SOAR 플랫폼 시장 경쟁 시작…보안관제에 SOAR 접목하며 차별화
[데이터넷] 4차 산업혁명이 본격화되면서 차세대 ICT 기술이 경쟁적으로 쏟아지고 있다. 이 기술을 비즈니스에 어떻게 최적화 해 적용하는가에 기업의 생존 가능성이 달려있다. 본지는 디지털 트랜스포메이션을 이끌고 있는 차세대 ICT 기술을 분석하고 2020년 시장을 전망하는 특별 기획을 진행한다.<편집자>
보안관제 시장에서 가장 뜨거운 이슈가 SOAR다. SOAR는 오케스트라 지휘자와 같이 네트워크 전반에서 발견된 보안 위협을 보안 장비로 내려주는 역할을 한다.
예를 들어 이메일에서 의심스러운 첨부파일이 발견되면 샌드박스로 보내 분석하게 하고 글로벌 위협 인텔리전스 및 시그니처 보안 솔루션으로 위협을 탐지하게 한다. 악성 파일로 분석됐으면 이메일 보안 시스템에 해당 메일을 차단하게 하는 한편 그 악성파일의 시그니처를 메일 보안 시스템, 엔드포인트 보안 시스템 등에 업데이트하게 하고, SIEM·NTA 등 내부 모니터링 시스템에서도 참조해 유사한 모델이 있는지 등을 알아내게 한다.
반복 업무 자동화 해 보안 업무 줄여
SOAR는 보안조직의 업무를 크게 줄여줄 수 있는 솔루션이다. 발견된 위협을 분석해 정책을 만들고 해당하는 시스템으로 내려보내주는 것이 보안조직의 업무이며, SOAR가 그 작업을 효율화 할 수 있도록 도와준다.
보안조직은 복잡한 보안경고로 인해 보안 업무가 가중되고, 신규 위협에 대한 적절하게 대응할 수 있는 시간을 확보하지 못하는 것이 현실이다. 하루에 발생하는 보안 이벤트는 수십만개에 이르는데 보안 분석가가 하루에 분석할 수 있는 이벤트는 20개가 채 되지 않는다. 이 이벤트를 자동으로 분석하고 위협의 형태와 성격별로 분류해 대응할 수 있도록 하는 일은 보안 전문가의 업무였는데, 그 업무가 과중한 상태여서 제대로 대응하지 못한다.
SOAR는 이러한 업무를 자동화해 반복되는 보안 관리 업무를 처리하고 보안 분석가는 시스템이 자동화 분류하지 못하는 고급 위협 분석과 대응에 더 집중하도록 도와준다. 또한 시스템과 네트워크 전반에서 취약점 파악과 조치, 형상관리와 보안 업무의 프로세스와 정책 실행 및 리포트를 효율화한다.
경쟁 시작한 SOAR
SOAR는 힐릭스를 인수한 파이어아이가 시장의 문을 열었으며, 스플렁크가 팬텀을, MS가 헥사다이트를, 래피드7이 커맨드를, 팔로알토네트웍스가 데미스토를, 포티넷이 사이버스폰스를 인수하면서 시장 확산에 나섰다.
데미스토 SOAR 솔루션을 OEM으로 사용하던 RSA는 쓰렛커넥트와 다시 계약을 맺고 SOAR를 넷위트니스 플랫폼에 결합했다. 새로운 넷위트니스 플랫폼은 로그, 패킷, 엔드포인트, UEBA, SOAR, 머신러닝 분석까지 결합시켜 위협에 대한 정밀한 제어와 통제가 가능해졌다고 소개한다.
시스코는 클라우드 기반 오케스트레이션 솔루션 ‘CDO’와 보안위협 분석과 대응 서비스 ‘CTR’을 이용해 SOAR의 이상을 실현시킨다. 이 제품은 시스코 방화벽, 침입탐지, 머라키, 스텔스워치, AMP, 엄브렐라 등과 결합된다.
