[데이터넷] 보안 업계의 오랜 숙원은 ‘보안 전문가를 충분히 고용하는 것’이다. 충분한 인력 풀을 토대로 유입되는 모든 위협을 분석하면 근본적인 대응책을 마련할 수 있다. 그러나 이는 실현 불가능한 일이다. 전 세계 모든 보안 전문가를 고용한다 해도 위협을 전부 다 분석할 수는 없다. 공격자들은 AI를 이용해 악성도구를 만들고, 목표 조직 맞춤형 전략·전술을 펼치기 때문이다.

오늘 발생한 모든 위협을 다 분석하고 대응했다 해서 내일 안전한 것도 아니다. 내일 또 다시 새로운 위협이 발생하고, 새로운 취약점이 발견되고 공격이 진행될 것이다. 그래서 중견·중소기업은 물론이고, 대기업·글로벌 기업들도 늘어나는 보안 위협에 비해 보안 전문가를 충분히 고용하지 못하고 있으며, 보안대응 인력 부족으로 인한 사이버 보안 리스크가 심화된다는 문제를 안고 있다.

보안운영센터(SOC)가 고질적인 인력난에 시달리는 이유는 너무 많은 보안 시스템 때문이다. 수많은 보안 시스템에서 생성하는 대규모 보안 이벤트가 쌓이는데, 이 중 어떤 이벤트가 실제 위협이 되는지 파악하기 어렵다. 클라우드·원격근무 도입으로 보안 경계가 넓어지고 있으며, 상시 재택근무 지원으로 보안 정책을 임직원 집까지 내려보내야 한다는 어려움도 겪고 있다.

빠르게 복잡해지고 고도화되는 위협과 전문인력 부족, 보안 시스템의 지속적인 증가, 너무 많은 이벤트 등은 SOC의 어려움을 가중시키는 요인으로 꼽힌다.

김대협 포티넷코리아 컨설턴트는 27일 데이터넷TV의 ‘제 20회 차세대 보안 비전 2021’에서 ‘차세대 SOAR로 기존 보안 대응체계 혁신하기’라는 주제의 세션을 진행하면서 SOC가 직면한 어려움과 해결책에 대해 상세히 설명했다.

그는 “보안 전문 인력, 탐지·대응 프로세스와 기술은 관제센터의 중요 구성요소이다. 현재 SOC가 구성요소들의 요구사항을 만족하고 있다고 보기 어렵다”며 “조직 내 모든 경고를 분석할 수 있도록 SOC 팀의 인력을 확보할 수 있는지, 관제 업무 프로세스를 추가하면 모든 경고에 대응할 수 있는지, 현재 통합보안 플랫폼으로 SOC 업무를 가속화할 수 있는지 살펴보면, 만족할 만한 대답을 할 수 없을 것”이라고 지적했다.

그러면서 그는 “SOC 업무를 효율화하는 지능형 보안관제 플랫폼 SOAR가 SOC 직면 문제에 대한 가장 효과적인 해결책이다. SOAR는 보안 시스템이 제 역할을 할 수 있도록 보안 프로세스를 자동화한다. 보안 솔루션이 탐지한 대부분의 이벤트는 이를 해결할 수 있는 보안 시스템으로 보내고, 기계가 판단할 수 없는 고도화된 위협 분석만을 분석가에게 전달해 SOC를 효율화한다”고 설명했다.

쉽게 구축 가능한 SOAR 제공

SOAR는 보안 오케스트레이션과 자동화(SOA), 보안위협 대응(SIR), 위협 인텔리전스 플랫폼(TP)이 통합된 차세대 보안관제 플랫폼으로, 보안 프로세스를 자동화 해 보안조직의 업무 부하를 줄이고, 보지 못했던 위협에 제대로 대응할 수 있도록 한다.

SOAR를 제대로 도입하기 위해서는 도입 기업의 관제 프로세스가 표준화되어 있어야 하고, 충분한 플레이북이 마련돼 있어야 한다. 그러나 대부분의 기업들은 관제 업무에 있어 제대로 정리된 매뉴얼도 부족한 상황이며, 플레이북도 미미한 상황이다. 그래서 초기 SOAR 도입 사업은 개별 사이트에서 관제 프로세스 표준화, 통합, 자동화와 플레이북 마련 등에 상당한 시간과 비용을 사용하는 등 다소 시행착오를 겪었다.

SOAR가 본격적으로 성장하기 시작하면서 SOAR 솔루션 벤더들은 SOAR 도입 준비가 완료되지 않은 기업에서도 쉽게 SOAR 플랫폼을 사용해 보안관제 조직을 효율화 할 수 있도록 지원한다. 고객의 비즈니스 특징, 산업 특징, 국가 특징 등을 고려한 플레이북을 적용하며, 관제 프로세스 표준화와 자동화를 통해 SOAR 플랫폼이 제대로 운영될 수 있도록 하고 있다.

포티넷의 ‘포티SOA’R는 쉽게 SOAR를 도입할 수 있도록 지원하는 차세대 지능형 SOC 플랫폼으로, 보안 오케스트레이션과 자동화, 위협 인텔리전스 관리, 인시던트와 케이스 관리, 워크클로우와 협업 지원 기능을 제공한다.

