보안정보

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.

실질적인 성과를 올리는 보안 – SOAR의 성공 조건과 실전 운영 전략

2024.07.24

23,999

디지털 트랜스포메이션이 가속화됨에 따라 기존의 방어 체계로는 예측하기 어려운 복합적인 사이버 공격이 증가하고 있다. 이에 보안 인력이 분석해야 하는 데이터 역시 급증하고 있으나, 인력 부족과 인력 간 역량 격차에 따른 문제로 모든 보안 위협을 식별 및 대응하는 것은 현실적으로 불가능한 상황이다. 보안 업무의 효율성을 높이고 대응 시간을 실질적으로 단축시키기 위한 보안 운영·위협 대응 자동화(Security Orchestration, Automation and Response, SOAR) 기술이 각광받는 이유다.

보안관제의 핵심에 있는 것은 정보와 경보이다. 보안관제는 보안 시스템을 24시간 365일 모니터링해 사고의 징후를 탐지하고, 발견 시 즉각 통보하고, 필요한 경우 초동 대응하는 역할을 수행한다. 사이버 공격의 최전방에 있는 척후병으로, 사소한 정보도 놓치지 않고 살펴 수상한 낌새를 발견하고 바로 사이렌을 울린다.

즉, 보안관제는 수많은 보안 시스템에서 나오는 이벤트와 로우 데이터, 패킷까지 다양한 정보를 모두 살펴봐야 한다. 이를 위해 보안 정보 및 이벤트 관리 시스템인 SIEM(Security Information and Event Management)을 기반으로 보안 관련 정보를 모두 수집하고 이상 징후가 발견되면 경보를 울려 실제 보안 인력이 분석 및 대응할 수 있도록 한다.

01. 경보의 홍수에 빠진 SOC의 딜레마

SIEM과 경보를 중심으로 한 보안관제는 합리적인 선택이었지만, 보안 공격이 고도화되면서 새로운 보안 솔루션이 속속 등장했다. 방화벽과 침입탐지시스템(IDS) 정도가 전부였던 보안 환경에 침입방지시스템(IPS)과 차세대 방화벽이 등장하고, 개인정보 유출 방지 솔루션, 웹 보안 솔루션, 엔드포인트 탐지 및 대응(EDR), 네트워크 탐지 및 대응(NDR) 등이 추가됐다.

보안 시스템의 수가 증가한다는 것은 보안 관련 데이터가 증가한다는 것을 의미하며, 이상 징후에 대응해 발령되는 경보 역시 증가한다. 하지만 보안관제센터(Security Operation Center, SOC)의 전문 인력은 증원되지 않은 상태에서 경보만 증가하면, 결국에는 경보가 보안 인력이 감당할 수 있는 임계점을 넘게 된다.

시스코의 분석에 따르면, 이상 징후가 탐지되지 않아 경보가 발령되지 않는 비율은 7%에 불과하다. 이상 징후의 93%에 대해서 경보가 발령된다는 것. 하지만 이렇게 발령된 경보를 분석해 보면, 시간에 쫓겨 보안 인력이 미처 확인하지 못하는 경보가 44%에 이른다. 확인한 경보 중에서 보안 위협이 아닌 비율이 66%, 확인한 정상 경보 중에서 위협이 해결되는 비율은 절반 정도이다. 결국 전체 위협 중 단 9%만이 해결되는 셈이다.

전체 경보 중 오탐과 정탐, 해결된 경보의 비율

출처: Cisco 2018 Security Capabilities Benchmark Study, 이글루코퍼레이션 재구성

SOC의 딜레마는 여기서 시작된다. 오탐이든 정탐이든 SOC는 단 한 건의 공격이라도 놓치면 안 되기에 모든 경보를 검토하고 분석해야 한다. 오탐 역시 왜 오탐으로 경보가 발령되었는지 분석하고 앞으로 오탐 경보가 발령되지 않도록 조처해야 한다. 오탐을 줄이는 방법은 간단하다. 이상 징후의 설정 기준을 높이는 것. 하지만 이 경우, 보안 위협이 탐지되지 않을 수 있어 더 큰 위험을 불러올 수 있다. 미탐은 오탐보다 10배는 더 위험한 요소이기 때문에 모든 SOC의 기본 방침은 최대한 많은 경보가 발령되도록 하는 것이다.

