기업 보안이 플랫폼으로 진화한다.
가트너의 2021-2023 신기술 로드맵중 SOAR에 대해 이야기합니다.
이 글은 제가 KISA [한국 인터넷진흥원]의 < KISA Report > 2021년 10월호에 기고한 글입니다. 원본 글 '기업 보안이 플랫폼으로 진화한다.'를 이곳 브런치에도 공유합니다.
1. SOAR 가 대두되다.
매년 가을 초입이 되면 가트너에서는 기업을 위한 신 기술 로드맵 을 발표한다. 올해 역시 9월에 여섯가지 큰 주제를 갖고 각각의 상세 신기술의 동향을 발표했는데, 대상이 대기업과 중소기업으로 나누어 있음에도 공통점을 갖는 부분이 있다. 단순하게 신기술 항목이 기업의 크기와 상관없이 겹치는 것이 아니라, 중요도에 비해 단기간 내에 성취하기 어려운 기술로 크게 분류된 ‘사이버 보안’이 그 영역이 된다. 아래 그림 1에서 파란색 네모로 구분한 기술이다.
그림 1. 가트너 대 기업 대상 신기술 로드맵 2021-2023 (출처: 가트너)보안 영역의 SOAR (Security Orchestration, Automation and Response)라는 기술과 자동화 기술에서 네트워크 자동화로 나누어져 있긴 하나 모두 도구의 모음을 조직화하고 일련화 하는 기술을 의미한다.
보안 오케스트레이션, 자동화 및 응답을 의미하는 SOAR 플랫폼은 다양한 소스에서 데이터를 검색하고 수집하는 보안 소프트웨어 솔루션 및 도구의 모음을 말하고, SOAR 솔루션은 사고 대응 조치를 이해하고 우선순위를 정하기 위해 인간과 기계 학습의 조합을 사용하여 다양한 데이터를 분석한다.
최근 매킨지의 사이버 보안 성숙도 보고서 는 금융과 헬스케어 부문을 제외한 전체 산업부문의 보안 성숙도는 매우 기초적인 수준이었고, 오늘날 비지니스의 환경 특히 팬데믹 상황에서 원격 근무가 일상화되고 있는 상황이 요구하는 보안관리 수준에 못 미치는 ‘사고 발생 후 대응’ 수준임을 보여주고 있다.
그림 2. 산업별 사이버 보안 성숙도 지수 (출처: 매킨지)즉 가트너가 SOAR플랫폼/솔루션과 같이 조직화되고 일원화된 사이버 보안, 네트워크 보안 기술을 단기간 내에 성취가 어려운 기술로 뽑은 이유는 기술 그 자체에 대한 구현의 어려움보다는 그 중요성을 이해하고, 예방차원의 보안 시스템을 갖춰야 한다는 마인드셋과 투자의지에 크게 의존되는 부분이다.
SOAR를 통해 기업은 다양한 소스에서 보안 위협 관련 데이터를 수집하고 그 위협에 대한 대응을 자동화할 수 있다. SOAR는 다음 세 가지 플랫폼을 통합하고 그 기능을 일련화 한 개념이다.
그림 3. SOAR 구성 (출처: 가트너)가. 보안 사고 대응 플랫폼(SIRP: Security Incident Response Platforms)
케이스/사고 관리
워크플로우 관리
사고 지식 베이스 관리
나. 보안 오케스트레이션 및 자동화 (SOA: Security Orchestration and Automation)
통합
실행/프로세스/워크플로우 자동화
기본 지침 관리
다. 위협 인텔리전스 플랫폼 (TIP: Threat Intelligence Platforms)
위협에 관한 정보 수집, 분류, 배포
경고성 알림 설정 강화
위협 상황을 도식화
이해를 돕기 위해 SOAR가 보안 공격에 대한 위협을 포착해서 그 이벤트를 발생하여 대응하는 일반적인 상황 흐름은 다음과 같다.
그림 4. SOAR 시스템의 일반적인 사건/사고 워크플로우(출처: 가트너)2. SOAR 시스템의 장점
일반적으로 SOAR 솔루션을 통해 팀은 중요한 보안 데이터를 수집하고, 서로 다른 소스에서 기존 및 잠재적 위협과 취약성을 식별, 분석 및 해결할 수 있다. 기업이나 단체에 보안 사고에 더 빠르고 효율적이며 일관되게 대응할 수 있는 가시성을 동반한 정보를 제공한다.
