보안정보

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.

자동화 및 지능적 차세대 보안관제 체계의 성공적인 구축 사례

2023.05.31

4,185

01. 실시간 관제는 기계가, 분석관제는 사람이!

최근 미국에서 열린 RSAC 2023에서 트렐릭스의 CEO 브라이언 팔마(Bryan Palma)는 궁극적으로 자동화가 사이버 보안의 미래라고 전망을 했다. 그는 발표를 통해 보안 이벤트 및 로그를 수집·관리·분석하기 위해 사용되는 솔루션인 통합보안관제(SIEM)을 대체할 기술의 필요성을 강조했다. SIEM과 같은 정적인 보안 솔루션은 오늘날 기업들이 직면하고 있는 보안운영(SecOps) 과제를 해결할 수 없다고 강조했다. 트렐릭스 CISO의 마인드(The Mind of the CISO) 보고서에서도 CISO의 주요 어려움으로 ▲숙련된 인재 부족 ▲과중한 부담감 ▲넘쳐나는 부적절한 솔루션(평균 25개의 개별 보안 솔루션을 사용) ▲통합 솔루션의 부재라고 한다. 그래서 팔마 CEO는 자동화와 인텔리전스로 보안운영 혁명을 이뤄내야 한다는 것이 그의 주장이다.

국내 보안관제 센터 운영도 여러 번의 SOC 패러다임의 변화를 걸쳐 발전하고 있다. 1) ESM기반의 다양한 보안 시스템들의 상호 운용성, 관리성 및 보안성이 극대화된 보안관제, 2) 방대한 보안 데이터를 보다 빠르게 상관분석할 수 있는 SIEM(빅데이터 로그분석) 기반의 보안관제, 3) 머신러닝 기술에 기반한 인공지능(AI) 보안관제까지 지속적인 발전을 하고 있다. 하지만 모든 보안관제 업무 중심에는 사람이 직접 수행해야 한다는 한계점이 계속 지속되어 왔다.

브라이언 팔마 CEO 말처럼 “인간은 더 전략적인 결정이 필요할 때 중재자 역할을 수행하고, 시스템을 모니터링하는 등의 작업은 기계에 맡겨야 할 때”이다. 이에 보안담당자, 관제 전문가들의 일상 업무와 활동을 이해하고, 이를 기반으로 구축한 자동화된 지능적 차세대 보안관제 체계의 완성을 위한 성공적인 SOAR 도입 사례를 설명하고자 한다.

[그림 1] 트렐릭스 CEO 브라이언 팔마(Bryan Palma) RSAC 2023 발표 내용 중 '숙련된 인재 부족과 확보의 어려움'

02. 지능적 자동화로 SOC 트랜스포메이션

해당 고객사는 이미 당사의 SIEM과 AI시스템까지 도입하여 사용하고 있는 선진 기관이였다. 우선 사전 환경 분석을 통해 단순 반복작업과 관제 환경 개선 부분을 파악하여 구축하였다.

① AI시스템 예측 결과에 대한 침해대응 프로세스 자동화로 초동분석 및 대응시간을 단축하여 사이버침해 대응능력 강화,
② 고객사 주요망 및 유관기관(공사, 공단등) 과 SOAR 시스템 연계를 통한 실시간 자동 및 긴급 차단 체계 기반 마련,
③ 사이버 위협에 선제적 대응을 위해 상위 중앙관제센터의 차단 권고 IP와 CTI 정보 실시간 차단 체계 기반 마련,
④ SOAR 중심의 관제를 위해 기 구축된(SIEM, AI, SG) 시스템 간 상호인증 기능 지원하여 원클릭 접속으로 운영 및 관리