보안 인력을 늘리는 방법도 있다. 하지만 2023년 현재 인력 충원을 달가워하는 기업이나 기관은 없다고 해도 과언이 아니다. 금방 가시적인 성과가 나오지 않는 인력 충원보다 신기술을 도입하는 것이 눈에 띄는 선택지가 되기 쉽고, AI 기술의 발전 역시 이런 추세에 한몫하고 있다. 한편으로는 24시간 운영되는 SOC의 근무 조건 때문에 고급 인력을 확보하는 것도 쉽지 않다.

현재 보안관제는 양치기 소년이란 말을 듣고 있다. 많은 보안 솔루션이 수없이 많은 경보를 발령하고 있지만, 그만큼 오탐도 증가해 경보 피로도가 쌓이고 있기 때문이다. 한정된 시간과 인력으로 처리하기에는 너무나 많은 경보가 생성되고 있으며, 보안 인력의 경험치가 대응 품질의 편차로 이어지는 상황이다.

02. "진짜 위협에 집중한다" SOAR의 탄생

보안 운영·위협 대응 자동화 솔루션인 SOAR(Security Orchestration, Automation and Response)는 보안 프로세스의 효율과 성과를 높이기 위한 방안으로 등장했다. 60%가 넘는 오탐을 자동 처리함으로써, 보안 인력이 정상적인 경보 분석 및 대응에 집중할 수 있게 지원하는 것이다.

SOAR 개념을 제시한 가트너는 SOAR를 오케스트레이션 및 자동화(Security Orchestra-tion and Automation, SOA)와 사고 대응 플랫폼(Security Incident Response Platform, SIRP), 위협 인텔리전스 플랫폼(Threat Intelligence Platform, TIP)의 3가지 요소를 단일 플랫폼에서 제공하는 솔루션으로 정의한다.

SOAR란?
(Security Orchestration, Automation and Response, 보안 운영·위협 대응 자동화)

SOAR는 다양한 사이버 위협에 대해 대응 수준을 자동으로 분류하고 표준화된 업무 프로세스에 따라 보안 업무 담당자와 솔루션이 유기적으로 협력할 수 있도록 지원하는 플랫폼이다. 다시 말해, SOAR 자체가 특정 보안 위협을 탐지하거나 방지하는 기능을 수행하지는 않는다. 하지만 SOAR는 전반적인 보안 프로세스와 기준, 절차를 변화시켜 한층 더 성숙한 SOC를 만든다.

이름 그대로, 오케스트라의 지휘자 역할을 수행한다고 볼 수 있다. 기존에는 SIEM에서 발생하는 경보를 중요도에 관계없이 보안 인력이 일일이 확인해야 했다. SOAR 중심의 보안 프로세스에서는 SOAR의 1차 대응 결과를 확인하고, 자동으로 처리된 경보는 바로 종결시킨다. 전체 경보 중 과탐과 오탐이 차지하는 비율을 생각하면 얼마나 많은 경보를 SOAR가 자동으로 처리할지 짐작할 수 있다. 이렇게 SOAR는 전체 보안 환경의 지휘자가 되어 여러 보안 솔루션 간의 유기적인 조율과 자동화된 대응을 수행한다.

기존 경보 처리 프로세스와 SOAR 프로세스의 비교

실제로 아무리 쉽게 처리할 수 있는 이벤트라도 일단 경보가 발생하면, 기초정보 분석부터 페이로드 분석, 상세분석, 유효성 검증을 거쳐 차단하게 된다. 이 단계는 짧게는 5분, 길게는 1시간이 걸리는 작업이다. 하지만 SOAR는 보안 위협 유형별로 최적의 대응 방안을 매뉴얼화한 '플레이북(Playbook)'에 기반해 표준화된 절차에 따라 자동으로 처리함으로써 1분 이내로 결과를 보안 인력에게 전달한다. 이제 보안 인력의 시간과 노력은 정탐이라 판단되는 유의미한 공격에 집중할 수 있다.