하지만 현재, 기업에서의 보안 운영 팀은 서로 다른 시스템에서 발생하는 상호 정보를 연결하는 데 많은 어려움이 있다. 이로 인해 오류가 발생하기 쉬운 수동 프로세스가 너무 많고 이 모든 것을 해결할 높은 수준의 기술력은 부족하다. 현재의 문제 해결 접근 방법의 결과는 다음의 세 가지 문제로 요약할 수 있다.
① 문제가 되는 경고를 놓칠 확률 증가
② 수동 프로세스로 인한 시간 및 리소스 낭비
③ 표준화된 대응 능력 부족으로 인한 응답 시간 저하
좋은 SOAR 시스템은 모든 유형의 보안 사고가 미치는 영향을 최소화하고, 기존 보안 투자의 가치를 극대화하며, 법적 책임 및 비즈니스가 멈추는 중단 시간의 위험을 전반적으로 줄여 다음과 같은 목표를 달성할 수 있다.
① 프로세스 관리, 기술 및 전문 지식 통합
② 자산 모니터링의 중앙 집중화
③ 상황별 인텔리전스를 통해 경고 알림 강화
④ 응답 자동화
위에서 제시한 네 가지 목표를 달성하기 위해 SOAR 플랫폼/솔루션이 가져야 할 기능요건은 다음과 같이 정리할 수 있다.
• 다양한 보안 시스템에서 정보 및 경고를 수집하고 분석한다.
• 보안 경고 식별, 우선순위 지정, 조사 및 대응에 필요한 워크플로우를 정의, 구축 및 자동화한다
• 운영 개선을 위해 여러 가지 툴을 조직화하고 통합한다.
• 사고가 있었다면, 분석작업을 수행하고 팀이 프로세스를 개선하고 유사한 문제를 방지할 수 있는 포렌식 기능을 보유한다.
• 대부분의 보안 작업을 자동화하고, 반복 작업을 없애고 팀이 시간을 절약하고 사용자 입력이 필요한 보다 복잡한 작업에 집중하게 한다. 기업에서 매일 300개의 피싱 이메일을 체크하는 경우 SOAR 시스템 도입 전 90분이 걸리던 작업이 40초로 줄었으며, 비용으로 환산하는 경우 1년에 약 90만 불의 절약 효과 가 있었다.
이런 SOAR 시스템은 인공지능, 기계 학습, 증강 분석에 기반하여 정보 수집, 데이터 강화 및 상호 관계 등과 같은 작업을 반복적으로 자동화한다. 이러한 접근 방식을 통해 팀은 광범위한 보안 문제에 보다 빠르고 규모에 맞으면서 학습되고 최적화된 방법으로 대응할 수 있다.
또한 대부분의 SOAR 시스템에는 입증된 순서와 절차에 기초한 지침을 제공하는 지침서가 있다. 이 지침서를 잘 숙지하면 일관성, 규정 준수, 빠르고 안정적인 식별 및 인시던트를 해결하는데 도움이 된다.
3. 시장 흐름
SOAR시장은 꾸준히 성장하고 있지만 크게 두 가지 큰 흐름을 찾을 수 있다.
다른 보안 기술 및 서비스와 통합 연계
SOAR 시장은 다양한 보안 운영 기능(예: 취약성 관리, 규정 준수 관리 및 클라우드 보안)을 위한 통합 제어 모듈로 성장하고 있다. SOAR 기술은 운영자가 프로그래밍해야 하는 기능을 제공하므로, 자동화를 위한 준비가 덜 된 조직에서는 사용이 복잡할 수 있다. 이런 이유로 보안 공급업체가 특정 기술에 대해 사전 프로그래밍이 되고 최적화된 SOA 관리 기능을 제품에 내장하도록 하고 있다.
보안 정보와 이벤트 관리(SIEM: Security information and Event management) 기술에 대한 수요는 여전히 많고 위협 관리가 주요 이유가 된다. 거의 모든 SIEM 공급업체는 기본 기능 또는 타사 솔루션과의 통합을 통해 조사 기능을 향상하고 대응 조치를 위한 방법을 도입하고 있다.
