SOAR은 그리 오래된 기술은 아니며, 대부분 소규모 스타트업이 시작한 것이다. 그러나 최근 1~2년간 많은 SOAR 기업이 글로벌 대기업에게 인수됐다. 파이어아이가 힐릭스를, 스플렁크가 팬텀을, MS가 헥사다이트를, 래피드7이 커맨드를, 팔로알토네트웍스가 데미스토를 인수했다. 대기업이 잇달아 SOAR 전문기업을 인수하는 것은 그만큼 SOAR가 중요해지고 있다는 뜻으로 해석할 수 있다.
박진성 래피드7코리아 지사장은 “보안관제 인력에게 의지하는 관제로는 현재 위협을 막을 수 없다. 특히 주 52시간 근무제를 준수하기 위해 보안관제 인력의 업무를 줄여야 하며, 자동화를 도입하지 않으면 업무를 줄이는 것은 불가능하다”며 “SOAR는 제로 트러스트 보안모델을 완성하는데 있어 필수 기술이 될 것”이라고 설명했다.
클라우드 기반 기술로 보안 대응 효과 높여
래피드7은 커맨드를 인수한 후 ‘인사이트 커넥트(InsightConnect)’라는 클라우드 기반 서비스를 출시했다. 인사이트 커넥트는 업계에서 가장 많은 플러그인과 SDK를 제공하며, 새로운 아이디어를 신속하게 프로토타입화하고 기존 워크플로우를 새롭게 업데이트 할 수 있다.
박진성 지사장은 “SOAR은 멀지 않은 시기에 빠르게 도입이 이뤄질 것이라고 본다. 특히 관제인력을 충분히 고용하지 못하는 중견규모 기업, 클라우드 도입 속도를 높이는 기업, SIEM을 차세대 시스템으로 교체하려는 기업 등에서 SOAR를 채택할 것으로 기대한다”고 밝혔다.
SOAR의 대표주자 중 하나로 파이어아이 ‘힐릭스(Helix)’를 들 수 있다. 힐릭스 역시 클라우드에서 호스팅되며, 보안 분석 전문가의 지원으로 공격자에 대한 통찰력을 갖게 하고 사고 조사와 대응을 가속화한다. 힐릭스는 이기종 장비 간 통합, 워크플로우 자동화 신속한 대응이 가능하다. 다양한 벤더·제품의 플러그인이 제공돼 쉽고 간편하게 워크플로우에 대한 시나리오를 플레이북으로 생성·편집할 수 있다. 3000개 이상의 인텔리전스 룰을 제공하며, 모든 로그 정보를 자동으로 아이사이트 인텔리전스에 매칭한다.
포티넷은 보안운영체제 ‘포티OS 6.2’에 SOAR 기능을 포함시켰다. 보안 패브릭에 통합된 모든 솔루션에 대한 단일 창 방식의 자동화된 위협 가시성과 관리 기능을 사용할 수 있게 했다. 또한 스크립츠, 웹후크, 서비스나우와 통합으로 신속한 사고 대응이 가능하다.
국내 기업, SOAR 경쟁 시작
국내 기업들도 SOAR 진출 속도를 높이고 있다. 가장 먼저 안랩이 ‘세피니티 에어’를 출시하고 시장의 포문을 열었다. 안랩은 축적된 보안관제 노하우를 집약해 위협 종류, 상황별 대응 프로세스를 표준화한 플레이북을 제공하고, 대응을 자동화하는 것이 세피니티 에어의 장점이라고 강조한다.
이 제품은 보안·비보안 솔루션 연동으로 수집되는 다양한 영역의 보안위협 데이터를 하나의 화면에서 탐색하고 처리할 수 있고, 고객사별 환경에 맞게 프로세스를 최적화할 수도 있어 전반적인 보안위협 대응과 운영 업무 효율성을 높일 수 있다.
