 커넥터를 통해 다수 상용 보안 솔루션 및 IT인프라와의 연동이 가능하다. 커넥터가 없는 장비 및 솔루션은 맞춤 사용 가능한 커넥터를 제작해 연동하는 형태로 지원한다. SOAR 구축 과정에서도 추가될 수 있는 연동 대상 장비는 연동해 플랫폼으로 함께 동작하도록 해준다. 1,000개 이상 플레이북 예제 제공, 3,000개 이상의 액션을 제공해 다양한 요구사항을 개발 없이 기업에서 편리하고 유연하게 활용할 수 있다.
한국IBM의 ‘IBM 시큐리티™ 큐레이더® SOAR (IBM Security™ QRadar® SOAR)’는 동적 플레이북과 개인정보 유출에 대한 대응절차 제공으로 차별화에 나서고 있다. 동적 플레이북(Dynamic PlayBooks)은 지능형 오케스트레이션을 통해 사람, 프로세스 및 기술을 강력한 IRP 안에서 상황에 맞춰 동적으로 적응하는 플레이북으로 코드화 할 수 있다. 개인정보 유출 대응절차 제공은 발생한 보안사고가 정보 유출을 동반하거나 의심될 경우, 데이터 타입 및 유출 지역을 정의해 공유하고 국가별 적합한 사고 대응절차를 제공한다. 기업이 복잡한 위반 알림 요구사항을 계속 준수할 수 있도록 지원되며, GDPR, HIPPA, PCI-DSS 등 170개 이상의 글로벌 개인정보 유출 대응 프로세스 뿐만 아니라 국내 개인정보 유출과 관련해 ISMS-P 대응 프로세스도 지원하고 있다.
[SOAR 대표 솔루션 집중분석-1]
로그프레소의 보안운영 자동화 솔루션, ‘로그프레소 마에스트로’
앱 설치 통해 플레이북 기능 지속 확장되는 보안운영 자동화 플랫폼
코로나로 인한 재택 근무의 확대, 클라우드 전환 등 비즈니스 환경의 급격한 변화로 관리해야 하는 IT 인프라 영역이 나날이 확장되고 있다. 반면, 수작업에 의존하는 기존 보안관제 체계는 폭증하는 위협 경보를 모두 처리하기 어려운 상태에 이르렀다. 로그프레소는 보안운영 및 대응 자동화 플랫폼 ‘로그프레소 마에스트로(Logpresso Maestro)’를 통해 이러한 환경 변화에 대응할 수 있는 효과적인 보안관제 체계 구축 방안을 고객에게 제시하고 있다.
보안 운영 효율을 극대화하는 SOAR 플랫폼 ‘로그프레소 마에스트로’
지금까지는 통합보안관제시스템에 발생한 위협 경보에 대해 외부 인텔리전스, 이전 동일 경보 이력, 기존 IP 차단 여부, 내부 자산정보 등을 확인하는 과정을 거치고, 차단 조치 필요 시 각 방화벽, DDoS 장비 콘솔에 접속해 차단 대상 IP 주소를 입력하는 작업을 수행해야만 했다.
로그프레소 마에스트로는 플레이북 기반의 보안 운영 및 대응 자동화 체계를 제공해 단순 반복 작업에 의한 관제 업무 피로도를 감소시키고 고위험군 분석 업무에 집중할 수 있도록 한다. 예를 들면, 위협 경보 발생 시 추가로 확인해야 할 정보들을 각 보안 장비나 서비스로부터 미리 자동으로 취합해 제시하고, 보안 분석가의 판단에 따라 IP 차단, 호스트 격리, 계정 비활성화 등의 조치를 자동으로 수행한다.
▲로그프레소 마에스트로 (Logpresso Maestro)[이미지=로그프레소]
원천 로그의 유형이나 위협 탐지 방식에 따라 추가로 수행해야 할 제품 연동이나 대응 조치 방식은 달라질 수 있으므로, SOAR 솔루션 선정 시 사용자가 얼마나 자유롭게 플레이북을 편집할 수 있는가, 현재 운영하고 있는 제품이나 서비스가 모두 지원 가능한가 살펴보는 것이 중요하다.
로그프레소 마에스트로는 국내외 다양한 보안 벤더의 제품과 서비스를 연동하는 240개 이상의 명령어를 제공한다. 위지윅(WYSIWYG) 기반의 플레이북 편집을 지원하고, 파이썬 코딩을 전혀 모르더라도 쿼리만으로 복잡한 자료 변환과 REST API 연동을 수행할 수 있다.
