클라우드, SOAR 도입 촉진시켜…글로벌 기업 뛰어들며 경쟁
[데이터넷] 완성된 SOAR는 자동화된 대응까지 포괄하고 있지만, 이를 실제로 구현한 사례는 많지 않다. 그래서 SOAR를 대규모 환경에 직접 도입하기보다 소규모 환경에서 먼저 도입한 후 단계적으로 확장하는 과정을 거친다. 기존 인프라에서 수집된 정보를 바탕으로 특정 인시던트에 대한 자동화 대응을 적용해 보는 수준으로 진행되고 있다. 이러한 수준의 SOAR 프로젝트는 금융·하이테크 기업을 비롯해 여러 산업군에서 시범적으로 진행하고 있으며, 단계별 적용을 통해 SOC 고도화 를 도모하고 있다.
클라우드 환경에서는 SOAR 도입이 오히려 원활하게 전개될 수 있다. 클라우드는 모든 통신이 표준화된 API 프로토콜을 통해 이뤄지기 때문에 SOAR의 필수 조건인 표준화·자동화가 가능하다.
김기환 포티넷코리아 이사는 “SOAR 도입의 걸림돌은 비표준 프로토콜을 사용하는 보안 장비인데, 클라 우드는 그런 장벽이 없기 때문에 오히려 수월하게 도입 될 수도 있다”고 설명했다.
국내 시범 사업 수주 잇따르며 경쟁 확대
SOAR는 지금 당장 시장이 개화되는 상황은 아니지만, 여러 기업들이 솔루션을 출시하면서 빠르게 시장 선점에 나선 상황이다. 파이어아이 ‘힐릭스 플랫폼’과 팔로알토넥트웍스의 ‘코어텍스 XSOAR’가 굵직한 고객 사례를 확보하며 시장 장악에 나섰고, 사이버스폰스를 인수한 포티넷의 ‘포티SOAR’도 국내 출시를 본 격화하며 시장 선점 경쟁에 나섰다.
포티SOAR는 300개 이상 보안 플랫폼과 3000개 이 상 작업을 매끄럽게 통합해 SOC 팀의 생산성을 최적화 한다. 대응 속도가 빠르고 쉽게 공격을 억제하며, 보안 조치 시간을 몇 시간에서 몇 초로 단축시킨다.
보안 패브릭을 통해 전체 보안 시스템을 연동할 수 있어 오케스트레이션 기능이 탁월하며, 포티SIEM을 함께 사용할 수 있어 위협 탐지·대응 효과를 높일 수 있 다. 보안 패브릭은 지능화된 보안관리와 이종 시스템 지원·에코파트너 구성이 가능하며, 이종 장비 연동을 위한 내장된 커넥터도 경쟁사 대비 월등히 많은 수를 제공한다.
포티SIEM은 멀티 클라우드를 지원하며, 광범위한 보안 컨텍스트를 제공해 보안운영팀의 부담을 가중시 키는 수많은 의사결정 속도를 빠르게 하거나 자동화를 지원한다. 포티가드 위협 인텔리전스와 IOC를 비롯한 기타 위협 인텔리전스를 연동해 보안 프레임워크에 간 편하게 통합할 수 있으며, MITRE ATT&CK 프레임워 크를 연계해 글로벌 최신 위협 대응 효과를 높인다.
플레이북 편집 가능한 SOAR
보안관제 서비스 기업들도 SOAR를 통해 관제 고도 화를 진행하고 있다. 안랩은 SOAR 솔루션 ‘세피니티 에어(Sefinity AIR)’를 출시하며 시장 장악에 나섰다. 세피니티 에어는 다년간 누적된 안랩 위협 대응 프로세 스를 플레이북으로 표준화해 처리자의 업무 능력에 따 른 품질차이를 최소화하고 대응 품질을 일관되게 유지 한다.
표준화된 플레이북과 자유로운 편집 기능을 제공하며, 다양한 솔루션과의 연동으로 오케스트레이션 개념 을 업무에 도입할 수 있다. 또한 프로세스 자동화와 머 신러닝 기반 분석 모듈을 통해 위협 요소를 자동 식별 하고, 식별된 요소로 위협을 추론해 대응 업무의 효율 성을 향상시킬 수 있다.
안랩 플레이북은 중요 정보와 처리 단계에 집중해 발 생한 케이스를 빠르게 판단하고 결정한다. 일관된 대 응 품질을 유지시켜 신규 인력이나 담당자 교체에 따른 리스크를 최소화하고, 재사용과 끊임없는 개선으로 빠 르게 변하는 공격에 효율적으로 대응한다. 또한 체계적인 대응 프로세스로 효율적인 보안 운영, 체계화되지 않은 기존 대응 프로세스를 정리해 효율적인 보안운영 이 가능하다.
우리나라에서 가장 먼저 SOAR 영업에 나선 곳은 파이어아이다. 힐릭스 플랫폼을 통해 SOAR의 효과를 알 린 파이어아이는 국내 복수의 고객을 대상으로 SOAR 프로젝트를 진행하고 있다.
힐릭스는 클라우드에서 호스팅되는 보안 운영 플랫 폼으로, 사고 알림부터 해결까지 모든 과정을 제어한 다. 힐릭스는 보안 툴을 통합하고 차세대 SIEM, 오케스트레이션 및 위협 인텔리전스 기능으로 강화해 보 안 투자를 최대한 활용할 수 있도록 한다. 힐릭스에는 SIEM, 보안분석, 위협 인텔리전스, 워크플로우와 사 례관리, UEBA, 컴플라이언스, SOAR 기능이 포함돼 있다.
오진석 파이어아이 기술 총괄 상무는 “힐릭스는 보 안 전문가를 위해 설계된 제품으로, 보안 팀이 경보 관 리, 검색, 분석, 조사, 보고 등 주요 업무를 효율적으 로 수행하도록 지원한다. 또한 사전에 설계한 플레이 북을 기반으로 대응을 자동화해 복잡한 보안관리 업무 를 단순화한다”고 말했다.
파이어아이는 복잡한 보안 대응을 효과적으로 하기 위해 맨디언트 매니지드 서비스도 제공하고 있으며, 보 안 효과성 서비스를 제공해 사이버 보안의 효율성을 파 악하고 커뮤니케이션을 명확하게 할 수 있도록 돕는 다. 또한 MDR 서비스 ‘매니지드 디펜스’를 통해 고객이 보안침해 사고를 입지 않도록 도와준다.
