국내 보안관제 조직 수준 감안한 단계별 도입 필요
[데이터넷] SOAR는 차세대 보안관제의 핵심 기술로 주목받고 있다. 가트너는 2020년 말까지 5명 이상의 보안팀을 보유한 조직 15%가 SOAR를 사용할 것이라고 전망할 정도로 SOAR 시장 전망은 매우 밝은 편이다.
SOAR는 SIEM이나 기타 보안관제 기술이 보안의 우선순위를 정하고 해결하는데 충분하지 않다는 이유로 검토되고 있다. 이종 보안솔루션으로부터 위협을 탐지 하기 위해 SIEM이 도입됐지만, SIEM만으로는 보안 가시성을 충분히 확보할 수 없으며, 자동화된 대응까지 완성해 SOC를 효율적으로 운영할 수 있는 방법까지 요구되고 있다.
위협 자동 대응까지 지원하는 SOAR
SOAR가 보안 탐지·대응을 직접 수행하는 것은 아니다. 이종 보안 장비로부터 보안위협을 수집해 분석장비로 보내고, 위협 인텔리전스와 연계 분석해 도출된 결과를 보안 장비로 다시 보내 대응하도록 하는 일련의 과정을 통제한다. SOAR 도입을 위해서는 보안 관제 프로세스가 정확하게 정의되고 표준화돼야 하며, 실제 현장에서 사용 가능한 플레이북이 충분히 확보돼 있어 야 한다.
SIEM 벤더들은 차세대 SIEM이 SOAR로 발전할 것 으로 보고 있지만, SIEM도 SOAR와 연동되는 시스템의 하나이며, SOAR는 보안관제 플랫폼으로 진화할 것 이라는 전망이 우세하다.
SOAR가 필요한 이유는 보안위협이 급증하고 있으며, 이에 대응하기 위한 보안 솔루션도 급속하게 늘고 있는데, 이로 인해 보안관제 업무가 복잡해지고 있기 때문이다. 탐지되는 이벤트는 많지만 이를 제대로 분석·대응하지 못하며, 관제인력이 단순하고 반복적인 대응업무에 매달려 더 중요한 위협 탐지에 집중하지 못 하는 문제를 해결하기 위한 것이다.
보안관제 성숙도 높여 차세대 SOC 완성
SOAR는 SOC 성숙도가 높은 조직에서 도입 할 수 있는 플랫폼이다. 관제 프로세스의 표준화가 이 뤄져야 SOAR 도입을 고민할 수 있다. 또한 오래된 보안 솔루션은 API를 제공하지 않아 SOAR 플랫폼에 연 동되지 못한다는 문제도 있다.
이우재 SK인포섹 플랫폼서비스기획팀 전문위원은 “SK인포섹은 일찍부터 보안관제 업그레이드를 위해 SOAR 플랫폼 도입을 검토했으나, 우리나라 실정에 맞지 않아 직접 개발하는 것으로 선택했다. 토종 보안 솔루션의 일부가 SOAR와 연동되는 API를 제공하지 않거나 비표준 프로토콜을 이용하기 때문에 SOAR 연동이 불가능하다. 또한 고객마다 각각 다른 보안 유형과 관 제 프로세스를 갖고 있기 때문에 표준화를 전제로 한 관제 자동화를 완성하는 것도 어려운 일이었다”며 “SK인포섹은 국내 고객 환경에 최적화된 SOAR를 완성해 나 고 있으며, 그 첫번째 단계인 자동화에 초점을 맞춰 개발 중이다. 이를 통해 보안관제 성숙도를 높이면서 SOC의 새로운 모델을 만들어나갈 것”이라고 밝혔다.
SOAR 검토 전, 보안관제 표준화부터
SOAR에 요구되는 또 다른 사항은 플레이북이다. 플레이북은 공격 유형에 따른 대응 방안을 표준화한 일종 의 매뉴얼로, 실시간으로 탐지되는 공격을 정확하게 분류하고 적절한 대응이 이뤄지도록 자동화하는 과정이 필요하다.
보안관제 서비스 기업들은 침해사고 대응 경험을 축적한 대응 매뉴얼이 있어 이를 플레이북으로 만들 수 있다. 플레이북은 필요한 정보 선별과 우선 순위에 따라 순차적으로 업무를 처리하기 위한 판단을 시스템이 담당하도록 설계해야 성숙도 높은 자동화 기능을 제공할 수 있다. 이벤트 종류에 맞는 처리 방법을 시스템이 선택해 매칭하고 일관된 프로세스로 작업을 처리 할 수 있어 작업자 역량에 따른 대응 품질의 편차를 줄이도록 해야 한다.
정일옥 이글루시큐리티 관제기술연구팀장은 “플레이북은 발견된 위협을 연계해 보안 관제 프로세스에 맞 춰 자동화하는 것이 필수다. 이렇게 성숙도 높은 관제 프로세스를 만드는 것이 결코 쉬우 일은 아니며, 특히 비표준 보안 솔루션의 연계가 불가능해 자동화된 보안 대응 프로세스를 만들 수 없다”며 “현재 보안관제 프로세스에서 완성된 SOAR를 즉시 도입하는 것은 현실적으로 어려운 일이며, 표준화 단계부터 차근차근 진행 해야 한다”고 말했다.
황원섭 마이크로포커스코리아 부장은 “현재 국내에서 요구하는 SOAR는 자동화된 티켓 관리 시스템 수준으로 파악된다. 관제 요원의 업무를 줄이고 관제 효율 성을 높이는 관점에서의 SOAR라면 차세대 SIEM을 통해 통합·자동화된 보안 탐지를 완성하고, 관제 성숙도 를 높여가면서 SOAR로 발전하는 것이 좋을 것”이라고 조언했다.
