안랩이 ‘세피니티 에어(SefinityAIR)’를 출시하면서 SOAR(Security Orchestration, Automation and Response) 시장의 포문을 열었다. SOAR는 보안 패러다임을 바꾸는 키워드 중 하나로 꼽히는 기술이다. 오케스트라의 지휘자처럼 보안 시스템과 정책을 자동화 관리하는 것을 말한다. 모든 소스에서 보안 위협을 수집한 후 분석 시스템에서 분석하게 하고, 분석된 결과를 차단 시스템에서 차단하도록 정책을 만들어 내려보내는 한편, 위협 대응 정책을 업그레이드 해 향후 동일하거나 유사한 위협이 유입되면 자동으로 대응할 수 있도록 하는 것이 SOAR이다.
폭증하는 관제업무 대응 위해 SOAR 등장
SOAR가 등장한 결정적인 이유는 ‘관제업무가 폭증하기 때문’이라고 할 수 있다. 최근 지능형 보안관제 시스템은 위협 이벤트를 수집하고 연계 분석해 실제 비즈니스를 위협하는 이벤트를 선별해주지만, 이렇게 선별하는 이벤트조차 너무 많아서 관제팀이 분석하지 못한다. 조사에 따르면 관제팀이 분석하는 위협 이벤트는 8%에 불과하며 92%는 다크데이터로 버려지게 된다.
관제조직은 보안 시스템의 오탐이 많다고 지적하지만, 선별된 이벤트는 실제로 비즈니스에 위협을 줄 수 있는 것으로, 오탐이라고 할 수 없다. 성공한 공격의 대부분이 보안 시스템을 잘 갖춘 조직에서 발생했다. 여러 보안 솔루션이 탐지한 흔적이 있는데 각각의 정보를 연계해 확실한 위협 확실한 가시성을 주는데 실패했기 때문에 관제조직이 인지하지 못했던 것이다.
고급 보안 전문가를 충분히 고용한다 해도 이 문제를 해결할 수 없다. 이러한 이벤트는 사람의 눈으로 볼 수 없으며, 기계의 힘을 빌려야 하다. 그래서 SIEM과 같은 관제 시스템이 등장한 것이다.
위협을 지능적으로 탐지할 수 있는 솔루션으로 SIEM이 각광받아왔으며, AI, 사용자 계정 행위분석(UEBA) 등 고급 분석 기술을 더하고, 각종 위협 인텔리전스와 IOC를 연계해 보안 탐지를 우회하는 공격까지 인식할 수 있도록 진화하고 있다. RSA ‘넷위트니스(NetWitness)’는 시스템 로그와 네트워크 패킷, 엔드포인트 위협 탐지(EDR)을 하나의 플랫폼으로 통합해 더 완벽에 가까운 차세대 SIEM으로 진화시켰다.
그러나 SIEM으로도 부족하다. SIEM은 위협을 탐지할 수 있지만 대응하지 못한다. SIEM이 찾아낸 위협에 대해서는 관리자가 확인하고 관련 솔루션에 정책을 만들어 내려 차단하거나 격리하도록 해야 한다. SIEM으로 위협을 더 많이 찾을 수 있지만, 관리자의 업무는 더 늘어난다는 문제가 발생한다.
보안 전문가 부족 … SOAR 등장 반겨
SOAR이 등장하게 된 결정적 요인은 고급보안인력이 부족하기 때문이다. 보안관제는 관제인력의 숙련도에 크게 좌우된다. 차세대 관제 시스템을 구축하고 프로세스에 따라 관제업무를 진행하도록 환경을 만들고 있지만, 여전히 대부분의 관제 업무는 수작업과 관제인력의 통찰력에 의지하고 있다. 따라서 경험이 많지 않은 관제인력이 근무할 때와 숙련된 전문가가 근무할 때 관제 역량의 차이가 커지게 된다.
SOAR은 관제 프로세스를 자동화하고 플레이북을 만들어서 자동으로 대응하는 것 까지 진행하기 때문에 관제인력의 숙련도에 상관없이 고급 보안관제를 수행할 수 있다. 관제인력이 단순하고 반복적인 업무에서 벗어나 더 높은 수준의 위협에 대응할 수 있도록 도와주는 것이 SOAR이라고 할 수 있다.
조남용 RSA코리아 이사는 “SOAR은 자동화를 통해 관제업무를 크게 줄일 수 있어 관제조직의 업무 부담을 덜고 지능형 위협에 더 적극적으로 대응할 수 있도록 한다. 그러나 SOAR를 도입하기 위해서는 관제업무의 표준화가 선행돼야 하는데 현재 고객 중 SOAR를 도입할 수 있을 만큼 표준화를 준비한 곳이 많지 않다”고 지적했다.
관제 표준화의 예를 들어보면 위협 이벤트가 발생하면 이와 연계된 이벤트를 찾아 공격이 어떻게 진행되고 있는지 파악하고, 이전에 발생한 공격과의 유사성을 확인하고, 공격이 어떤 목적으로 진행되고 있는지 분석해 대응 방안을 마련해 각 조직과 시스템에 내려 보내는 일련의 절차라고 할 수 있다.
이를 플레이북이라고 하는데, 공격 유형별 대응방법을 플로우차트로 정리하고 카테고리별로 분류해 축적함으로써 자동화된 프로세스를 만들 수 있도록 해야 한다. 그러나 대부분의 보안조직은 플레이북을 제대로 갖추지 못하고 있다.
조남용 이사는 “현재 고객이 SOAR을 도입할 준비가 되어있다고 보기 어렵다. 그러나 디지털 트랜스포메이션이 빠르게 진행되면서 공격이 더욱 진화하는 현재, 관제인력의 성숙도에 의존하는 기존 관제로는 비즈니스를 보호하지 못한다는 것은 자명한 사실이다. 고객들도 이를 인정하고 있기 때문에 대안을 마련하고 빠르게 정보보안 변화의 트렌드에 맞춰갈 것”이라고 내다봤다.
