.gif)
이글루코퍼레이션, 정교화되고 지능화되는 보안 위협 맞선 SOAR 조건과 실전 운영 전략 공유
AI 기반의 정확도 높은 자동 위협 탐지, 위협 인텔리전스 연동 통한 대응 등 5가지 요약
[보안뉴스 김영명 기자] 보안 운영·위협 대응 자동화(Security Orchestration, Automation and Response, 이하 SOAR)는 오케스트레이션, 자동화, 대응, 위협 인텔리전스가 결합된 솔루션이다. 하지만 SOAR 솔루션도 보안 위협 환경의 변화에 맞춰 진화해야 한다. 최근 정교화되고 지능화되는 보안 위협에 맞서 SOAR가 갖춰야 할 조건은 △AI 기반의 정확도 높은 자동 위협 탐지 △위협 인텔리전스 연동 통한 대응 △마이터 어택 프레임워크 연계 △SOAR 대 SOAR 연계 대응 △플레이북의 지속적인 개발 및 반영 등 5가지가 있다.
[이미지=gettyimagesbank]
디지털 트랜스포메이션의 가속화는 기존 방어체계로는 예측하고 대응하기 어려운 복합적인 사이버 공격의 증가로 이어지고 있다. 이에 대비한 보안관제의 핵심은 24시간 365일 쉼없이 이어지는 정보와 경보다. 따라서 보안관제는 수많은 보안 시스템에서 나오는 이벤트와 로우 데이터, 패킷까지 다양한 정보를 모두 살펴봐야 한다. 이를 위해 SIEM(Security Information and Event Management, 보안 정보 및 이벤트 관리 시스템)을 기반으로 보안 관련 정보를 모두 수집하고 이상 징후가 발견되면 경보를 울려 실제 보안 인력이 대응하도록 한다.
이글루코퍼레이션은 최근 ‘SOAR의 성공 조건과 실전 운영 전략’에 대해 분석했다. 사이버 공격이 점차 고도화되면서 기존의 방화벽과 침입탐지시스템(IDS)에 그쳤던 보안 환경에 침입방지시스템(IPS)과 차세대 방화벽이 등장하고, 개인정보 유출방지 솔루션, 웹 보안 솔루션, 엔드포인트 탐지 및 대응(EDR), 네트워크 탐지 및 대응(NDR) 등이 추가됐다. 하지만 보안관제센터(Security Operation Center, SOC)의 전문 인력은 증원되지 않은 상태에서 경보만 증가하면, 결국 경보가 보안인력의 감당 임계점을 넘게 된다.
▲전체 경보 중 오탐과 정탐, 해결된 경보의 비율[자료=Cisco 2018 Security Capabilities Benchmark Study]
시스코의 분석에 따르면 이상 징후가 탐지되지 않아 경보가 발령되지 않는 비율은 7%에 불과, 이상 징후의 93%에 대해 경보가 발령된다. 이를 분석했을 때 보안 인력이 시간에 쫓겨 미처 확인하지 못하는 경보가 44%에 이른다. 확인한 경보 중에서 보안 위협이 아닌 비율이 66%, 위협이 해결되는 비율은 절반 정도다. 결국 전체 위협 중 단 9%만이 해결되는 셈이다.
오탐이든 정탐이든 SOC는 단 한 건의 공격이라도 놓치면 안 되기에 모든 경보를 검토하고 분석해야 한다. 오탐을 줄이는 것과 함께 보안 인력을 늘리는 방법도 있다. 하지만 기업은 인력 충원보다 신기술을 도입하고 있고, AI 기술의 발전 역시 이런 추세에 한몫하고 있다.
‘진짜 위협에 집중한다’는 목표 아래 탄생한 SOAR
보안 운영·위협 대응 자동화 솔루션인 SOAR(Security Orchestration, Automation and Response)는 보안 프로세스의 효율과 성과를 높이는 방안으로 등장했다. 60%가 넘는 오탐을 자동 처리해 보안 인력이 정상적인 경보 분석 및 대응에 집중할 수 있게 지원하는 것이다.