이러한 니즈를 반영하여 AI시스템 기반으로 새로운 자동화 침해대응 프로세스를 수립하였으며, 이에 맞게 시스템들도 재구성하였다. 우선 SOAR 중심 관제 일원화를 위해 당사 전체 시스템 간 상호인증을 통해 원클릭 접속이 가능하도록 단일 플랫폼(XDR)으로 통합 구성하였다.
이벤트 흐름은 CTI 위협정보와 Smart[Guard](이하 SG)의 자산 및 취약점 정보들을 SIEM 상관분석을 통해 실시간 위협 탐지를 하고, AI를 통해 정∙오탐 판별 후 SOAR로 Incident 접수가 된다. 접수된 티켓은 Playbook을 통해 자동으로 침해 분석과 보안 장비로 실시간 차단 대응 후 보고서 생성으로 마무리된다. 그리고, 상위 중앙관제센터의 차단 권고 IP들은 구축형 CTI를 통해 자동으로 수집된 후 SOAR 차단 Playbook을 통해 사람 개입 없이 보안장비까지 자동으로 차단과 해지가 이루어진다. 그리고, 건당 이벤트들은 MITRE ATT&CK 분석 앱을 통해 공격의 전체 범위를 표현하여 해커가 무엇을 했으며 다음에 어떤 공격을 할 가능성이 있는지 분석이 가능하게 되었다. 4가지 니즈의 구현 방안을 구체적으로 살펴보겠다.

[그림 2] 지능형 자동화 보안관제 체계 시스템 구성도

1) XAI시스템 예측 결과에 대한 침해대응 프로세스 자동화로 초동분석 및 대응시간을 단축하여 사이버침해 대응능력 강화

개선된 지능적 자동화 침해대응 프로세스에 의해 접수>분석>대응(차단)>완료(보고서)까지 약 12초가 소요될 정도로 대응 시간을 단축시켰다. XAI시스템에서 수십만 건의 TMS,IPS,WAF 이벤트들 중 Critical이라 판단한 수만 건의 이벤트들을 기존에는 사람이 일일이 대응 했다면, 이제는 SOAR Playbook에 의해 자동으로 판단 및 대응이 가능하게 되었다.

“사람은 더 전략적인 결정이 필요할 때 중재자 역할을 할 수 있게 되었다.”

[그림 3]에서처럼 ①전문가 모드 프로세스를 통해 Playbook에서 초동분석한 결과를 바탕으로 관제 전문가가 검토 후 대응할 수 있도록 단순 반복작업은 기계에게 맡겼다. 즉, 공격 Payload 패킷 분석은 XAI가 수행하고, 정∙오탐 판단을 위해 단순 반복적인 정보 비교 부분들을 Playbook이 수행하여 한 장의 분석 보고서로 출력해 준다. 관제 전문가는 이 보고서를 기반으로 검토하면 되기 때문에 대응시간이 1분 내외로 단축이 될 수 있었다. 그리고, 관제 전문가에 의해 검증된 확실한 공격은 맞으나 유효성이 낮은 단순 반복적 공격들에 대해서는 사람 개입 없이 자동 대응 가능하도록 ②Playbook 자동대응 모드로 지속전환 시켰다. 침해대응 프로세스 자동화로 분석 및 대응 시간이 약 12초로 단축되어 사이버 침해 대응 능력이 강화되었다.

[그림 3] 지능형 자동화 침해대응 프로세스

이런 결과의 선행 작업으로 우선, 관제 환경 최적화를 위해 AI시스템은 가장 중요한 정∙오탐 판단 위협모델을 많은 프로젝트와 관제 전문가의 의견을 반영하여 개선된 위협 모델로 교체하였다. 또한 XAI(설명가능한AI)를 최신 패치하여 예측결과에 신뢰감을 높였다. 이를 바탕으로 관제팀에서 중요하게 관리하는 고 위협군과 잠재 위협군, 저 위협군으로 나누고, AI 알고리즘의 예측 결과와 융합하여 최종 정∙오탐 예측을 하게 된다. 이럼으로써 기존 위협 모델에서처럼 관제 현실과 맞지 않은 무분별한 Critical 판단 결과로 인해 오히려 관제 업무에 피로도를 높였던 부분을 개선할 수 있었다.

