보안정보

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.

IGLOO 새로운 서비스 SOAR 커뮤니티에 대해 알아보기

2024.01.03

1,132

01. 차세대 정보보안 관제의 성공 요소는 자동화, SOAR로 연결

2023년 챗GPT(Chat GPT)가 출시되면서 인공지능(AI)과 같은 보다 진보된 IT 기술은 누구에게나 쉽게 접할 수 있다.

2023년 3월 『KISA Insight』 ‘ChatGPT 보안 위협과 시사점’에 따르면 보안 전문가들은 ChatGPT가 좋은 목적으로 활용될 수 있고 사이버 보안 활동에도 도움을 줄 수 있지만, 사이버 범죄에도 얼마든지 활용될 수 있음을 시사하면서, 악성코드 생성 테스트를 통해 랜섬웨어 악성코드 생성뿐 아니라 피싱 메일 생성, CCTV 취약점 분석 및 공격을 위한 코드를 생성하는 예시를 보여줬다.

“진보된 기술의 발전과 비례하여 사이버 공격의 규모와 복잡성은 커져간다.”

KISA의 2023년 상반기 사이버 위협 동향 보고서를 살펴보면, 침해 사고 신고 건수는 전년 상반기 대비 40%가 증가하였으며, 2021년부터 2023년까지 꾸준히 증가하는 추세이다.

[표 1] 유형별 침해사고 신고 현황 (출처 : KISA 2023년 상반기 사이버 위협 동향 보고서)

날로 진화하는 보안 위협과 기하급수적으로 쌓이는 보안 정보, 점점 늘어나는 보안 솔루션 속에서 대응 프로세스의 복잡성은 더욱 증가되고 있다. 이는 보안 관제 운영의 어려움으로 이어지고 있다.

보안뉴스의 [2022 SOAR 리포트] 사이버 위협 고도화, 자동화 대응전략으로 ‘SO HOT’ 기사에 따르면 ‘SOAR 인식 및 선택 기준에 대한 설문조사’를 진행한 결과, ‘보안 관제 업무에 있어 시간이 가장 많이 소요되는 주요 업무’에 대해 ‘실시간 관제화면을 통한 침해 위협 탐지 및 모니터링’ 28.1%, ‘단순 보안 위협으로부터 고도화된 공격에 대한 필터링 작업 및 분석 업무’ 22.1%, ‘네트워크와 시스템의 침입 차단 등 발생된 보안 위협 대응’ 21.7 %, ‘하위 레벨(기초 업무)의 분석 및 단순 반복적인 업무’ 16.5% 순으로 답변함을 볼 수 있다.

[그림 1] SOAR 인식 및 선택 기준에 대한 설문조사 (출처 : 보안뉴스)

보안 운영 복잡성 증가와 기존 정보 보안 관제의 한계와 문제가 표면적으로 드러나면서 자동화에 대한 갈증과 수요가 높아지게 되었다. 이로 인해 보안 관제의 효율성을 높이기 위해 방안을 찾는 과정 속에 트렌드 변화에 따라 차세대 보안 플랫폼인 SOAR에서 찾으려는 움직임이 나타나고 있다.

가트너의 하이프 사이클(Hype Cycle)에서는 SOAR를 성장 및 성숙 분야로 표현하고 있다. 2019년 가트너에서 발표한 ‘SOAR 마켓 가이드’에서는 2022년 말 기준으로 5인 이상의 보안팀을 가진 조직의 30%가 SOAR 툴을 사용할 것으로 예측하며, 2023년에는 SOAR 시장규모가 5억 5,000만 달러에 이를 것으로 내다봤다. 글로벌 시장조사기관 마켓앤마켓에서도 2025년까지 전 세계적으로 SOAR 시장이 15%의 연평균 성장률을 기록하며 약 18억 달러 규모의 매출액으로 성장할 것이며, 2027년에는 약 23억 달러 규모로 성장이 지속될 것으로 전망했다.