SOAR는 다양한 사이버 위협에 대해 대응 수준을 자동으로 분류하고 표준화된 업무 프로세스에 따라 보안 업무 담당자와 솔루션이 유기적으로 협력할 수 있도록 지원하는 플랫폼이다. SOAR 자체가 특정 보안 위협을 탐지하거나 방지하는 기능을 수행하지는 않지만, SOAR는 전반적인 보안 프로세스와 기준, 절차를 변화시켜 한층 더 성숙한 SOC를 만든다.
▲기존 경보 처리 프로세스와 SOAR 프로세스의 비교[자료=이글루코퍼레이션]
SOAR 중심의 보안 프로세스에서는 SOAR의 1차 대응 결과를 확인하고, 자동으로 처리된 경보는 바로 종결시킨다. 이렇게 SOAR는 전체 보안 환경의 지휘자가 되어 여러 보안 솔루션 간의 유기적인 조율과 자동화된 대응을 수행한다. SOAR는 보안 위협 유형별로 최적의 대응 방안을 매뉴얼화한 ‘플레이북(Playbook)’에 기반해 표준화된 절차에 따라 자동으로 처리, 1분 이내로 결과를 보안 인력에게 전달한다.
실질적인 성과 도출을 위한 SOAR의 조건
SOAR는 오케스트레이션, 자동화, 대응, 위협 인텔리전스가 결합된 솔루션이다. 하지만 SOAR 솔루션도 보안 위협 환경의 변화에 맞춰 진화해야 한다. 이글루코퍼레이션은 현재 시점에서 SOAR가 SOC 현장에서 실질적인 성과를 거두기 위해 갖춰야 할 5가지 조건을 도출했다.
첫 번째는 ‘AI 기반의 정확도 높은 자동 위협 탐지’다. AI는 무의미한 경보를 줄이고 보안 인력이 판단할 수 있는 기준을 제공해 업무 부하를 줄인다는 SOAR의 기본 역할을 수행하는 데 결정적인 역할을 한다. 지도 학습 모듈을 이용해 실제 환경의 데이터로 학습한 AI는 탐지의 정확도를 크게 높일 수 있고, 실제 경보가 발령됐을 때 해당 경보의 위험 수준을 보다 정확하게 판단해 보안 인력이 효율적으로 경보에 대응할 수 있다.
두 번째는 ‘위협 인텔리전스 연동을 통한 대응’이다. 위협 인텔리전스 서비스 이전에는 보안 인력이 직접 블랙리스트 IP나 URL을 인터넷이나 후이즈(Whois), 바이러스 포털 등에서 검색해 확인했다면, 현재는 공격 IP와 차단 대상이라는 정보가 함께 나타난다. SOAR는 이에 더해 위협 인텔리전스의 정보를 자동 수집해 주요 보안장비에 자동으로 등록하고 차단한다. 단순 반복 작업을 개선하는 것은 물론 선제적 자동 대응 체계를 마련할 수 있다.
세 번째는 ‘MITRE ATT&CK 프레임워크 연계’다. 공격자의 최신 공격 기술 정보를 제공하는 마이터 어택(MITRE ATT&CK) 프레임워크는 최근 SIEM부터 SOAR까지 보안 솔루션의 필요 요소로 부상했다. 마이터 어택 프레임워크를 통한 일관된 공격 행동 패턴 분석을 기반으로 공격 방법과 기술, 절차 정보를 매핑해 공격자의 행위 식별 및 가시성을 확보할 수 있다.
▲SOAR 대 SOAR 연계를 통한 실시간 자동 및 긴급 차단 체계[자료=이글루코퍼레이션]
네 번째는 ‘SOAR 대 SOAR 연계 대응’이다. 공공기관의 보안 환경은 상위 중앙관제센터와 하위 관제센터가 연결되어 있는 경우가 많다. 이런 기관의 경우, 중앙관제센터가 경보를 발령하면 포털 등을 통해 정보를 배포하고 하위 관제센터가 이를 수동으로 입력한다. 하위 관제센터의 문제가 중앙으로 전달되는 방식도 마찬가지다.