로그프레소 마에스트로는 SIEM, SOAR 기능을 모두 포함하고 있다. 고객사 환경에 따라 기존에 운영하던 SIEM에 SOAR만 추가로 구축하거나, 기존 SIEM을 대체하면서 SIEM과 SOAR가 완전하게 통합된 보안운영 플랫폼을 새로이 구축하는 방식 중 하나를 선택할 수 있다.
▲ ‘로그프레소 스토어(Logpresso Store)[이미지=로그프레소]’
로그프레소 스토어를 통한 앱 제공으로 지속적 플랫폼 기능 확장
언제든지 새로운 보안 장비나 서비스가 도입될 수 있기 때문에, 보안운영 자동화 솔루션의 기능이 지속적으로 확장될 수 있는가 하는 점은 매우 중요하다. 로그프레소는 국내 제조사 중 유일하게 로그프레소 스토어를 통해 새로운 앱을 지속적으로 배포한다. 사용자는 로그프레소 스토어에서 국내외 보안 장비와 인텔리전스 서비스를 지원하는 다양한 앱을 살펴보고 다운로드 할 수 있다. 로그프레소 마에스트로의 특징은 앱을 설치하면 플레이북에서 사용할 수 있는 자동화 기능이 확장된다는 점이다. 이러한 확장성을 가지고 있기 때문에 로그프레소 마에스트로는 단순한 솔루션이 아니라 보안운영 플랫폼으로 기능한다.
예를 들어, 금융기관의 경우 금융보안원 FCTI(Financial Cyber Threat Intelligence) 앱을 설치하면 기존 룰을 변경할 필요도 없이 요주의 IP 주소, 악성코드 해시, 악성코드 유포지 URL 피드가 자동으로 활성화되어 실시간 위협 탐지에 적용된다.
포티넷, 팔로알토 네트웍스, 엑스게이트 등 방화벽 앱을 설치하면 IP 차단을 원 클릭으로 수행할 수 있는 것은 기본이고, 위협 세션을 강제 종료하거나 룰 설정 정보, 세션 통신량을 실시간으로 대시보드에 시각화 할 수 있다.
파이어아이 EX 앱을 설치하면 기존의 단순 APT 경보 수신에 그치지 않고, 샌드박스에서 분석된 침해지표들을 자동으로 수집해 DB화함으로써 이미 차단된 악성코드의 변종에 대해서도 자동화된 탐지와 대응을 기대할 수 있다.
AWS 앱을 설치하면 AWS 지출 비용을 실시간으로 조회할 수 있으며, Cloud Trail 연동을 통해 의도하지 않은 클라우드 인프라 형상 변경을 모니터링 할 수 있다. 또한, S3에 적재된 다양한 로그를 원격으로 수집해 각종 지표를 표시하고 위협을 탐지할 수 있다.
클라우드 SOAR 서비스 제공을 통해 변화하는 인프라 보안 수요에 대응
로그프레소는 퍼블릭 클라우드 중심으로 변화하는 인프라 환경을 지원하기 위해, 가까운 시일 내에 클라우드 SOAR 서비스를 출시할 계획이다. 로그프레소는 아마존, 구글, 네이버클라우드, NHN클라우드, KT 클라우드 등 국내외 다양한 퍼블릭 클라우드 사업자와 협력해 기업에서 자사의 클라우드 구성 형태에 따라 다양한 방식으로 로그프레소 클라우드 SOAR 서비스를 제공한다.
[SOAR 대표 솔루션 집중분석-2]
‘AhnLab Sefinity AIR’: 보안의 복잡성을 푸는 열쇠
안랩의 기술력과 노하우를 집약시킨 SOAR 솔루션
‘AhnLab Sefinity AIR’는 보안 관제 분야에서 오랜 기간 축적된 안랩의 기술력과 노하우를 집약시킨 SOAR 솔루션이다. 표준화된 플레이북과 자유로운 편집 기능을 제공하며, 다양한 솔루션과의 연동을 통해 오케스트레이션 개념을 업무에 도입할 수 있다. 프로세스 자동화와 머신러닝 기반 분석 모듈로 위협 요소를 자동 식별하고, 식별된 요소로 위협을 추론해 대응 업무의 효율성을 향상시킬 수 있다. 다음은 ‘AhnLab Sefinity AIR’의 주요 기능 4가지를 정리한 것이다.
