[디지털데일리 이종현기자] “온프레미스 데이터센터에서 매일 발생하는 보안 경고는 이미 보안관제센터(SOC)의 대응 한계를 넘었습니다. 실제 발생하는 위협의 93%는 보안 장비나 통합보안관제(SIEM)를 통해 경보로 발령되지만 7%는 위협으로 식별되지 않습니다. 이중 과탐이나 오탐, 또 오탐 중 해결과 미해결을 거치면 전체 경고 중 해결하는 것은 9%에 그칩니다.”(이록석 이글루코퍼레이션 수석부장)
이글루코퍼레이션 이록석 수석부장은 <디지털데일리>가 20일부터 21일까지 이틀간 개최한 차세대 기업 보안 버추얼 컨퍼런스 [NES 2022]의 둘째날, 21일 발표에서 이같이 밝혔다. SOC에 대한 개선이 이뤄져야 한다는 주장이다.
글로벌 정보통신기술(ICT) 기업 시스코는 2022년까지 전 세계에 약 200만명의 보안 인력이 부족할 것이라고 전망했다. 이 수석부장은 새로운 보안위협에 대한 적절한 대응이 부족하고, 더 많고 복잡해지는 보안 경고에 업무가 가중되며, 숙련된 기술을 보유한 SOC 전문인력이나 SOC에 대한 체계적인 관리도 부족하다고 꼬집었다.
보안관제는 최근 SIEM이나 사이버위협 인텔리전스(CTI)를 바탕으로 한 빅데이터 보안관제에서 인공지능(AI)과 보안 오케스트레이션 자동화 및 대응(SOAR)을 이용한 지능형 보안관제로 진화하는 중이다.
그는 “SIEM을 통해 수집된 방대한 데이터를 학습한 AI는 사람이 직접 해왔던 초동 분석 업무를 90% 이상의 높은 정확도로, 순식간에, 365일 24시간 쉬지 않고 처리한다. 이를 통해 보안관제센터는 더 위험하고 많은 시간이 필요한 분석에 업무에 집중할 수 있다”고 전했다.
SOAR는 보안관제 인력과 시스템의 협업으로 보안관제 업무를 자동화하는 데 초점을 둔다. SIEM과 CTI의 정보를 바탕으로 공격자를 구분하거나 과거 침해 이력을 확인하고, 취약점 존재 여부를 하는 등의 반복적인 업무를 플레이북으로 정의하면, 해당 플레이북을 바탕으로 보안을 자동화할 수 있는 구조다.
이 수석부장은 클라우드 환경에서도 보안관제는 주요 과제로 떠오르고 있다고 밝혔다.
퍼블릭 클라우드의 경우 아마존웹서비스(AWS)나 마이크로소프트(MS) 애저(Azure), 구글 클라우드 등 클라우드 서비스 사업자(CSP)가 제공하는 보안 서비스를 활용해 온프레미스에서 보안관제를 수행할 수 있다. CSP와 클라우드 서비스 이용 고객이 책임을 분산하는 책임 공유 모델에 따라 보안을 적용하면 된다.
반면 프라이빗 클라우드는 보안에 대한 책임이 전적으로 사용자에게 있으며, 네트워크 안의 트래픽에 대한 가시성이 부족한 등 보안 이슈가 존재한다는 것이 이 수석부장의 설명이다.
이 수석부장은 “볼 수 없다면 대응할 수 없다”며 클라우드 환경의 위협을 모니터링하고 대응하기 위해서는 전용 솔루션이 필요하다고 강조했다.
클라우드 내 워크로드를 지키는 클라우드 워크로드 보호 플랫폼(CWPP)과 클라우드 위험을 지속적으로 관리하는 클라우드 보안 형상관리(CSPM), 클라우드 환경에서 네트워크 보안 위협을 모니터링하는 보안 전달 플랫폼(SDP) 등이 이 수석부장이 꼽은 보안 솔루션이다.
그는 “전체 위협 중 보안관제센터를 통해 해결되는 경보는 9%에 그친다. 91%의 경보는 확인을 아예 안 했거나 못한, 해결되지 못한 경고라는 의미”라며 “클라우드에 특화된 보안 기술을 적극 검토하고, AI나 빅데이터, SOAR를 토대로 하는 지능형 보안관제 체계를 운영하는 것이 클라우드에 대한 우려와 보안관제센터가 당면한 우려를 해소하는 길”이라고 피력했다.