다섯 번째는 ‘플레이북의 지속적인 개발 및 반영’이다. SOAR의 자동 대응을 실제로 수행하는 플레이북은 라이프사이클이 매우 짧다. 몇 년씩 실효성이 유지되는 플레이북도 있겠지만, 심한 경우 열흘이면 필요 없어질 수도 있다. 따라서 새로운 공격이 등장하거나 내부 정책이 바뀔 때마다 지속해서 개정하고 개발해야 한다. 특히 플레이북 개발은 실제 관제 노하우가 필요하기 때문에 솔루션 업체가 제공하는 기본 플레이북으로는 성과를 얻기 어렵다.
▲이글루코퍼레이션 스파이더 쏘아(SPiDER SOAR)의 아키텍처[자료=이글루코퍼레이션]
SOC 유형별 SOAR 운영 전략 살펴보면
SOC는 단 한 사람의 보안 담당자가 운영하는 소규모 SOC가 있는가 하면, 24시간 365일 운영되는 대규모 SOC도 있다. 대규모 SOC는 주로 정부 중앙부처와 산하기관, 대기업 그룹사와 관계사가 운영한다. 보안 인력 4~5인 규모의 중소 SOC는 숫자로는 가장 많은데, 주로 지자체나 단일 기업의 보안관제센터가 해당한다. 한정된 예산과 인력으로 대형 SOC와 동일한 보안 위협에 대응해야 하기 때문에 SOAR 운영 프로세스는 최적의 운영에 중점을 둔다.
중견기업이나 대학 등에서는 1인 SOC를 운영하기도 한다. 이런 SOC에서 SOAR의 목표는 실시간 무인 자동화 관제 환경의 구현이다. 대응도 정책과 플레이북에 따라 SOAR가 자동으로 차단하고, 담당자는 리포팅을 통해 차단이 제대로 되는지 피드백을 하게 된다.
이글루코퍼레이션 분석팀은 “보안 위협이 정교화되고 지능화되면서 진짜 위험한 하나의 위협 차단이 보안의 궁극적인 목표가 됐고, 이를 위해 보안 인력이 상세분석에 집중할 수 있는 환경이 필요하다”며 “SOAR는 SOC 자동화로 단순 반복 영역은 솔루션에 맡기고 보안 인력은 창의적인 영역을 담당해 SOC의 체질을 개선하고 보안 성숙도를 높일 수 있다”고 강조했다.
[김영명 기자(boan@boannews.com)]
AI 기반의 정확도 높은 자동 위협 탐지, 위협 인텔리전스 연동 통한 대응 등 5가지 요약
[보안뉴스 김영명 기자] 보안 운영·위협 대응 자동화(Security Orchestration, Automation and Response, 이하 SOAR)는 오케스트레이션, 자동화, 대응, 위협 인텔리전스가 결합된 솔루션이다. 하지만 SOAR 솔루션도 보안 위협 환경의 변화에 맞춰 진화해야 한다. 최근 정교화되고 지능화되는 보안 위협에 맞서 SOAR가 갖춰야 할 조건은 △AI 기반의 정확도 높은 자동 위협 탐지 △위협 인텔리전스 연동 통한 대응 △마이터 어택 프레임워크 연계 △SOAR 대 SOAR 연계 대응 △플레이북의 지속적인 개발 및 반영 등 5가지가 있다.
[이미지=gettyimagesbank]
디지털 트랜스포메이션의 가속화는 기존 방어체계로는 예측하고 대응하기 어려운 복합적인 사이버 공격의 증가로 이어지고 있다. 이에 대비한 보안관제의 핵심은 24시간 365일 쉼없이 이어지는 정보와 경보다. 따라서 보안관제는 수많은 보안 시스템에서 나오는 이벤트와 로우 데이터, 패킷까지 다양한 정보를 모두 살펴봐야 한다. 이를 위해 SIEM(Security Information and Event Management, 보안 정보 및 이벤트 관리 시스템)을 기반으로 보안 관련 정보를 모두 수집하고 이상 징후가 발견되면 경보를 울려 실제 보안 인력이 대응하도록 한다.