03. 실질적인 성과 도출을 위한 SOAR의 조건

SOAR는 등장과 함께 활용도 높은 자동화 기술을 바탕으로 성과를 도출할 수 있는 보안 솔루션으로 주목을 받았다. 가트너 하이프사이클에 따르면, SOAR는 2023년 현재 모든 신기술이 극복해야만 하는 환멸기의 끝에 있다. 계몽기와 안정기로 성장해 SIEM처럼 모든 SOC의 기본 솔루션으로 자리잡을 것인지, 아니면 한때 주목을 받았던 기술에 그칠 것인지 기로에 있다.

보안 전문가들의 SOAR에 대한 평가는 대체로 긍정적이다. 특히 보안관제 전문가들은 날로 업무 강도가 높아지고 있지만 전문 인력을 확충하기는 어려운 SOC의 딜레마를 해결할 수 있는 기술로 보고 있다.

SOAR는 오케스트레이션, 자동화, 대응, 위협 인텔리전스가 결합된 솔루션이다. SOAR를 구성하는 3가지 요소는 모든 SOAR 솔루션 업체가 동일하겠지만, 구현된 솔루션이 모두 똑같지는 않다. SOAR 솔루션 역시 보안 위협 환경의 변화에 맞춰 계속 진화해야 한다.

실제로 가트너가 SOAR 개념을 정의한 이후, 적지 않은 보안 업체가 SOAR 솔루션을 발표했고, SOC에 도입되어 사용되고 있다. SOC 현장에서 SOAR의 실효성이 검증을 거쳐 평가를 받기에 이른 것이다. 보안 솔루션의 개발사이자 SOC 운영사로서 이글루코퍼레이션은 실제 SOAR 환경을 구현하고 운영한 경험을 바탕으로 2023년 현재 SOAR가 SOC 현장에서 실질적인 성과를 거두기 위해 갖춰야 할 5가지 조건을 도출했다.

AI 기반의 정확도 높은 자동 위협 탐지

AI는 무의미한 경보를 줄이고 보안 인력이 판단할 수 있는 기준을 제공해 업무 부하를 줄인다는 SOAR의 기본 역할을 수행하는 데 결정적인 역할을 한다. 지도 학습 모듈을 이용해 실제 환경의 데이터로 학습한 AI는 탐지의 정확도를 크게 높일 수 있고, 실제 경보가 발령됐을 때 해당 경보의 위험 수준을 보다 정확하게 판단해 보안 인력이 효율적으로 경보에 대응할 수 있다.

이글루코퍼레이션은 SIEM에 먼저 AI를 도입했는데, SOAR 솔루션에서도 AI를 기본 기능으로 생각할 만큼 큰 비중을 두고 있다. AI 기능뿐만 아니라 학습 데이터에도 지속적으로 투자하고 있으며, 한국인터넷진흥원(KISA)의 사이버보안 AI 데이터셋 구축 사업에도 참여하고 있다. 이를 기반으로 실제 관제 환경에 최적화된 AI 정오탐 판단 위험 모델을 제공해 위험 수준 판단의 정확도를 높였다. 특히 수십만 건의 TMS, IPS, WAF 이벤트 중 수만 건에 달하는 크리티컬 판정 이벤트를 인력이 개입하지 않고 SOAR 플레이북으로 자동으로 판단하고 대응할 수 있다.

위협 인텔리전스 연동을 통한 대응

위협 인텔리전스(Cyber Threat Intelligence, CTI)는 SOC에서는 이미 일반화되어 있지만, SOAR와의 시너지가 큰 서비스이다. 위협 인텔리전스 서비스 이전에는 보안 인력이 직접 블랙리스트 IP나 URL을 인터넷이나 Whois, 바이러스 포털 등에서 검색해 확인했다면, 현재는 공격 IP가 들어오는 동시에 차단 대상이라는 정보가 함께 나타난다. SOAR는 여기서 한걸음 더 나아가 위협 인텔리전스의 정보를 자동 수집해 주요 보안 장비에 자동으로 등록하고 차단한다. 단순 반복 작업을 개선하는 것은 물론, 선제적 자동 대응 체계를 마련할 수 있다.