[그림 4] 관제 현실 반영한 XAI 정∙오탐 판단 위험 모델

지능적 자동화 침해대응 프로세스에서 가장 중요한 부분은 1회성이 아니라 지속적인 관제 범위 확대이다. XAI Critical, Warning 자동화 이후 관제팀은 TMS,IPS,WAF 이벤트 중 잠재 위협군인 XAI Suspicious 예측에 대해 ① 전문가 모드에서 분석 검증 후 ②Playbook 자동대응 모드로 지속 확대 적용시켜 탐지 이벤트 60%까지 자동화 시켰다. 이후 관제팀에서는 100%를 목표로 지속적으로 자동화 전환을 하고 있다. 이 결과 상위 기관 관제에서 이관하는 모든 티켓은 이미 대응한 상태였다.

[그림 5] SOAR 자동화 관제 확대

2) 고객사 주요망 및 유관기관(공사,공단등) 과 SOAR 시스템 연계를 통한 실시간 자동 및 긴급 차단 체계 기반 마련

신규 취약점 공격과 최근 중국 해킹그룹 샤오치잉등과 같은 긴급 사이버 위협에 선재 대응하기 위해 실시간 자동 및 긴급 차단 체계 기반을 마련하였다. 운영 결과는 대응 시간이 기존에는 차단 권고 배포 이후 24시간 소요되었으나 체계 도입 이후 1분 내외로 단축되었다. 우선 고객사 주요망은 SOAR 차단 전용 방화벽을 DMZ 구축 최상단에 함께 구축하여 보안운영팀 별도의 독립 운영(정책 적용 시간 지연)과 서비스 영향도 없이 운영권을 확보하였다. 최상단에 구축 이유는 공격 IP를 원천적으로 차단하여 내부 보안장비에 불필요한 유해 트래픽 유발과 반복 탐지를 방지하기 위함이라고 한다. 그리고, SOAR와 고객사 주요망의 SOAR차단 전용 방화벽 및 유관기관(공사, 공단등)의 보안장비들과 차단 통신을 위해 인터넷망에 SOAR 차단 테넌트 서버를 구성하였다. 즉, 업무망과 인터넷망 간의 안전한 통신을 위해 망연계 솔루션을 이용하여 보안 준수하며 차단 명령을 내릴 수 있게 구성하였다.

[그림 6] 실시간 자동 및 긴급 차단 체계 기반

이런 긴급 차단 체계 기반을 바탕으로 유관기관 담당자들의 교육/휴가 등의 부재와 무관하게 사이버안전센터에서 직접 외부 위협에 대한 실시간 차단이 가능하게 되어, 실시간 자동 및 긴급 차단 체계 기반을 마련하였다. 또한 단일 IP 및 수백 개 IP를 일괄 처리할 특정 보안 장비 또는 여러 보안장비 선택이 가능하며, 선택된 보안 장비들은 병렬로 동시 차단 적용이 된다. 실시간 침해 시도하는 공격 IP들은 Playbook 자동대응 모드에 의해 사람 개입 없이 실시간 차단이 가능하게 되어 일일이 보안장비 접속하여 차단하는 단순 반복 작업 또한 개선이 되었다.

[그림 7] SOAR Orchestration

3) 사이버 위협에 선제적 대응을 위해 상위 중앙관제센터의 차단 권고 IP와 CTI 정보 실시간 차단 체계 기반 마련

차단 권고 IP와 CTI 정보 실시간 차단 체계 기반 마련으로 관제팀에서는 더 이상 매일 수백개의 IP를 여러 보안장비에 수동 등록하는 단순 반복 작업이 개선될 수 있었다. [그림 6]에서 처럼 구축형 CTI를 통해 상위 중앙관제센터에서 배포하는 수백 개의 차단 권고 IP와 CTI 정보를 실시간 수집하도록 구성하였다. 고객사 구축형 CTI에서 수집된 위협 정보들은 공격 유형별로 태그(TAG) 구분이 되어 SOAR Playbook 별로 위협 정보를 추출한다. 이후 프로세스는 고객사의 실시간 자동 및 긴급 차단 체계에 적용하여 고객사 주요망과 유관기관의 보안장비까지 자동 차단 배포된다. 고객사에 구축형 CTI가 없더라도 SOAR에서 직접 상위기관 구축형 CTI나 IGLOO CTI에 접속하여 실시간으로 위협 정보를 수집할 수 있다.
고도화되는 사이버 위협에 적극 대응하기 위해 위협 정보는 필수이며, 이에 IGLOO CTI(Cyber Threat Intelligence)는 전 세계에서 일어나는 모든 위협 정보를 수집하고 분석한 다음 여기서 얻은 지식을 활용해 빠른 분석 체계를 마련해 준다. SOAR 구축 이전에는 관제팀이 직접 비교 분석과 보안 장비에 차단 적용했다면, 이제는 Playbook에 의해 자동 비교 분석 후 차단과 태그별로 구분하여 배포 즉시 사전에 차단 적용해 선재적 대응이 가능해졌다.

