보안정보

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.

지금 꼭 알아야 할 보안 ‘초자동화’로 가는 길

2024.09.04

46,998

과거 ‘산업혁명’이라고 일컬어졌던 사회 구조의 큰 변화에는 ‘기술의 진보가 인간의 노동력을 대체한다’는 공통점이 있었다. 제임스 와트가 발명한 증기기관이, 전기 동력의 보편화가, 컴퓨터와 인터넷의 발전이 인간의 노동 생산성을 큰 폭 향상시켰고 궁극적으로는 삶의 질을 높였다. 인간의 삶을 한층 더 편리하게 만들 수 있는 법, 이것은 사회가 아주 오랜 시간 탐구해온 문제이자 어쩌면 인간의 본질적인 욕구일지도 모르겠다.

이러한 맥락에서 꾸준히 세간의 관심을 받고 있는 이슈로 ‘자동화’가 있다. 오늘날 인공지능(AI)을 비롯한 IT 기술의 빠른 발전은 우리의 삶에 커다란 변화를 불러오고 있다. 산업혁명의 기반이 되었던 기술들이 주로 인간의 육체적 노동을 대신해 노동 생산성을 극대화하는데 집중했었다면, 최근의 신기술은 노동의 생산성뿐 아니라 그 속성까지 변화시키고 있다.

오늘날의 자동화 기술은 인간의 지적 노동을 보완해 주는 측면에서 각광받는다. 금융업계에서 AI 알고리즘을 활용해 금융 거래 데이터 분석 및 사기 거래 탐지 프로세스를 자동화하고, 제조업계에서 RPA(Robotic Process Automation) 기술을 활용하여 인력 관리, 주문 관리, 재고 관리, 공급망 관리 등 여러 분야의 프로세스를 자동화해 업무 효율을 높이고 있는 것처럼 말이다. 그리고 인간으로 하여금 단순 반복적인 영역에서 벗어나 조금 더 복잡하고 창의적인 영역에 집중할 수 있도록 한다. 한 마디로 노동 효율성을 높여 수행하는 노동의 결을 변화시키는 데 일조한다.

보안업계도 예외는 아니다. 사이버 공격이 점점 더 정교해지고 발생하는 데이터 양이 폭발적으로 증가함에 따라, 이에 효율적으로 대응하기 위한 자동화 기술이 그 어느 때보다 필요해졌다.

01. 보안 자동화를 실현하는 SOAR

오늘날의 기업들은 전례 없이 어려운 보안 과제에 직면하고 있다. AI를 악용한 고도화된 사이버 공격과 함께 내부자 위협에 의한 정보 유출 사고가 급격히 증가하고 있다. 또한 디바이스를 감염시키는 멀웨어, 몰래 접근해 데이터를 암호화하고 몸값을 요구하는 랜섬웨어, 개인정보를 캐내 악용하는 피싱까지 일상을 침투한 공격도 점차 교묘해지고 있다. 이렇듯 보안 위협은 날로 진화하고 있지만, 보안 전문가의 수는 현저히 부족하다. 자동화에 대한 요구가 높아지는 건 어떻게 보면 너무나도 당연한 일이다.

[그림 1] 사이버 범죄 비용 증가 추이 (출처: Embroker)

보안 운영·위협 대응 자동화 솔루션인 SOAR(Security Orchestration, Automation and Response)는 보안 프로세스의 효율과 성과를 높여 보안 전문가들이 직면한 문제를 해결하기 위한 대안으로 등장했다. SOAR의 핵심은 크게 오케스트레이션과 자동화로 나뉜다.

보안 오케스트레이션은 다양한 보안 솔루션, 도구, 기술들을 결합하고 연동하는 것을 말한다. 복잡해지는 IT 환경에 해커들이 겨냥할 수 있는 공격 표면이 전에 비해 대폭 늘어났다. 이에 보안 솔루션을 하나둘 추가하면 괜찮을 것이라고 생각할 수 있으나 구색 맞추기 식의 무분별한 도입은 오히려 관리 업무의 급증과 대응 프로세스의 복잡성을 심화시키는 역효과를 초래한다. 오케스트레이션, 즉 조율이 필요한 이유다.

SOAR는 여러 보안 도구와 기술을 하나의 통합된 플랫폼에서 관리할 수 있도록 지원하면서 일원화된 침해 대응 프로세스를 구현하고 보안 환경 전반에 걸친 자동화를 가능하게 한다. 그리고 이렇게 조성된 환경을 토대로, 공격 유형별 최적의 대응 방안을 매뉴얼화한 '플레이북(Playbook)'을 활용해 탐지된 공격에 대한 자동 분석 및 대응을 수행한다.

