보안정보

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.

SIEM, AI, SOAR 구축부터 운영까지

2023.12.13

789

  1. 01. SOC 운영의 트렌드

SOC 운영을 위해 필수 구성 요소는 전문적인 보안 관제 시스템과 이를 운영할 수 있는 전문 인력과 프로세스로 볼 수 있다. 국내에서도 SOC 센터가 본격적으로 도입된 지 20년 이상의 시간이 지났고, 그에 따른 많은 변화와 발전이 이루어졌다. SOC 운영의 역사를 이야기하다 보면, 대표적인 정보 보안 사건들을 이야기할 수 있다. 2009년 발생한 7.7 디도스 사건은 지금도 정보 보안 담당자들에게 언급되는 대표적인 정보 보안 사고 사례이다.
이 공격으로 인해 청와대와 주요 언론사, 정당 등 국내 주요 홈페이지 26곳이 접속 장애를 겪었으며, 공공기관 및 민간기업에서도 SOC 센터 운영의 필요성을 절실하게 보여주었다.
7.7 디도스 대란과 연계돼서 정보 보안 시스템에도 변화가 있었는데, 기존에는 네트워크 보안 솔루션을 방화벽, IPS에 의존하는 운영에서 용도에 맞는 전문적인 정보 보안 솔루션의 중요성이 부각되면서, Anti-DDoS 시스템, APT 탐지 솔루션 등이 주목받았다.
그리고 7.7 디도스 대란을 기점으로 이전과 이후 확연히 정보 보안의식이 달라져서, 실제 7.7 대란 이후 기업의 CISO 도입, 사이버 안전 센터 위상 강화 등이 진행됐다.
이와 같이 SOC 운영을 하면서 어쩔 수 없이 발생할 수 있는 보안 사고를 예방하기 위해서 통합보안 관제 시스템 구축부터 운영 관리까지의 노하우를 설명하고자 한다.

SIEM 시스템은 SOC를 운영하면서 가장 기본적으로 구축/운영하는 시스템이지만, 운영을 하면서 활용의 부족함을 느끼는 솔루션이기도 하다.

SOC 운영자는 SIEM 제조사에 이런 질의를 한다.

① 어떻게 하면 SIEM을 잘 활용해서 침해 사고분석을 정확하게 할 수 있을까?
② 어떻게 하면 SIEM을 잘 활용해서 전사에 존재하는 보안 위협을 잘 찾을수 있을까?
③ 어떻게 하면 SIEM과 타 정보 보안 시스템이 잘 결합해서 효율적으로 운영할 수 있을까?

위 질의 답변은 인공지능, 범위 확대, 자동화라는 단어로 답변할 수 있다.

아래의 SOC 성숙도 모델에서도 단위 보안 관제 및 ESM을 거쳐 빅데이터 SIEM, 그리고 지능형&자동화 보안 관제 시스템이 최근 대세로 떠오르고 있으며, 위의 세 가지 질문에 대한 답변과 유사하다.

[그림 1] SOC 성숙도 모델

“보안 관제 전문가는 보안하다가 지치고, 경보 피로에 너무나 익숙해져 있다.”

SOC를 운영하다 보면 무의미한 오탐 경보의 양이 너무 많아지면 경보에 둔감해져, 실제로 주의를 기울여야 하는 경보를 놓치게 되는 것이 현실이고, ‘인력 부족’, ‘솔루션 부재’, 그리고 ‘홍수처럼 쏟아지는 경보’ 등 이러한 문제들을 해소하기를 절실히 원하게 된다.

  1. 02. SOC에서의 SIEM이란

SIEM 구축의 가장 큰 목적은 수집, 저장, 검색, 탐지/분석, 대응이다. 수집 영역은 네트워크 보안 시스템(FW, IPS 등), 서버시스템(WAS/WEB 등), 엔드 포인트(PC단말 등) 영역에서 발생하는 로그를 통합적으로 수집하는 것이다. 저장 영역은 SIEM에서 수집된 RAW DATA를 빅데이터 DB에 저장하는 것이며, 이때 필요한 것이 빅데이터 DB 엔진이다. 검색 영역은 빅데이터 DB를 통해 원하는 조건을 빠르게 조회하는 것이 기본이며, 이때 단순 조회와 이 기종 장비 간의 연계 검색 등으로 활용된다. 탐지/분석 영역은 보안관제 업무 정의 시 가장 중요한 부분을 차지하는 내/외부 위협에 대한 탐지 룰 생성 및 실제 발생한 위협에 대한 실시간 분석에 관한 것이다. 대응 영역은 발생된 경보 이벤트를 티켓 처리 시스템을 통해 전달, 대응하는 것이다.

SOC는 위와 같은 SIEM 기능을 통해 운영되고 있다. SOC 운영자는 항상 새로운 위협 및 위험에 대해 고민하고 있으며, SIEM을 통해 문제를 해결하고 싶어 하지만 이에 대한 명확한 가이드를 제시하는 것은 쉽지 않은 일이다. 지속적인 케이스별 가이드 제공으로, 보안 위협에 대한 문제를 일부라도 해소할 수 있지 않을까 한다.

