[디지털데일리 백지영기자] 숙련된 인력 부족과 업무 과부하, 클라우드로의 빠른 환경 변화 등에 따라 보안 담당자들의 피로도가 높아지고 있는 가운데 SOAR와 인공지능(AI)을 통한 자동화로 이를 해결할 수 있다는 의견이 제시됐다.
16일 <디지털데일리>가 개최한 ‘스마트 엔터프라이즈 2022’ 버추얼 컨퍼런스에서 이글루코퍼레이션 이세호 수석부장은 ‘SOAR 피할 수 없는 길! 지능적 자동화로 대응한다’ 주제 발표를 통해 SOAR 구축을 통해 보안 관제 업무 부담을 해소한 SOC(보안운영센터) 트랜스포메이션이 가능하다고 강조했다.
SOAR(Security Orchestration, Automation and Response)는 보안 오케스트레이션, 자동화 및 대응 솔루션의 줄임말이다. 즉, 보안 위협에 대한 대응 프로세스를 자동화해 보안 업무의 효율성을 높이는 솔루션으로 정의할 수 있다.
이 수석부장은 “SOAR의 구축 목표라고 할 수 있는 SOC 운영의 어려움과 경보 피로도에 관한 보고서들을 살펴보면, 보안 툴에서 발생하는 경보 중 실제 중요경보는 10%밖에 안된다”며 “그렇다보니 경보에 둔감해지고 실제 주의를 기울여야 할 경보를 놓치게 된다”는 현실을 지적했다.
이에 이글루코퍼레이션은 국내 조직들이 SOAR 도입을 통해 보안관제센터의 복잡성을 해소할 수 있도록 SOAR 솔루션인 ‘스파이더 SOAR’를 제공 중이다. 보안 위협 유형별 최적의 대응 방안을 매뉴얼화한 플레이북(Playbook)에 기반해 자동화된 침해 대응 프로세스 구현을 지원한다.
여기에 통합보안관제(SIEM), 머신러닝(ML) 기반 보안관제 시스템, 위협 인텔리전스, 자산 정보 및 취약점 관리 솔루션 등 여러 이기종 보안 솔루션을 연동할 수 있는 것이 특징이다.
그는 “이글루의 여러 솔루션을 단일 플랫폼으로 구성한 XDR을 통해 이글루 CTI 위협 정보와 스마트 가드의 자산 취약점 정보 등을 상관 분석해 실시간 위협을 탐지하고, AI를 통해 정·오탐 판별한 후 SOAR로 인스턴스 접수를 하게 된다”며 “접수된 티켓은 플레이북을 통해 자동 분석과 차단 대응을 후 보고서를 생성한다”고 설명했다.
이어 “또한 MITRE ATT&CK 분석 앱을 통해 공격의 전체 범위를 표현, 해커가 무엇을 했으며 다음에 어떤 공격을 할 가능성이 있는지 알 수 있게 된다”며 “그리고 전체 솔루션 간 상호 인증을 통해 유연한 원클릭 접속이 가능하다”고 덧붙였다.
SOAR의 주요 기능으로는 관제 대응 현황을 살펴볼 수 있는 사용자 정의 대시보드와 대응 프로세스인 인스턴스 대응, 플레이북 생성과 관리를 하는 플레이북 메뉴, 케이스 모니터링 최신 위협 정보를 제공하는 인텔리전스, 차단 IP 관리와 모니터링 정보 공유 등이 있다.
그는 “보통 경고 하나에 대해 플레이북이 자동 분석과 차단까지 소요되는 시간이 평균 약 12초 정도로 대응 시간이 단축됨을 확인할 수 있다”고 강조했다.
또, SOAR 주요 구축 목적인 침해 대응 자동화 관련해서도 TMS 장비나 IPS 이벤트를 SOAR의 자동 분석 및 대응을 통해 보안 관제 업무 자동화와 대응 향상 능력 향상, 보안관제 범위 확대로 이어질 수 있다고 밝혔다.
이와 함께 SOAR를 잘 활용하기 위해선 침해대응자동 프로세스에 맞게 SOAR 사업 전 구체적인 설계 등이 필요하다고 조언했다.
그는 “침해 대응 프로세스와 공격 유형에 맞게 플레이북 생성을 위해선 분석 시나리오와 분석에 필요한 각종 정보, 로그가 확보돼 있는지 확인이 필요하다”며 “또한 SOAR 차단을 위해서 전용 보안 장비를 같이 구매를 할 건지 혹은 기존 보안 장비의 차단 연동이 가능한지 사전에 선택해 파악해야 한다”고 말했다.
이는 기존 보안관제센터에서 보안 장비에 대한 주체권이 없다보니 접속에 많은 제약이 따르기 때문이라는 것이 그의 설명이다. 그는 또 “일반 보안 장비처럼 단순 솔루션 도입으로 접근해선 성공할 수 없다”며 “관제 업무의 자동화 범위 등을 명확하게 목표 설정하는 것이 필수”라고 강조했다. 이밖에도 SOAR의 가장 중요한 공격 유형별 플레이북 시나리오 설계가 선행돼야 한다고 제언했다.
그는 “SOAR 도입 시에는 관제 인원 중 전담 인원을 선정해 소화 구축 프로젝트 등과 같이 협업해 플레이북 생성 작업을 진행해야 한다”며 “플레이북 생성만큼은 관제팀에서 주도적으로 진행해야 한다”고 설명했다.
그러면서 “도입 고객사의 환경과 특성에 맞는 모든 침해 분석의 노하우와 대형 프로세스가 플레이북에 온전히 반영이 돼야만 관제 인력이 변경되더라도 SOAR 통일된 일정 수준 이상의 침해 대응률이 유지될 수 있다”며 “또한 노하우가 사라지지 않고 계속 축적이 될 수 있다”고 덧붙였다.