보안정보

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.

하이퍼오토메이션(Hyperautomation), 보안 운영의 초자동화 시대 연다

2024.11.06

245

01. 자동화를 넘어, 초자동화로 가는 길

모든 부문에서 인간의 개입은 최소화하면서 자동화할 수 있는 건 모두 자동화하기 시작했다. 이러한 맥락에서 최근의 자동화 기술은 노동의 생산성 뿐만 아니라 그 속성까지 변화시키고 있다. 이를 가트너(Gartner)에서는 '초자동화(Hyperautomation)'라고 정의했으며, 이미 2020년 10대 기술 트렌드로 선정했었다. 그리고, 2023년 가장 영향력 있는 신흥 기술 및 트랜드로 보안 초자동화(Hyperautomation in Security)를 선정했다.

초자동화(Hyperautomation)란 : AI, 머신러닝, RPA, 로코드·노코드 등 여러 기술, 도구, 또는 플랫폼을 조화롭게 사용하여 최대한 많은 비즈니스 및 IT 프로세스를 신속하게 식별, 검증, 자동화하는, 하나의 비즈니스 중심적인 접근 방식이다.

RSA2024에서도 자율 보안 운영 센터(ASOC)의 역할이 부각됐다. AI 기반 시스템이 위협을 예측하고, 대응을 시작하고, 사람의 개입 없이 실시간으로 보안 조치를 조정하여 위협 탐지부터 대응까지의 시간을 크게 단축하는 완전 자율 보안 운영 센터(ASOC)로의 발전을 강조했다. 보안 관제 및 운영의 효율성을 높이고 침해 대응력을 향상시키기 위한 자동화 노력은 지난 수십년간 지속돼 왔다. 기술의 진보가 “인간의 노동력을 대체한다”와 “노동 생산성을 큰 폭으로 향상시킨다”로 의견은 분분하다. 그러나 보안업계에서의 초자동화는 부족한 고급 인력의 부족 문제를 해결해 줄 수 있다고 본다. 또한 보안 담당자가 단순 반복적인 영역에서 벗어나 좀 더 복잡하고 창의적인 업무에 집중할 수 있도록 해 줄 수 있다. 보안 초자동화는 기존의 낡은 시스템과 구조는 버리면서도 사람이 주도권을 가져야 한다.

[그림 1] 가트너 2023년 가장 영향력 있는 신흥 기술 및 트랜드

02. 지금까지 보안 운영(&관제) 자동화

오늘날 넘쳐나는 보안 로그와 경보, 그리고 인력 부족 문제에 대응하기 위해, 보안 운영·위협 대응 자동화 솔루션인 SOAR(Security Orchestration, Automation and Response)를 중심으로 한 보안 프로세스의 자동화가 이루어지고 있다. 이를 통해 보안 운영의 효율성과 성과를 높여, 보안 전문가들이 직면한 문제를 효과적으로 해결하고 있다. 지금까지의 보안 운영 자동화는 경보가 발생하면 플레이북(Playbook) 중심으로 침해 분석 시 정오탐 판단에 필요한 내/외부 데이터를 API로 조회 및 분석한 후 최종 대응장비(방화벽 등)까지 자동 차단되는 수준이다. 물론 TMS, IPS, WAF 등 탐지장비의 Payload는 AI가 자동으로 정오탐 예측을 해준다. 이로 인해 보안 관제센터는 관제 인력의 단순 반복 작업 해소로 업무 효율성과 공격 대응력이 높아졌다. 또한 홀로 보안 운영 고객사는 7x24 무인 자동화 관제가 가능하게 되었다. 사례로 탐지 장비에서 일일 약 970만 건의 이벤트를 SIEM에서 1차 공격 IP별 그룹화(15만 건)한 후 SOAR Playbook을 통해 자동 분석(4만 건)하여 정오탐 식별 후 최종 3,500여 건의 공격 IP를 자동 대응하고 있다.

[그림 2] 무인 보안관제 자동화 사례

핵심은 'SOAR Playbook 자동화’ 전략이다. 즉, 경계 보안 장비와 EndPoint 장비 특성에 맞는 자동화 전략이 필수이다. 외부에서 내부로의 위협과 랜섬웨어 등 내부 사용자 악성코드 감염, 그리고, 내부정보 유출 위규자 관리와 같이 자동화 전략에 따라 연동과 연계 대상, 그리고 프로세스가 달라지기 때문이다.
위협 인텔리전스 정보는 선제 대응 차원에서 사전 일괄 차단과 방화벽에서 허용 접근 시 즉시 차단하는 방법이 있다. DDoS, IPS, WAF 등 차단 장비들은 Protect 이벤트에 대해 패킷 단위 대응이 아닌 근본적인 공격 IP 자체를 DDoS나 방화벽에서 차단하여 하단으로 트래픽 자체를 제거할 수 있다. 이 과정에서 공격 이력 관리를 위해 Playbook 분석 결과는 Incident에도 등록되어 진다. Detect 이벤트는 Playbook에서 추가 분석 후 정오탐 결과에 따라 자동 대응되거나 오탐/무시 처리하게 된다.