SIEM은 몇 년 동안 기업에서 현실적으로 사용했지만, SOAR솔루션은 사고 대응을 위해 SIEM을 보완하는 기술이다. SIEM은 다양한 소스에서 보안 데이터를 집계하고 분석을 적용하여 잠재적인 보안 사고를 감지하고 이벤트 또는 사고를 생성합니다. SOAR는 그런 데이터를 기반으로 경고 알림을 설정하고 결정하는 데 도움이 되는 대응방법을 개발한다. 조사 경로를 결정하는 것은 보안 책임자의 역할이지만 SOAR는 더 나은 결정과 더 빠른 응답을 제공한다. 따라서 사건/사고에 대응할 수 있는 최상의 워크플로우 선택을 지원한다. 또한 잠재적으로 사고에 대응할 워크플로우의 실행을 자동화하여 대응 시간을 크게 단축할 수 있다.
보안 서비스 제공업체가 자체 서비스 품질, 대응 능력을 개선하기 위해 SOAR를 사용
관리형 보안 서비스 공급자(MSSP: Managed Security Services Provider) 및 관리형 탐지와 대응(MDR: Managed Detection and Response) 서비스 공급자의 사고 대응 수요가 매우 빠르게 늘고 있다.
고객의 환경에서 공격이 진행될 수 있는 속도를 고려할 때 잠재적인 위협이 감지되었을 때 고객에게 경고하고 알림을 보내는 것만으로는 더 이상 충분하지 않다. 고객은 환경과 비즈니스 운영에 대한 피해를 최소화하기 위해 위협을 억제하거나 방해할 수 있는 능력을 제공하는 서비스 제공업체에 의존한다.
보안 서비스 제공업체는 다양한 테넌트를 통해 고객에게 커스터마이즈 된 워크플로우를 제공할 수 있지만 고객의 전반적인 비즈니스 위협에 대한 이해를 파악하는 게 우선이다. 공급자는 분석을 위해 데이터를 수집하고 사고 조사 및 대응 활동을 강화하기 위해 고객 또는 자체 기술과 양방향 통합이 필요하다.
4. SOAR플랫폼/솔루션 서비스 제공자
시장을 이끄는 선두 SOAR 플랫폼 솔루션 5개와 그 특징에 대해서 알아보자.
1. 팬텀 Phantom (splunk.com)
스플렁크 팬텀은 광범위한 보안 도구와 통합되어 더 나은 통찰력과 외부 및 내부 위협을 감지하고 대응할 수 있는 기능을 제공한다. 보안 및 개발 팀이 내장된 드래그 앤 드롭 기능을 사용하여 포괄적인 플레이 북을 구성할 수 있게 해주는 VPE비주얼 플레이북 에디터(VPE)가 함께 제공된다.
•특정 워크플로우를 위한 맞춤형 자동화 프로세스를 설계
•데이터 필터링 및 사용자 지정 보안 작업을 정의
•실시간으로 팀이 협업하고 중요한 보안 결정을 지원.
•중앙 집중식 비주얼라이제이션
•EPD(Event per day): 툴이 관리하는 보안 이벤트를 표시
그림 5 스플렁크 팬텀 플랫폼 v4.0 (출처: splunk.com)2. 시큐리티 오퍼레이션 Security Operations (Servicenow.com)
서비스나우 시큐리트 오퍼레이션은 사고 및 취약성을 관리하고 보안 위협 인텔리전스 및 구성 규정 준수를 강화하기 위한 강력한 보안 솔루션이다. 보안 사고의 전체 수명 주기를 관리하기 위한 공격 및 위협을 분석, 식별, 근절 및 복구할 수 있는 솔루션을 제공한다.
보안 도구, 프로세스, 활동, 도구 자동화
취약점 요약을 제공하여 팀이 약점을 식별 및 해결하고 적시에 공격을 방지
영향을 받는 비즈니스 프로세스와 함께 최신 보안 사고 및 취약점을 파악
보안 사고, 취약성, 잘못 구성된 자산 및 기타 위험을 빠르게 식별하고 우선순위 지정 및 대응
분석 기반 보고서 및 대시보드를 통해 보안 상태, 병목 현상 및 추세 제공
3. 레스펀드엑스 RespondX (logrhythm.com)
신뢰할 수 있는 실시간 지능형 위협 탐지를 제공하는 솔루션으로 조직이 보안을 개선할 수 있도록 한다. 스마트레스펀스(SmartResponse) 기능은 워크플로우를 자동화하고 위협 조사 및 대응 프로세스를 가속화하는 데 도움이 된다.
