[데이터넷] SOAR를 도입하려면 반드시 보안관제 플로우의 표준화가 이뤄져야 한다. 공격그룹과 유형을 분류하고 개별 공격 케이스에 대한 대응 방안까지 규정한 플레이북이 충분히 중비되어야 하며, 표준화된 플로우에 맞춰 자동화해야 한다. 그래야 보안 시스템에서 수집한 위협의 유형을 파악하고 자동으로 정책을 설정해 보안 시스템으로 내려 보내고 대응할 수 있게 된다.
현재 우리나라에서 SOAR를 도입할 만큼 표준화와 자동화가 준비된 곳은 거의 없다. 보안관제 서비스 기업들도 자사 관제 프로세스에 SOAR 적용을 검토하고 있지만, 아직은 시기상조라고 판단하고 있다. 그러나 SOAR는 관제 업무를 효율화하고 관제인력이 고급 보안 분석에 전념할 수 있도록 도와주며 관제 인력의 성숙도를 상향평준화 할 수 있기 때문에 차세대 보안관제의 필수 요건이 될 것으로 기대된다.
김혁준 나루씨큐리티 대표는 “보안 시스템을 추가한다는 생각으로 SOAR를 구축하면 실패하게 된다. 보안은 덜어내고 단순화하는 방향으로 가야 한다. 특히 클라우드에서는 더욱 단순하면서 자동화된 보안 프로세스가 일어나도록 해야 한다”며 “SOAR는 멀티 클라우드에서 더 필요로 하는 기술이 될 것이며, 데이터 분석을 통해 SOAR의 이상을 실현할 수 있을 것”이라고 말했다.
20년 보안관제 노하우 집약
우리나라 SOAR 시장의 포문을 연 것은 안랩이다. 안랩은 보안관제 서비스를 제공하면서 구축한 표준화, 자동화, 오케스트레이션 기능을 패키지로 통합한 ‘세피니티 에어(Sefinity AIR)’를 출시하고 SOAR 시장의 문을 활짝 열었다.
이 제품은 보안·비보안 솔루션 연동으로 수집되는 다양한 영역의 보안위협 데이터를 하나의 화면에서 탐색하고 처리할 수 있고, 고객사별 환경에 맞게 프로세스를 최적화할 수도 있어 전반적인 보안위협 대응과 운영 업무 효율성을 높일 수 있다.오케스트레이션, 위협 인텔리전스 플랫폼(TIP), SOC IR 플랫폼, 머신러닝 기반 데이터 분석 엔진(ASA) 등으로 구성된다.
위수복 안랩 부장은 “세피니티에어는 많은 고객의 요청에 의해, 안랩 보안관제 서비스에 적용된 오케스트레이션, 자동화 대응 기능을 패키지 솔루션으로 개발한 것”이라며 “안랩이 20여년간 축적해 온 보안관제 노하우가 집약돼 있어 공격 유형별로 탐지부터 대응까지 자동화해 고객의 보안관제 업무를 크게 단축시키며 보안위협 대응 능력을 높일 수 있다”고 밝혔다.
간편하게 사용 가능한 SOAR
글로벌 시장에서도 SOAR에 주목하기 시작한 것은 그리 오래되지 않았다. 최근 1~2년간 SOAR 전문기업들이 잇달아 인수되면서 성장을 시작했다. 파이어아이가 힐릭스를 인수한 것으로 시작해, 스플렁크가 팬텀을, MS가 헥사다이트를, 래피드7이 커맨드를, 팔로알토네트웍스가 데미스토를 인수하면서 시장 공략에 나섰다.
이 중 팔로알토네트웍스가 인수한 데미스토는 가장 완성도 높은 SOAR 솔루션으로 평가받아왔다. 데미스토는 AI 자동화 엔진과 티케팅 시스템, 자동 완화 기능 등으로 구성된 SOC 솔루션으로, 거의 대부분의 보안 제품을 연동할 수 있는 탬플릿을 지원하고 있어 별도의 연동 작업 없이 드래그 앤 드롭으로 쉽게 사용할 수 있다. 사전 제작된 탬플릿이 없어도 API를 이용해 쉽게 연동할 수 있으며, AWS, 애저 등 멀티 클라우드 환경에서도 통합 운영이 가능하다.
김병장 팔로알토네트웍스코리아 전무는 “데미스토는 쉽게 구축 할 수 있고 직관적으로 인시던트를 추적·분석할 수 있어 보안관리자는 물론이고 경영진에서도 많은 관심을 갖고 있다. 국내 대규모 엔터프라이즈와 포털, 게임사, 그리고 MSSP 등의 높은 수요가 있다. 빠른 시일 내에 고객사례를 확보할 수 있을 것”이라고 자신했다.
SOAR 전문기업 사이버스폰스는 인섹시큐리티와 파트너십을 체결하고 아태시장 공략에 나선 것도 주목된다. 사이버스폰스의 ‘사이옵스(CyOPs)’는 SOAR 플랫폼 특허를 갖고 있으며, 사고 관리, 사례 관리, 분석 콘솔을 통해 수 백 가지의 보안 도구를 자동화하고, 용이한 사용과 신속한 구축을 지원한다. 250개 이상의 커넥터, 플레이북, 사이버위협인텔리전트 연동, EDR 연동, 자동화 대응 기능을 제공한다.
보안 전문가 업무 부하 줄이는 SOAR·MDR
커맨드를 인수한 래피드7의 행보도 주목된다. 래피드7의 SOAR ‘인사이트 커넥트(InsightConnect)’는 업계에서 가장 많은 플러그인과 SDK를 제공하며, 새로운 아이디어를 신속하게 프로토타입화하고 기존 워크플로우를 새롭게 업데이트 할 수 있다.
래피드7은 매니지드 탐지 및 대응(MDR) 서비스 ‘인사이트IDR(InsightIDR)’도 적극 드라이브한다. 이 서비스는 사용자 환경과 긴밀하게 통합돼 정교한 위협을 탐지하고 비즈니스 우선순위에 따라 자동화 대응한다. 또한 인사이트 에이전트에서 수집한 포렌식 데이터를 이용해 분석가들이 공격 지표를 검색하고 은밀하게 진행되는 위협을 찾아낸다.
박진성 래피드7 지사장은 “SOAR와 MDR이 최근 각광받는 이유는 보안 전문가가 부족하기 때문이다. SOAR와 MDR은 보안 전문가의 일자리를 줄이는 기술이 아니라, 단순하고 반복되는 업무를 줄여 전문가가 고급 보안 위협 분석에 집중할 수 있도록 도와주는 기술이다. 보안 전문가의 수준을 상향평준화하고, 주 52시간 규제를 만족시켜 워라벨을 높여주는 기술”이라며 “SOAR와 MDR을 통해 관제인력을 충분히 고용하지 못하는 중견규모 기업, 클라우드 도입 속도를 높이는 기업, SIEM을 차세대 시스템으로 교체하려는 기업 등이 높은 관심을 보인다”고 말했다.
