보안조직 피로감 줄요 더 빠르고 정확하게 위협 대응
[데이터넷] 내년부터 50인 이상 사업자까지 주 52시간 근무제가 확대된다. 일과 생활의 조화를 이루고 더 많은 일자리를 생산하기 위해 시행되는 제도이지만, 보안 조직에는 상당한 부담이 아닐 수 없다. 그래서 정부는 보안사고 등 특별한 이벤트가 발생했을 때 한시적으로 완화하는 별도 규정을 마련하기도 했다.
이 같은 조치에도 불구하고 보안 조직은 제도를 지킬 수 있을지 확신하지 못한다. 보안위협이 증가하면서 더 많은 보안 솔루션을 도입하고 있으며, 수많은 보안 장비들이 쏟아내는 이벤트를 분석하고 대응해야 하는 보안 업무가 급증하고 있기 때문이다.
이 문제를 해결하는 방법으로 ‘RPA’가 제안된다. RPA를 보안 업무에 적용해 외부 기관에서 제공하는 위협 정보를 보안 시스템에 자동으로 적용해 운영할 수 있다. 향후 IT·보안 시스템에서 탐지하는 위협에 대한 자동화된 대응 방안을 제공해 위협을 완화시키는 솔루션으로 발전할 것으로 보인다.
정욱 인포시즈 이사는 “보안 RPA는 금융보안원, 한국인터넷진흥원 등 외부 기관에서 제공하는 위협 인텔리전스를 자동으로 보안 솔루션에 적용하고 탐지된 위협에 대한 적절한 대응 방법을 적용해 보안 조직의 업무를 줄이는 솔루션이다. 주 52시간 근무제에 따라 보안 효율성을 제고해야 하는 기업의 수요가 많다”고 설명했다.
보안 업무 효율화하는 보안 RPA
SOC를 위한 보안 솔루션으로 보안 오케스트레이션, 자동화, 대응(SOAR)가 최근 주목받고 있다. SOAR는 보안 탐지·대응 프로세스가 표준화돼 있어야 도입할 수 있는데, 현재 대부분의 SOC에서는 이러한 요건을 갖추지 못했다. SOAR 도입 전 보안 업무 효율화를 위해 RPA를 검토하고 있다.
보안 RPA를 활용하는 사례를 들어보면, 외부 기관에서 위협정보 빅데이터를 제공받아 방화벽, IPS 등에 적용해야 한다. 매일 이 작업을 하는데 많은 시간이 소요돼 중요한 위협 이벤트를 분석하는 핵심 업무에 집중할 시간이 줄어든다.
보안 RPA는 외부 기관의 위협 인텔리전스를 YARA 룰로 만들어 자동 적용한다. 인력 개입 없이 운영할 수 있으며, 발견된 위협의 대응을 쉽게 해 위협을 완화한다. 향후 이 기술은 다른 여러 IT 시스템과 연동돼 위협의 성격과 수준, 해당 시스템의 프로세스에 따라 자동으로 정책을 만들고 적용할 수 있도록 개선될 것으로 기대된다.
정욱 이사는 “보안 정책 자동화 솔루션이 다양하게 소개되고 있지만, 국내 보안장비까지 원활하게 지원하는 솔루션은 찾기 어렵다. 또한 각 기관에서 제공하는 서로 다른 포맷의 위협 정보를 개별 보안 장비의 특성에 맞게 자동으로 적용하는 것도 쉽지 않은 일”이라며 “단순하고 반복적이지만 중요한 정책의 자동화를 위한 솔루션이 시급한 상황”이라고 말했다.
전 산업군서 보안 자동화 수요 증가
인포시즈는 엘로이큐브의 ‘엔엑스포트레이트(NXPortait)’로 보안 RPA 시장을 공략한다. 이 솔루션은 IT 보안 운용 시스템과 사이버 위협 대응 업무를 자동화하고 업무 효율성을 높여주는 IT 보안업무 자동화 솔루션으로, 금융보안원 등으로부터 위협정보와 APT·IPS/IDS 탐지 이벤트를 자동으로 수집해 식별해 대응 방안을 설정해 자동으로 적용한다.
SOAR가 탐지와 분석, 대응을 수행하는 솔루션이라면 엔엑스포트레이트는 위협 완화에 초점을 맞춰 취약한 설정과 구성오류를 바로잡고 애플리케이션 패치, 룰·시그니처 생성 등의 기능을 수행한다.
정욱 이사는 “보안 RPA는 단순하고 반복적인 작업을 처리해 보안팀이 더 중요한 위협에 집중할 수 있도록 도와준다. 너무 많은 경보로 인해 발생하는 보안 피로를 줄여 더 빠르고 정확하게 위협에 대응할 수 있도록 해 조직의 보안수준을 한층 높여줄 수 있다”며 “공공·금융·엔터프라이즈 전체 산업군에서 보안 RPA 수요가 늘어나고 있어 향후 사업성은 매우 밝은 것을 판단하고 시장에 소개하고 있다”고 말했다.