03. 확장된 보안분석 기법, ‘위협 헌팅’의 초자동화

기존 SOAR에서 지원되는 자동화 범위는 SIEM에서 경보 발생 시 단순 1차원적인 API 연결로 조회와 차단 중심의 자동화였다. ‘초자동화(Hyperautomation)’ 기능이 반영된 SOAR에서는 여러 시스템, 데이터 소스, 의사 결정 지점에 걸쳐 있는 복잡한 프로세스를 자동화하기 위해 전체적이고, 종단 간 확장성과 유연성이 높아 신속하게 적응하고 수용 가능하도록 아래 그림처럼 설계되어 있다. 확장된 대응을 통해 2차 소명 시스템 접수, TMS 정책배포, EDR, NDR 시스템으로 확장 대응이 가능하다.
더욱이 내/외부 위협에 대해 좀 더 적극적이고 즉시 분석과 대응할 수 있는 체계가 마련되었다. 바로 확장된 보안 분석 기법인 ‘위협 헌팅(Threat Hunting)'의 초자동화 기능이다.

[그림 3] 확장된 보안 분석 대응

위협 헌팅에는 사용자 정의(구조화) 헌팅과 구조화되지 않은 헌팅, 상황/엔티티 기반 헌팅으로 크게 3가지가 있다. ①구조화된 위협 헌팅은 공격 지표(IoA)와 위협 인텔리전스 소스에 의존해 위협 헌팅을 진행한다. ②구조화되지 않은 위협 헌팅의 경우 트리거(Trigger) 또는 손상 지표(IoC)에서 시작한다. ③상황/엔티티 기반 위협 헌팅은 중요 데이터 또는 중요 컴퓨팅 리소스 같은 고위험 · 고부가 가치 엔티티에 초점을 맞춘다.

이러한 초자동화 위협 헌팅 기법과 기능을 통해 SIEM 경보 중심이 아닌 관제요원이나 보안 담당자가 언제든지 즉시 위협을 분석할 수 있게 되었다. [그림 4]에서 보듯이 위협 헌팅하고자 하는 유형에 따라 ①프롬프트에 헌팅 정보를 입력하면 된다. 입력 정보는 내부자 위협(위규자) 분석 시 직원의 인사 정보인 이름, ID, 메일 주소, PC IP등이 입력 가능하다. 그리고, 관제팀이나 담당자가 가장 많이 분석하는 공격자 IP나 위협 인텔리전스 정보의 IP, hash값 또한 입력 가능하며, 내부 침입 흔적과 외부 평판 조회도 가능하다. ②실행 조건은 즉시 분석, 트리거 분석, 스케줄 분석으로 선택 가능하다.

③프롬프트 값과 실행 조건이 선택되면 위협 헌팅 유형에 맞게 사전 정의된 시나리오(Playbook)에 의해 자동 분석이 실행된다. ④유형별 실행 결과에 따라 기존 방식인 자동 대응과 알람뿐만 아니라 초자동화 확장 커넥팅(Connection) 기능을 통해 분석 보고서 생성과 Incident 등록, 소명 처리 발송, 추가 평판 수집 관리 후 Playbook 재 활용, 이슈 게시판 등록 후 공동 대응, TMS로 탐지정책 배포, WEB/WAS/DB 서비스 재기동 등 그 외에도 다양한 확장 대응이 가능하다.

[그림 4] 확장된 보안 분석 기법, '위협 헌팅'의 초자동화

1) 즉시 분석 위협 헌팅 : 침해 IP, 위규자 ID등 다양한 IoC

SIEM에서 발생하는 경보 외에 발견된 침해 IP나 상위기관에서 침해 여부 조사 요청 IP, 사용자 PC IP/ID등 즉시 분석이 필요한 경우가 많이 있다. SIEM에서 로그 검색으로 확인할 수 있으나 수천에서 수억 라인의 로그를 일일이 검색하여 확인하는 과정이 필요한다. 더욱이 긴급을 요하는 상황에서 많은 시간이 소요된다. 이를 해결하기 위해 즉시 분석이 가능한 구조화된 위협 헌팅 기반의 초자동화 기능이다. 최상의 침해 분석 시나리오가 적용된 Playbook을 통해 초/중급 관제 인력도 고품질의 분석결과 보고서를 빠르게 받아 볼 수 있다.

