[디지털데일리 이종현기자] “위협의 변화에 따라 보안관제 환경과 기술도 지속적으로 변화하고 있습니다. 하지만 오늘날 보안업계는 쏟아지는 위협에 대응하기 위한 인력 부족에 시달리고 있습니다. 보안관제의 자동화가 떠오르는 이유입니다.”(이글루시큐리티 황범석 센터장)
9일 이글루시큐리티 황범석 센터장은 <디지털데일리>의 주최로 6일부터 10일까지 5일간 진행되는 [2022년 전망, 금융IT Innovation 버추얼 컨퍼런스]의 넷째 날 발표자로 나서 이같이 밝혔다.
‘보안관제 기술 SIEM과 AI를 넘어 SOAR로’를 주제로 발표한 황 센터장은 보안관제 영역에 인공지능(AI)을 이용한 자동화를 도입할 수밖에 없다고 강조했다.
그는 “보안관제는 외부로부터의 침해 시도를 예방하고 내부 정보자산을 보호하는 업무다. 이기종에서 탐지되는 보안 이벤트를 수집하고, 사이버공격을 탐지·차단하는 것을 목적으로, 24시간 365일 모니터링 및 사전 침해예방 등을 수행한다”고 말했다.
공격하는 해커와 막는 보안 전문가의 대결에서 유리한 것은 해커다. 정보기술(IT)이 확대돼 관리해야 하는 인프라는 점점 더 복잡해지고 있다. 타깃이 되는 공격표면은 점차 넓어지는 상황에서 대응해야 할 컴플라이언스도 함께 늘어남에 따라 보안 전담 인력이 부족한 상황에 이르렀다.
황 센터장은 “최근 보안 운영 환경은 감당하기 힘든 수준으로 복잡해졌다. 절대적인 인력 부족으로 업무가 급증했고 보안 솔루션이 점점 더 복잡해짐에 따라 인력의 성숙도 부족에 의한 휴먼에러도 늘고 있다”고 전했다.
시스코가 발표한 2018년 연례 보고서에 따르면 전체 위협 중 경보가 발령되는 위협은 93%, 미탐지 위협은 7%다. 하지만 93%의 경보 중 실제 확인하는 경보는 56%에 그친다. 절반에 가까운 44%는 미처 확인하지 못하는 ‘과탐’이 된다. 또 56%의 확인 경보 중에서도 ‘정탐’은 34%, 이중 해결된 경보는 51%다. 결과적으로 전체 위협 중 9%의 경보만이 해결되는 상황이다.
황 센터장은 “일반적으로 보안관제 요원 1명이 8시간 동안 처리할 수 있는 경보는 약 30건으로 판단하고 있다. 예산 등의 문제로 관제 인원 수는 정해져 있는데, 관제 대상과 보안 시스템은 해마다 증가하고 있다. 이는 보안 담당자와 관제요원의 불안 요소가 되는 중”이라고 밝혔다.
이를 해결하기 위해 보안업계는 인공지능(AI)을 도입, 보안관제 업무 자동화에 나섰다. 통상 경보 발생부터 차단까지 10~60분은 걸리던 작업을 플레이북에 의한 경보 자동화 처리를 통해 5분 이내 해결할 수 있게 됐다는 것이 황 센터장의 설명이다.
이런 보안관제 자동화의 중심에는 쏘아(SOAR, Security Orchestration, Automation and Response)가 있다. 다양한 사이버 위협에 대해 대응 수준을 자동으로 분류하고, 표준화된 업무 프로세스에 따라 보안 업무 담당자와 솔루션이 유기적으로 협력할 수 있도록 지원하는 기능을 수행한다.
황 센터장은 “쏘아는 보안 오케스트레이션 자동화(SOA), 보안사고 대응 플랫폼(SITP), 위협 인텔리전스 플랫폼(TIP) 등으로 구성됐다. 반복적이고 시간이 오래 걸리는 작업을 AI가 대응함으로써 인력 부족이나 낮은 숙련도로 인한 문제를 해소할 수 있다”고 피력했다.
쏘아는 국내에는 아직 익숙지 않은 보안 기술이다. 일부 기업들이 부분적으로 시범적으로 활용하고 있는데, 황 센터장은 “국내 보안관제센터 환경과 업무를 잘 아는 기업의 SOAR를 도입해야 한다”고 피력했다.
그는 “쏘아는 단순한 단위 보안 솔루션이 아니라 핵심 보안관제 솔루션이다. 현장에서 사용 불가능한 플레이북은 관제요원의 업무를 가중시킬 뿐”이라며 “국내 보안관제 노하우가 반영된 기본 플레이북이 제공되는 쏘아를 도입한다면, 단순 반복 업무를 수행하는 관제인력을 전담인력으로 전환해 운영함으로써 보안관제 품질을 향상할 수 있을 것”이라고 부연했다.