이글루코퍼레이션은 최근 ‘SOAR의 성공 조건과 실전 운영 전략’에 대해 분석했다. 사이버 공격이 점차 고도화되면서 기존의 방화벽과 침입탐지시스템(IDS)에 그쳤던 보안 환경에 침입방지시스템(IPS)과 차세대 방화벽이 등장하고, 개인정보 유출방지 솔루션, 웹 보안 솔루션, 엔드포인트 탐지 및 대응(EDR), 네트워크 탐지 및 대응(NDR) 등이 추가됐다. 하지만 보안관제센터(Security Operation Center, SOC)의 전문 인력은 증원되지 않은 상태에서 경보만 증가하면, 결국 경보가 보안인력의 감당 임계점을 넘게 된다.
▲전체 경보 중 오탐과 정탐, 해결된 경보의 비율[자료=Cisco 2018 Security Capabilities Benchmark Study]
시스코의 분석에 따르면 이상 징후가 탐지되지 않아 경보가 발령되지 않는 비율은 7%에 불과, 이상 징후의 93%에 대해 경보가 발령된다. 이를 분석했을 때 보안 인력이 시간에 쫓겨 미처 확인하지 못하는 경보가 44%에 이른다. 확인한 경보 중에서 보안 위협이 아닌 비율이 66%, 위협이 해결되는 비율은 절반 정도다. 결국 전체 위협 중 단 9%만이 해결되는 셈이다.
오탐이든 정탐이든 SOC는 단 한 건의 공격이라도 놓치면 안 되기에 모든 경보를 검토하고 분석해야 한다. 오탐을 줄이는 것과 함께 보안 인력을 늘리는 방법도 있다. 하지만 기업은 인력 충원보다 신기술을 도입하고 있고, AI 기술의 발전 역시 이런 추세에 한몫하고 있다.
‘진짜 위협에 집중한다’는 목표 아래 탄생한 SOAR
보안 운영·위협 대응 자동화 솔루션인 SOAR(Security Orchestration, Automation and Response)는 보안 프로세스의 효율과 성과를 높이는 방안으로 등장했다. 60%가 넘는 오탐을 자동 처리해 보안 인력이 정상적인 경보 분석 및 대응에 집중할 수 있게 지원하는 것이다.
SOAR는 다양한 사이버 위협에 대해 대응 수준을 자동으로 분류하고 표준화된 업무 프로세스에 따라 보안 업무 담당자와 솔루션이 유기적으로 협력할 수 있도록 지원하는 플랫폼이다. SOAR 자체가 특정 보안 위협을 탐지하거나 방지하는 기능을 수행하지는 않지만, SOAR는 전반적인 보안 프로세스와 기준, 절차를 변화시켜 한층 더 성숙한 SOC를 만든다.
▲기존 경보 처리 프로세스와 SOAR 프로세스의 비교[자료=이글루코퍼레이션]
SOAR 중심의 보안 프로세스에서는 SOAR의 1차 대응 결과를 확인하고, 자동으로 처리된 경보는 바로 종결시킨다. 이렇게 SOAR는 전체 보안 환경의 지휘자가 되어 여러 보안 솔루션 간의 유기적인 조율과 자동화된 대응을 수행한다. SOAR는 보안 위협 유형별로 최적의 대응 방안을 매뉴얼화한 ‘플레이북(Playbook)’에 기반해 표준화된 절차에 따라 자동으로 처리, 1분 이내로 결과를 보안 인력에게 전달한다.
실질적인 성과 도출을 위한 SOAR의 조건
SOAR는 오케스트레이션, 자동화, 대응, 위협 인텔리전스가 결합된 솔루션이다. 하지만 SOAR 솔루션도 보안 위협 환경의 변화에 맞춰 진화해야 한다. 이글루코퍼레이션은 현재 시점에서 SOAR가 SOC 현장에서 실질적인 성과를 거두기 위해 갖춰야 할 5가지 조건을 도출했다.
첫 번째는 ‘AI 기반의 정확도 높은 자동 위협 탐지’다. AI는 무의미한 경보를 줄이고 보안 인력이 판단할 수 있는 기준을 제공해 업무 부하를 줄인다는 SOAR의 기본 역할을 수행하는 데 결정적인 역할을 한다. 지도 학습 모듈을 이용해 실제 환경의 데이터로 학습한 AI는 탐지의 정확도를 크게 높일 수 있고, 실제 경보가 발령됐을 때 해당 경보의 위험 수준을 보다 정확하게 판단해 보안 인력이 효율적으로 경보에 대응할 수 있다.
