보안정보
전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.
차세대 보안관제센터(SOC)로의 전환을 위한 핵심 기술
2022.05.24
2,509

[그림 1] 보안관제 패러다임의 변화
02. AI 솔루션의 진화 인공지능이 보안업계의 화두로 떠오르며 각광 받은지도 어느덧 시간이 꽤 흘렀다. 이 말인즉슨 국내외 많은 보안 기업들이 앞다투어 머신러닝, 딥러닝과 같은 기술을 도입하고 AI 솔루션을 개발하여, 오늘날 날로 진화하는 사이버 공격에 대해 인공지능을 적극 활용하고 있다는 의미다. 특히 보안관제 분야에서는 지도학습 알고리즘과 비지도학습 알고리즘을 탐지 및 예측 분야에 도입하여 적용하고 있는 추세다. 보다 정확하게는, 사전 레이블된 데이터로 학습하여 정확한 결과를 도출해내는 지도학습과 사전 레이블된 데이터 없이 학습 데이터의 숨겨진 구조 및 특징을 발견하는 비지도학습 두 갈래로 나눠지는데, 이러한 AI 알고리즘을 보안관제 업무에 적용하기에 앞서 무엇보다 중요한 건, 이를 가장 잘 활용될 수 있는 분야와 그에 맞는 적용 범위를 고려하는 것이다. SOC의 주축이 되는 빅데이터 기반 SIEM은 방화벽(FW), 침입방지시스템(IPS)와 같은 네트워크 보안 솔루션과 AV(Anti-Virus), 네트워크 접근 제어(NAC)와 같은 엔드포인트 보안 솔루션, 웹 서버나 파일 서버와 같은 서버 시스템, 그리고 라우터, 스위치와 같은 네트워크 시스템 등의 로그를 통합적으로 수집하여 빠르게 검색하고 분석할 수 있도록 지원하는 것이 주된 역할이다. 그에 반해 AI 솔루션은 알고리즘, 위협 모델, 학습 데이터 등을 바탕으로 고도화된 보안 위협을 보다 정확히 탐지하고 방대한 보안 데이터 분석에 소요되는 시간을 단축시킴으로써 보안관제 역량을 상향 평준화 시키는 부분에서 가장 효율적인 결과를 보여주고 있다.
[그림 2] AI 풀랫폼
여기서 한발짝 더 나아간 AI 솔루션은, 기존 AI가 블랙 박스와 같이 결과만을 보여줬던 단점을 보완하여 설명 가능한 인공지능, 이른바 XAI(eXplanable AI) 기술이 접목된 형태를 보인다. 이벤트 예측 결과에 대해 AI Score, CTI(Cybersecurity Threat Intelligence), 탐지명 중요도, 불확실성 지수와 같은 측정 지수가 함께 표현되고, 예측 기여도 상위 특징(Feature)에 대한 설명, 값, 학습 데이터 대비 백분위 등 판단 기준에 대한 여러 논리적인 근거가 제공됨으로써, 보안 전문가는 인공지능이 의도한 대로 학습이 되었는지 또 예측 결과는 믿을만한지 판단할 수 있으며 더 나아가 AI와 사용자 간의 관점 차이를 줄이는 효과도 얻을 수 있게 된다.

[그림 3] XAI를 통한 정오탐 식별 - 이벤트 예측 판단 기준 설명 예시
03. SOC 업무의 중심으로 떠오른 SOAR 디지털 전환이 가속화됨에 따라 복합적인 사이버 공격이 증가하고 있는 것에 비해 오늘날 대부분의 SOC는 여전히 소수의 전문 인력에 의존하여 반복적인 수동 대응 중심으로 운영되고 있는 게 현실이다. 이에 한정된 인력과 예산으로 SOC를 보다 효율적으로 운영하기 위한 방안으로 자동 대응이 핵심으로 떠오르며, 플레이북(Playbook)에 기반해 자동 분석 및 대응을 수행하는 SOAR(Security Orchestration, Automation and Response, 보안 오케스트레이션·자동화 및 대응)의 필요성이 날로 높아지고 있다.
[그림 4] SOAR 아키텍쳐(Architecture)
기존 SIEM 중심의 보안관제체계에서 나아가 위와 같이 AI, 자산·취약점 정보, TI(Threat Intelligence) 등 공격 유형별 대응을 위한 수많은 요소들을 SOAR 중심으로 결합한다면, 플레이북 기반의 ‘자동 대응’ 영역과 보안 전문가가 직접 수행하는 ‘전문가 대응’ 영역으로 업무를 배분해 SOC의 효율성을 한층 높일 수 있다. 단순 반복적인 프로세스를 표준화된 절차에 따라 자동 처리함으로써 고도화된 관제 업무를 위한 인력 투자가 가능해지고, 이는 또다시 신속한 의사 결정에 기반한 위협 대응 시간 최소화라는 선순환 효과를 이끌어낼 수 있다.
