본문 바로가기 주메뉴 바로가기

사이버홍보실

최신뉴스

[XDR·SOAR③] SOAR 통해 차세대 SOC 진화

admin 2021-04-02 조회수 565
 SOC 효율성 높이는 SOAR…솔루션 아니라 전문가 도구로 이해해야
관제 프로세스 표준화·플레이북 마련돼야 SOAR 도입 가능
[데이터넷]통합·자동화를 통해 보안 운영 효율성을 개선하는 솔루션으로 차세대 SIEM이 있다. 차세대 SIEM은 로그·패킷 분석, EDR, APT 대응, 클라우드 지원, UEBA 기능을 내장하면서 탐지와 대응 역량을 개선해나가고 있다. 이 기능에 오케스트레이션과 자동화·대응을 추가해 SOAR로 발전한다는 로드맵을 밝히고 있기도 하다.

그러나 SIEM 아키텍처를 그대로 SOAR로 활용할 수 있을지에 대해서는 이견이 있다. 초기 통합을 염두에 두고 설계하지 않은 SIEM 아키텍처를 그대로 두고 이질적인 기술을 관리하는 SOAR 기능을 얹는 것이 쉬운 일은 아닐 것으로 보인다. SOAR 전문기업 심플리파이는 “SIEM은 이벤트를 기록하는 시스템이고, SOAR는 행동하는 시스템”이라고 명확하게 구분해 설명했다.

SOAR는 여러 보안 솔루션이 제대로 역할 할 수 있도록 도와주는 플랫폼으로, SOC 인력의 업무 부담을 덜 수 있을 것으로 기대된다. SOAR는 반복되는 작업을 자동화 해 처리함으로써 보안인력이 시간이 없어서 분석하지 못했던 고위험 이벤트에 집중할 수 있도록 도와준다. SOC 인력의 성숙도에 상관없이 SOC 업무 수준을 상향평준화 해 초보 보안 전문가도 일정 수준 이상의 보안운영을 가능하게 한다.

SOAR는 ▲여러 보안 솔루션 간 워크플로우를 하나의 과정으로 묶어 자동화하는 ‘보안 오케스트레이션 및 자동화(SOA)’ ▲일관된 결과를 도출할 수 있게 대응 프로세스를 표준화하는 ‘보안 사고 대응 플랫폼(SIRP)’ ▲위협 데이터를 수집하고 상관 분석해 대응 플랫폼에 연계하는 ‘위협 인텔리전스 플랫폼(TIP)’이 통합된 모델이다.


▲SOAR 개념(자료: 가트너)
전문가용 도구로 SOAR 이해해야

SOAR는 솔루션 관점으로 접근해서는 안 된다. SOAR 자체에 보안 기능을 갖는 것은 아니며, 보안 프로세스가 제대로 작동하도록 도와주는 전문가용 도구다. 예를 들어 설명하면, EPP·방화벽·이메일 보안 시스템 등에서 의심스러운 공격 시도를 탐지하면 샌드박스에서 분석하도록 하고, 위협 인텔리전스와 비교해 의심정도를 알리며, 분석결과를 차단 시스템에 보내 즉시 차단, 탐지와 대응 시스템에 보내 이미 진행된 위협이 있는지 조사하게 한다.

일반적으로 분석가가 보안 이벤트를 분석하는데 10~15분 정도 소요된다. 하루 8시간 근무 시간에 분석할 수 있는 이벤트는 아무리 많아야 50개, 적으면 20개도 되지 않을 수 있다. 보안관제조직이 하루 수집하는 이벤트가 평균 1만개 이상이므로 대부분의 위협은 분석하지 못하고 지나간다는 뜻이다. 포레스터 조사에 따르면 SOC 운영자의 74%는 하나의 위협 사례를 조사하는데 4시간 이상 보낸다고 답했는데, 이는 거의 대부분의 위협이 탐지되고도 대응하지 못한다는 뜻이다.

비즈니스가 성장함에 따라 IT 시스템은 늘어날 것이고, 클라우드·IoT 도입과 함께 관리해야 하는 IT 자산은 데이터센터 밖에 광범위하게 퍼지게 된다. 분산된 IT 영역에 따라 공격면이 넓어지고, 보안정책 관리가 어려워지면서 보안홀이 늘고 공격 시도도 늘어나게 돼 있다.

기업·기관은 높아지는 보안 리스크를 완벽하게 관리하기 위해 관제조직을 강화하고 있지만, 위협의 증가에 비례해 SOC를 확장하지는 않는다. 비즈니스 성장을 위해 투자하는 예산 중 가장 늦게, 가장 보수적으로 집행하는 것이 보안 예산인 만큼, 관제조직의 업무는 가중되고 그만큼 위협은 높아진다.

관제 프로세스 표준화·플레이북 마련돼야

SOAR를 도입하기 전에 몇 가지 중요한 선결과제가 있다. 이종 솔루션을 하나의 오케스트레이션 툴에 연동해 운영해야 하기 때문에 이종 솔루션 연동이 가장 중요하다. 오래된 솔루션, 특히 토종 솔루션은 비표준 기술을 사용하는 경우가 많아 연동이 제한될 수 있다.

특히 관제 프로세스가 표준화 돼 있어야 하며, 기업이 사용할 수 있는 플레이북이 충분히 마련돼야 한다. 표준화가 이뤄지지 않으면 오케스트레이션과 자동화를 이룰 수 없으며 플레이북이 마련되지 않으면 자동화된 대응이 어렵다. 플레이북은 기존에 진행한 보안관제 여부를 정형화 한 것으로, SOAR 솔루션에서 일정 수준 이상의 성숙도를 가진 플레이북을 제공하지만, SOAR를 도입하려는 기관에서 자체 플레이북을 마련하지 않으면 위협 탐지 정확도가 떨질 수 있다.

SOAR는 SOC 성숙도가 높은 조직에서 운영했을 때 효과적이기 때문에 자체 SOC를 운영하고 있거나 MSSP, MDR 서비스를 제공하는 기업들이 많은 관심을 갖고 있다. 이러한 기업 중 일부 보안관제 표준화와 자동화를 시작한 곳도 있지만 대부분은 준비를 하지 못해 SOAR 도입을 시작하는데 시간이 걸릴 것으로 보인다.

SOC 전반에 SOAR를 도입하는 것이 어렵다면 일부 보안 영역에서 우선 시범적으로 시작하는 것도 고려해 볼 수 있다. 예를 들어 피싱 메일 탐지에 SOAR 프로세스를 적용하면 이메일 서버와 이메일 보안 시스템, 샌드박스, 격리와 무해화 등이 적절하게 동작하도록 SOAR가 오케스트레이션하고 자동화된 대응까지 이뤄질 수 있다.

쉽게 도입할 수 있는 사례부터 적용하기 시작해 점차 적용 범위를 넓혀간다면, 자동화된 사례관리와 위협 모니터링·조사 및 대응, 자동화된 인시던트 조사와 경고로 단계별로 진행될 수 있다. 또 SOAR를 클라우드로 제공하는 ‘서비스형 SOC(SOCaaS)’ 모델도 가능할 것으로 예상된다. SOCaaS는 SOC가 없거나 성숙도가 낮은 기업 등에 유용할 것으로 보인다.

출처 : 데이터넷(http://www.datanet.co.kr)