[디지털데일리 이종현기자] “원격근무가 보편화되면서 네트워크가 점차 복잡해지고 있습니다. 공격표면은 늘어나고 보안 담당자의 관리 범위와 강도 또한 늘어났습니다. 이와 같은 환경 변화는 보안 알람의 과부하와 기업별 사이버보안 기술 격차, 소수 핵심 인력의 개인적 스킬에 의존하는 등의 문제를 만들고 있습니다. 이를 손쉽게 해결할 수 있는 것이 SOAR입니다.”(스텔스솔루션 임채현 과장)

17일 스텔스솔루션 임채현 과장은 <디지털데일리>의 온라인 세미나(웨비나) 플랫폼 ‘DD튜브’에서 이같이 밝혔다. 급증하는 보안 위협은 인공지능(AI)을 이용한 자동화로 대응 가능하며, 효과적인 솔루션이 보안 오케스트레이션 자동화 및 대응(SOAR)이라는 주장이다.

스텔스솔루션에서 최고기술책임자(CTO)를 맡고 있는 이정상 상무는 “보안관제 자체가 쉬운 일이 아니다. 공격기법은 계속해서 진화하고 있다. 과거에는 가용성이나 정보를 탈취하기 위한 공격이었다면, 최근에는 데이터의 무결성까지 공격하는 수준에 이르렀다”고 진단했다.

이어 “보안관제는 굉장히 많은 이벤트를 살펴야 하고, 그중 어떤 이벤트가 진짜 의미 있는 이벤트일지 식별하는 작업이 복잡하고 어렵다. 여기에 클라우드 전환 가속화로 관리해야 할 요소는 더 많아지고 있다”며 “제한된 관제 인력이 이를 다 감당하는 것이 한계에 부딪히고 있는 상황”이라고 강조했다.

SOAR는 여러 시스템에서 발생하는 이벤트와 데이터를 수집하고 분석해 반복적인 대응 프로세스를 자동화하는 솔루션이다. 정형화된 이벤트 대응 프로세스를 정립해 보안 위협에 대해 보다 빠르고 정확한 대응을 돕는다. 보안 사고 대응 플랫폼(SIRP), 보안 통합 및 자동화(SOA), 사이버위협 인텔리전스(CTI) 등을 구성 요소로 삼는다.

단순 반복 업무에 대한 대응을 자동화한다는 데 가장 큰 의의가 있다. 자동화된 업무 프로세스, 플레이북을 만듦으로써 보안 담당자는 보다 고차원적인 업무를 수행할 수 있도록 한다는 것이 핵심이다. 플레이북은 보안 이벤트가 발생했을 때, 각 보안 장비에서 어떻게 대응할 지를 순서에 따라 설정할 수 있도록 하는 기술이다.

스텔스솔루션은 캐나다의 보안기업 ‘D3시큐리티’의 SOAR 솔루션 ‘XGEN SOAR’를 제시했다. 300개 이상 시스템과 연동 가능한 생태계를 구축해 여타 솔루션과의 연동 편의성이 높다는 것이 이정상 상무의 설명이다.

그는 “300개 이상 보안 솔루션 벤더와의 얼라이언스를 통해 대상 시스템의 이름만 입력하면 어렵지 않게 연동할 수 있다. 드래그 앤 드롭 방식으로 플레이북을 간단하게 만들 수 있는 데다 사람의 선택이 필요한 부분은 컨디셔널 테스트라는 기능을 통해 사용자 입력이 있을 때까지 프로세르를 멈추게 하는 등의 옵션을 제공할 수 있다”고 전했다.

SOAR의 경우 통합보안관제(SIEM)와의 유사성을 지닌다. 이와 관련 이 상무는 “기능상 유사한 부분이 있으나 SOAR가 제공할 수 있는 가치가 더 많다”고 주장했다. SIEM은 분석에 머무르는 수준이라면, SOAR는 분석과 대응까지 이를 수 있는 프로세스를 능동적으로 작성해서 업무 효율성을 높이거나 대응력을 강화하는 등의 영역까지 지원한다고 설명했다.

한편 이날 웨비나에서는 금융·핀테크 등 XGEN SOAR 적용 사례도 공유됐다. 사례를 소개한 김학진 과장은 “SOAR 솔루션을 도입하거나 검토하고 있는 기업은 일정 이상 규모를 지닌 기업이 대부분이다. 다수 보안 솔루션을 도입해서 운영하고 있는 상태인데, 한정된 인원으로 이를 보다 효율적으로 관리하기 위해 SOAR를 선택하고 있다”고 말했다.