[그림 8] IGLOO CIT와 SOAR Threat Intelligence

4) SOAR 중심의 관제를 위해 기 구축된(SIEM, AI, SG) 시스템 간 상호인증 기능 지원하여 원클릭 접속으로 운영 및 관리

“SOAR One UI – XDR 단일 플랫폼으로 통합 구성”
해당 고객사는 이미 당사의 여러 솔루션들(SIEM, AI, SG(자산 및 취약점관리))을 도입 운영하고 있었으며, 솔루션별로 개별 로그인하여 여러 콘솔 창을 실행시켜 운영 중이었다. 이러한 불편한 점을 개선하고, 관제 효율성을 높이고자 상호인증 기능을 적용하여 SOAR 중심의 관제 체계를 완성시켰다.

즉, SPiDER SOAR로 로그인하면 관련 링크 메뉴나 SOAR 기능 페이지에서 우클릭 메뉴를 통해 별도 인증 과정 없이 SIEM, AI, SG, 통합 대시보드로 접속 후 상호인증이 되어 편리하게 사용할 수 있게 되었다. 우클릭 메뉴 같은 경우 사용자가 정의하여 추가/삭제가 가능하도록 기능 지원이 된다. SOAR 중심으로 보안 관제 업무가 이루어지며, 그 외 솔루션들은 필요시 접속하여 상세정보를 확인하는 프로세스로 단일 플랫폼으로 구성 완료하였다. 관제팀 입장에서는 마치 하나의 솔루션인 것처럼 운영을 할 수 있는 환경이 되어 ID/PW 숙지와 수많은 솔루션 창들을 띄워 놓고 사용할 필요가 없어졌다.

[그림 9] 관제 현실 반영한 XAI 정∙오탐 판단 위험 모델

03. 보안관제센터의 보안 성숙도 향상(Level Up)

SOAR를 통해 알려진 공격에 대한 침해대응 자동화 프로세스는 완성되었으나, 그다음 보안 관제 센터를 한층 Level up 할 수 있는 Next SOC 관제 방법론은 무엇인가?에 대한 스스로 질문들이 나오게 되었다.
관제 전문가의 건별 경보 탐지 관제에서 정밀 분석 관제로 보안 관제센터의 체질 개선이 필요하다.
그래서 기계가 해야 할 단순 반복적인 건별 경보 대응이 아니라 창의적 업무를 위해 TTPs, 위협 헌팅, 장기간 공격 분석 등으로 차세대 보안 관제센터의 보안 성숙도 향상 체질 개선하고 있다.

