기존 보안 관제의 한계
보안 관제는 고객의 정보 자원과 기업 또는 기관의 정보자원을 외부로부터 보호하는 역할을 수행한다. 구체적으로는 랜섬웨어, 해킹, 스피어 피싱 등 각종 침입에 대응하기 위하여 중앙 관제 센터에서 실시간으로 감시, 분석, 조치 등을 수행한다. 보안 관제는 정보수집, 모니터링/분석, 대응/조치, 보고 등의 순으로 수행한다.
▶ 정보수집: 여러가지 이기종 보안장비로부터 발생하는 다양한 보안데이터를 수집한다.
▶ 모니터링/분석: 침해 사고와 해킹 시도가 발견되었을 경우 수집해 놓은 보안데이터를 기반으로 분석하고, 기존 데이터와 KISA, 외부 보안 업체 등 내・외부에서 수집된 최신 보안 위협 정보를 상관 분석한다.
▶ 대응/조치: 분석된 이벤트에 대한 원인과 대응책을 마련하여 기술적, 정책적으로 대응한다.
▶ 보고: 침해사고 처리와 장애 처리 결과를 보고하고 조직에게 공유함으로써 보안관제 서비스의 전체적인 프로세스를 종료한다.
![[그림 1] 보안관제 서비스 프로세스 개념도](/news/photo/202010/300903_3376_5828.jpg)
그렇다면 기존의 보안관제 체계로 디지털 시대의 보안위협에 대비할 수 있을까? 사이버 공격의 범위는 더욱 확대되고 있다. 랜섬웨어는 고도화되고 있고, 지능형 표적 공격과 클라우드 해킹 등 사이버 공격은 보다 정교해지고 또한 복잡해지고 있다. 이러한 위협을 성공적으로 감시하고 대처하기 위해서는 기업과 기관의 보안관제 환경은 새로운 진화가 필요하다. 기존 보안 관제 체계로는 정보 자산의 안전을 지켜내기 어렵게 되었기 때문이다.
보안 관제의 탈바꿈, SOAR의 개념
디지털 시대 보안관제서비스는 다수의 보안 솔루션 정보를 신속하게 수집하고 대응할 수 있어야 한다. 보안 업무를 담당하고 있는 SOC(Security Operation Center)는 조직 간 보안 위협에 대한 정확한 정보 전달이 이뤄질 수 있도록 협업 능력을 지원할 수 있어야 한다. 또한 SOC 담당자가 빠르게 대응할 수 있도록 어떤 대응 절차가 이뤄지는지 시각적으로도 제공해야 한다.
이에 대한 방안으로, SOAR(Security Orchestration, Automation and Response)가 거론되고 있다. 가트너의 정의에 따르면, SOAR는 다양한 사이버 위협에 대해, 대응 수준을 자동으로 분류하고 표준화된 업무 프로세스에 따라 보안 업무 담당자와 솔루션이 유기적으로 협력할 수 있도록 지원하는 플랫폼이다. 즉 SOAR는 SOA(Security Orchestration and Automation), SIRP(Security Incident Response Platform), TIP(Threat Intelligence Platform)를 폭넓게 포함하는 개념이라고 생각하면 된다.
![[그림 2] SOAR 개념 정의](/news/photo/202010/300903_3377_5855.jpg)
SOAR의 주요 기능
SOAR는 SOA, SIRP, TIP의 각 기능들을 모두 제공하는 통합정보보호시스템이다. 여러 유형의 사이버 위협에 대한 대응 절차를 자동화하여 단순한 보안 이슈에 대해선 보안 업무 담당자의 손길없이 자체 해결이 가능하다. 복잡한 보안 사고가 발생했을 경우엔 SOC 관리자가 쉽게 대응할 수 있도록 지원한다. 사고 대응 내역을 기록하고 조직 내에 공유하여 차후 의사결정을 돕는 역할을 한다.
오케스트레이션
SOAR는 다양한 보안 솔루션과의 연동을 담당하며, 하나의 화면에서 현재 보안 상황을 확인하고 운영할 수 있는 통합 보안 시스템이다. 상황에 따라 특정 액션을 자동화하고 대응 절차를 시각화하여 정보의 가시성을 제공하여 준다.
자동화
반복적으로 처리되던 업무를 자동화하여 보안 담당자가 분석 및 공격 시나리오 설계 등 가치가 높은 업무에 집중할 수 있도록 지원한다. 사전에 정의된 플레이북을 통해 일관된 프로세스로 작업을 처리하게 해주어, 작업자 역량 상관없이 대응 품질 편차를 줄인다.
사고 대응 및 협업
사고 대응 내역과 어떤 사고에 어떻게 대응을 했는지 의사결정에 대한 내용을 기록하고 관리하여 SOC 관리자 간 협업을 지원한다.
대시보드 및 리포팅
사고 대응 활동에 대한 보고 지표를 관리함으로써 의사결정을 지원한다. 조직 공용 또는 보안 업무 담당자별 대시보드를 통해, 수준별 정보제공이 가능하다.
SOAR의 기대효과
전사 관점
전사 차원에선 다양한 보안 기술을 통합하여 제공함으로써 사이버 위협에 대응하고 보안 영역에 투자 대비 효율을 창출할 수 있다. 대응 장비와 룰 적용 업무를 자동으로 선택하게 함으로써 기술자 역량에 상관 없이, 사이버 공격에 대한 조사와 대응이 가능토록 한다.
실무자 관점
플레이북을 통해 사고 유형별 최적의 대응 프로세스를 생성하고 각 담당자에게 개별 업무가이드를 제공한다. 보안 이슈가 발생한 경우, 조직마다 기본적으로 정의된 대응 프로세스에 따라 즉시 조치 방법을 실행할 수 있다.
자동화를 통해 SOC 팀원이 단순 반복적으로 수행하는 업무 시간을 절감하여 업무량을 낮추고 사고 대응에 집중할 수 있도록 지원한다. 보안 사고에 대한 히스토리 관리를 통해 향후 유사 공격에 대한 빠른 대응을 기대할 수 있다.
관리자 관점
조직의 관리자는 전체 보안 사고에 대하여 사고 대응에 대한 현황을 빠르게 파악할 수 있다. 사고 대응 프로세스를 최적화하여 내부 보안 역량을 상향 평준화 하고, 업무성과 측정과 ROI를 파악할 수 있다. 분산된 보고 시스템을 일원화하여 보안사고 대응 시 혼란을 최소화하고 타 부서와의 협업 환경을 구축할 수 있다.
SOAR의 진화 방향
![[그림 3] 보안관제서비스 발전방향](/news/photo/202010/300903_3379_16.jpg)
과거의 보안 관제는 알려진 공격에 대해서만 대응이 가능하였다. 결국 한 번 사고가 발생하여야 사후 대처가 가능하다는 것이다. 그러나 점차적으로 위협 정보의 공유 및 인공지능 기반 기술의 발전으로 기계 학습을 통해 알려지지 않은 공격에도 대응할 수 있는 체계로 변화하고 있다.
SOAR는 기존의 알려진 공격뿐만 아니라 인공지능 기반 머신러닝 발전과 자동화, 시스템간 최적화가 진행되는 오케스트레이션으로 점차 진화하고 있다. 사이버 위협이 급증하고 있는 현 시점에서 SOAR의 현재보다 미래가 더 기대되는 이유이다.
<참고자료>
https://www.gartner.com/en/information-technology/glossary/security-orchestration-automation-response-soar
