[데이터넷] 사이버 공격은 계속 진화한다. 알려지지 않은 악성코드를 이용한 공격이 등장해 이를 탐지하는 샌드박스 솔루션이 공급되자, 사회공학기법을 이용한 악성메일로 공격 방식을 바꾸었다. 메일보안 솔루션이 적용되고 사용자 교육을 통해 악성메일 성공률이 높아지지 않자, 정상 사용자 권한을 탈취해 정상 업무 프로세스로 위장해 공격을 이어나갔다.
공격 방식과 도구가 바뀔 때마다 대응을 위한 보안 솔루션이 도입되면 공격자는 다른 방식을 공격하고, 보안조직은 또 다시 이를 차단하는 솔루션을 구입하는 것을 반복하면서 보안 복잡성이 높아지고 관리가 어려워지며, 보안홀이 발생하고 또 다시 공격 당할 빌미를 준다.
보안 복잡성 해결하는 ‘자동화’
사이버 공격 피해를 입은 대부분의 기업이 보안 솔루션이 없어서 공격 당한 것은 아니다. 침해가 이뤄진 전체 과정을 살펴보면 여러 보안 솔루션이 위협을 탐지하고 경고했지만, 제대로 대응하지 못했다. 위험수준이 낮아서, 보안팀 인력이 다른 더 중요한 공격 방어에 힘을 쏟느라, 혹은 보안 인력의 실수로 높은 수준의 위협 이벤트를 놓쳐서 등 다양한 이유가 있겠지만, 결론적으로는 탐지한 이벤트조차 제대로 대응하지 못해 공격을 당한 것이다.
보안 복잡성이 높아지면서 발생하는 문제는 보안인력을 추가 충원하는 것으로 해결되지 못한다. 하나의 SIEM에서 발생하는 보안 이벤트가 하루 수만개에 이르는데, 분석가가 하루에 처리할 수 있는 이벤트는 20개 내외이다. 전 세계 모든 보안 전문가를 고용한다 해도 발생하는 보안 이벤트를 모두 분석할 수 없다. 자동화와 AI가 보안대응에 반드시 필요한 이유다.
가트너는 2021년 전략기술로 사이버 보안 메시와 초 자동화를 들었다. 사이버 보안 메시는 분산된 사람과 디지털 자산이 안전하게 액세스하고 사용할 수 있으며 필요한 수준의 보안을 제공할 수 있도록 하는 것을 말한다. 초 자동화는 AI, 기계 학습, 이벤트 기반 소프트웨어, 로봇 프로세스 자동화, 기타 유형의 의사 결정 프로세스 및 작업과 같은 도구를 사용해 최대한 많은 비즈니스 및 IT 프로세스를 자동화하는 프로세스를 말한다. 이 두 이슈를 섞어서 생각하면, 분산 환경에서 보안 위협에 대응하기 위해 완전한 보안 자동화를 이뤄야 한다는 뜻이 될 수 있다.
디지서트의 ‘2021 사이버 보안 전망’ 보고서에서도 자동화의 중요성을 강조하고 있다. 더 적은 자원으로 더 많은 일을 할 수 있는 기술에 대한 관심이 높아지고 있어 자동화가 보안 혁신에서 큰 역할을 담당할 것이라고 분석한다. 더불어 기업들이 이용하는 보안 벤더의 수를 줄이려고 하면서 보안 벤더 간의 통합이 일어날 것으로 보인다. 글로벌 시장 선도 기술을 갖추고 현지 지원이 가능한 벤더가 높은 평가를 받게 될 것이며, 보안 업무 자동화에 집중하게 될 것으로 보인다.
AI로 위협 탐지 대응 효율화
탐지된 보안위협 대응을 효율화하고 자동화하기 위해 다양한 솔루션이 공급되고 있다. SIEM이 그 대표적인 예이며, 사용자·계정 행위 분석(UEBA)과 연계해 SIEM을 우회하는 침해시도까지 탐지할 수 있다고 소개한다. 또한 클라우드 환경에서 발생하는 위협을 탐지하는 클라우드 전용 SIEM과 클라우드 지원 기능을 추가한 차세대 SIEM도 공급된다.
네트워크 트래픽을 정밀하게 분석하는 NTA와 네트워크 상에서 침해 흔적과 시도를 탐지해 분석하는 NDR 솔루션도 보안관제에 사용되고 있다. NTA·NDR은 AI를 접목해 탐지 정확도를 높여나가고 있다.
룰·패턴 기반 탐지 기술과 기계학습 기술에 지도학습 기반 머신러닝을 함께 제공하는 NDR인 쿼드마이너는 클라우드 지원 솔루션까지 포트폴리오에 추가하면서 시장 확산에 나섰다. 토종 기업이지만 해외에서도 호평받는 쿼드마이너는 가트너 NDR 시장 분석 보고서에서 대표 벤더로 등재됐으며, 국내 대형 제조사와 공공기관, 일본 및 해외 기업들에도 공급되면서 시장 공략을 이어가고 있다.