인포블록스는 DDI 정보를 SOAR와 보안관제 효율성을 한층 높이는 전략을 소개한다. SOAR는 위협에 대한 정밀한 컨텍스트 정보를 필요로한다. DDI는 네트워크 연결을 위한 모든 정보를 갖고 있어 DDI의 인텔리전스를 SOAR와 연동하면 더 효과적인 오케스트레이션이 가능해진다. 인포블록스는 이 특장점을 SD-WAN, IoT 분야까지 확대 적용해 모든 환경에서 위협 탐지와 대응 효과를 높인다.
국내 기업들도 SOAR 시장에 뛰어들고 있다. 안랩은 SOAR 기반 보안관제 서비스를 패키지화 한 ‘세피니티 에어’를 출시했으며, SK인포섹과 이글루시큐리티는 자사 관제 시스템에 SOAR를 녹여 관제 효율성을 한층 개선했다.
관제 프로세스 표준화 돼야 SOAR 도입 가능
SOAR가 보안관제 시장에서 큰 주목을 받고 있지만, 사실 SOAR는 도입이 쉬운 솔루션이 아니다. SOAR는 SOC를 운영하는 기업이나 관제 서비스 기업 등 관제에 충분히 투자한 조직에서 도입할 수 있다. 공격의 유형을 분류하고 대응 방법을 매뉴얼화 한 플레이북이 충분히 준비되어 있어야 하며, 대응 프로세스를 표준화 해야 SOAR 도입이 가능하다.
국내는 물론 해외에서도 완벽한 수준의 SOAR 도입 준비가 된 기업은 많지 않다. 일부 소규모 보안관제 서비스 기업들도 보안 프로세스를 표준화하지 못하고 주먹구구식으로 운영되고 있어 SOAR 도입은 요원한 상황이다.
그러나 주 52시간 근무제 의무화가 시작되면서 보안관제 조직의 업무 효율성을 제고해 근무시간을 단축해야 한다는 시급성이 생기면서 보안 업무 자동화를 통한 근무시간 단축에 관심이 쏠리고 있다. SOAR를 통해 업무량을 줄이면 보안팀이 더 집중적으로 고급 보안 위협 분석과 대응에 매달릴 수 있어 보안 수준을 한층 향상시킬 수 있다.
이글루시큐리티의 경우 차세대 SIEM과 위협 인텔리전스, 위협 헌팅, 오케스트레이션, 자동 대응 역량을 강화하면서 SOAR의 이상을 실현하고 있다. 다수의 보안 전문가 풀을 통해 양질의 학습 데이터를 지속적으로 만들어내는 한편 보안관제 역량을 끌어올릴 수 있는 보안관제 방법론을 만들어 적용하면서 차세대 보안관제 시장을 열어가고 있다.
시큐아이는 IBM의 AI보안 기술 ‘왓슨’을 접목한 차세대 보안관제 서비스를 제공한다. 보안관제 시스템에서 탐지하는 인시던트를 분석하며, 확인된 내부 마이닝 보안 로그 분석으로 내부에 존재할 수 있는 잠재적인 위협까지 대응할 수 있다. 국내 유통기업, 중견 제조기업 등에서 시큐아이 AI 기반 보안관제를 사용해 보안 방어에 좋은 효과를 얻었다. 2020년 OT 보안까지 AI보안관제 영역을 확대할 방침이다.
오픈베이스는 클라우드 보안 관제 서비스 ‘얼럿로직’을 국내에 소개하면서 클라우드 보안관제 시장 공략에 나선다. 얼럿로직은 보안 전문가가 직접 위협을 탐지하고 대응까지 수행하는 매니지드 탐지 및 대응(MDR) 서비스로, 오픈베이스는 얼럿로직 지원 조직을 자체 구성하면서 국내 고객 지원을 확대한다.