Next 보안 관제의 효율성을 높이기 위해서 핵심 키워드로 떠오르는 분야가 보안 운영 자동화이며, 차세대 보안 관리 플랫폼인 SOAR로 이어지는 추세이다.

“SOAR는 차세대 보안 관리 운영의 핵심이자 성공 요소이다.”

SOAR(Security Orchestration, Automation & Response)는 보안 위협 대응 프로세스를 자동화하여 보안 업무의 효율성을 높이는 솔루션이다.

[그림 2] SPiDER SOAR 제품 소개

이글루코퍼레이션은 20여 년 이상의 보안 관제 노하우와 독자적인 인공지능(AI) 기술력에 기반한 스파이더 쏘아(SPiDER SOAR)를 2021년 1월 출시 후, 국내 보안 기업 최초로 SOAR 특허 획득을 시작으로 특허 등록을 계속해 나가고 있다. 최근 2023년 11월에 SOAR 솔루션 최초로 국가정보원 보안 기능 확인서 인증을 획득했다.

SPiDER SOAR 기반 보안 관제를 운영하면 보안 위협의 대응 프로세스를 자동화해 보안 업무의 효율성을 높일 수 있다. 공격 유형별 대응을 위한 수많은 요소를 하나의 과정으로 묶은 ‘플레이북(Playbook)에 기반해 단순 반복적인 프로세스를 자동 처리하며, 보안 위협 우선순위에 따라 대응 단계를 자동으로 분류하고, 표준화된 업무절차에 따라 대응함으로써, 위협 탐지에서 대응까지 이르는 과정을 실질적으로 단축시킬 수 있다.

[그림 3] SPiDER SOAR 도입효과

“SPiDER SOAR, SOC 운영의 가시적 성과 도출, 자동화를 통한 대응 시간 감소 및 보안 관제 영역 확장”

국내 수많은 고객사에서 실제로 활용되고 있는 이글루코퍼레이션만의 노하우가 담긴 플레이북을 바탕으로 탐지된 공격에 대한 자동 분석/대응 기능을 제공함으로써 위협 대응에 소요되는 시간을 최소화하고 보안관제 효율성을 높여가고 있다.

[그림 4] SPiDER SOAR 도입효과

02. SOAR의 핵심은 Playbook! SOAR Community 오픈

제품 도입으로만 끝나는 SOAR는 보안 관제 운영의 효율성을 높이기 어렵다. SOAR 제품에 가장 중요한 부분은 바로 플레이북이다. 그리고 변화되는 보안 위협과 신규 위협이 등장하는 환경에서도 지속적으로 개선되고 제공되어야만 SOAR를 통해서 보안 관제 운영의 효율성을 극대화 시킬 수 있다.

SPiDER SOAR 제품을 통해 운영 중인 이글루 보안 관제센터(I²SOC)에서는 다수의 고객사를 대상으로 다양한 보안 환경에 최적화된 플레이북을 만들어가면서 최선단에서 보안 관제 운영을 하고 있다.

한 부분으로 소규모 원격관제를 대상으로 최근 월평균 총 12,000건 중에 최적화된 플레이북이 적용된 SOAR를 통해 처리되는 건수가 7,800건으로 전체 처리 건 수의 65%에 달하고 있다.

“SOAR의 핵심은 Playbook! 이글루코퍼레이션이 가장 잘 하는 영역, Playbook!”

‘이글루코퍼레이션의 기술이 집결된 노하우가 무엇보다도 플레이북인데, 플레이북을 라이브러리처럼 한곳으로 모아 허브의 역할을 담당하며 지속적으로 개선하고 관리하여, 최적화된 플레이북의 플레이북을 다시 고객에서 제공함으로써 SPiDER SOAR 솔루션 판매의 선순환 구조를 만들 수 없을까?’라는 고민과 취지로 SOAR 커뮤니티(SOAR Community)를 오픈하게 되었다.

