서비스

[NES 2021] 이글루시큐리티, “SOAR 기반 차세대 보안관제전략으로 진화”

백지영
[디지털데일리 백지영기자] “코로나19로 달라진 세상은 이전과는 다른 새로운 보안관제 전략을 요구하고 있습니다. 특히 인공지능(AI) 및 위협정보를 활용을 통한 오케스트레이션과 자동화 필요성이 급증하면서 SOAR의 필요성은 어느 때보다 높아지고 있습니다.”

21일 <디지털데일리>의 버추얼 컨퍼런스 플랫폼인 ‘DD튜브’를 통해 진행된 ‘차세대 기업보안(NES) 버추얼 컨퍼런스’ 첫째날 이규환 이글루시큐리티 부장은 ‘뉴노멀 시대, 변화하는 보안위협 SOAR를 통한 보안관제 전략’이라는 주제발표를 통해 SOAR의 필요성을 강조했다.

지난해 코로나19 팬데믹의 영향에 따라 비대면 플랫폼을 노린 보안위협이 대두되고 있으며, 랜섬웨어와 디도스 공격도 여전히 증가하고 있다. 이 부장은 “보안위협은 정교하게 진화하고 있으며 대응해야 할 컴플라이언스는 늘어나고, 보안운영 환경은 감당하기 힘든 수준으로 복잡해지고 있다”며 “특히 이로 인해 분석할 데이터는 증가하면서 이에 대응할 보안관제인력은 한계에 다다르고 있다”고 지적했다.

이는 곧 관리적 측면에선 IT 인프라 복잡성 증가에 따른 공격 요인 증가, 대응해야 할 컴프라이언스 증가, 보안담당인력 부족, 기술적인 측면에선 신규 보안위협에 따른 보안솔루션 복잡도 증가, 보안 전문인력·성숙도 부족에 따른 인력 실수(휴먼 에러) 증가로 나타나고 있는 상황이다.

이러한 상황은 여러 보고서를 통해서도 드러나고 있다. 실제 시스코의 보안 연례 보고서에 따르면, 보안관제 환경에서 전체 위협을 100%로 봤을 때 실제 경보 발령 비율은 93%, 발령되지 않은 경보(미탐) 7%에 달했다. 또, 발령된 경보(93%) 중 56%는 확인 경보, 하지만 나머지 44%는 너무 많은 경보 때문에 관제요원이 미처 확인하지 못한 ‘과탐’으로 나타났다.

즉, 전체 100% 위협 가운데 52%만이 보안관제 요원이 확인한 경보, 나머지 48%는 경보를 확인하지 못하고 있다. 확인한 경보 중 34% 만이 정상적인 경보(정탐), 무려 66%는 ‘오탐’으로 분석된다. 전체 위협 중 18%만이 정탐인 셈이다. 정상 경보 중에서도 51%만이 끝까지 해결된 경보로, 전체 위협 가운데 단 9%만이 해결됐다.

이 부장은 “이는 탐지되는 공격에 비해 숙련된 관제요원이 부족한 때문으로 보인다”며 “일반적으로 보안관제요원 1명이 8시간(근무시간 기준) 동안 처리할 수 있는 경보는 30여개로 판단되는데, 관제 대상은 해마다 증가하고 있으며 관제시스템도 지속적으로 늘어나고 있다”고 설명했다.

때문에 ‘과탐’과 ‘오탐’은 증가할 수 밖에 없으며 ‘미탐’에 의한 신규보안위협 역시 보안 담당자를 불안에 떨게 하고 있다는 지적이다. 또 다른 포네몬 보안 보고서에서도 일반적 규모의 SOC에서 일주일에 약 1만7000여개 경보를 받고 있지만, 매년 오탐을 추적하는데만 2만1000시간을 소비한다는 조사 결과가 있다.

그는 “보안환경 변화 및 증가된 탐지 데이터 대응과정에서 오탐의 홍수 속에 파묻혀 보안관제요원의 분석 및 대응은 한계에 도달했다”고 말했다. 결국 제로 트러스트 기반의 차세대 보안관제 전략 변화가 요구되는 것은 당연한 결과다. 이때 해결책으로 떠오른 것이 바로 ‘보안 오케스트레이션·자동화·대응체계(SOAR)’다.

가트너에 따르면 SOAR(Security Orchestration, Automation & Response)의 정의는 ‘다양한 사이버 위협에 대해 대응수준을 자동으로 분류하고 표준화된 업무 프로세스에 따라 보안업무 담당자와 솔루션이 유기적으로 협력할 수 있도록 지원하는 플랫폼’이다.

SOAR는 사이버 위협 대응레벨 자동분류 및 대응 자동화를 위해 관제 노하우 기반 플레이북을 통해 SOA와 SIRP, TIP의 구성으로 결합돼 유기적으로 동작한다. 이때 SOA는 보안 오케스트리션 및 자동화 플랫폼으로 솔루션 간 연동 복잡성 해소, 업무처리 단축, 업무부담 해소 역할을 담당한다.

또, SIRP는 보안사고 대응 플랫폼으로 대응 프로세스 표준화, 인력 간 역량 격차 축소, 전문 인력 부족 문제를 해결하며 TIP은 위협 인텔리전스 플랫폼으로 위협 데이터 수집 및 분석, 분석 효율화, 단순 반복적 업무량 절감 역할을 한다.

이 부장은 “보안관제 세대별 변화에 따른 SOAR의 위치는 1세대 단위보안관제에서 4세대 현재 제로트러스트 기반 차세대보안관제에서 머신러닝 기반 이상행위 탐지, 위협정보 관제연동, SOAR 기반 자동화 대응을 수행하게 됐다”고 설명했다.

그는 SOAR가 갖춰야 할 주요 기능으로 ▲이기종 보안솔루션 연동을 통한 보안 관제 오케스트레이션 구현 ▲관제 노하우를 반영한 플레이북 기반 대응 프로세스 ▲프로세스 자동화를 통한 보안관제 효율성 향상 등으로 꼽았다.

그는 “특히 SOAR의 핵심은 플레이북”이라며 “관제 노하우가 담긴 플레이북을 얼마나 잘 제공하고, 이를 쉽게 활용할 수 있는지가 중요하다”고 말했다. 이글루시큐리티의 SOAR 제품인 ‘스파이더 SOAR’의 경우, 편리한 에디터 기능과 다양한 플레이북의 확장을 위한 재사용성 등을 제공하는 것이 특징이다.

그는 “SOAR를 도입해 기존의 단순 반복 업무를 자동화시켜 관제 인력을 분석업무 등에 투입할 수 있고, 사이버 위협 대응 품질의 상향 평준화가 가능하다”며 “관제요인도 사람이다 보니 직급이나 경험, 그날의 컨디션에 따라 편차가 크게 나타나는데 SOAR를 통해 표준화된 대응체계 운영이 가능해 이를 최소화할 수 있다”고 강조했다.

<백지영 기자>jyp@ddaily.co.kr

백지영
jyp@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널