[그림 5] 처럼 단일IP 또는 다수의 IP를 입력하면 즉시 Playbook이 자동 분석하여 분석 결과를 출력해 준다. 엑셀로 여러 개 IP 일괄 입력 가능하며 순차적으로 10초 내외로 분석하여 보고서를 생성해 준다. 입력한 침해 IP에 대해 ①WhoIS 정보 ②자체 또는 보안 벤더사 평판 정보 ③ ④대표 외부 평판 사이트인 Virus Total과 AbuseIPDB의 위협 평판 정보 ⑤IGLOO AiR 서비스에서 해당 공격 IP의 Payload 정오탐 판단 결과 ⑥ 최근 해당 기업에서 운영 중인 방화벽에서 허용/거부 건수, IPS 탐지/차단 건수, WAF의 탐지/차단 건수, 웹서버의 웹 페이지 접근 건수 등 다양한 보안장비 로그를 분석할 수 있다. 물론 선택적으로 초자동화 확장 커넥팅(Connection) 기능을 통해 다양한 확장 대응이 가능하다.

내외부의 다양한 정보를 빠르고 한눈에 분석할 수 있는 형태로 가시성을 확보하였다. 무엇보다 보안 지식이 낮은 초급/중급 관제요원은 부족한 고급 인력의 분석 능력을 일정 부분 갖추게 되었다.

[그림 5] 구조화된 위협 헌팅 : 즉시 분석

2) 내부자 위협(위규자) 관리(UEBA) 위협 헌팅

SOAR 도입 전에는 메일을 통해 인사팀에서 보안팀으로 퇴사자에 대한 위규 검토 요청을 받았다. 그러면 보안팀에서는 해당 퇴사 직원의 이름과 ID, IP, 이메일 등의 정보를 인사시스템과 NAC시스템에 접속하여 관련 정보를 수집한 다음 정보 간 연결을 시킨다.
그런 후 내부 정보 유출 등에 위규 활동을 조사하기 위해 단일 시스템에 콘솔에 접속하여 일일이 로그 검색을 한다. 문서중앙화 시스템에서는 문서 과다 접근과 반출 승인/반려 등의 이력, DLP시스템에서는 각종 도구로 반출/유출/차단 이력 확인, 메일 시스템은 반출/유출과 수신자 관련성 확인한다. 이렇듯 수작업으로 일일이 보안팀에서 확인해야 했으며 많은 시간이 소요되었다.

그러나, SOAR 도입 이후 이러한 과정들은 확장 대응 초자동화로 수행되고 있다. Playbook이 하루 한 번 인사DB에서 퇴사자를 식별한 후 퇴사자의 모든 행위를 분석하여 위규 행위가 발견되면 등급에 따라 모든 외부 통신 차단과 계정이 정지된다. 동시에 보안 담당자에게 메일 또는 문자로 알림 발송이 되어 인지할 수 있도록 한다. 그리고, 확장 커넥팅 된 소명 시스템으로 티켓 접수가 되어 해당 부서장과 팀장에게 소명 발송이 된다. 해당 부서장들은 위규 직원에게 확인 후 소명 등록을 하면 보안팀에서 검토 및 승인할 수 있도록 프로세스 체계가 마련되었다.

그리고, 내부 정보 유출 예방 차원에서 퇴사자가 아니더라도 갑자기 구직 활동이 증가한다거나 내부 자료 반출 승인 요청이 많다거나 내부에서 외부로 대용량 트래픽과 장기간 세션 발견 등 위규 행위를 발견할 수 있게 하루에 한 번 스케줄러에 의해 상시 헌팅도 운영 중이다. 소명시스템으로 확인 가능하지만, 가시성을 높이기 위해 대시보드로 현황 구성하여 사업장별, 부서별, 사용자별로 위규 활동들을 실시간 모니터링할 수 있다. SOAR에서 단순 반복 조사 과정을 자동으로 해줌으로 보안 담당자의 의사결정 능력은 향상되고, 좀 더 창의적이고 부가가치가 높은 업무에 집중할 수 있게 되었다.