데이터 수집 및 엔드 포인트 검역에서부터 손상된 네트워크 자산 및 포트 차단에 이르기까지 엔드 투 엔드 보안 사고 대응 프로세스를 지원
사고 대응 프로세스를 자동화하여 모든 위험을 효율적으로 완화하고 취약점을 식별 및 해결하여 향후 유사한 공격을 방지
사고 조사 시 복구 추적
로그 데이터, 경고 및 기타 정보를 포함할 수 있는 사용자 인터페이스 제공
위험 또는 손상된 사용자 계정, 프로세스 및 네트워크 액세스를 자동으로 일시 중단
4. 인사이트커넥트 Insightconnect (rapid7.com)
코딩이 거의 또는 전혀 필요 없이 보안 프로세스를 통합, 간소화 및 가속화하는 솔루션이다. 보안 도구와 팀을 연결하여 다양한 기술과의 통합과 명확한 커뮤니케이션을 제공한다.
공격, 악성코드, 피싱 공격, 손상된 사용자 계정, 취약한 네트워크 포트 등을 탐지, 차단 및 대응.
위협 추적 및 기타 프로세스를 자동화하여 악성 코드, 손상된 URL 및 도메인, 의심스러운 활동을 신속하게 식별
바이러스, 말웨어 및 이메일 피싱 공격 및 기타 악성 프로그램의 탐지, 차단 및 조사 자동화
자동화된 플레이북을 실행하여 사고 대응 프로세스의 속도 향상
5. 리질리언트 Resilient (ibm.com)
IBM 리질리언트는 위협 감지 및 사고 대응 기능이 강화된 기계 학습 기반 SOAR 플랫폼이다. SOAR 솔루션은 온프레미스 설치, MSSP 서비스 또는 SaaS(Security as a Service) 모델로 사용할 수 있다. 단일 플랫폼과 운영 자동화, 인텔리전스 추가, 협업 강화 및 위협을 더 빠르고 효율적으로 해결할 수 있는 기능을 제공한다.
팀이 상세한 위협 인텔리전스와 실행 가능한 보안 경고에 액세스할 수 있으므로 사고에 신속 대응하고 관리 가능
고유한 비즈니스 요구 사항을 충족하는 유연한 배포, 자동화 및 오케스트레이션 옵션
보안 시스템과 플레이북의 유효성을 테스트하기 위한 내장형 사이버 공격 시뮬레이션 기능. (이 기능은 팀이 규정 준수 감사를 수행하고 문제를 해결하는 데 도움)
그림 6. IBM 리질리언트 대시보드 (출처: IBM.com)5. SOAR 솔루션 선택 기준
마지막으로, 기업이나 단체에서 보안 관리 리더는 운영 효율성과 효율성을 개선하기 위해 보안 SOAR 플랫폼이나 솔루션 서비스를 선택할 때 다음과 같은 기준을 고려해 보는 것을 추천한다.
•조직 환경에 이미 설치 운영되는 제품과의 호환성을 검증해 본다. 또한 SOAR 솔루션은 커스텀 개발이 많으므로, 내부 개발팀의 스킬 셋을 확장 업데이트할 계획을 함께 갖고 제품 도입을 검토한다.
•기업 내 보안 운영 기능을 효율화하기 위해 SOAR 솔루션을 보완하는 데 필요한 사용 사례를 준비한다. 예를 들어, 경우에 따라 솔루션에 포함된 케이스 관리 서비스 대신 기존의 기업이 가진 티켓 시스템을 사용하는 것이 필요할 수도 있다.
•SOAR 솔루션 구매는 대응 최적화, 위협 모니터링, 위협 조사 및 해결, 위협 인텔리전스 관리, 피싱 이메일에 응답, 잘못 구성된 클라우드 보안 구성 수정과 같은 기존 프로세스를 이해한 후 시행한다.
•직관적인 UI를 통해 도구가 자동화할 수 있는 조직의 기존 플레이북을 쉽게 업데이트할 수 있는 기능을 제공한다. (로우 코드/노 코드 모델 사용).
•조직의 보안 정책 및 개인 정보 보호 고려 사항 또는 조직의 클라우드 우선 이니셔티브를 수용할 수 있도록 클라우드, 온프레미스 또는 이들의 하이브리드에서 솔루션의 배포 및 호스팅에 유연성을 제공한다.