이글루코퍼레이션은 자체 위협 인텔리전스 서비스와 솔루션을 보유하고 있으며, 국내 위협 정보를 모두 수집해 표준화해 제공한다. 특히 구축형 CTI를 제공해 상위 중앙관제센터에서 배포하는 위협 정보를 하위 SOC가 실시간으로 수집할 수 있다.

MITRE ATT&CK 프레임워크 연계

공격자의 최신 공격 기술 정보를 제공하는 마이터 어택(MITRE ATT&CK) 프레임워크는 최근 들어 SIEM부터 SOAR까지 보안 솔루션의 필요 요소로 부상했다. MITRE ATT&CK 프레임워크를 통한 일관된 공격 행동 패턴 분석을 기반으로 공격 방법과 기술, 절차 정보를 매핑해 공격자의 행위를 식별할 수 있다. 즉 해커가 어떤 공격을 했고, 다음에는 어떤 동작을 할 것인지 예측하고 분석해 공격 현황에 대한 가시성을 확보할 수 있다.

이글루코퍼레이션은 SOAR 솔루션의 대시보드에 MITRE ATT&CK 프레임워크를 적용해 공격이 탐지되면 공격의 유형부터 공격의 현재 단계까지 바로 알 수 있다. 또한 공격 IP, 테크닉 아이디(TID), 전술명, 위협그룹 등을 상세 분석할 수 있고, 기간 조회를 통해 장기간에 걸친 공격의 흐름과 변화도 파악할 수 있다. 특히 SOAR와의 밀접한 연계를 통해 SOAR가 보안 인력에게 상세 분석을 제안하기도 한다.

SOAR 대 SOAR 연계를 통한 실시간 자동 및 긴급 차단 체계

SOAR 대 SOAR 연계 대응

공공기관의 보안 환경은 상위 중앙관제센터와 하위 관제센터가 연결되어 있는 경우가 많다. 이런 기관의 경우, 중앙관제센터가 경보를 발령하면 포털 등을 통해 정보를 배포하고 하위 관제센터가 이를 수동으로 입력하곤 한다. 하위 관제센터의 문제가 중앙으로 전달되는 방식도 마찬가지이다.

SOAR 대 SOAR 연계는 이런 기관에서 제몫을 톡톡히 한다. 우선, 중앙관제센터의 정책이나 경보를 하위 관제센터로 자동으로 배포할 수 있어 내부 대응을 자동화하고 실시간 긴급차단 체계를 구축할 수 있다. 특히 규모가 작은 하위 관제센터의 경우 보안 인력이 제한적인 경우가 많고, 초급 보안 인력 1명이 모든 보안관제를 책임지는 곳도 적지 않다. 이런 관제센터의 경우, SOAR 연계를 통해 중앙관제센터의 최신 위험 정보와 차단 권고 IP를 자동으로 배포해 자동 분석 및 대응이 가능해진다.

플레이북의 지속적인 개발 및 반영

SOAR의 자동 대응을 실제로 수행하는 플레이북은 라이프사이클이 매우 짧다. 몇 년씩 실효성이 유지되는 플레이북도 있겠지만, 심한 경우 열흘이면 필요 없어질 수도 있다. 따라서 새로운 공격이 등장하거나 내부 정책이 바뀔 때마다 지속적으로 개정하고 개발해야 한다. 특히 플레이북 개발은 실제 관제 노하우가 필요하기 때문에 솔루션 업체가 제공하는 기본 플레이북으로는 성과를 얻기 어렵다.

이글루코퍼레이션은 SOAR 커뮤니티를 통해 플레이북의 개발과 공유를 촉진하고 있다. 내부적으로 관련 부서가 주기적인 회의를 통해 최신 위협 트렌드를 반영한 플레이북을 개발하고 있으며, 고객은 커뮤니티에서 필요한 플레이북을 직접 다운로드할 수 있다. 특히, 새로운 공격 대응 플레이북은 개발과 함께 자체 관제센터에 적용해 실효성을 확인한 다음 공유한다.