[그림 5] SOAR Community 웹사이트 - 로그인 화면

03. SOAR 커뮤니티 기능 소개

플레이북의 라이브러리이자 허브 역할을 담당할 SOAR 커뮤니티를 소개한다.

SOAR 커뮤니티는 플레이북 콘텐츠를 제공하는 웹사이트로써, SOAR 커뮤니티의 가장 핵심이자 중요한 키워드는 “지속적인 플레이북 개선! 최적화된 플레이북 제공!” 이다.

어떠한 플레이북을 제공할 것인가? 어떻게 플레이북을 관리할 것 인가? 어떻게 플레이북을 활용 할 것인가? 많은 고민 속에서 시작된 SOAR 커뮤니티는 계속해서 발전해가고 있다.

SOAR 커뮤니티는 최신의 플레이북을 간략하게 표출해 고객이 한눈에 알아보기 편하게 제공하며, 사용자에게 편리한 UI/UX를 기반으로 구성하여 쉽게 사용이 가능하다. 로그인 후 Home 화면으로 이동되는데, 세분화된 카테고리 별로 최신의 플레이북이 그리드 형태로 표출된다. 신규로 추가된 플레이북을 쉽게 확인할 수 있으며, 더 보기 기능을 통해 카테고리별 전체 플레이북을 확인할 수 있다. 또한 카테고리, 플레이북 검색 기능을 제공하며 사용자가 즐겨찾기 추가 ∙ 삭제 기능을 통해 관심 있는 플레이북을 한곳으로 모아 관리할 수 있다.

[그림 6] SOAR Community 웹사이트 - 메인화면

그리드 형태로 표출된 플레이북에서 세부적인 정보를 확인하기 위해 해당 플레이북을 선택하면, 플레이북 상세 화면이 표출된다. 가장 핵심이 되는 기능으로 플레이북 상세 화면에 표출되는 플로우차트는 이글루코퍼레이션의 SPiDER SOAR 제품과 동일한 방식으로 표출된다. 화면 크기 이상의 플레이북도 마우스와 크기 조절 버튼을 통해 확대 ∙ 축소가 가능하며 표출되는 플로우차트의 이동도 가능하다.

무엇보다도 플레이북의 정보, 취약점 정보, 플레이북의 절차 설명을 통해 플레이북의 흐름을 쉽게 파악할 수 있게 되어 있다. 이글루코퍼레이션만의 노하우가 담긴 최적화된 플레이북의 설계 방식을 알 수 있으며, 플레이북을 현재 운영 중인 고객의 동일한 SPiDER SOAR 제품에도 쉽게 적용할 수 있게 내용이 구성되어 있다.

다운로드 기능을 통해 플레이북 설정 파일을 다운로드할 수 있으며, SPiDER SOAR에서 불러오기를 통해 플레이북을 추가로 수정 및 적용할 수 있다. 현재는 일부 사용자에 의해서 수동 배포로 제공되는 기능이지만 차후 SPiDER SOAR와 연계를 통해 자동배포 처리로 확대 계획 중에 있다.

[그림 7] SOAR Community 웹사이트 - 플레이북 상세 화면

즐겨찾기 기능은 토글 형태로 추가 ∙ 삭제가 가능하며, 플레이북이 표출되는 모든 곳에 즐겨찾기 기능이 있어 바로 쉽게 활용이 가능하다. 그리고 즐겨찾기 기능을 통해 추가된 플레이북은 즐겨찾기 화면에서 확인이 가능하다.

[그림 8] SOAR Community 웹사이트 - 플레이북 즐겨찾기 화면

카테고리별로 플레이북을 세분화하여 한눈에 볼 수 있게 이글루만의 플레이북 매트릭스를 제공한다. 최상단 카테고리에서 보다 세분화된 2차 카테고리가 나열되어 있으며, 카테고리를 선택하면 카테고리별 플레이북이 그리드 형태로 표출되어 쉽게 찾을 수 있다.