[그림 5] SOAR를 통해 자동화된 침해대응 프로세스
한 마디로 SOAR를 활용한다면, 보안관제 오케스트레이션(Orchestration)의 구현을 통한 지능형 보안관제 체계 수립이 가능해진다. 국내외 이기종 보안 솔루션과 업무 시스템의 연동을 통해 보다 통합적이고 유기적인 대응을 구현할 수 있고, 보안 위협 유형별 최적의 대응 방안을 매뉴얼화한 플레이북을 활용해 보안 위협 탐지부터 대응에 이르는 과정을 실질적으로 단축시킬 수 있을뿐만 아니라 불규칙한 대응 품질, 업무 프로세스 가시성 부족 등 기존 SOC가 직면한 대부분의 문제점을 개선할 수 있을 것으로 기대되기 때문이다.
[그림 6] 보안관제 오케스트레이션(Orchestartion)
04. NDR, EDR의 오케스트레이션을 통한 확장 더불어 오늘날 랜섬웨어나 내부 정보 유출과 같은 해킹 공격이 빈번히 발생하면서 SOC에서는 네트워크 패킷 이벤트와 엔드포인트 행위 이벤트까지 수집, 분석해야할 필요가 생겼다. 이는 곧 NDR(네트워크 탐지 및 대응) 솔루션과 EDR(엔드포인트 탐지 및 대응) 솔루션이 SOC 운영 범위 안에 들어오게 되었다는 걸 의미하며, 최근 해당 분야에서는 마이터 어택(MITRE ATT&CK)을 기반으로 한 분석이 자주 활용되는 추세다. 마이터 어택이란 공격자들의 최신 공격 기술 정보가 담긴 일종의 저장소와 같다. 실제 사이버 공격 사례를 관찰하고, 공격자가 사용한 악의적 행위(Adversary behaviors)에 대해 공격 방법(Tactics)과 기술 (Techniques)의 관점으로 분석해 분류하고 목록화해놓은 표준적인 데이터들이다. 따라서 마이터 어택을 활용한다면 대조와 비교를 통해 공격자가 네트워크와 엔드포인트를 어떻게 악용하면서 침입했는지를 한층 수월하게 파악할 수 있다.
[그림 7] 마이터 어택 예시 (출처: 쿼드마이너)
보다 자세하게는, 마이터 어택 분석 기능을 통해서라면 공격자가 어떤 공격 툴과 전술, 기술, 절차를 사용했는지 TTPs 기반으로 파악할 수 있어 발생한 위협에 대한 보다 빠른 식별과 분석이 가능해진다. 또 공격 전후에 어떠한 행위가 있었는지, 어떠한 이벤트가 발생했는지와 같은 공격 시나리오를 비롯한 디테일한 세부 정보도 함께 확인 할 수 있어 보안 담당자는 이러한 전후 행위 추적 기능을 통해 전체적인 공격 흐름을 신속히 파악하고 대응할 수 있다. 05. 결국엔… SIEM, AI, NDR, EDR을 모두 아우르는 SOAR 지금까지 지능형 보안관제체계, 차세대 SOC로의 전환을 위해 떠오르는 여러 기술들에 대해 살펴보았다. 날로 진화하는 보안 위협과 기하급수적으로 쌓이는 보안 정보에 맞서기 위해서는 단편적인 보안 기술 적용에서 한 단계 더 나아간, 보안 환경 전반을 아우르는 통합적인 SOC 운영 체계를 수립할 필요가 있다. 그리고 이 중심에는 ‘자동화’와 ‘통합’ 두 키워드 모두를 충족하는 SOAR가 있다. FW, IPS, AV 와 같이 기존 SOC 운영에 있어 필수적이었던 보안 시스템 외에 엔드포인트 대응을 위한 EDR, 네트워크 패킷 분석을 위한 NDR 영역으로의 확대, 또 초반 IT에 제한적이었던 적용 범위를 점차 클라우드, OT, IoT 등의 영역으로 확장해나간다면, 머지 않아 융복합적인 SOC 운영까지 실현 가능한 핵심 기술로서 자리매김할 수 있길 기대하는 바이다.