SOAR도 계몽단계 진입 앞둬…CAASM, IT·IoT·OT 및 내외부 자산 가시성 결합
[데이터넷] 운영기술(OT) 보안이 시장의 거품이 빠지고 혁신의 성과를 현실화하기 직전의 단계에 올랐으며, 사이버 물리 시스템(CPS) 보안이 잠재적 혁신 가능성에 대한 관심을 받기 시작한 것으로 분석됐다.
가트너의 ‘2022년 보안운영 분야 하이프 사이클(Hype Cycle for Security Operations, 2022)’에 따르면 OT 보안은 기술의 수익 모델을 보여 주는 좋은 사례들이 늘어나면서 2~3세대 제품이 출시, 더 많은 기업들이 투자를 시작하는 ‘계몽단계(Slope of Enlightenment)’ 직전에 이르렀으며, CPS 보안이 새롭게 ‘기술 촉발(Technology Trigger)’ 단계의 중간 단계로 단숨에 뛰어오른 것으로 나타났다.
OT는 산업용 장비와 자산, 프로세스, 이벤트를 모니터링하는 기술로 주로 네트워크 모니터링을 통한 자산 식별, 취약점 탐지 등을 수행한다. CPS 보안은 비교적 최근 주목받는 기술분야로, 감지, 계산, 제어, 네트워킹을 조정하고 사람을 포함한 물리적 세계가 상호작용하도록 설계된 시스템을 보호하는 기술을 말한다. CPS 보안은 스마트시티, 스마트 그리드, 자율주행차, 스마트 제조시설 및 스마트빌딩까지 포함하며, 물리적 침해, 해킹, 스푸핑, 변조 등 사이버·물리 분야의 모든 보안 위협에 대응한다.
본격 성장 앞둔 SOAR…실제 효과 보여줘야 하는 XDR
이번 보고서에서 주목되는 또 다른 기술 분야는 SOAR가 ‘환멸 단계(Trough of Disillusionment)’의 끝에 이르러 실제 효과를 보여주는 계몽단계 진입을 눈앞에 두고 있다는 점과 XDR이 ‘부풀려진 기대의 정점(Peak of Inflated Expectations)’의 최고점에 있다는 점이다.
SOAR는 보안 오케스트레이션과 자동화, 대응, 위협 인텔리전스(TI) 관리를 단일 솔루션으로 통합한 것으로, SOC 팀을 지원하고, 인적 전문지식과 자동화를 활용해 분석가의 효율성을 높인다. 최근 SOAR는 컨텍스트·데이터 강화 기능을 추가해 탐지 정확도와 실행 가능성을 높인다.
XDR은 여러 보안 도구를 결합한 위협 탐지·사고대응 솔루션으로, 보안분석, 경고 상관관계 분석, 사고대응과 사고대응 플레이북 자동화를 포함한다. 보안사고를 관리하는 비용을 절감하고 위험 상황을 개선할 수 있지만, 실제 운영을 위해서는 높은 전문성이 필요하며, 솔루션 전반의 비용이 높다는 한계가 있다. 또한 단일 업체 솔루션으로 통합했을 때 벤더 종속성이 높아진다는 우려가 있음에도 XDR 공급업체들은 다른 벤더 솔루션 통합에 적극적이지 않다.
통합 염두에 둔 보안 전략 필요
이번 보고서에서는 사이버보안 메시 아키텍처(CSMA)가 새롭게 등록됐는데, CSMA는 상호 연결되지 않는 여러 포인트 솔루션으로 인해 관리 사각지대가 늘어나고 보안위협이 늘어나는 문제를 해결하기 위해 모든 보안 기술을 통합된 아키텍처로 설계하는 것을 말한다.
기업이 사용하는 보안 도구와 인텔리전스, ID 솔루션을 중앙집중 운영하며 감독함으로써 사각지대 없이 보호할 수 있게 한다. 비즈니스 성장에 따라 유연하게 확장될 수 있으며, 새로운 보안 기술을 쉽게 아키텍처에 적용시킬 수 있게 하며, 위협 상관관계 분석과 보안 툴간의 협업을 통한 보안운영 효율성을 향상시킬 수 있다.
그러나 CSMA도 단일 벤더 제품으로 구성하도록 해 벤더 종속성이 높아지며, 서로 다른 제품을 통합하는데 높은 전문성을 요구한다. CSMA는 아직 완성된 솔루션으로 출시된 것은 아니며, 사용 가능한 모범 사례 지침이 제시된 상황이다.
다만 가트너는 CSMA 원칙에 맞게 보안 툴을 구입하고 배포하는 방식을 전략적으로 전환해 미래에 대비해야 한다고 조언했다. 완벽하게 개발되고 고급 API를 갖춘 공급업체를 선택하고, 최신 보안 표준을 준수하며, 보안 파트너 네트워크에 통합함으로써 보안 인프라를 완성해야 한다고 조언했다.
사이버 자산 공격 표면 관리(CAASM: Cyber Asset Attack Surface Management)가 기술촉발 단계의 중간 정도에 올랐으며, 노출관리(EM: Exposure Management)가 지난해에 이어 등록됐다는 것도 주목된다.
CAASM은 보안팀이 기존 도구와 API 통합으로 지속적인 자산 가시성과 취약성 문제를 해결하도록 돕는다. 엔드포인트, 서버, 기기, 애플리케이션, 클라우드 워크로드 등 기업 내외부 자산을 실시간으로 탐지하고 식별하며, 취약성 평가와 침입 탐지·대응 기술을 연계해 관리하면서 보안위생을 개선한다. IT, OT, IoT 자산에 대한 완전한 가시성을 제공해 공격표면을 제거하고, 섀도우 IT를 통제한다.
가트너는 CAASM을 선택할 때 내부·외부 자산 가시성 기능을 결합할 수 있으며, IT·IoT·OT 시스템을 이해하는 공급업체를 선택하는 것이 좋다고 조언했다.
장기 계획 하에 보안운영 개선해야
한편 가트너는 클라우드 확대로 공격영역이 늘어나면서 보안운영 조직이 평가하고 지원해야 하는 툴이 증가하고 있다는 점을 지적하면서 보안조직은 위협을 신속하게 탐지·완화하고 노출을 줄일 수 있는 보안 기술이 필요하다고 조언했다.
보안운영은 단순한 부서, 팀, 기술이 아니라 높은 수준의 복원력을 보장하기 위해 직원이 수행하는 프로세스 그룹을 말한다고 설명하며, 여러 공급업체 솔루션을 통합·연계해 비즈니스 리스크를 줄이고 더 빠르게 대응할 수 있는 단일 통합 플랫폼을 염두에 두어야 한다고 강조했다.
보안운영에 필요한 기술은 즉각적인 효과를 제공하는 경우는 거의 없으며, 잘 설계된 프로세스를 기반으로 위협의 우선순위에 따라 관리하고, 특정 조직의 위협 환경을 해결할 수 있어야 한다고 설명했다. 또한 장기적인 계획 하에 현재 기술을 잘 사용하면서 새로운 기술을 단계적으로 도입해야 한다고 덧붙였다.