보안관제를 제공하는 국내 기업들도 SOAR 전략을 마련하는데 분주하게 나서고 있다. 윈스는 정부과제로 진행하는 KOSIGN(Korean Open Security Intelligence Global Network)을 기반으로 SOAR 기술을 발전시켜나갈 계획이다. KOSIGN은 국내 보안기업들의 위협 정보를 공유하는 플랫폼을 만드는 것이며, 올해 이 과제가 종료되면 한국정보보호산업협회(KISIA) 주도의 국내 민간 보안기업 정보공유 플랫폼으로 활용한다는 계획을 세운다.
조학수 윈스 부사장은 “KOSIGN 과제를 수행하면서 자동화된 위협 탐지와 대응을 위한 기술을 개발하고 적용하고 있으며, 이를 업그레이드 해 SOAR 기술로 발전시켜나갈 계획”이라며 “윈스는 보안관제 서비스와 지능형 위협 대응에 대한 뛰어난 전문성이 있기 때문에 향후 열릴 SOAR 시장에서도 경쟁력을 갖출 수 있을 것”이라고 밝혔다.
이글루시큐리티는 AI 기반 차세대 보안관제 서비스와 시스템을 개발하고 운영하면서 획득한 노하우를 기반으로 SOAR 역량을 높여나가고 있다. 이글루시큐리티 역시 위협 탐지, 분석, 대응에 이르는 모든 프로세스를 자동화한 플레이북을 축적하고 있으며, 이를 기반으로 한 SOAR 솔루션을 출시할 계획이다.
김미희 이글루시큐리티 보안분석팀장은 “이글루시큐리티는 AI를 적용한 SOAR 기술을 개발하고 차세대 보안관제에 녹여내고 있으며, 시장 개화 시기에 맞춰 솔루션으로 출시할 계획”이라며 “자동화된 보안 탐지와 대응 분야에서 이글루시큐리티의 경쟁력을 보여줄 것”이라고 밝혔다.
솔루션 유통기업, 시장 진출 선언
보안 솔루션 유통 전문기관들도 시장 진출을 선언했다. 인섹시큐리티는 사이버스폰스의 ‘사이옵스(CyOPs)’ 아시아태평양 지역 판권을 획득하고 시장 공략에 나섰다. 사이버스폰스는 SOAR 플랫폼 특허를 갖고 있으며, 사고 관리, 사례 관리, 분석 콘솔을 통해 수 백 가지의 보안 도구를 자동화하고, 용이한 사용과및 신속한 구축을 지원한다.
한편 인섹시큐리티는 인섹시큐리티는 자회사인 마에스트네트웍스를 통해 개발한 ‘마에스트로’ 역시 SOAR 기능을 수행한다고 주장한다. 마에스트로는 인섹시큐리티가 국내에 공급하는 엔드포인트·네트워크 보안, APT 방어 솔루션, 포렌식 솔루션, 위협 인텔리전스와 연동해 자동으로 위협을 탐지하고 차단하는 프로세스를 제공한다.
김종광 인섹시큐리티 대표는 “현재 SOAR는 공격이 한 번은 실행돼야 공격인지 아닌지 알 수 있도록 설계됐다. 반면 마에스트로는 기업 내에 유입되는 모든 파일을 먼저 검증하기 때문에 공격이 실행되기 전에 차단할 수 있다”며 “여러 솔루션을 통해 교차검증하며 자동으로 분석하고 차단하기 때문에 관리자 개입 없이 보안 운영을 자동화 할 수 있다”고 설명했다.
RSA 파트너인 파로스네트웍스는 넷위트니스에서 발생하는 위협 이벤트에 대한 자동화 대응을 지원하기 위해 ‘PDMS’를 설계했다. 이 솔루션을 지속적으로 고도화해 현재 보안 시스템에서 수집한 악성코드 정보를 관리하는 악성코드 통합관리 시스템으로 발전시켰다.
황항수 파로스네트웍스 대표는 “PDMS는 위협 탐지와 대응을 자동화하는 프로세스를 제공해 SOAR 기능의 일부를 담당할 수 있다. 이를 앞으로 더 고도화해 고객의 보안운영을 보다 단순하게 만들어 지능형 위협에 효과적으로 대응할 수 있도록 지원할 것”이라고 밝혔다.