[그림 10] 차세대 보안관제센터로의 보안 성숙도 향상

우선 실시간 보안 관제(8명, 4조 3교대) 업무 형태 변화로는 2명 근무 중 한 명은 기존 업무를 유지하며, 다른 한 명은 TTPs 분석관제 업무로 전환하여 기존에 하지 못했던 업무를 할 수 있게 되었다.
그 첫 번째 방법으로 MITRE ATT&CK 프레임워크 분석 앱을 적용하여 공격 침투 현황에 대해 가시성을 확보 기반을 마련했다. MITRE ATT&CK 분석 앱을 통해 공격의 전체 범위를 표현하여 해커가 어떤 공격을 했으며 다음에 무엇을 할 가능성이 있는지를 예측하여 모니터링을 집중하는 프로세스를 잡아가고 있다. 또한 MITRE ATT&CK 분석 앱의 Navigator의 강력한 필터 기능을 통해 공격 IP, TID, 전술명, 위협 그룹 등을 검색하여 상세 분석을 할 수 있게 되었다. 하루뿐만 아니라 1주일, 1개월간의 기간 조회를 통해 장기간 분석으로 공격의 흐름과 변화를 파악할 수 있다.
또 다른 방법으로는 Criminal IP 분석 앱을 통해 보안장비에서 서버단까지 공격 표면에 대해 실시간 가시성 확보로 CTI IP들의 접근 행위 분석과 목적지 웹서버로 접근하는 위협 현황에 대해 실시간 및 장기간 분석이 가능하게 되었다. 또한 IPS 인사이트 분석 앱으로 IPS 이벤트를 장기간 분석하여 특정 공격IP에 대해 3일, 혹은 7일 이상 지속 공격하는 IP감시와 최근 7일 탐지되지 않는 신규 공격IP나 복합 공격IP등을 추출 가능하며, 클릭 시 새로운 팝업 창으로 드릴 다운되며, 상세 TTPs 분석이 가능하게 되었다.

[그림 11] 관제 현실 반영한 XAI 정∙오탐 판단 위험 모델

04. SOC 트렌스포메이션 효과

SOAR를 통해 실시간 관제는 기계가 하고, 사람은 분석관제 중심으로 업무가 변경되었다. 즉, 이제는 더 이상 기계 같은 단순 반복작업은 사람이 안 해도 되는 환경으로 변한 것은 확실하다. 무엇보다 해당 고객사에서 관제 자동화에 집중했던 4가지 부분에 대해 눈에 보이는 정량적 성과는 다음과 같다.
① 침해대응 시간 단축 : XAI 시스템 자동 정∙오탐 판단/분류 + SOAR 자동 분석 및 대응(차단)으로 기존 관제 인원 직접 대응 시간 평균 30분에서 1분 이내며, SOAR FULL 자동화 시 평균 12초 소요되었다.
② 실시간 자동 및 긴급 차단 체계 기반 마련 : 해당 보안장비 접속 없이 SOAR를 통해 언제든지, 즉시 다수의 보안장비에 동시에 하나 또는 수백 건의 IP를 긴급 차단 및 해지가 가능하게 되었다.
③ 상위 중앙관제센터의 차단 권고 IP와 CTI 정보 실시간 자동 차단 : 사이버 위협에 선제적 대응으로 매일 단순 반복적인 일괄 등록 작업이 자동화되어 실시간 적용과 업무 효율성이 향상되었다.
④ SOAR 중심의 관제 환경 구축 : XDR 컨셉으로 단일 플랫폼으로 통합 구성 SIEM, XAI, SG, UD 시스템 간 상호인증 기능을 적용하여 SOAR One UI에서 솔루션간 유연한 접속으로 업무 편의성이 향상되었다.

[그림 12] 정량적 도입 효과

정량적 효과로는 위협 분석 및 대응 자동화는 83%로 자동화된 관제 표준 프로세스를 마련하였다. 일일 대응(티켓팅) 건수는 200건에서 3000건까지 보안 공백 제로화를 목표로 관제 범위를 넓혔다. 무엇보다 탐지->분석->차단까지 위협 대응시간은 기존 15~40분에서 1분 이내로 단축되었다.

그러나 의미 있는 SOC 트랜스포메이션의 효과는 침해대응 건수와 시간 단축 관점보다는 관제 전문가들의 경보 피로도와 분석 관제로의 전환이다. 관제 전문가들의 경보 번아웃이 경보가 많이 발생 해서가 아니다. 발생한 경보에 대해 건별 정∙오탐을 분석하기 위해 확인하는 기계적인 단순 반복적 과정 때문이다. 세일즈포스의 설문조사 결과를 보면 직장에서 자동화를 사용한 결과 89%가 직업에 만족하고, 84%는 회사에 만족한다고 한다. 즉, 생산성이 향상되다 보니 시간 절약으로 일과 삶의 균형이 잡히고, 직업과 직장에 만족도 또한 높아졌다고 한다.
단순 대응 건수의 증가보다는 직원들의 업무 만족도와 성장에 포인트를 두면 좋을 것 같다.