[그림 9] SOAR Community 웹사이트 - 플레이북 매트릭스 화면

“플레이북의 지속적인 개선을 위해서는 관리가 중요하다”

플레이북을 어떻게 쉽게 관리할 수 있을까? SPiDER SOAR의 플레이북을 동일하게 어떻게 표출할 수 있을까? 표출된 플레이북을 자유롭게 컨트롤할 수 있을까? 이런 고민 속에서 SPiDER SOAR에서 생성된 플레이북 설정 파일을 그대로 불러와서 등록하고 표출할 수 있는 관리 화면을 구성하게 되었다. 결국 콘텐츠 등록이 쉬어야 관리가 수월해지고, 지속적인 개선으로 이어진다는 생각이 현실이 된 것이다.

플레이북 관리 화면은 플레이북 설정 파일 불러오기 기능을 통해 플로우차트를 구성하고 플레이북 정보, 취약점 정보, 플레이북 절차 설명을 쉽게 작성할 수 있게 에디터 기능을 제공한다.

[그림 10] SOAR Community 웹사이트 - 플레이북 관리 화면

04. SOAR 커뮤니티 활용

SOAR 커뮤니티를 어떻게 활용할 수 있을까?

“지속적인 플레이북 제공으로 고객 보안 운영 개선에 활용이 가능”

SOAR 커뮤니티를 통해 최적화된 플레이북 설계에 대한 노하우를 알 수 있으며, 자세하게 설명된 플레이북 정보를 통해 고객의 보안 운영 환경에 보다 쉽게 적용할 수 있다. 무엇보다도 최적의 플레이북과 최신의 플레이북을 지속적으로 제공함에 따라, 고객 보안 운영 효율성이 향상될 것으로 기대된다.

“SOAR 도입 및 구축을 고려시, 플레이북 라이브러리 활용”

신규로 SOAR 도입 및 구축을 고려하는 고객에게 SOAR 제품 소개와 아울러 SOAR 커뮤니티를 통해 이글루만의 최적화된 플레이북 현황 자료를 제공할 수 있는 기회를 제공하며, 최적화된 플레이북을 선별 및 적용하는데 활용하여, SOAR 도입 및 구축에도 시너지를 낼 수 있을 것으로 기대된다.

“SOAR 운영자 교육 현장으로 활용이 가능”

SOAR 보안 운영자의 운영에 앞서 쉽게 설명된 플레이북 설명을 통해 교육 자료로 활용이 가능하며, SOAR 운영에 가장 핵심인 플레이북 설계에 대한 교육 현장으로 활용될 것으로 기대된다.

05. SOAR 커뮤니티 향후 방향

[그림 11] SOAR Community 향후 계획

“SPiDER SOAR와 SOAR 커뮤니티의 연계를 통해 지속적인 플레이북을 제공”

SPiDER SOAR를 도입한 고객의 보안 운영의 효율성을 극대화하기 위해서는 플레이북을 지속적으로 제공하는 것이 중요하다. 현재 SOAR 커뮤니티는 플레이북을 지속적으로 제공하기 위한 라이브러리 환경을 구축했고, 플레이북 콘텐츠도 쉽게 제공하기 위한 기능을 제공하고 있다. 차기 계획은 SPiDER SOAR를 활용한 연계 개발을 통해 플레이북을 쉽게 모을 수 있는 관리 환경과 다시 손쉽게 제공 및 배포하는 환경을 만들어 갈 예정이다.

“고객 참여 서비스로 확대”

현재는 이글루코퍼레이션의 보안 전문가들이 제작한 고효율적인 플레이북만을 제공하고 있으나, 점진적으로 고객이 직접 제작한 플레이북을 선별하여 제공하는 형태로 고객 참여 서비스도 계획하고 있다. SOAR 커뮤니티를 방문하는 고객 피드백을 토대로 플레이북을 개선해 나갈 방침이며, 최적의 플레이북을 지속적으로 제공하기 위한 콘텐츠 서비스 기능도 확대해 나갈 예정이다.