1. 오케스트레이션
‘AhnLab Sefinity AIR’는 하나의 위협 대응 프로세스에 속해 있는 각각의 태스크(Task)를 조절한다. 인력과 자동화의 투입을 적절하게 조율함으로써 업무 수행을 최적화시키는 것이다. 안랩 제품을 기본으로 고객사에서 많이 사용하는 SIEM, 로그관리 시스템, 보안 솔루션, 업무지원 시스템과 연동도 가능하다. 기업 내부 자체적인 시스템과의 연동은 커스터마이징을 지원한다. 이 밖에, 발생한 이벤트에 해당되는 대응 프로세스를 자동으로 매칭해준다. 필수 수행 플레이북과 케이스와 플레이북의 테넌트(Tenant) 및 레이블(Label) 정보를 매칭시켜 주는 기능도 갖추고 있다.
2. 자동화
‘AhnLab Sefinity AIR’는 추상적인 개념의 워크플로우를 구체화하고 태스크 별로 정의해 플레이북으로 제작할 수 있도록 한다. 재사용성이 높은 안랩의 보안관제 노하우가 적용된 ‘Built-in Playbook’도 제공한다. 업무의 비즈니스 로직, 위험도 판단을 위한 계산식 및 추가적인 정보 수집을 위한 내용 등을 스크립트로 구현해 즉각적으로 업무 효율성을 개선할 수 있다. 또, 추가된 스크립트는 스크립트 라이브러리를 통해 관리한다.
3. 사고 대응 및 협업
‘AhnLab Sefinity AIR’를 활용하면 실행 중인 모든 케이스를 처리가 완료될 때까지 진행 상황 관리가 가능하다. 케이스 처리 상세 화면을 통해 케이스 생성, 진행 상태, 처리 시간 등을 실시간으로 제공하며, 유형별 위험도 현황 리스트도 확인할 수 있다. 동일 유형의 이벤트는 관리자가 설정한 조건에 따라 하나의 케이스로 축약해 불필요한 작업을 최소화할 수 있다. 대응 내역과 의사결정 증적 관리, 대응 근무자와 분석가 간 원활한 커뮤니케이션도 지원된다.
4. 대시보드 및 리포팅
‘AhnLab Sefinity AIR’는 대시보드에 하이차트(Highchart), 동적 레이아웃 등을 적용해 실시간 처리 현황 및 시스템 정보를 한눈에 식별할 수 있는 공용·개인별 대시보드를 제공한다. 의사결정을 지원하는 공용 대시보드의 콘텐츠는 위젯으로 구성해 사용자가 정의할 수 있다. 콘텐츠는 업무 종류별 현황, 조직별 업무 현황, 처리 시간, 공격자, 피해자, 공격 종류 등이 포함된다. 개인 대시보드의 경우, 개인이 처리한 업무, 처리 중인 업무 및 일정이 등록된 예약 작업 등 할당된 업무와 개인에게 전달된 문의, 응답을 확인할 수 있다.
아울러, 타 SOAR 솔루션과 차별화되는 ‘AhnLab Sefinity AIR’의 특장점은 크게 △머신러닝 기능 적용과 △관제포탈기능을 꼽을 수 있다. 먼저, ‘AhnLab Sefinity AIR’와 머신러닝 기반 위협 분석 엔진을 함께 사용할 경우 위협 종류 정/오탐 식별을 자동화해 효율성을 높일 수 있다. 또, 관제 요원과 포탈(Portal) 사용자를 분리해 멀티테넌시(Multi Tenancy)를 지원한다. 각 테넌트별 사이트를 제공해 그룹사 또는 세부 조직별로 별도 대시보드 및 정보 공개 범위 등을 적용하도록 한다.
‘AhnLab Sefinity AIR’는 위와 같이 다양하고 우수한 성능을 인정받아 2020년 12월, 한국정보통신기술협회로부터 굿소프트웨어(GS)인증 1등급을 획득하기도 했다.
▲‘AhnLab Sefinity AIR’[이미지=안랩]
[SOAR 대표 솔루션 집중분석-3]
이글루코퍼레이션 ‘스파이더 SOAR’
국내 보안관제 환경에 최적화된 자동화 기능 제공
디지털 전환 가속화에 따라 복잡해진 보안 운영 환경을 노리는 보안 위협이 빠르게 진화하고 있다. 방대한 보안 이벤트와 복잡한 보안 컴플라이언스에 직면한 보안 담당자들의 부담은 날로 무거워지고 있다. 이에 인공지능(AI) 기반의 이상 행위 탐지와 보안 오케스트레이션·자동화·대응(Security Orchestration, Automation and Response, SOAR)을 수행하는 4세대 보안관제 체계의 중요성이 날로 부각되고 있다.
