보안정보

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.

SOAR 시스템의 차단 테넌트에서 SOAR TO SOAR까지

2024.07.03

29,483

01. 자동화 시스템의 현재

전 세계적인 인공지능(AI) 열풍 속에서 이를 악용한 사이버 공격이 폭발적으로 증가하면서, 보안 위협이 날로 고도화되고 있다. 고위협 공격 이벤트가 기하급수적으로 증가하고 있으며, 보안 담당자들은 이에 대응하기 위해 고군분투하고 있는 실정이다. 이러한 배경에서 최근 SOAR(SOAR, Security Orchestration, Automation, and Response)를 도입하고자 하는 고객이 크게 늘었다. SOAR는 보안 운영·위협 대응 자동화 시스템이다. 수많은 요소들(솔루션, 업무 절차, 위협 정보 등)을 하나의 과정으로 묶은 플레이북(Playbook)에 기반해 그동안 수없이 수동으로 처리해왔던 단순 반복적인 업무를 자동화하고, 분석 수준을 상향 평준화함으로써, 보안 운영의 효율성을 높여준다. 또한 SIEM, AI, CTI 등 다양한 최신 기술과의 결합을 통해 SOAR는 발전을 거듭하고 있다.

[그림 1] 경보의 홍수 (출처: ChatGPT 활용)

현재는 다양한 고객사들이 지속적으로 변화하는 사이버 위협에 실시간 대응하기 위해, 아래와 같이 고위협 공격에 대해서 실시간 자동 분석 및 차단으로 대응하고 있다.

[그림 2] 플레이북 프로세스 예시

02. 망구성에 따른 자동화 시스템(SOAR) 구성 사례

SOAR 시스템 구성 시, 망 구성에 따른 측면에서 아래와 같이 구현할 수 있다.
단일망으로 구성되어 있을 경우, SOAR 시스템 구성은 간단하다. 하지만 내부망과 외부망, DMZ, 운용망 등 다양한 망으로 세분화되어 있을 경우 아래와 같이 망별 차단 테넌트 구성 또는 추가 SOAR를 통한 SOAR TO SOAR 구성까지 고려해 볼 수 있다. 각 구성별 특징은 아래와 같다.

1) 차단 테넌트(차단 Proxy)를 통한 대응 방안

본사(SOC 운영)와 지사(SOC 없음)일 경우에는 본사 SOAR 시스템의 플레이북 정/오탐 결과에 따라 망별 차단 테넌트를 통해서 차단할 수 있다.

[그림 3] 차단테넌트 구성 방안

2) SOAR TO SOAR를 통한 대응 방안

본사(SOC 운영)와 지사(SOC 운영)일 경우에는 SOC의 보안 분석 기준이 다를 수 있다. 이럴 경우에는 SOAR TO SOAR 구성을 통하여, 본사 SOAR 플레이북에서 정탐으로 발생한 1차 티켓을 지사 SOAR 플레이북에서 2차로 정/오탐을 구별하여 사이버 위협에 대해서 오탐 없이 자동화 대응을 할 수 있다.

[그림 4] SOAR TO SOAR 구성 방안

03. SOAR의 향후 발전 방안

보안 관제 및 운영 업무에서 사이버 위협 이상행위는 2가지로 나누어 생각할 수 있다.
앞서 얘기했듯이 외부 공격자가 내부 자산을 목표로 공격을 하는 행위와 내부자가 외부로 데이터를 유출하여 회사에 불이익을 끼치는 상황도 고려할 수 있다.
내부에서 외부로 이상행위(정보 유출 등)가 발생할 경우에는 해당 이상행위에 대해서 내부자가 상위 검토자에게 타당한 사유를 받는 등의 소명 처리를 해야 한다. 현재는 다수의 고객사에서 수동으로 처리하고 있지만 해당 업무도 자동화 시스템의 소명 처리 모듈 적용을 통해서 자동화할 수 있다.
아래는 자동화 시스템의 소명 모듈에 대한 프로세스 개념도이며, 앞으로도 자동화 시스템은 더욱 다양한 장비와 공격 형태에 대해서 자동화할 수 있도록 지금도 연구 중에 있다.

1) 자동화 시스템 소명 모듈

[그림 5] 자동화 시스템 소명처리 프로세스