[그림 6] 내부 위규자 관리 헌팅(UEBA)

3) 위협 인텔리전스 위협 헌팅

바야흐로 위협 인텔리전스 정보의 홍수 시대다. 많은 보안 벤더와 상위기관 등에서 하루에도 수십에서 수천 개의 위협 인텔리전스 정보를 제공해 주고 있다. 제공 출처의 신뢰도에 따라 선제 대응하기 위해 제공 IP와 URL, HASH정보들을 엑셀로 정리한 후 일괄로 매일 보안장비에 등록한다. 관제센터는 관제 인력들이 야간에 작업할 수 있지만 1인 담당자 기업은 교육/출장 등으로 부재 시 1주일 후 등록될 경우도 허다하다. 선제 대응의 타이밍을 놓치게 된다. 또한 관제 인력들은 단순 반복 작업을 계속 수행해야 한다. 이런 단순 반복 업무를 개선하고 좀 더 적극적이고 능동적으로 수행할 수 있는 기능이 위협 인텔이전스 분석 위협 헌팅 기능이다.

간단한 테스트를 해보았다. Tor net툴을 통해 출발지 IP를 5초 간격으로 변조 설정 한 후 Exploit-db.com사이트를 접속해 보았다. “Access Denied – Sucuri Website Firewall”에 의해 웹 사이트 접속 차단이 되었다. 그러나 국내 주요 기업/기관 홈페이지 접속 시 차단은 없었다. 연구와 보고서 등에 따르면 일부 공격에서는 IP 변조율이 90% 이상일 수 있으며, 특히 자동화된 공격 도구를 사용하는 경우 변조율은 더 높다고 한다.

창과 방패 싸움에서 이기려면 기계 공격은 초자동화로 대응해야 한다.

위협 인텔리전스 위협 헌팅 기능을 통해 많은 보안 벤더와 상위기관등에서 하루에도 수십에서 수천 개의 위협 인텔리전스 정보를 자동으로 수집하고 실시간으로 방화벽 등 보안장비에 간단하게 자동 차단 등록을 할 수 있다. 이에 그치지 않고 더 나아가 해당 위협 인텔리전스 IP들이 이미 최근 침입했다는 가설 헌팅 설정 후 SIEM에 수집된 과거 로그를 분석하여 침해 여부를 발견할 수 있다. 수천 개의 위협 IP라도 스케줄 분석에 의해 10초 내외로 분석 가능하며, 정밀 분석이 필요한 경우 Incident(티켓팅)에 등록되며 관제 인력이 추가 분석을 하게 된다. 만약 방화벽의 성능 영향으로 일괄 차단이 불가능하면 헌팅 후 위협이 발견되면 방화벽에 자동 차단 등록하는 체계를 갖춰도 된다.

그리고, IP 변조가 빈번한 만큼 최신 위협(&취약점)을 얼마나 빠르게 탐지하는 가도 중요한 포인트다. 현재 많은 SOAR들은 차단 대응에 많이 집중해 있다. 그러나 ‘초자동화(Hyperautomation)’ 기능이 반영된 SOAR에서는 Snort 탐지 정책을 TMS/IPS로 실시간 배포 / 탐지 관리가 가능해졌다. ‘클루 쓰렛 인텔리전스(KLU: Threat Intelligence, 구 이글루 CTI)'를 통한 Snort 탐지 정책 배포 프로세스는 다음과 같다. 관제기술연구팀에서 최신 위협을 분석하여 국내 TMS/IPS 제조사에서 지원하는 Snort룰 포맷으로 변경 후 해당 벤더 장비에 적용/검증 테스트를 한다. 그리고, IGLOO CTI를 통해 실시간 탐지 정책을 각 고객사 SOAR로 배포한다. 각 고객사 SOAR에서는 TMS로 최신 위협 Snort룰을 즉시 배포한다. TMS에서 탐지된 정보는 SIEM으로 수집되고, 다시 SOAR에서 분석 한 후 IP기반으로 방화벽에 차단하게 된다. 이러한 일련의 과정이 사람 개입 없이 초자동화로 이루어지게 된다.

이러한 초자동화 프로세스로 인해 방화벽 차단 정책 기준 또한 달라졌다. 과거 공격 유형별 2주, 3개월, 6개월, 영구차단등의 기준이 국내IP 2일, 해외IP 1주일로 짧아졌다. 하루 자동 차단되는 IP가 수천개에 달하고, 더 이상 사람이 차단하고 해제가 아니라 SOAR가 알아서 차단하고 해제하기 때문이다.