이글루코퍼레이션은 국내 조직들이 SOAR 도입을 통해 보안관제센터의 복잡성을 해소할 수 있도록 국내 조직의 상황에 부합하는 SOAR 솔루션인 ‘스파이더 SOAR(SPiDER SOAR)’를 제공하고 있다. 보안 위협 유형별 최적의 대응 방안을 매뉴얼화한 ‘플레이북(Playbook)’에 기반해, 보안 위협 탐지에서 대응에 이르는 과정을 실질적으로 단축시키기 위해서다.
이기종 보안 솔루션·업무 시스템 간의 긴밀한 연동 지원
‘스파이더 SOAR’는 이글루코퍼레이션의 보안 솔루션 연동 및 자동 차단 기능을 토대로 국내 보안관제센터에서 운영 중인 이기종 보안 솔루션·업무 시스템 간의 긴밀한 연동을 지원한다. 조직들은 통합보안관제(SIEM), 머신러닝(ML) 기반 보안관제 시스템, 위협 인텔리전스, 자산 정보 및 취약점 관리 솔루션 등 여러 이기종 보안 솔루션을 손쉽게 연동해, 자동화된 침해 대응 프로세스를 구현할 수 있다.
많은 기업에서 효율성을 검증받은 ‘플레이북’ 제공
보안 조직들은 ‘스파이더 SOAR’ 도입을 통해, 기존 수동 분석 시 50∼60분가량 소요되었던 경보를 1분 이내에 자동화 대응함으로써 경보 처리의 효율성을 높이고 중요한 상세 분석에 더욱 집중할 수 있다. 또한 수많은 보안 조직에서 검증된 ‘플레이북’ 활용을 통해 보안 인력 간 역량 편차 문제를 해결하고, 상향된 수준의 대응 체계를 유지할 수 있게 된다.
2022년 이글루코퍼레이션은 보안관제센터의 성숙도가 높고 중요 데이터를 다량 보유하고 있는 공공·정부 기관 및 금융·통신 산업 분야의 기업에 SOAR 솔루션을 확대 공급하는 데 주력할 방침이다.
▲‘스파이더 SOAR(SPiDER SOAR)’[이미지=이글루코퍼레이션]
[SOAR 대표 솔루션 집중분석-4]
투씨에스지, 주요 정보통신 기반시설에 ‘스텔라사이버 Open XDR’ 구축
IT인프라 전반의 데이터 수집 및 자동화된 대응 통해 평균 대응 시간 감소
IT인프라 구성요소와 유형이 갈수록 다양해지고 복잡해지고 있다. 이와 더불어 내외부 공격 표면(Attack Surface) 또한 빠르게 확장하고 있다. 이는 보안 상태를 유지하기 위해 보안 담당자들이 살펴봐야 할 범위가 넓어졌음을 의미한다. IT보안 전문기업 투씨에스지는 차세대 SOAR를 품은 ‘스텔라사이버(Stellar Cyber) Open XDR’을 적용해 공격 표면 전반의 보안 요소를 통합하고 자동화된 대응을 통해 고도화된 보안 위협에 대한 효과적인 탐지/대응 전략을 제시하고 있다.
AI기반 통합 보안 분석 플랫폼 ‘스텔라사이버 Open XDR’
‘스텔라사이버(Stellar Cyber) Open XDR’은 다양한 시스템의 이벤트 로그, 네트워크 트래픽 뿐만 아니라 Microsoft 365, Google Workspace(G-Suite)와 같은 SaaS Application의 정보와 Container, Virtual Machine에 이르기까지 자체 센서와 커넥터를 통해 IT인프라 전반에 대한 데이터를 수집·통합하고, 상관 분석을 바탕으로 실제적인 보안 위협을 효과적으로 탐지하고 대응할 수 있다.
보안 위협에 대한 자동화된 대응 프로세스 수립을 위해 ‘스텔라사이버 Open XDR’은 강력한 플레이북 기능을 제공한다. 이를 바탕으로 방화벽·스위치 등의 네트워크 차단이나 엔드포인트 차단·격리, 스크립트 실행 등을 통한 직접적인 대응과 API/Webhook/Email/Slack 등을 활용해 제한 없이 확장 가능한 연동 대응을 지원한다.