지도학습·비지도학습을 모두 지원하는 벡트라는 암호화된 트래픽까지 분석할 수 있으며, 데이터 과학자 조직을 자체 고용해 AI 알고리즘을 최적화하고 사용 편의성을 개선시킨다. AI 기반 NTA 솔루션은 다크트레이스가 가장 유명하다. 다크트레이스는 고급 머신러닝 알고리즘을 사용해 비지도학습 기반 분석으로 오·미탐을 줄이고 정확하게 위협을 탐지한다. 데이터 과학자의 전문성을 자동화 한 AI 분석가 모듈, 탐지된 위협 중 확실한 위협은 자동으로 차단하는 안티제나를 통해 보안조직의 업무를 줄인다.
SOAR로 진화하는 SOC
사이버 공격은 어느 한 지점에서만 탐지해서 찾아낼 수 있는 것이 아니다. 엔드포인트, 네트워크, 클라우드에서 의심스러운 행위가 발생했는데 확실하게 위협인지 아닌지 판단할 수 없는 행위들이 최종적으로 공격으로 이어진다. 그래서 IT 전체 영역을 아우르는 통합 탐지와 대응 플랫폼인 ‘XDR’이 필요하다. XDR을 EDR·NDR을 잇는 마케팅 용어라고 지적하는 이들도 있지만, ‘통합 분석과 대응’이 필요하다는 기본 철학을 부정하는 사람은 없다.
트렌드마이크로의 경우 EDR과 이메일·엔드포인트·서버·클라우드 워크로드·네트워크 등에서 활동 데이터를 수집·분석해 보안 운영 센터(SOC) 팀이 위협을 보다 효과적으로 탐지, 조사, 대응할 수 있도록 지원하는 XDR 플랫폼을 소개한다. 또한 MDR로도 이용 가능하도록 해 보안조직의 전문성이 부족한 기업들도 XDR을 활용한 통합 보안 관리를 할 수 있도록 지원한다.
XDR은 SOAR로 진화하고 있다. SOAR는 보안 오케스트레이션, 자동화, 대응 기능을 하는 플랫폼을 말하는데, 좁은 개념으로만 접근하면 대시보드 수준에 머물 수도 있다. 진정한 SOAR는 보안 시스템의 운영과 침해 탐지, 대응을 완벽하게 자동화해 차세대 보안관제 플랫폼으로 진화시키는 것이다.
SOAR는 특정 기능을 하는 솔루션이 아니라 프로세스이기 때문에 오랜 시간 완성해가야 하는 여정이라고 할 수 있다. SOAR를 도입하기 위해서는 보안 관제 프로세스가 표준화돼야 하며, 플레이북이 충분히 확보돼 있어야 한다.
보안 이벤트는 수집하는 소스에 따라 데이터 포맷도 다르고, 위협의 수준을 정하는 기준도 각각 다르다. 데이터 포맷을 통합시키고 위협 수준 기준을 정하는 일련의 과정을 완성시켜 표준화해야 한다.
보안팀이 플레이북을 어느 정도 갖춰야 한다는 것도 중요한 전제조건이다. 플레이북은 공격 유형에 따른 대응 방안을 표준화한 일종의 매뉴얼로, 실시간으로 탐지되는 공격을 정확하게 분류하고 적절한 대응이 이뤄지도록 자동화한다.
플레이북은 필요한 정보 선별과 우선 순위에 따라 순차적으로 업무를 처리하기 위한 판단을 시스템이 담당하도록 설계해야 해 성숙도 높은 자동화 기능을 제공할 수 있다. 이벤트 종류에 맞는 처리 방법을 시스템이 선택해 매칭하고 일관된 프로세스로 작업을 처리할 수 있어 작업자 역량에 따른 대응 품질의 편차를 줄이도록 해야 한다.
차세대 SOC 진화 돕는 SOAR 솔루션
SOAR를 솔루션 관점에서만 접근하는 것은 바람직하지 않지만, SOAR를 완성할 수 있도록 도와주는 솔루션은 SOAR 성공에 도움이 된다.
팔로알토네트웍스는 EDR, NDR, XDR을 뛰어넘는 XSOAR로 진화한 새로운 프레임워크를 제안한다. 가장 완성도 높은 SOAR 플랫폼으로 인정받아온 데미스토를 인수한 팔로알토네트웍스는 자사의 EDR과 클라우드·네트워크 보안 기술을 데미스토와 통합해 ‘코어텍스 XSOAR’을 출시했다.
