01. 경보의 홍수 속에 선 SOC

최근 전 세계적으로 사이버 위협 분위기가 크게 고조되고 있다. 랩서스(LAPSUS$)라는 이름의 국제 해커 조직이 엔비디아, 삼성전자, LG전자 등 글로벌 기업을 연달아 해킹하는 사건이 있었고 러시아·우크라이나 전쟁 관련 사이버전 또한 확대되는 양상을 보이며 국가기관, 기업체 구분 없이 보안에 대한 중요성을 절감하고 있다.

또 장기간 코로나19 팬데믹을 거치며 도입된 비대면 회의나 원격 근무 관련 보안 위협도 정교히 진화하는 추세를 보이며 대응해야하는 컴플라이언스는 더욱 까다로워졌다. 다시 말해 오늘날 보안 운영 환경은 감당하기 힘든 수준으로 복잡해졌고, 이로 인해 분석해야할 데이터는 기하급수적으로 늘어났으며, 이에 대응하는 보안관제인력은 한계에 다다르고 있다.

관리적인 측면에서 보았을 때 가장 큰 문제는 IT 인프라 복잡성 증가에 따라 늘어나는 공격 요인이나 컴플라이언스에 비해 보안 업무를 수행하는 인력은 언제나 한정되어 있다는 데에 있다. 한정된 인원으로 늘어난 시스템과 규정을 감당하려다 보니 업무적 공백이 불가피해지고, 그 빈틈을 메우기 위해 보안 솔루션들을 하나 둘 늘려가지만, 구색 맞추기 식의 무분별한 도입은 오히려 관리업무의 급증과 대응 프로세스의 복잡성만 심화시키는 역효과를 초래한다.

급변하는 보안 환경에 발맞춰 보안관제 방식에도 진화가 요구된다. 단순히 보안 솔루션과 장비의 수만 늘리는 임시방편이 아니라, 앞서 이야기한 관리적 어려움의 근본적인 해결책을 모색해나갈 필요가 있다. 그리고 이와 같은 맥락에서 오늘날 보안관제 패러다임은 보안 정보 이벤트 관리(SIEM)기반의 빅데이터 보안관제에서 인공지능(AI), 보안 오케스트레이션·자동화·대응(SOAR) 중심의 지능형 보안관제체계로의 변화를 꾀하고 있다. 차세대 보안관제로 대표되는 위 기술들이 현재 보안관제센터(SOC)가 직면한 고질적 이슈를 해결해줄 수 있을지, 그에 대해 살펴보는 시간을 가져보고자 한다.

[그림 1] 보안관제 패러다임의 변화

02. AI 솔루션의 진화

인공지능이 보안업계의 화두로 떠오르며 각광 받은지도 어느덧 시간이 꽤 흘렀다. 이 말인즉슨 국내외 많은 보안 기업들이 앞다투어 머신러닝, 딥러닝과 같은 기술을 도입하고 AI 솔루션을 개발하여, 오늘날 날로 진화하는 사이버 공격에 대해 인공지능을 적극 활용하고 있다는 의미다.

특히 보안관제 분야에서는 지도학습 알고리즘과 비지도학습 알고리즘을 탐지 및 예측 분야에 도입하여 적용하고 있는 추세다. 보다 정확하게는, 사전 레이블된 데이터로 학습하여 정확한 결과를 도출해내는 지도학습과 사전 레이블된 데이터 없이 학습 데이터의 숨겨진 구조 및 특징을 발견하는 비지도학습 두 갈래로 나눠지는데, 이러한 AI 알고리즘을 보안관제 업무에 적용하기에 앞서 무엇보다 중요한 건, 이를 가장 잘 활용될 수 있는 분야와 그에 맞는 적용 범위를 고려하는 것이다.

SOC의 주축이 되는 빅데이터 기반 SIEM은 방화벽(FW), 침입방지시스템(IPS)와 같은 네트워크 보안 솔루션과 AV(Anti-Virus), 네트워크 접근 제어(NAC)와 같은 엔드포인트 보안 솔루션, 웹 서버나 파일 서버와 같은 서버 시스템, 그리고 라우터, 스위치와 같은 네트워크 시스템 등의 로그를 통합적으로 수집하여 빠르게 검색하고 분석할 수 있도록 지원하는 것이 주된 역할이다. 그에 반해 AI 솔루션은 알고리즘, 위협 모델, 학습 데이터 등을 바탕으로 고도화된 보안 위협을 보다 정확히 탐지하고 방대한 보안 데이터 분석에 소요되는 시간을 단축시킴으로써 보안관제 역량을 상향 평준화 시키는 부분에서 가장 효율적인 결과를 보여주고 있다.

여기서 한발짝 더 나아간 AI 솔루션은, 기존 AI가 블랙 박스와 같이 결과만을 보여줬던 단점을 보완하여 설명 가능한 인공지능, 이른바 XAI(eXplanable AI) 기술이 접목된 형태를 보인다. 이벤트 예측 결과에 대해 AI Score, CTI(Cybersecurity Threat Intelligence), 탐지명 중요도, 불확실성 지수와 같은 측정 지수가 함께 표현되고, 예측 기여도 상위 특징(Feature)에 대한 설명, 값, 학습 데이터 대비 백분위 등 판단 기준에 대한 여러 논리적인 근거가 제공됨으로써, 보안 전문가는 인공지능이 의도한 대로 학습이 되었는지 또 예측 결과는 믿을만한지 판단할 수 있으며 더 나아가 AI와 사용자 간의 관점 차이를 줄이는 효과도 얻을 수 있게 된다.

