[클라우드 보안] 멀티 클라우드 보안관제②
상태바
[클라우드 보안] 멀티 클라우드 보안관제②
  • 김선애 기자
  • 승인 2019.08.06 09:01
  • 댓글 0
이 기사를 공유합니다

SOC 업무 획기적으로 줄이는 SOAR…AI 활용해 위협 탐지 자동화하는 보안관제 서비스

[데이터넷] SIEM은 다양한 이종 시스템에서 로그를 수집·분석해 위협 이벤트를 탐지하는 보안관제 플랫폼이며, 최근에는 클라우드에서 발생하는 이벤트까지 관리할 수 있도록 진화하고 있다. 그러나 SIEM 만으로는 여러 클라우드 환경을 관리하는데 한계가 있다.

이종 시스템과 여러 클라우드에서 생성되는 이벤트 로그의 포맷이 다를 뿐 아니라 생성되는 이벤트의 위협 수준을 결정하는 기준도 상이하기 때문에 실제로 비즈니스에 어느 정도 영향을 미칠 것인지 판단하기 쉽지 않다.

보안 분석가가 해당 이벤트를 다시 분석해 적절한 대응 방법을 찾아야 하는데, 제한된 보안 분석 인력으로는 발생하는 이벤트의 극히 일부만을 볼 수 있다. 보안 관제팀이 분석하는 위협 이벤트는 8%에 불과하며 92%는 다크데이터로 버려지게 된다. 이처럼 발견된 대부분의 이벤트는 대응하지 못하고 지나가며, 어떤 위협이 실제로 진행되는지 알 수 없다.

이 문제를 해결하기 위해 SIEM에 AI를 적용하고 있지만, AI는 정제되지 않은 데이터를 학습했을 때 잘못된 결과를 도출할 수 있는 위협이 있으며, 오탐이 많아 이를 보정하기 위한 업무가 추가된다. 또한 AI가 학습할 수 있는 충분한 위협 데이터가 쌓여있지 않다는 것도 문제다.

SIEM이 멀티 클라우드 보안관제 플랫폼으로 한계를 보이면서, ‘보안 오케스트레이션, 자동화 및 대응(SOAR)’가 등장했다. SOAR는 오케스트라 지휘자처럼, 보안 솔루션을 지휘하는 역할을 한다. 클라우드를 포함한 모든 IT 자산에서 이벤트를 수집한 후 보안 분석 솔루션에서 분석하도록 하고, 발견된 위협은 보안 장비에서 차단·격리하도록 한다. 보안 수집, 분석, 격리 및 차단의 모든 과정이 자동화되어 보안 분석가과 관제 업무를 크게 줄일 수 있다.

오진석 파이어아이코리아 상무는 “여러 클라우드를 사용하는 환경에서 어떤 위협이 발생할지 정확하게 파악하지 못하는 상황에서, 발견된 위협을 어떻게 분류하고 대응할 것인지 결정하는 것이 쉽지 않다. SOAR는 탁월한 자동화 기능을 통해 발견된 위협을 정의하고 카테고리화하고 대응할 수 있도록 하는 관제 플랫폼으로, SOC·CERT에서 위협 정의·분류에 불필요하게 많은 시간을 쏟지 않도록 도와줘 위협 대응 시간을 크게 단축시켜준다”고 말했다.

개화 조짐 보이는 SOAR

SOAR는 전 세계적으로도 이제 막 태동을 시작했으며, 글로벌 기업들은 전문기업을 인수하면서 시장 개척에 나섰다. 파이어아이가 힐릭스를, 스플렁크가 팬텀을, MS가 헥사다이트를, 래피드7이 커맨드를, 팔로알토네트웍스가 데미스토를 인수하면서 시장 공략에 나섰다. 안랩은 보안관제 역량을 기반으로 SOAR 보안관제 서비스 ‘세피니티 에어’를 출시하고 국내 시장 공략을 시작했다.

국내에서 SOAR는 아직 시기상조라는 분석이 지배적이다. SOAR를 도입하기 위해서는 SOC 조직이 갖춰져 있어야 하며, 위협의 종류별로 대응 방법을 매뉴얼화 해 자동으로 적용할 수 있도록 정리된 프로세스인 플레이북이 다양하게 마련돼 있어야 한다. 국내에서는 기업이 자체 운영하는 SOC는 물론이고 보안관제 전문 서비스 기업조차 충분히 준비되지 않았기 때문이다.

그럼에도 불구하고 보안 업계에서는 SOAR에 높은 관심을 보이고 있다. 단편적인 이벤트 분석 중심의 보안관제로는 멀티 클라우드의 진화하는 보안 위협을 막을 수 없다.

오진석 파이어아이코리아 상무는 “국내에 SOAR가 도입되기에는 아직 이른 상황인 것은 사실이다. 그러나 SOAR 플랫폼을 통해 멀티 클라우드 보안관제를 업그레이드 하려는 수요는 분명하다”며 “SOAR 관련 기술과 플랫폼을 제공하는 경쟁사들이 국내 시장에 잇달아 진출하면서 경쟁에 불을 붙이고 있는 만큼, 곧 시장이 개화될 것이라고 본다”고 말했다.

▲파이어아이 ‘힐릭스’ 플랫폼

MDR 경쟁력 강화하는 SOAR

파이어아이의 SOAR 플랫폼 ‘힐릭스(Helix)’는 클라우드를 기반으로 제공돼 모든 클라우드에서 민첩하게 보안 위협을 탐지하고 대응할 수 있도록 도와준다. 글로벌 분산 환경에서도 실시간으로 위협을 탐지하고 고객 환경에 적용할 수 있다.