04. SOC 유형별 SOAR 운영 전략

SOC는 매우 다양한 규모로 운영된다. 단 한 사람의 보안 담당자가 운영하는 소규모 SOC가 있는가 하면, 24시간 365일 운영되는 대규모 SOC도 있다. SOAR는 SOC의 운영 프로세스를 변화시키는 솔루션이기 때문에 각 SOC의 규모에 따라 각각의 환경에 맞는 프로세스가 필요하다.

대규모 SOC는 주로 정부 중앙부처와 산하기관, 대기업 그룹사와 관계사가 운영한다. 규모가 크고 조직이 방대한 만큼 보안 환경 역시 복잡할 수밖에 없다. 이런 대규모 SOC의 SOAR 운영 프로세스는 자동분석과 실시간 대응에 중점을 둔다. 그리고 상위 기관과 하위 기관 간의 유기적인 연결을 통해 중앙관제센터에서 1차 차단하고 산하기관에서 2차 차단하는 자동차단 환경을 구현한다.

보안 인력 4~5인 규모의 중소 SOC는 숫자로는 가장 많은데, 주로 지자체나 단일 기업의 보안관제센터가 여기에 해당한다. 중소규모 SOC의 가장 불만은 "사람이 없다"는 것이다. 인력을 확보하지 못해 야간이나 주말은 원격관제에 맡기는 기업이나 기관도 적지 않다. 이처럼 한정된 예산과 인력으로 대형 SOC와 동일한 보안 위협에 대응해야 하기 때문에 SOAR 운영 프로세스는 최적의 운영에 중점을 둔다. 자동차단 역시 해당 기관 방화벽에서 필수 차단 이벤트를 선별해 차단하고 나머지 이벤트만 담당자가 확인하도록 설계한다.

중견기업이나 대학 등에서는 1인 SOC를 운영하는 경우도 많다. 가장 조건이 열악한 SOC로, 한 명뿐인 보안 담당자도 보안 전문 인력을 확보하기 힘들어 솔루션 업체의 교육과 지원이 절대적으로 필요한 곳이다. 이런 SOC에서 SOAR의 목표는 실시간 무인 자동화 관제 환경을 구현하는 것이다. 대응 역시 정책과 플레이북에 따라 SOAR가 자동으로 차단하고, 담당자는 리포팅 과정을 통해 차단이 정확하게 이루어지고 있는지 피드백을 하는 식으로 운영한다. 물론 일정한 주기로 전문 업체를 통한 유지 관리를 실시해 위협 트렌드에 뒤처지지 않도록 업데이트해야 한다.

05. 활용도 높은 자동화 기능을 제공하는 SPiDER SOAR

이글루코퍼레이션은 2017년부터 SOAR 솔루션 개발에 착수해 2020년 국내 보안업체로는 최초로 스파이더 쏘아(SPiDER SOAR)를 출시했다. 특히, 20년 이상의 보안 경험을 토대로 각 조직 상황에 부합하는 공격 대응에 최적화된 SOAR 솔루션을 만드는 데 중점을 뒀다.

SPiDER SOAR는 우선 국내 SOC에서 운영 중인 주요 보안 솔루션과의 긴밀한 연동을 지원한다. SOAR가 지휘자 역할을 하기 위해서는 SIEM부터 머신러닝 기반의 시스템, 위협 인텔리전스, 자산정보 및 취약점 관리 시스템 등 다양한 이기종 보안 솔루션과의 연동이 필수다.

특히, 국내 공공기관과 기업은 국산 보안 솔루션의 비중이 높다. 이글루코퍼레이션은 방화벽부터 IPS, NAC까지 국내 공공기관과 기업이 많이 사용하는 보안 솔루션을 조사 분석해 대부분을 연동 및 자동 차단이 가능하도록 했으며, 이글루 연합이란 협약 모델을 통해 연동 솔루션을 계속 확대하고 있다.