[그림 2] 지능형 자동화 보안관제 체계 시스템 구성도

  1. 03. SIEM 과 인공지능시스템과의 결합

대부분의 SOC 담당자는 SIEM을 운영하면서 경보 이벤트 분석에 어려움을 느끼고 있다. SIEM에서 발생하는 수많은 경보 이벤트를 분석/대응을 하는 것이 보안 관제업무의 가장 중요한 업무이지만, 현재 운영 중인 보안 관제 인원수로는 수많은 경보 이벤트를 분석/대응하기에 현실적인 어려움이 있다.
이로 인해 SIEM에서 발생한 경보 이벤트에 대한 분석/대응을 100% 하지 못하게 되고, 여기에서 보안 공백이 발생하게 된다. 하지만 인공지능시스템을 활용하면 보안 관제 인원이 분석/대응하지 못했던 경보 이벤트에 대하여 AI 학습 데이터를 기준으로 정오탐을 자동으로 판단이 가능하다.

또한 SIEM에서는 임계치 기반의 정해진 조건으로만 탐지룰을 설정하지만, 인공지능시스템에서는 AI 알고리즘을 통해 이상행위에 대한 판단도 가능하다. 실제로 기존 SIEM만 운영하고 있는 기관에서 SIEM+인공지능시스템을 구축하여 경보 이벤트 분석/대응 건수가 30배 이상 올라가는 효과를 보였다.

  1. 04. SIEM과 EDR/NDR과의 결합

최근 몇 년 전부터 XDR이라는 단어가 RSA에 정보 보안 솔루션에서 강하게 언급되고 있으며, SOC 운영자들은 많은 조사 및 검토를 하고 있다.
XDR의 X를 확장으로 요약했을 때 가장 대표적으로 이야기되는 보안 시스템이 엔드 포인트 EDR, 네트워크 NDR이다. 이 솔루션은 이미 SIEM을 통해 통합적으로 보안 로그를 수집하고 있었으나, 최근 XDR 개념에서는 보안 로스 수집을 넘어 인공지능 시스템의 학습 데이터로 활용이 이루어지고 있다.
EDR 보안 로그의 특성을 파악하여 인공지능 위협 모델에 적용했을 때 랜섬웨어 탐지 위협 모델과 시스템 프로세스의 이상행위 탐지 위협 모델 등으로 적용될 수 있다.
위의 모델은 국내 공공기관 침해 사고 중 가장 높은 비율인 랜섬웨어 공격과 엔드 포인트 단말기의 공격으로 많이 활용되는 시스템 프로세스인 svchost.exe 등에 주입 공격이 수행될 경우 정상 행위로 오인하기 쉽기 때문이다.

[그림 3] SIEM과 EDR/NDR과의 결합 구성도

  1. 05. SIEM과 SOAR(자동화시스템)와의 결합

앞에서 언급했듯이 보안 관제 업무에 인공지능 시스템이 필요하게 된 배경과 같이 지속적으로 발생하는 경보 이벤트를 분석/대응하는데 수많은 시간을 소비하는 것은 SOC 운영 효율성에 가장 큰 장애물이다.
SIEM+인공지능 결합을 통해 오탐률을 줄이는 것도 중요하지만, 지속/반복적으로 발생하는 보안 이벤트를 처리하는 시간을 줄이는 것도 중요하다. SOAR는 반복적으로 발생하는 보안 이벤트 처리를 자동화함으로써, 사람이 투입되는 시간을 줄일 수 있으며, 더 많은 이벤트를 처리할 수 있다.
SOAR를 구축한 고객사에서는 기존에 발생하던 보안 이벤트를 자동화 처리 적용뿐만 아니라, 관제 인원으로 처리 불가능했던 이벤트 분석을 자동화에 추가로 적용함으로써 일일 1,900건의 이벤트 처리량을 8,400건으로 약 4.5배 증가시키기도 했다.
그리고 SOAR 도입 시 가장 궁금해하는 부분은 처음부터 자동 대응을 적용할 수 있는지이다. 보통 고객사에서는 SIEM 경보, 혹은 인공지능 탐지 이벤트를 SOAR Playbook에 적용 시 최초 20% 이내로 자주 발생하지만 명확하게 대응 프로세스가 있는 경보 이벤트를 우선 적용한다.
초기 적용된 경보 이벤트에 대한 검증을 토대로 자동 대응까지 수행하고, 추후 경보 이벤트 전체를 SOAR Playbook에 확대 적용하는 단계로 진행을 한다.

[그림 4] SIEM 경보 이벤트 SOAR Playbook 단계별 적용 절차

  1. 06. XDIR을 통한 차세대 통합보안관제플랫폼으로 진화

최근 보안 위협은 SIEM만을 활용한 탐지 및 대응의 어려움이 있으며, 이를 해소하기 위해 MITRE ATT&CK TTP 전술 등을 활용해 탐지 및 대응해야 된다.
이에 현재 운영 중인 SIEM을 중심으로 XDR(Enterprise-Scale Detection and Response) 혹은 XDIR(Enterprise-Scale Detection and Investigation Response) 개념으로 통합 운영이 필요하다.
XDR은 다양한 데이터를 수집하고 상관관계를 제공하는 통합 보안 및 인시던트 대응 플랫폼이며, The “X” stands for any data source(X는 모든 데이터를 의미) XDR을 정보보안 관련 플랫폼(Platform)으로만 보는 게 아니라, 현재 SIEM, 인공지능, SOAR 등의 솔루션과 서비스가 결합 된 형태로 발전해야 한다.
현재 혹은 가까운 미래에 SOC 운영을 위해서는 XDR 혹은 XDIR과 같은 차세대 통합보안관제플랫폼을 필수적으로 운영하게 될 것이며, 경보 이벤트 분석/대응의 양적 향상과 확장 솔루션을 통한 보안관제업무의 문제를 없애는 질적 향상에 도모할 수 있을 것이다.

[그림 5] 지능형 자동화 보안관제 체계 시스템 구성도