이 제품은 워크플로우 자동화 엔진을 통해 모든 지점에서 수집한 보안 이벤트를 자동으로 분석하고 플레이북을 통해 대응한다. 하나의 피싱메일 처리에 45분 정도 소요되던 것을 5분 내에 해결할 수 있으며, 여러 관제 요원들이 협업해 인시던스를 효율적으로 처리할 수 있다.
플레이북을 자동으로 분석하며, 필요한 내용을 플레이북으로 표현할 수 있다. 코어텍스 XSOAR를 도입한 고객은 경보처리 자동화 30%, 위협 헌팅 30%의 지속적인 개선 효과를 경험한 바 있다.
포티넷은 사이버스폰스를 인수하고 ‘포티SOAR’를 출시했다. 300개 이상 보안 플랫폼과 3000개 이상 작업을 매끄럽게 통합해 SOC 팀의 생산성을 최적화한다. 대응 속도가 빠르고 쉽게 공격을 억제하며, 보안조치 시간을 몇 시간에서 몇 초로 단축시킨다. 포티AI를 연계해 더 빠르고 정확하게 자동화된 대응을 할 수 있도록 지원하며, 보안 패브릭을 통해 전체 보안 시스템을 연동하고 오케스트레이션 할 수 있다.
보안관제 서비스 기업들도 SOAR를 통해 관제 고도화를 진행하고 있다. 안랩은 SOAR 솔루션 ‘세피니티 에어(Sefinity AIR)’를 출시하며 시장 장악에 나섰다. 세피니티에어는 다년간 누적된 안랩 위협 대응 프로세스를 플레이북으로 표준화해 처리자의 업무 능력에 따른 품질차이를 최소화하고 대응 품질을 일관되게 유지시킨다.
안랩 플레이북은 중요 정보와 처리 단계에 집중해 발생한 케이스를 빠르게 판단하고 결정한다. 일관된 대응 품질을 유지시켜 신규 인력이나 담당자 교체에 따른 리스크를 최소화하고, 재사용과 끊임없는 개선으로 빠르게 변하는 공격에 효과적으로 대응한다. 또한 체계화되지 않은 기존 대응 프로세스를 정리해 효율적인 보안운영이 가능하다.
우리나라에서 가장 먼저 SOAR 영업에 나선 곳은 파이어아이다. 힐릭스 플랫폼을 통해 SOAR의 효과를 알린 파이어아이는 국내 복수의 고객을 대상으로 SOAR 프로젝트를 진행하고 있다. 힐릭스는 클라우드에서 호스팅되는 보안 운영 플랫폼으로, 사고 알림부터 해결까지 모든 과정을 제어한다.
힐릭스는 보안 툴을 통합하고 차세대 SIEM, 오케스트레이션 및 위협 인텔리전스 기능으로 강화해 보안 투자를 최대한 활용할 수 있도록 한다. 힐릭스에는 SIEM, 보안분석, 위협 인텔리전스, 워크플로우와 사례관리, UEBA, 컴플라이언스, SOAR 기능이 포함돼 있다.
AI 결합하며 진화하는 보안관제
SOAR는 차세대 보안관제 시장을 앞당기는 요인이다. 차세대 보안관제는 클라우드·IoT로 인해 복잡해지는 보안 문제를 해결하고, 더 똑똑하고 지능적으로 위협에 대응하는 한편, 디지털 트랜스포메이션을 가속화하는데 도움을 주는 방향으로 흘러가고 있다.
보안관제 서비스 기업들은 AI와 SOAR를 도입해 이 같은 요구에 대응한다. SK인포섹은 20여 년간 관제 서비스를 제공하면서 축적한 위협 탐지와 대응 노하우를 기반으로 클라우드, IoT 융복합 보안관제 서비스를 제공한다. 자사의 위협대응 전문가 조직 ‘EQST’를 통해 축적한 위협 인텔리전스가 연계된 보안관제 플랫폼 ‘시큐디움’은 전통적인 IT 환경뿐 아니라 글로벌 분산된 비즈니스, 멀티 클라우드, IoT 융복합 환경까지 일원화된 관리 서비스를 제공한다.
자체 개발한 SOAR 프로세스를 관제 서비스에 접목해 관제 운영 효율성을 극대화하고 있으며, 보안관제에 최적화된 머신러닝을 적용해 위협 탐지 효과를 높이고 관제요원의 업무 효율성을 높이고 있다.
이글루시큐리티는 AI 보안관제 기술 고도화에 초점을 맞추면서 SOAR를 통한 고도화된 공격 대응력을 높여나가고 있다. 특히 이글루시큐리티는 설명가능한 AI를 통해 관제 효율성을 높여나가고 있다. 이글루시큐리티의 AI 보안관제 시스템 ‘스파이더 티엠 AI 에디션’을 도입한 고객은 고위험 이벤트 분석에 걸리는 시간을 20%로 단축하고, 보안관제요원 1명당 처리하는 이벤트 건수를 3배 이상 늘렸다.
