기존 SIEM과 AI시스템 결합, “‘임계치’ 밖의 이상행위도 탐지, 대응”
SOAR 곁들이면 ‘이상적’, ‘보안도구 정렬, 자동화, 신속․정확 대응계획’
[애플경제 전윤미 기자] 2024년에도 사이버보안의 중요성이 더욱 강조되는 가운데, 특히 통합 보안관제 솔루션(SIEM,Security Information & Event Management, 보안정보관리)이 효율적으로 이뤄져야 한다는게 보안업계의 중론이다.
통합 보안관제 솔루션은 테라바이트(terabyte) 급의 정형 · 비정형 데이터와 보안 로그 속에서 침입자 공격을 빠른 속도로 분석하고 신속하게 대응하기 위한 것이다. 이를 위해 다양한 보안 장비와 서버, 네트워크 장비 등으로부터 보안 로그와 이벤트 정보를 수집, 상호 연관성을 정확하게 분석할 필요가 있다.
보안관제 인력 한계 등으로 효율적 SIEM 어려워
그러나 현실적으로 효율적인 SIEM을 위한 경보 이벤트 분석이 결코 쉬운 일이 아니다. ㈜이글루코퍼레이션 ICT사업본부 황범석 연구원은 “특히 전문 보안 관제 인력 등으로 수많은 경보 이벤트를 신속히 분석, 대응하는데에 어려움이 따른다”면서 “이로 인해 SIEM에서 발생한 경보 이벤트에 대한 분석, 대응을 100% 하지 못하게 되고, 보안 공백이 발생하게 된다.”고 지적했다.
최근 이에 관한 연구자료를 공개하기도 한 황 연구원은 이에 “인공지능시스템을 활용하면 보안 관제 인원이 분석, 대응하지 못했던 경보 이벤트에 대해 AI 학습 데이터를 기준으로 자동으로 정확한 탐지가 가능하다”고 제시했다.
그에 따르면 SIEM은 ‘임계치’ 기반의 정해진 조건의 탐지룰만 설정한다. 이와 달리 AI시스템은 AI 알고리즘을 통해 이상행위에 대한 판단도 가능하다. 실제로 “기존 SIEM만 운영하고 있는 상황에서 인공지능시스템을 구축해, 경보 이벤트를 분석, 대응한 경우, 처리 건수가 30배 이상 올라가기도 했다”는 것이다.
SOAR 구축, 오탐률 줄이고 보안 이벤트 처리 시간 단축
SIEM과 AI의 결합을 통해 오탐률을 줄이는 것도 중요하지만, 지속적, 반복적으로 발생하는 보안 이벤트를 처리하는 시간을 줄이는 것도 시급한 과제다. 이에 등장한 것이 ‘SOAR’ 개념이다. 즉 반복적으로 발생하는 보안 이벤트에 대한 오케스트레이션과, 오토메이션(자동화), 그리고 이에 대한 응답 내지 처리 기능으로 인력이 투입되는 시간을 크게 줄이는 것이다. 물론 처리하는 이벤트는 더 많아진다.
실제로 “SOAR를 구축한 기업의 경우 기존에 발생하던 보안 이벤트를 자동화 처리하고, 관제 인원으로 처리할 수 없었던 이벤트를 자동으로 분석함으로써 일일 1,900건의 이벤트 처리량을 8,400건으로 약 4.5배 증가시키기도 했다”는 황 연구원의 얘기다.
사이버보안업체 ㈜이스트시큐리티의 한 관계자는 “SOAR 보안은 보안 위협을 탐지, 대응, 억제하는 프로세스를 간소화할 수 있도록 하는 핵심 역할”이라며 “이를 통해 공격을 당하는 중에도 잠재적인 위협을 신속하게 식별할 수 있으며, 적지않은 경우 손상이나 중단을 일으키기 전에도 탐지할 수 있다”고 했다.
그는 또 “SIEM 전체 효율성을 개선하면서, 시간과 비용을 절약하기 위해 사고 대응과 관련된 특정 작업을 자동화할 수도 있다”고 덧붙였다.
‘오케스트레이션, 자동화, 대응’으로 SIEM 완성
SOAR의 기능인 보안 오케스트레이션은 많은 보안 도구와, 프로세스, 기술을 일관된 워크플로우로 가져와 기업이 잠재적인 위협을 신속하게 식별하고, 신속하게 대응할 수 있도록 해준다.
자동화(오토메이션)도 SOAR의 핵심 기능이다. 즉, 보안 사고에 대응하기 위해 빈번하게 이어지는 수동 작업을 최소화해주는 것이다. 또한 작업이 매번 일관되고 정확하게 완료되도록 함으로써 인적 오류도 줄여준다. 특히 “일상적인 작업을 자동화함으로써 리소스를 확보하여 위협 분석이나, 사건 분류, 포렌식과 같은 복잡한 작업에 집중할 수 있다”는 설명이다.
사이버 공격을 탐지하면, 이에 신속하고 효과적으로 대응할 수 있는 치밀한 계획이 중요하다. 예를 들어 영향을 받는 시스템 격리, 백업 복원, 사고에 대한 포렌식 조사, 이해 관계자와의 커뮤니케이션 채널 구축, 추가 공격이나 침입 시도에 대한 시스템 모니터링, 대응 시간 축소 등을 위한 매뉴얼 등이 그런 경우다.
이 역시 SOAR의 효율적 작동을 통해 이뤄질 수 있는 중요한 SIEM 작업이다.