보안 분석 전문가의 지원으로 공격자에 대한 통찰력을 갖게 하고 사고 조사와 대응을 가속화한다. 힐릭스는 이기종 장비 간 통합, 워크플로우 자동화 신속한 대응이 가능하다. 다양한 벤더·제품의 플러그인이 제공돼 쉽고 간편하게 워크플로우에 대한 시나리오를 플레이북으로 생성·편집할 수 있다. 3000개 이상의 인텔리전스 룰을 제공하며, 모든 로그 정보를 자동으로 아이사이트 인텔리전스에 매칭한다.

한편 파이어아이는 SOAR를 매니지드 위협 탐지 및 대응(MDR)에도 접목해 MDR 서비스 경쟁력을 한층 강화시켰다. 그러면서 야간과 주말에도 중단 없는 MDR 서비스가 지원되도록 강화하고 있다.

파이어아이 MDR은 추가 인건비 없이 매일 24시간 보안기능을 제공하는 ‘매니지드 디펜스 야간·주말 서비스’를 제공한다. 이 서비스는 SOC 업무 시간이 주 5일, 하루 8시간인 기업에 적합하다. 더불어 EDR 솔루션 엔드포인트 시큐리티의 실시간 탐지 기능과 매니지드 디펜스 서비스의 대응 기능을 결합한 ‘엔드포인트 보안용 파이어아이 매니지드 디펜스’ 서비스도 제공한다.

SOAR 시장의 문 열렸다

국내 SOAR 시장이 개화의 조짐을 분명히 보이고 있다. 안랩이 클라우드 보안관제 서비스를 제공하면서 구축한 표준화, 자동화, 오케스트레이션 기능을 패키지로 통합한 ‘세피니티 에어(Sefinity AIR)’를 출시하면서 시장의 문을 활짝 열었다.

이 제품은 보안·비보안 솔루션 연동으로 수집되는 다양한 영역의 보안위협 데이터를 하나의 화면에서 탐색하고 처리할 수 있고, 고객사별 환경에 맞게 프로세스를 최적화할 수도 있어 전반적인 보안위협 대응과 운영 업무 효율성을 높일 수 있다.오케스트레이션, 위협 인텔리전스 플랫폼(TIP), SOC IR 플랫폼, 머신러닝 기반 데이터 분석 엔진(ASA) 등으로 구성된다.

SOAR 전문기업을 인수하면서 시장 공략에 나선 글로벌 기업들도 국내 시장에 관심을 보이고 있다. 팔로알토네트웍스는 클라우드 통합 보안을 위한 ‘프리즈마(Prisma)’ 스위트에 올해 초 인수한 데미스토 통합 작업을 서두르고 있다. 이를 통해 IaaS, PaaS, SaaS 전 영역에서 고객을 보호할 수 있는 클라우드 보안 스위트를 완성해간다는 뜻을 보이고 있다.

데미스토는 AI 자동화 엔진과 티케팅 시스템, 자동 완화 기능 등으로 구성된 SOC 솔루션으로, 거의 대부분의 보안 제품을 연동할 수 있는 탬플릿을 지원하고 있어 별도의 연동 작업 없이 드래그 앤 드롭으로 쉽게 사용할 수 있다. 사전 제작된 탬플릿이 없어도 API를 이용해 쉽게 연동할 수 있으며, AWS, 애저 등 멀티 클라우드 환경에서도 통합 운영이 가능하다.

클라우드 서비스 사업자인 구글도 구글 클라우드 플랫폼(GCP)에서 SOAR 기능을 지원하면서 고객의 클라우드 보안 관리 업무를 간소화한다. GCP의 클라우드 시큐리티 커맨드 센터(CSCC)에서 지원하는 GCP 리소스 보안관리와 데이터 위험 관리 툴은 단일 창에서 위협 방지와 탐지, 대응 업무를 지원한다. 의심스러운 활동이나 침해된 리소스를 신속하게 알려주며, 탐지된 이벤트는 SIEM으로 보내 위협 대응 시간을 절감한다.

AI 접목해 효과적 보안관제 제공

보안관제 기술은 선제방어에서 ‘탐지와 대응(Detection and Response)’으로 확장해나가고 있으며, 매니지드 보안 서비스(MSS) 시장에서도 동일한 흐름으로 매니지드 보안 탐지 및 대응(MDR) 역량을 강화하고 있다. MDR이 기존 보안 관제와 다른 점은 클라우드를 포함한 모든 환경에서 위협을 자동으로 탐지하고 대응한다는 점이다. SOAR의 개념을 MDR에 적용시켜 보안관제에 필요한 역량을 자동화하고 효과적으로 대응해 보안관제 조직의 업무를 크게 줄이고 보안 분석가들은 더 고도화되고 지능화된 공격 분석에 집중할 수 있도록 한다.

자동화된 보안관제를 위해 AI를 접목하는 흐름도 본격화되고 있다. 시큐아이는 IBM 인공지능 엔진 ‘왓슨’을 이용해 AI 기반 차세대 보안관제 서비스 ‘CSOC’를 제공한다. CSOC는 IBM의 인공지능 엔진 ‘왓슨’과 IBM의 위협 대응 조직 ‘엑스포스’, 그리고 삼성SDS가 축적해온 보안관제 전문성을 결합시킨 차세대 보안관제 서비스다. 대규모 글로벌 위협 데이터를 분석하는 왓슨과 엑스포스의 글로벌 위협대응 능력, 그리고 국내 위협에 대응해 온 시큐아이의 전문성을 결합해 공격 전체를 가시화하고 대응할 수 있다.


관련기사

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.