또한 이러한 자동화된 대응이 즉각적으로 이루어질 수 있도록 AI 기반 위협 분석을 통해 무수히 많은 보안 이벤트 내에서 실제적인 위협을 보다 정확하게 탐지한다. 탐지된 위협에 대해서는 리스크 스코어링과 함께 심각도와 빈도 등 위협의 근거를 명확하게 제시한다. 해당 위협이 미치는 영향을 시각적으로 확인할 수 있는 토폴로지뷰(Topology View)와 함께 MITRE ATT&CK Framework를 실용적으로 녹여낸 XDR Kill Chain을 통해 공격의 단계를 명확하게 제시한다.
포네몬 연구소(Ponemon Institute)의 연구 결과에 따르면 이러한 AI 기술의 활용을 통해 보안 담당자는 기존 레거시 환경 대비 4배가량 빠르게 위협을 탐지·분석하고, 시스템의 보완·재가동 시간을 25% 수준으로 줄일 수 있다고 한다.
주요 정보통신 기반시설의 통합 보안 인프라 구축
‘스텔라사이버 Open XDR’의 국내 총판사인 투씨에스지는 국내 금융기업에 ‘스텔라사이버 Open XDR’ 적용을 통해 차세대 보안관제 시스템을 구축한 데에 이어 주요 정보통신기반시설에 네트워크 트래픽 및 이기종 보안 시스템을 아우르는 통합 보안 인프라 구축에 돌입했다.
‘스텔라사이버 Open XDR’의 시큐리티 센서를 내·외부 네트워크망에 각각 적용해 망별 학습을 통해 네트워크를 통한 보안 위협 탐지 정확도를 높이고, 스텔라사이버 데이터 재처리 기술 ‘Interflow™’를 적용해 네트워크를 비롯한 이기종 보안 장비의 보안 이벤트를 빅데이터화 할 예정이다. 이를 바탕으로 AI기반 위협 탐지 능력을 강화하고, 표준화된 보안 워크플로우를 적용해 보안 위협에 대한 자동화된 대응체계를 수립할 계획이다.
▲‘스텔라사이버(Stellar Cyber) Open XDR’[이미지=투씨에쓰지]
[SOAR 대표 솔루션 집중분석-5]
업계 최초 확장된 SOAR 솔루션 팔로알토 네트웍스 ‘코어텍스 XSOAR’
자동화로 대응시간 최대 90%, 알림 최대 95%까지 줄일 수 있어
보안 오케스트레이션, 자동화 및 대응 업무를 담당하는 보안팀은 엄청난 양의 알림을 분석하고 끝없는 보안 업무를 제때 처리할 수 있는 인력과 확장 가능한 프로세스가 부족하다. 분석가는 데이터 수집, 가용성 확인, 인시던트 수명 주기 전반에 걸친 반복적인 수동 작업을 위해 콘솔 사이를 오가느라 시간을 낭비하고 있다. 기술 부족이 점점 심화함에 따라, 보안 책임자들은 사후 처리 방식의 단편적인 대응에 허덕이는 대신, 중요한 의사 결정에 더 많은 시간을 써야 하는 상황이다.
▲SOAR 플랫폼의 새로운 핵심 요소[이미지=팔로알토 네트웍스]
코어텍스 XSOAR, ‘업계 최초 위협인텔리전스 관리 플랫폼 탑재’
‘코어텍스™ XSOAR’는 엔터프라이즈 보안을 위한 세계에서 가장 포괄적인 운영 플랫폼을 통해 SOC(Security Operations Center: 보안 운영 센터)의 효율성을 높인다. ‘코어텍스 XSOAR’는 업계 최초의 확장된 SOAR(Security Orchestration, Automation and Response: 보안 오케스트레이션, 자동화 및 대응) 제품에 사례 관리, 자동화, 실시간 협업 및 네이티브 위협 인텔리전스 관리를 통합하고 있다. 보안팀은 모든 소스에서 알림을 관리하고 플레이북으로 프로세스를 표준화하며, 위협 인텔리전스에 대해 조치를 취하고 모든 보안 사용 사례에 대한 대응을 자동화함으로써 대응 시간을 최대 90% 단축하고 인적 개입이 필요한 알림을 최대 95%까지 줄일 수 있다.
▲‘코어텍스 XSOAR’[이미지=팔로알토 네트웍스]
[기획취재팀(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