이글루코퍼레이션의 SPiDER SOAR(스파이더 쏘아)는 보안 위협 대응 프로세스를 자동화해 보안 운영의 효율성을 높이는 보안 운영·위협 대응 자동화(SOAR) 솔루션이다. 조직들은 SPiDER SOAR에 보안 정보 및 이벤트 관리(SIEM) 솔루션, 머신러닝(ML) 기반 보안관제 시스템, 자산 정보 및 취약점 관리 솔루션 등 여러 이기종 보안 솔루션을 손쉽게 연동해 최적의 침해 대응 프로세스 자동화를 구현할 수 있고, 20여 년 이상 보안을 운영한 기업 고유의 노하우가 담긴 플레이북을 통해 단순 반복적인 프로세스를 자동화하며 위협 탐지에서 대응에 이르는 과정과 시간을 실질적으로 단축시킬 수 있다.

아무리 간단한 이벤트라도 일단 경보가 발생하면 기초 정보 분석부터 차단까지 통상 짧게는 5분에서 길게는 약 60분 정도의 시간이 소요된다. 그러나 SPiDER SOAR를 통해 플레이북 기반 자동 대응이 가능하다면 해당 프로세스를 1분 이내로 단축할 수 있다. 이로써 보안 전문가는 우선순위가 더 높거나, 분석 업무와 같이 보안 전문가의 판단이 반드시 요구되는 중요도 높은 업무에 집중하게 되면서 보안 운영의 효율성을 극대화할 수 있다.

[그림 2] 기존 경보 처리 프로세스와 SOAR 프로세스 비교 (출처: 이글루코퍼레이션)

02. 자동화를 넘어, 초자동화로

가트너(Gartner)는 지난 2022년 주요 전략 기술 트렌드 중 하나로 ‘초자동화(Hyperautomation)’를 제시했다. 가트너에 따르면 초자동화란 AI, 머신러닝, RPA, 로코드∙노코드 등 여러 기술, 도구, 또는 플랫폼을 조화롭게 사용하여 최대한 많은 비즈니스 및 IT 프로세스를 신속하게 식별, 검증, 자동화하는, 하나의 비즈니스 중심적인 접근 방식이다.

자동화와 초자동화를 구분하는 가장 큰 차이점은 단순 몇몇 개의 개별적인 반복 작업을 자동화했는지, 아니면 이를 넘어 전체적인 비즈니스 프로세스와 워크플로우를 대상으로 더욱 지능화된 자동화를 구현했는지에 있다. 자동화는 주로 특정 작업을 자동 처리하는 데 초점을 맞추는 한편, 초자동화는 인간의 개입 없이 다양한 자동화 기술들을 조합해 보다 넓고 통합된 자동화를 구현하는 데 중점을 둔다. ‘여러 기술들을 결합하여 가능한 모든 작업을 자동화하고, 전체 비즈니스 운영을 최적화하는 전사적 접근법’이라고 생각하면 이해가 쉽다. 그리고 작년 가트너는 향후 높은 영향력을 보일 것으로 예측되는 신기술 중 하나로 ‘보안 초자동화(Hyperautomation in Security)’를 선정한 바 있다.

[그림 3] 떠오르는 기술 및 트렌드 영향도 레이더 2023 (출처: Gartner)

보안 초자동화, 어떻게 구현할 수 있을까? 아직 가야 할 길은 멀어 보이지만 그 여정의 시작점에 SOAR가 있음은 분명하다. SOAR의 진정한 가치는 단일 솔루션으로서의 기능보다 보안 환경 전반을 아우르는 프로세스 개선에 있다. SOAR 자체가 특정 위협을 탐지하거나 대응하는데 특화되어 있기보다 전반적인 보안 프로세스와 기준, 절차를 혁신하여 한층 더 성숙하고 효율적인 보안 운영을 실현하는 데 목표를 두고 있기 때문이다. 이는 단순 반복적인 작업 자동화에서 벗어나 전체 프로세스를 개선하고 더 넓은 범위의 자동화를 구현하려는 초자동화의 목표와 맥을 같이 한다. 조직의 전반적인 보안 역량을 향상시키기 위한 필수적인 단계, 보안 초자동화로 나아가는 첫걸음을 SOAR와 함께 시작해 보길 바란다.