[그림 3] XAI를 통한 정오탐 식별 - 이벤트 예측 판단 기준 설명 예시

03. SOC 업무의 중심으로 떠오른 SOAR

디지털 전환이 가속화됨에 따라 복합적인 사이버 공격이 증가하고 있는 것에 비해 오늘날 대부분의 SOC는 여전히 소수의 전문 인력에 의존하여 반복적인 수동 대응 중심으로 운영되고 있는 게 현실이다. 이에 한정된 인력과 예산으로 SOC를 보다 효율적으로 운영하기 위한 방안으로 자동 대응이 핵심으로 떠오르며, 플레이북(Playbook)에 기반해 자동 분석 및 대응을 수행하는 SOAR(Security Orchestration, Automation and Response, 보안 오케스트레이션·자동화 및 대응)의 필요성이 날로 높아지고 있다.

[그림 4] SOAR 아키텍쳐(Architecture)

기존 SIEM 중심의 보안관제체계에서 나아가 위와 같이 AI, 자산·취약점 정보, TI(Threat Intelligence)  등 공격 유형별 대응을 위한 수많은 요소들을 SOAR 중심으로 결합한다면, 플레이북 기반의 ‘자동 대응’ 영역과 보안 전문가가 직접 수행하는 ‘전문가 대응’ 영역으로 업무를 배분해 SOC의 효율성을 한층 높일 수 있다. 단순 반복적인 프로세스를 표준화된 절차에 따라 자동 처리함으로써 고도화된 관제 업무를 위한 인력 투자가 가능해지고, 이는 또다시 신속한 의사 결정에 기반한 위협 대응 시간 최소화라는 선순환 효과를 이끌어낼 수 있다.

[그림 5] SOAR를 통해 자동화된 침해대응 프로세스

한 마디로 SOAR를 활용한다면, 보안관제 오케스트레이션(Orchestration)의 구현을 통한 지능형 보안관제 체계 수립이 가능해진다. 국내외 이기종 보안 솔루션과 업무 시스템의 연동을 통해 보다 통합적이고 유기적인 대응을 구현할 수 있고, 보안 위협 유형별 최적의 대응 방안을 매뉴얼화한 플레이북을 활용해 보안 위협 탐지부터 대응에 이르는 과정을 실질적으로 단축시킬 수 있을뿐만 아니라 불규칙한 대응 품질, 업무 프로세스 가시성 부족 등 기존 SOC가 직면한 대부분의 문제점을 개선할 수 있을 것으로 기대되기 때문이다.

[그림 6] 보안관제 오케스트레이션(Orchestartion)

04. NDR, EDR의 오케스트레이션을 통한 확장

더불어 오늘날 랜섬웨어나 내부 정보 유출과 같은 해킹 공격이 빈번히 발생하면서 SOC에서는 네트워크 패킷 이벤트와 엔드포인트 행위 이벤트까지 수집, 분석해야할 필요가 생겼다. 이는 곧 NDR(네트워크 탐지 및 대응) 솔루션과 EDR(엔드포인트 탐지 및 대응) 솔루션이 SOC 운영 범위 안에 들어오게 되었다는 걸 의미하며, 최근 해당 분야에서는 마이터 어택(MITRE ATT&CK)을 기반으로 한 분석이 자주 활용되는 추세다.

마이터 어택이란 공격자들의 최신 공격 기술 정보가 담긴 일종의 저장소와 같다. 실제 사이버 공격 사례를 관찰하고, 공격자가 사용한 악의적 행위(Adversary behaviors)에 대해 공격 방법(Tactics)과 기술 (Techniques)의 관점으로 분석해 분류하고 목록화해놓은 표준적인 데이터들이다. 따라서 마이터 어택을 활용한다면 대조와 비교를 통해 공격자가 네트워크와 엔드포인트를 어떻게 악용하면서 침입했는지를 한층 수월하게 파악할 수 있다.

[그림 7] 마이터 어택 예시 (출처: 쿼드마이너)

보다 자세하게는, 마이터 어택 분석 기능을 통해서라면 공격자가 어떤 공격 툴과 전술, 기술, 절차를 사용했는지 TTPs 기반으로 파악할 수 있어 발생한 위협에 대한 보다 빠른 식별과 분석이 가능해진다. 또 공격 전후에 어떠한 행위가 있었는지, 어떠한 이벤트가 발생했는지와 같은 공격 시나리오를 비롯한 디테일한 세부 정보도 함께 확인 할 수 있어 보안 담당자는 이러한 전후 행위 추적 기능을 통해 전체적인 공격 흐름을 신속히 파악하고 대응할 수 있다.

05. 결국엔… SIEM, AI, NDR, EDR을 모두 아우르는 SOAR

지금까지 지능형 보안관제체계, 차세대 SOC로의 전환을 위해 떠오르는 여러 기술들에 대해 살펴보았다. 날로 진화하는 보안 위협과 기하급수적으로 쌓이는 보안 정보에 맞서기 위해서는 단편적인 보안 기술 적용에서 한 단계 더 나아간, 보안 환경 전반을 아우르는 통합적인 SOC 운영 체계를 수립할 필요가 있다. 그리고 이 중심에는 ‘자동화’와 ‘통합’ 두 키워드 모두를 충족하는 SOAR가 있다.

FW, IPS, AV 와 같이 기존 SOC 운영에 있어 필수적이었던 보안 시스템 외에 엔드포인트 대응을 위한 EDR, 네트워크 패킷 분석을 위한 NDR 영역으로의 확대, 또 초반 IT에 제한적이었던 적용 범위를 점차 클라우드, OT, IoT 등의 영역으로 확장해나간다면, 머지 않아 융복합적인 SOC 운영까지 실현 가능한 핵심 기술로서 자리매김할 수 있길 기대하는 바이다.