[NGSV 2022] 보안운영센터(SOC)는 현재 위기에 직면해있다. 그간 보안에 많은 투자를 해 왔음에도 불구하고 KPI를 달성하는 SOC는 30%도 되지 않는다. 너무 많은 보안 솔루션을 관리하는데 너무 많은 업무 시간을 들이고 있기 때문에 보안 솔루션을 추가 구입할 수도 없으며, 보안 인력을 무제한 추가 채용할 수도 없는 상황이다.

이렇게 된 이유는 보안 솔루션이 제각각 위협을 탐지하기 때문이다. 보안인력이 각자 자신의 인사이트에 따라 개별 솔루션의 이벤트를 분석하는데, 단절된 개별 이벤트로는 공격 전체를 파악할 수 없고, 분석가의 성숙도에 따라 분석과 대응이 달라지기 때문에 효과적인 대응이 이뤄진다고 볼 수 없다.

최대수 팔로알토 네트웍스 코리아 이사는 “보안 솔루션이 수집한 이벤트가 많기 때문에 침해 후 공격을 재구성하는 것은 가능하지만, 피해가 발생한 후 조사하는 것 보다 사고 발생 전에 수집된 데이터를 통해 공격을 인지하고 대응해야 한다. SIEM은 가시성이 제한되고 다양한 이벤트를 연계 분석하지 못한다. 또한 사람의 전문성에 의지하기 때문에 SOC가 직면한 문제를 해결하지 못한다”고 지적했다.

단 몇 분 내 위협 대응해 선제보안 완성

최대수 이사는 23일 ‘차세대 보안 비전 2022’의 키노트 세션 ‘Cortex와 시큐리티 운영의 미래’에서 완벽하게 통합되고 자동화된 보안관제 기술을 이용해 SOC를 효과적으로 개선하는 방법에 대해 설명했다. 모든 보안 탐지, 분석, 대응 기능을 통합하고 자동화하며, AI를 이용해 보안인력에 의지하지 않는 자율적 SOC를 만든다는 것이 팔로알토의 설명이다.

현재 SOC의 핵심 문제를 해결하기 위해 팔로알토는 ▲모든 영역에서 실시간 위협 탐지와 조사를 수행하는 ‘코어텍스XDR’ ▲자동으로 공격에 대응해 SOC를 개선하는 ‘코어텍스 XSOAR’ ▲공격표면의 취약성을 제거해 선제적인 보안을 완성하는 ‘코어텍스 익스팬스(Xpanse)’를 제안한다. 이 세 솔루션으로 엔터프라이즈 전반의 지능적 위협을 탐지하고, 단 몇 분 내에 위협에 대응하며, 전체 공격표면을 가시화하고 보안 조치를 취하게 한다.

팔로알토 코어텍스 솔루션으로 SOC를 개선하는 사용 사례를 설명하면, 공격표면 관리(ASM) 솔루션 익스팬스를 이용해 모든 인터넷에 공개된 자산을 파악해 공격접점을 제거하고, XDR로 엔드포인트·네트워크·클라우드·ID에서 침해증거와 취약점을 찾고 분석해 공격이 피해로 이어지기 전에 제거한다. XSOAR를 이용해 보안관제 프로세스를 자동화한다.

최대수 이사는 “코어텍스 솔루션을 이용해 팔로알토 네트웍스 SOC는 하루 166억건의 이벤트 중 467건의 알림과 67건의 인시던트를 걸러내 분석하고 대응하는데, 평균 탐지 시간 10초, 대응시간 1분밖에 소요되지 않는다. 코어텍스는 SOC 인력이 더 높은 위협에 집중할 수 있도록 해 SOC를 개선한다”고 말했다.

유닛42 전문가 보안 서비스 제공

팔로알토는 이에 그치지 않고 SOC가 완전 자율형 탐지와 대응이 가능하도록 하는 ‘코어텍스 XSIAM’도 출시했다. XSIAM은 AI를 적용한 자율형 SOC 플랫폼으로, XDR, SOAR, ID 분석, ASM, SIEM, 확장형 보안 인텔리전스와 자동화 관리가 통합됐다.

최대수 이사는 “XDR, XSOAR를 이용하면 SOC 처리 속도를 90% 향상시킬 수 있지만, 여전히 SOC 인력에 의지할 수밖에 없는 부분이 있다. XSIAM은 AI와 자동화를 통해 위협에 한 발 앞서 대응하는 SOC를 만들 수 있는 보안관제 플랫폼”이라며 “팔로알토의 유닛42 전문가 보안 서비스까지 결합해 지능적이고 정교한 위협도 자동 대응이 가능하다”고 설명했다.

최 이사는 “팔로알토 코어텍스 솔루션은 XDR, XSOAR, ASM 등 SOC 효율성 제고를 위한 기술을 동급 최고 사양으로 갖췄으며, XSIAM으로 통합 SecOps 마이그레이션을 지원한다. 코어텍스 제품군은 모두 유닛42 전문가 보안 서비스와 함께 이용할 수 있으며, 관리형 보안 서비스로 보안 조직의 역량이 충분하지 않은 고객도 도입 가능하다”고 덧붙였다.

데이터넷 다른기사 보기