[데이터넷] AI가 사이버 보안 시장을 흔들고 있다. AI를 보안 분석과 위협 탐지·대응에 접목한 솔루션은 오래전부터 있었지만, 생성형AI 등장을 계기로 한층 더 고도화된 AI 기반 보안 솔루션에 대한 기대가 생기고 있다. 이러한 트렌드를 가장 잘 보여주는 분야가 SOAR이다. 보안관제를 효율화하는 SOAR는 AI를 이용한 자동화가 핵심이다.

모든 보안 솔루션에서 수집되는 이벤트를 필요한 분석 솔루션에 보내고, 그 결과를 보안 통제 시스템으로 전송해 적절하게 조치하도록 하며, 플레이북과 보안 프로세스에 적용해 새로운 위협 환경에 최적화하는 조치를 취하도록 해야 SOAR의 이상이 완성된다.

아무리 잘 훈련된 보안관제 요원도 이 모든 과정을 수작업으로 이행할 수 없다. AI를 이용해 대부분의 보안관제 업무를 자동화 한 후 AI가 판단하지 못하는 새로운 위협, 고도화된 공격에 대해서만 보안관제 요원이 처리하도록 해야 한다. 이를 수행하지 못하는 SOAR는 보안 복잡성을 높이는 포인트 솔루션 중 하나가 될 뿐이다.

손동식 시큐어시스템즈 대표는 “SOAR는 보안관제를 효율화하는데 목적을 두고 있기 때문에 위협 사례에 따른 자동화된 처리 기술이 핵심 경쟁력이다. 풍부한 플레이북을 기반으로 대부분의 위협을자동 탐지, 대응할 수 있어야 한다. 자동 처리할 수 없는 고도화된 위협은 전문가가 빠르게 파악하고 판단할 수 있도록 직관적인 관리 환경을 제공해야 한다. 이렇게 운영되지 못하는 SOAR는 보안관제 업무 부담을 더 높일 뿐”이라고 강조했다.

실제 현장서 축적한 6000여개 플레이북 제공

SOAR는 최근 몇 년 동안 많은 산업군 고객들이 도입하면서 보안관제를 개선하고자 했지만, 성공 사례는 많지 않다. SOAR에 연동되지 못하는 레거시 시스템이 많았으며, SOAR 솔루션에서 제공하는 플레이북은 운영이 어려워 제대로 활용할 수 없다는 문제도 있었다.

SOAR의 자동 대응 기능을 위해서는 플레이북을 잘 사용할 수 있어야 한다. 그래서 최근 SOAR 솔루션들이 맞춤형 플레이북을 자동 생성할 수 있으며, 고객이 직접 편집할 수 있도록 해 편의성을 높인다고 강조한다.

그러나 맞춤형 플레이북 역시 기존에 참고할 수 있는 공격사례가 있어야 사용할 수 있다는 점이 한계다. 예를 들어 기존에 알려지지 않은 새로운 케이스의 공격에 대해서는 플레이북을 자동 생성할 레퍼런스가 없어 플레이북 기반 대응이 어렵다. 결국 보안관제 요원이 해당 사례를 모두 분석해 SOAR의 탐지·대응 워크플로우에 업로드해야 한다. 이러한 일이 자주 발생한다면 SOAR 도입의 의미가 퇴색되며, SOAR를 위한 업무가 더 추가되는 셈이 되고 만다.

손동식 대표는 “SOAR가 제대로 작동하기 위해서는 모든 보안 솔루션의 이벤트를 상관분석해 탐지하고, 자동화된 워크플로우를 따라 운영될 수 있어야 한다”며 “시큐어시스템즈의 ‘시큐어오케스트라는 AI 기반 분석 엔진 ‘리차드’와 현장에서 축적한 6000여개의 플레이북을 이용해 정확하게 위협을 식별하고 자동 차단, 혹은 보안관제 요원의 분석과 모니터링이 가능하도록 도와 실질적인 보안관제 효율성을 높이는데 도움을 주고 있다”고 말했다.

보안관제 업무 절반 이상 자동화 할 것

시큐어시스템즈는 국내 1세대 화이트해커 손동식 대표와 CERT 요원, BOB, AI 전문가들이 모여 2019년 설립했다. 사이버 워룸, SIEM, 악성메일 모의훈련, BAS, 보안관제 서비스 등을 제공해왔으며, 최근에는 SOAR 솔루션 ‘시큐어오케스트라’를 주력으로 시장 확대에 나섰다.

지난해 2월 휴네시온 자회사로 편입된 후 개발역량을 한층 강화해 솔루션과 서비스에 AI와 자동화된 대응 역량을 높이고 있으며, 휴네시온의 다양한 파트너와 함께 여러 산업군의 고객에게 솔루션과 서비스를 제공하고 있다.

시큐어오케스트라는 침투테스트와 침해사고 대응 분야의 전문가들의 실전 대응 노하우를 집약한 솔루션으로 경쟁력을 입증하고 있다. 시큐어오케스트라는 사이버 킬체인 기반 모니터링으로 다양한 공격 유입 경로별 최적화된 대응 방안을 제안하며, 마이터 어택(MITRE ATT&CK) 모니터링 분석으로 조직이 자신들의 보안 태세를 파악하고 방어 취약점을 발견할 수 있도록 지원한다. AI 이용 자동화 대응으로 초급 인력도 중급 이상 보안관제 전문성을 발휘할 수 있도록 돕는다. 드래그 앤 드롭 방식으로 누구나 쉽게 워크플로우를 편집해 사용할 수 있게 하는 기능 업그레이드 버전도 곧 공개할 계획이다.

손동식 대표는 “시큐어오케스트라는 보안 시스템의 통합운영으로 보안관제 효율성을 극대화할 수 있다. 이를 통해 보안인력의 업무 부담을 최소화하면서 효과적으로 위협에 대응할 수 있도록 한다. 앞으로 AI·자동화 역량을 지속적으로 고도화해 보안관제 업무의 절반 이상을 자동으로 처리할 수 있도록 하는 것이 목표”라고 설명했다.

휴네시온 솔루션 연동으로 보안·자동화 역량 강화

시큐어오케스트라는 휴네시온 솔루션의 통한 플랫폼으로도 활용되고 있다. OT를 위한 일방향 망연계 솔루션 ‘아이원넷DD’와 연계해 OT에서 수집한 프로토콜 정보를 시큐어오케스트라에서 분석해 정교한 위협 식별과 대응을 지원하고 있다. 하반기 휴네시온 ‘아이원NAC’ 연동을 마쳐 NAC에서 탐지하는 위협을 플레이북과 연계해 더 정밀하고 정확하게 위협에 대응할 수 있게 할 계획이다.

손 대표는 “휴네시온 솔루션 연동을 통한 시너지 효과가 높을 것이라고 기대한다. 휴네시온의 기존 고객과 신규 고객에게 SOAR를 제공해 휴네시온 솔루션의 보안 역량을 크게 확장하면서 동시에 SOAR 적용 사례를 늘려 더 많은 탐지·대응 경험을 쌓아 더 효율적인 보안관제를 만들 수 있도록 지원할 것으로 기대한다. 특히 휴네시온의 탄탄한 전국 유통 네트워크를 이용해 더 다양한 고객에게 시큐어시스템즈 기술과 서비스를 제공할 수 있을 것으로 전망한다”고 밝혔다.

김선애 기자 다른기사 보기