[그림 7] 위협 인텔리전스 위협 헌팅

04. 데이터 분석의 초자동화

지금까지는 SIEM에서 경보가 발생하면 침해 행위 분석을 위해 수억 건의 로그를 TimeLine에 따라 분석하거나 특정 필드를 Group-by 통계적 분석하였다. 분석하는 사람의 능력에 따라 침해 흔적을 발견할 수도 있고, 아닐 수도 있다. 더욱 어려운 점은 초급 분석가는 분석 시나리오가 없어 어디서부터 시작해야 하는지도 모르는 경우가 있다. 이런 문제점을 SOAR 데이터 분석 초자동화 기능으로 해결하였다.

1) 시나리오 기반의 가시화 데이터 분석

공격 유형별이나 보안 업무 형태에 따라 다양하게 데이터 분석 화면을 구성할 수 있다. 아래 [그림 6-8]은 공격자 IP 침해 행위분석 구성으로 ②SIEM과 동일한 검색어로 공격 IP등을 입력하면 ③분석하고자 하는 보안장비별 통계 생성 ④방화벽 허용/거부 로그 출력 ⑤IPS 탐지 로그 ⑥웹방화벽 탐지 로그 ⑦WEB Access log ⑧외부 평판 CTI 정보까지 한 번에 각각 위젯 별로 공격 IP 정보가 출력이 된다. 기존 SIEM 처럼 수억 건의 로그 조회 후 다시 보안장비별로 필터 검색을 하지 않아도 된다. 특히 외부 평판 정보 조회 같은 경우 기존에는 인터넷 PC에서 평판 사이트별로 공격 IP 조회 후 다시 관제망 PC로 분석 결과 작성해야 하는 번거로움이 원클릭으로 해소되었다. 분석 시간이 획기적으로 단축되기도 하지만, 공격 유형별로 위젯을 생성하면 초/중급 인력도 고급 인력 수준의 데이터 분석이 가능하게 된다.

앞서 기술한 위규자 관리 위협 헌팅 또한 데이터 분석 화면으로 가시성을 확보할 수 있다. 위젯 별로 퇴사자 분류, 문서중앙화 솔루션, DLP, DRM, 인쇄물 출력 등의 로그들을 즉시 검색하여 분석할 수 있게 구성 가능하다.

[그림 8] 시나리오 기반의 가시화 데이터 분석 화면

2) 표면 공격 관리(ASM) 자동 관리 및 대응

관제 운영 업무 중 하나가 외부에 노출된 ‘공격 표면 관리(Attack Surface Management)’다. 이는 해커가 침투할 수 있는 열린 Port와 각종 서버 취약점, 잠재적 공격 벡터 등의 공격 표면을 지속적으로 발견, 분석, 수정 다시 모니터링 하는 적극적인 예방 활동이다. 이 업무 또한 인력 부족으로 1개월 또는 분기에 한 번씩 ASM 서비스에 접속하여 수동 실행하고, 노출된 자산은 이력 관리를 위해 별도 엑셀로 정리하고 해당 부서나 산하기관으로 통보를 해주었다.

이제는 SOAR 통해 하루에 한 번 자동으로 조회하고 이력 관리가 가능하며, 취약점 노출이 발견되면 담당자에게 메일 발송하여 즉시 대응할 수 있게 프로세스화되었다. 보안 담당자도 모르는 사이 노출된 자산IP와 Port로 공격이 발생할 경우 Playbook 프로세스에 의해 자동 대응이 가능하다. 일련의 수작업은 기계가 대신하고 보안 담당자는 원래 목적이 취약점 노출 대응에 집중할 수 있게 되었다. 분기 한 번의 관리에서 즉시 또는 하루 한번 좀 더 촘촘히 외부에 노출된 위험 관리가 가능하게 되었다.

[그림 9] 표면 공격 관리(ASM) 상시 모니터링

05. 통합, Connecting Dots

항상 증가하는 보안 위협과 이에 상응하는 보안 솔루션 증가, 그리고 운영할 보안 전문가 부재는 어제오늘 일이 아니다. 통합보안 발전의 걸림돌은 아이러니하게도 '통합'이 잘 안되는 데 있다고 한다. 보안 담당자들은 원클릭 솔루션을 요구하고 있지만 업계에서는 보안 담당자들이 생각하는 원클릭 솔루션은 어렵다고 한다.
그러나 보안 커넥팅(Connecting) 생태계가 조성된다면, '초자동화(Hyperautomation)' SOAR 기능을 통해 원클릭이 가능할 것이다.