두 번째는 ‘위협 인텔리전스 연동을 통한 대응’이다. 위협 인텔리전스 서비스 이전에는 보안 인력이 직접 블랙리스트 IP나 URL을 인터넷이나 후이즈(Whois), 바이러스 포털 등에서 검색해 확인했다면, 현재는 공격 IP와 차단 대상이라는 정보가 함께 나타난다. SOAR는 이에 더해 위협 인텔리전스의 정보를 자동 수집해 주요 보안장비에 자동으로 등록하고 차단한다. 단순 반복 작업을 개선하는 것은 물론 선제적 자동 대응 체계를 마련할 수 있다.
세 번째는 ‘MITRE ATT&CK 프레임워크 연계’다. 공격자의 최신 공격 기술 정보를 제공하는 마이터 어택(MITRE ATT&CK) 프레임워크는 최근 SIEM부터 SOAR까지 보안 솔루션의 필요 요소로 부상했다. 마이터 어택 프레임워크를 통한 일관된 공격 행동 패턴 분석을 기반으로 공격 방법과 기술, 절차 정보를 매핑해 공격자의 행위 식별 및 가시성을 확보할 수 있다.
▲SOAR 대 SOAR 연계를 통한 실시간 자동 및 긴급 차단 체계[자료=이글루코퍼레이션]
네 번째는 ‘SOAR 대 SOAR 연계 대응’이다. 공공기관의 보안 환경은 상위 중앙관제센터와 하위 관제센터가 연결되어 있는 경우가 많다. 이런 기관의 경우, 중앙관제센터가 경보를 발령하면 포털 등을 통해 정보를 배포하고 하위 관제센터가 이를 수동으로 입력한다. 하위 관제센터의 문제가 중앙으로 전달되는 방식도 마찬가지다.
다섯 번째는 ‘플레이북의 지속적인 개발 및 반영’이다. SOAR의 자동 대응을 실제로 수행하는 플레이북은 라이프사이클이 매우 짧다. 몇 년씩 실효성이 유지되는 플레이북도 있겠지만, 심한 경우 열흘이면 필요 없어질 수도 있다. 따라서 새로운 공격이 등장하거나 내부 정책이 바뀔 때마다 지속해서 개정하고 개발해야 한다. 특히 플레이북 개발은 실제 관제 노하우가 필요하기 때문에 솔루션 업체가 제공하는 기본 플레이북으로는 성과를 얻기 어렵다.
▲이글루코퍼레이션 스파이더 쏘아(SPiDER SOAR)의 아키텍처[자료=이글루코퍼레이션]
SOC 유형별 SOAR 운영 전략 살펴보면
SOC는 단 한 사람의 보안 담당자가 운영하는 소규모 SOC가 있는가 하면, 24시간 365일 운영되는 대규모 SOC도 있다. 대규모 SOC는 주로 정부 중앙부처와 산하기관, 대기업 그룹사와 관계사가 운영한다. 보안 인력 4~5인 규모의 중소 SOC는 숫자로는 가장 많은데, 주로 지자체나 단일 기업의 보안관제센터가 해당한다. 한정된 예산과 인력으로 대형 SOC와 동일한 보안 위협에 대응해야 하기 때문에 SOAR 운영 프로세스는 최적의 운영에 중점을 둔다.
중견기업이나 대학 등에서는 1인 SOC를 운영하기도 한다. 이런 SOC에서 SOAR의 목표는 실시간 무인 자동화 관제 환경의 구현이다. 대응도 정책과 플레이북에 따라 SOAR가 자동으로 차단하고, 담당자는 리포팅을 통해 차단이 제대로 되는지 피드백을 하게 된다.
이글루코퍼레이션 분석팀은 “보안 위협이 정교화되고 지능화되면서 진짜 위험한 하나의 위협 차단이 보안의 궁극적인 목표가 됐고, 이를 위해 보안 인력이 상세분석에 집중할 수 있는 환경이 필요하다”며 “SOAR는 SOC 자동화로 단순 반복 영역은 솔루션에 맡기고 보안 인력은 창의적인 영역을 담당해 SOC의 체질을 개선하고 보안 성숙도를 높일 수 있다”고 강조했다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