수많은 고객사에서 효율성을 검증받은 플레이북도 강점이다. 국내 사이트에서 실전에 활용되고 있는 플레이북인 만큼 실질적인 탐지 및 대응 효과를 신뢰할 수 있다. 특히 이글루코퍼레이션 고유의 보안 노하우를 기반으로 표준 플레이북이 적용된 SOC의 프로세스를 지속적으로 분석해 플레이북을 최적화하고 있다.

SOAR 솔루션의 아키텍처는 기본적으로 수집(Ingestion), 자동 대응, 조치로 구성된다. SPiDER SOAR는 가장 핵심이 되는 자동 대응 단계를 자동 대응과 전문가 대응으로 나눈 것이 특징이다. SOAR를 통한 자동 대응을 모든 공격 유형에 기본값으로 적용할 필요는 없다. 시기적 또는 기술적으로 위험성이 높은 특정 유형은 모두 직접 대응하도록 설정할 수 있다. 이때도 SOAR가 보안 인력에게 넘겨주는 경보는 기초적인 분석을 마친 상태이기 때문에 대응 효율이 월등히 높다.

SPiDER SOAR의 아키텍처

마지막으로 이글루코퍼레이션은 솔루션 설치를 넘어 보안 프로세스 최적화까지를 SPiDER SOAR의 구축 과정으로 보고 있다. SIEM 중심의 보안 프로세스에 익숙한 SOC는 SOAR 도입 후에도 SIEM의 경보를 확인하는 경우가 적지 않은데, 기존 SIEM 중심 관제 프로세스를 변경하지 않았기 때문이다. 이글루코퍼레이션은 SIEM과 AI 시스템과의 효율적인 운영을 위한 최적의 연계 방안을 구성하고 SOAR 기반 관제 프로세스 및 대시보드를 구성해 보안 프로세스 자체를 SOAR 중심으로 재편하도록 지원한다.

SPiDER SOAR 기반의 보안 프로세스 구축

실제로 SPiDER SOAR를 도입한 한 고객사의 결과 보고서에 따르면, SPiDER SOAR 도입 후 기존에 보안 인력이 100% 처리하던 위협 분석 및 대응 작업 중 83%를 SOAR가 자동 대응하고, 하루 200건이었던 대응 건수 역시 자동 대응 포함 3,200건으로 늘었다. 위협 대응 시간은 보안 인력이 직접 대응할 때는 15~45분이 걸렸지만, 플레이북 자동 대응은 평균 12초에 처리가 완료되는 것으로 나타났다.

05. “SOC의 체질을 바꾼다” 차세대 보안관제센터로의 진화

보안 위협이 날로 정교화되고 지능화되면서 SOC 역시 빠르게 진화해야 한다. 초기에는 SOC를 구축해 위협을 탐지하는 것이 목표였다면, 이제는 경보 탐지 중심의 관제에서 상세 분석 중심의 관제로 진화해야 하고, 이를 위해서는 SOC의 체질 개선이 필수적이다.

보안은 100-1이 0이 되는 세계이다. 99개의 위협을 막아도 1개의 위협을 막지 못하면 기존의 성과가 모두 무너진다. 결국 정말로 위험한 하나의 위협을 탐지해 막는 것이 보안의 궁극적인 목표이고, 이를 위해서는 보안 인력이 상세 분석에 집중할 수 있는 환경이 필요하다.

SOAR는 SOC가 가장 많은 시간을 빼앗겼던 오탐 처리를 포함해 반복적인 작업을 자동화함으로써 시간과 인력 부족으로 불가피하게 발생했던 미탐을 놓치지 않고 처리할 수 있다. 또한 APT 공격처럼 장기적이고 지속적인 공격에 대한 검증과 분석까지 처리할 수 있다.

보안은 고된 작업이면서도 성과를 내기 힘든 분야이다. SOAR는 SOC 자동화를 통해 단순 반복 영역은 솔루션에 맡기고 보안 인력은 창의적인 영역을 담당하도록 하면서 SOC의 체질을 개선하고 보안 성숙도를 높일 수 있다. 또한 이를 통해 사이버보안을 강화할 새로운 방법을 찾아내고 숨어 있는 위협을 탐지해 대응하는 가시적인 성과도 거둘 수 있을 것이다.