전체메뉴

[애플경제 이보영 기자] 차세대 보안 관제 시스템인 SOAR(Security Orchestration and Automation Response)가 새삼 관심을 끌고 있다. 이는 제로 트러스트와 함께 차세대 보안관제의 대표적인 인프라로 꼽힌다. 가트너의 정의에 따르면 이는 “IT 시스템을 다양한 위협으로부터 보호하는데 사용되는 일련의 기능”이다.

좀더 구체적으로 다양한 사이버 위협에 대한 대응 수준을 자동으로 분류하고, 표준화된 업무 프로세스에 따라 보안 업무 담당자와 솔루션이 유기적으로 협력할 수 있도록 지원하는 플랫폼이라고 할 수 있다.

물론 전문가들에 따라 다르게 표기하기도 한다. IDC는 AIRO(Analytics, Intelligence, Response and Orchestration)로 표기하는가 하면, 포레스터는 SAO(Security Automation and Orchestration)로 표기한다.

다양한 ‘인시던트’ 대응 프로세스 자동화

그 표기가 다를지라도 그 뜻은 같다. 원론적으로 보면, SOAR 플랫폼은 ‘위협 인텔리전스’의 피드를 모니터링하고, 서로 다른 기종의 보안 솔루션을 통합ㆍ연동한다. 이를 통해 다양한 인시던트(사안)에 대한 대응 프로세스를 자동화하는 것이다.

그로 인해 낮은 수준의 보안 이벤트는 사람의 도움 없이 처리하고, 침해사고가 발생하더라도 표준화된 업무 프로세스에 따라 관제 인력이 쉽게 대응할 수 있게 한다. 정보통신기획평가원은 최근 보고서를 통해 “효과적이고 신속하게 보안 위협을 완화하는 한편, 가시화되지 않은 잠재적인 보안 위협을 발견하거나 선제적인 보안을 가능하게 한다”고 했다.

SOA, SIRP, TIPs로 구성돼

가트너에 따르면 SOAR는 오케스트레이션 및 자동화(SOA), 보안사고 대응 플랫폼(SIRP), 위협 인텔리전스 플랫폼(TIPs)으로 구성되어 있다.

그 중 ‘보안 오케스트레이션 및 자동화’는 툴(tool)과 툴 사이의 워크플로를 자동화시키는 영역이다. 즉 “단조롭고 반복적인 업무를 파악하고, 해당 업무에 소요되는 시간을 줄일 수 있는 SOAR의 핵심 기능”이란 설명이다.

‘보안사고 대응 플랫폼’은 업무 프로세스 자동화를 통해 보안사고가 발생하면 사고 유형별로 정해진 프로세스에 따라 통합관리와 처리를 하는 것이다.

‘위협 인텔리전스 플랫폼’은 보안 인력의 사전 대응력을 높이기 위해, 대내․외 위협 데이터를 실시간으로 수집한다. 이를 통해 상관분석 등으로 분석된 위협정보를 보안시스템과 연계, 위협 요소를 제공하는 것이다.

SOAR는 4세대 보안관제 시스템이다. 1세대인 단위보안관제, 2세대인 통합보안관제(ESM 기반 보안관제), 3세대인 SIM 기반 또는 빅데이터 보안관제에 이어 제로 트러스트와 함께 4세대 보안관제를 구축하게 된다.

3세대인 SIEM보다 크게 진화․발전

특히 이는 3세대인 SIEM 기반 보안관제와 비교된다. 감지 측면에서 SIEM은 시스니처를 기반으로 단일위협 탐지에 의존하며, SOAR은 APT와 같은 복합적 지속적 공격에 대응할 수 있다.

이벤트 처리 기능에서 SIEM은 독립적 동작을 하기 때문에 탐지 결과가 중복되거나, 대량 이벤트가 발생한다. 보안 이벤트가 대량으로 발생하므로 처리에 어려움을 겪기도 한다. 또 복수 솔루션을 탐지한 결과를 모두 검증할 필요가 있다.

그러나 SOAR은 중복 탐지 없이 이벤트를 간소화하거나 대응 절차를 일원화할 수 있다. 또 대량으로 발생한 보안 이벤트를 자동화된 기능으로 예측 처리할 수 있다. 한 번의 검증으로 이벤트를 처리할 수 있다.

또 SIEM은 보안 이벤트에 대해 기술력에 따라 대응 수준이 수시로 달라지며, 변함없이 동일 수준의 관리만 가능하다. 그러나 SOAR은 운영 인력의 기술력 격차레 따른 잘못된 대응이 크게 줄어들고, 지속적인 학습과 피드백으로 신뢰도를 높일 수 있다.