[차세대 보안관제①] AI·자동화로 업그레이드
상태바
[차세대 보안관제①] AI·자동화로 업그레이드
  • 김선애 기자
  • 승인 2019.05.31 08:31
  • 댓글 0
이 기사를 공유합니다

보안 패러다임, 탐지·대응으로 변화…오케스트레이션·자동화 대응 지원하는 SOAR 부상

[데이터넷] 보안 패러다임 변화가 가속화되고 있다. 완벽한 방어 기술은 존재하지 않으며, 완전한 선제방어가 가능한 방법을 찾기보다 위협 표면을 줄여 리스크를 낮추면서 지속적으로 공격을 탐지하고 대응하는(Dectection and Response) 것이 필요하다고 강조하고 있다.

가트너는 “기업은 고도화된 공격에 대해 효과가 떨어지는 차단과 방어 매커니즘에 지나치게 의존하고 있다”고 현재 방어 체계를 지적하며 “2020년까지 기업 보안 예산의 60%는 빠른 탐지와 대응 방식으로 배정될 것”이라고 예상한 바 있다.

기존의 보안은 공격을 예측하고 차단하는데 초점을 맞췄다. 시그니처 방식의 보안 기술은 물론이고 샌드박스를 활용해 알려지지 않은 위협을 찾아내는 것도 공격을 예측하고 차단하는 선제방어 전략의 일환이었다. 선제방어는 완벽하지 못하다. 공격자들은 시그니처와 샌드박스를 우회하며, 사회공학 기법을 이용해 교묘하게 시스템으로 침투하며 관리자 계정을 탈취해 정상 사용자로 위장하고 공격을 진행한다.

선제방어가 실패했다는 것을 전제로, 기업/기관은 이미 진행되고 있는 공격을 찾아내고 파악하지 못한 취약점을 통한 공격이 진행될 가능성이 있는지 정기적으로 취약점 진단과 모의해킹을 수행한다. 그러나 실제로는 규제준수만을 위해 시나리오를 기반으로 진행되는 취약점 진단과 모의해킹은 지능적으로 전개되는 위협을 찾아내지 못한다.

김미희 이글루시큐리티 보안분석팀장은 “최근 보안 패러다임은 모든 공격을 차단할 수 있다는 것을 전제로 하지 않으며, ‘제로 트러스트’를 기반으로 한 리스크 관리로 변하고 있다. 제로 트러스트 보안 모델은 모든 것을 신뢰하지 않고 모니터링하고 점검하며 확실하게 정상 행위로 인정되는 것만 허용하는 방식이다. 완벽한 보안은 불가능하다는 것을 전제로, 위협 정보를 분석하고 대응 방법을 찾아 적용하면서 리스크를 낮춰간다”고 설명했다

보안관제 업무 효율화하는 SOAR

보안 무게중심이 선제방어에서 탐지와 대응으로 이동하면서 탐지·대응 기술이 집약된 보안관제 시장에도 혁신적인 변화가 일어나고 있다. 전통적인 보안관제는 관제인력의 숙련도에 따라 서비스 수준이 크게 좌우된다. 위협관리스템(TMS)이나 보안정보이벤트관리(SIEM) 시스템이 위협 정보를 수집해 이상징후를 알려줘 보안관리 업무를 돕고 있지만, 개별 이벤트의 상관관계에 대한 통찰력을 갖지 못한 초보 관제인력은 해당 이벤트의 의미를 제대로 이해하지 못하고 잘못된 대응으로 피해를 막지 못한다.

관제 인력의 숙련도를 평준화하고 서비스 수준을 높이기 위해 AI와 자동화가 제안된다. AI를 이용해 더 정밀하게 위협을 분석하며, 탐지된 위협에 대한 자동화된 대응을 적용해 고급 관제 전문가의 업무를 줄이고, 초보 관제인력도 숙련된 전문가처럼 대응할 수 있다. 최근 주목받는 보안 오케스트레이션, 자동화, 대응(SOAR)은 숙련된 관제인력의 역량을 관제 시스템 전체에 적용할 수 있도록 하기 위해 제안된다.

▲SOAR 주요 기능

SOAR 등장 배경으로 SIEM의 한계를 지목한다. TMS의 부족한 가시성을 해결하기 위해 SIEM이 인기를 끌었으나, 최근 로그 뿐 아니라 네트워크 트래픽, 엔드포인트, 클라우드 정보까지 통합 분석해야 한다는 요구가 높아지면서 SIEM의 한계를 극복할 수 있는 또 다른 기술을 요구하게 됐다.

또한 보안 시스템이 증가하면서 방대한 규모의 이벤트가 발생하고, 너무 많은 이벤트로 인해 경보피로가 누적되며, 조직에 심각한 피해를 입힐 수 있는 위협도 발견되지 못하는 경우가 생기게 돼 ‘자동화’를 통한 이벤트 관리가 필요하다는 주장도 높아졌다.

임형준 시야인사이트 대표는 “AI를 사용한다 해도 AI가 탐지한 이벤트는 결국 분석가가 다시 분석해야 한다. AI는 다량의 노이즈가 발생하기 때문에 분석가의 업무를 더 폭증시킨다. 감당할 수 없는 규모로 늘어나는 위협 이벤트를 해결하기 위한 방법이 필수이며, 그 대안으로 SOAR가 등장한 것”이라고 설명했다.

SOAR는 오케스트라의 지휘자처럼 보안 시스템을 ‘지휘’하는 역할을 한다. 보안 시스템이 수집한 위협을 샌드박스, 위협 인텔리전스 등으로 보내 분석하도록 하며, 분석 완료된 정보에 대한 정책을 생성하고 방화벽, IPS, 엔드포인트 보안 솔루션, SIEM 등 보안 솔루션으로 보내 대응하도록 한다. 이 모든 과정은 자동화되어 진행되며, 분석가는 SOAR이 판단하지 못하는 고급 위협만을 분석해 업무 집중도를 높일 수 있다.

위수복 안랩 MSS본부 부장은 “자동화 플랫폼이 도입된다 해서 기존 인력이 필요 없는 것은 아니며, 기존 인력의 업무를 효율화하고 보다 고도화된 위협 분석에만 집중할 수 있다. SOAR는 전문가의 업무를 효율화하며, 현업 분석가와 관제인력의 역량을 한 차원 높일 수 있도록 도와주는 시스템”이라고 설명했다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.