다양한 플레이북·SOAR로 보안 대응 업무 줄여
[데이터넷] 보안 전문가로 성장하기 위해서는 ‘공격’에 대해 아주 잘 알고 있어야 한다. ‘오펜시브 시큐리티(Offen sive Security)’는 공격자 관점에서 알려지지 않은 취약 점과 설정오류를 찾아내 조치를 취하도록 하는 전문 분 야이다. 오펜시브 시큐리티 분야의 전문 역량을 갖춘다면 보안 위협 선제대응에 보다 효과를 거둘 수 있을 것이다.
박세한 엔키 대표는 “수많은 해킹사고를 분석해보면 공격 목표와 방법, 도구 등은 각각 다르다. 그러나 공 격자들이 이용할 수 있는 보안 취약점이 있다는 공통점 이 있다”며 “수많은 시스템과 소프트웨어에 존재하는 다양한 취약점과 이를 이용하는 공격을 막기 위해서는 공격자 입장에서 접근해야 한다”고 강조했다.
오펜시브 시큐리티는 국내 기업들도 많은 관심을 갖 고 있는 분야다. 특히 핀테크 관련 서비스를 하는 금융 기관과 글로벌 제조사 등에서 오펜시브 시큐리티 개념의 취약점 점검을 의뢰하고 있으며, 향후 이 분야의 성장 전망이 밝다.
공격 전술·전략 지속적 파악위한 전문가 필요
오펜시브 시큐리티는 SOAR 도입 전 필수적으로 준비해야 하는 플레이북을 마련하는데 도움을 준다. 플레이북은 공격그룹별로 드러나는 특성을 분류해 그들이 자주 사용하는 전술·전략·공격도구를 분류하고 각 단계 별로 대응방안을 정리한 것이다. 잘 정리된 플레이북이 있어야 자동화된 공격 탐지와 대응이 가능하며, SOAR 를 통한 보안 조직의 업무를 덜고 사고에 빠르게 대응 할 수 있다.
플레이북은 공격그룹별 대응 방안을 마련할 수 있는 데, A라는 공격그룹과 유사한 형태의 침해시도가 발견 됐다면 이들이 향후 어떻게 공격을 전개할지 미리 예측 하고 대비할 수 있다.
예를 들어 NSHC가 추적하고 있는 북한 배후의 공격 조직 ‘섹터A’의 경우 10여개의 하위 그룹이 각각 활동 하면서 공격 도구와 전술, 전략을 지속적으로 변경시 키면서 공격을 이어간다. 공격 내용을 면밀히 살펴보면 이들의 공격 습 관을 파악할 수 있는데, 이들은 스피어피싱 메일과 독 특한 소스코드의 공격도구를 사용한다. 이 조직에 속 한 하위그룹은 늘 활동하기도 하지만 몇 달간 휴식을 했다가 다시 활동을 재개하기도 한다. 따라서 발견된 공격을 이전 공격과 비교하면서 즉시 대응 태세에 돌입 하는데 플레이북을 이용할 수 있다.
보안 솔루션 제대로 작동하는지조차 파악 못해
기업 보안 담당자에게 요구되는 역할은 너무나도 많다. 중단없이 진행되는 위협에 대응해야 하고, 기업 비즈니스 현황에 대해서도 깊은 이해를 갖고 해당 환경에 최적화된 보안 전략을 수립하고 적용해야 한다. 또한 차세대 보안 도구를 도입하거나 업그레이드하고 운영해야 하며, 오래되거나 사용 중단된 시스템도 적절한 조치를 취해야 한다. 너무나 많은 보안 시스템
을 보안 조직이 관리해야 하기 때문에 관리가 제대로 안 되는 문제도 해결해야 한다.
키사이트테크놀로지스가 다이멘셔널 리서치에 의뢰 해 전 세계 기업 보안 담당자 307명을 대상으로 조사한 ‘보안 운영 효과’ 보고서에 따르면 보안 담당자 절반은 침해사고가 발생한 이후에야 보안 솔루션에 문제가 있 다는 것을 발견한다.
평소 보안 제품이 바르게 구성되고 작동하는지 검증 하는 테스트를 정기적으로 수행해야 함에도 불구하고 이 같은 조치를 취하고 있는 기업은 35%에 불과한 것 으로 나타났다. 또한 응답자의 66%는 기능이 겹치는 보안 솔루션을 사용하고 있으며, 응답자 중 41%는 이 러한 중복이 조직의 보안 상태 강화에 도움이 되지 않 으며 보안 예산과 관리 시간의 낭비를 초래한다고 답 했다.
보안 담당자를 가장 어렵게 하는 문제는 보안 솔루션 운영이다. 보안 솔루션으로 인해 비즈니스 중단이 발생 하지 않도록 해야 하며, 오탐으로 중요 업무가 방해받 지 않도록 해야 한다. 보안 인식이 없는 경영진은 침해 예방보다 생산성 저하를 더 심각하게 받아들이기 때문 에 생산성을 높이면서 보안 문제를 해결할 수 있는 방법 을 찾아내야 한다.
SOAR로 보안 인력 업무 줄여
보안 조직의 업무를 덜어주는 보안 오케스트레이션· 자동화·대응(SOAR) 솔루션이 보안 인력의 워라밸을 보장하고 직무 만족도를 높여 장기근속을 가능케 하는 것으로 주목받고 있다. SOAR는 보안 전문가의 역할을 대신 수행해 담당자의 업무를 줄이고, 보안 전문가가 더 고급 위협에 집중할 수 있도록 도와준다.
SOC 운영을 단순화해 보안 인력의 업무를 줄여야 제한된 인력 리소스를 이용해 진화하는 공격에 대응할 수 있다. 이는 기업 이 지금 당장 해결해야 할 시급한 문제다. 그래서 SOAR 솔루션이 SOC에 빠른 속도로 도입되고 있다.
SOAR 시장 성장에 따라 관련 기업 인수도 잇따르고 있다. 파이어아이-힐릭스·베로딘, IBM-리질리 언트시스템, 서비스나우-브라이트포인트 시큐리티, 마이크로소프트-헥사다이트, 래피드7-커맨드, 스플렁크-팬텀, 팔로알토네트웍스-데미스토, 포티넷-사이버스폰스 등이 대표적인 인수 사례다.
한편 팔로알토는 데미스토 인수 후 기능을 고도화한 ‘코어텍스 XSOAR(Cortex XSOAR)’를 출시하고 SOAR 시장 공략에 나섰다. 이 제품은 통합 케이스 관리, 자동화, 실시간 협업 등 SOAR 기능과 위협 인텔리전스 관리를 긴밀하게 통합함으로써, 전체 위협 피드를 체계적으로 운영할 수 있도록 지원한다.