김대협 컨설턴트는 “SOAR는 관제 시스템과 프로세스를 모두 바꿔야하는 대규모 프로젝트로 생각하는데, 반드시 그런 것은 아니다. ‘포티SOAR’는 보안관제 표준화와 자동화를 도와줘 보안관제 업무의 효율성을 한층 높일 수 있도록 하며, 기 구축된 보안 솔루션의 탐지·대응 성능을 높이고, 실제로 위협이 줄어드는 것을 직접 체감할 수 있게 한다. SOAR는 비용대비 효과가 가장 높은 보안 솔루션”이라고 설명했다.

보안 탐지 효율성 98% 향상

SOAR를 성공적으로 도입하기 위해서는 다양한 이종 장비에서 데이터를 수집하고 가공할 수 있어야 한다. 포티SOAR는 써드파티 솔루션과 연동을 위해 300개 이상 커넥터를 지원하며, 3000개 이상 플레이북 액션을 지원해 탐지된 위협에 자동 대응할 수 있게 한다. 미리 정의된 커넥터가 없는 경우 커스텀 커넥터를 SDK로 개발할 수 있게 한다.

역할기반(RBAC) 표준 업무 프로세스 정립을 통해 명확한 R&R를 설정할 수 있게 해 SOC 인력 운영을 효율화하며, 업무 부담과 보안 피로도를 경감시킨다. 플레이북을 통한 업무 표준화로 보안관제 요원의 실력을 상향 평준화하며, 실수에 의한 피해를 최소화하고 인력 교체로 인한 운영경험 손실을 최소화한다.

포티SOAR는 위협 탐지부터 대응까지 걸리는 시간을 확실하게 줄이는 효과도 있다. 새로운 위협 탐지부터 분석까지 10분에서 70분 소요되지만, 포티SOAR는 내장된 플레이북을 이용해 1분 이내 탐지·대응한다. 위협 수준을 판단해 대응 우선순위를 알려줘 보안 대응 효율성을 98% 높인다.

NTA와 SIEM을 연동해 자동 대응도 가능하다. 전체 트래픽에서 이상징후를 탐지하면 관리자에게 리포팅하고, 데이터를 수집·보강해 담당자가 알아야 할 내용을 자동으로 수집해 위협 대응 정확도를 높이게 한다. 예를 들면 인사정보 시스템과 연계해 침해된 PC의 사용자 이메일 주소를 확인하고, 어떤 경로로 침해가 발생했는지 확인할 수 있다.

알려지지 않은 의심파일 분석 효과도 뛰어나다. 기존 솔루션으로는 130분~1487분 소요되던 분석업무를 6분 이내에 완료할 수 있다.

김대협 컨설턴트는 “보안 분석가가 이벤트를 처리하는데 상당한 시간이 걸리지만, 포티SOAR는 자동화된 대응 프로세스를 통해 빠르게 처리할 수 있다. 위협 수준에 따라 방화벽 등을 통해 자동 차단·격리하게 조치하는 것도 가능하며, 보안 분석가에게 알려 직접 분석하게 할 수도 있다”며 “포티SOAR는 보안업무 처리 시간을 감소시켜 보다 효과적으로 크리티컬한 위협에 대응할 수 있게 한다”고 설명했다.

SOAR 체험할 수 있는 기회 제공

SOAR가 SOC와 보안조직의 업무를 효율화하고 기 투자한 보안 시스템을 효과적으로 운영할 수 있지만, 모든 기업·기관에 SOAR가 필요한 것은 아니다. 규모가 작으면 SOAR가 필요 없다는 뜻은 아니다. 현재 발생하는 이벤트의 양과 관제 인력의 사이버 피로도 수준, 그리고 향후 조직의 데이터 증가 추세와 방향을 파악해 SOAR를 통한 차세대 보안관제 플랫폼을 구축하는 것이 좋을지 판단해야 한다.

또 현재 조직에 구축된 시스템이 SOAR와 연동되는지 파악하고, SOAR와 통합할 것을 분류해 통합 시 얼마나 효율성이 개선되는지 검토하며, SOAR를 통해 업무를 자동화 했을 때 효과를 볼 수 있는 업무를 찾아보는 과정이 먼저 이뤄져야 한다.

SOAR 제품을 검토할 때 반드시 조직에 맞는지 다양하게 테스트해야 하며, 쉽게 플레이북을 운영할 수 있는지, 유연한 아키텍처를 지원하는지, 기술지원 체계가 잘 갖춰져 있는지, 실제 소요되는 비용은 어느 수준인지 파악해야 한다.

포티SOAR는 편의성과 유연성, 확장성이 높은 SOAR 플랫폼으로, 실제 보안관제 조직의 효율성을 높인다. 쉽게 도입·운영 가능하고, 접속 계정 수에 따른 과금으로 비용을 효과적으로 사용할 수 있게 한다.

김대협 컨설턴트는 “포티SOAR는 도입 효과를 즉각적으로 체감할 수 있는 최고의 SOAR 플랫폼이라고 자부한다. 포티넷코리아 고객 브리핑 센터(CBC)를 방문해 직접 체험할 수 있는 기회를 제공하고 있으니 관심 부탁한다”고 말했다.