'네트워크팀과 보안팀의 통합'이 주는 4가지 효과와 활용을 위한 팁

CSO
기업은 비용을 절감하고 리소스를 최적화하고 사고 대응 및 관련 보안 기능의 속도와 효과를 개선하기 위해 네트워크 운영 센터(Network Operations Centers, NOC)와 보안 운영 센터(Security Operations Centers, SOC)의 단계적인 통합을 추진하고 있다.
 
ⓒ Getty Images Bank

SOC/NOC 통합의 개념은 이해하기는 쉽지만 구현은 결코 쉽지 않다. 현재 아마존 프라임 비디오(Amazon Prime Video) CISO 브렛 왈린은 그동안 SOC/NOC 통합을 여러 번 고민했지만 두  팀 간 공통된 데이터 집합과 툴셋의 부재, 현저한 기술 격차, 그리고 사고방식의 근본적인 차이점으로 인해 번번히 방해를 받았다. 

NOC팀은 연결과 업타임에 초점을 두며 문제 티켓, 중단, 성능 저하에 대처한다. SOC팀의 초점 영역은 경보, 사고 대응, 사이버 공격 분석이다. NOC팀은 패킷 흐름을 주시하고 SOC팀은 공격자의 의도를 파악하기 위해 노력한다. 왈린은 “두 팀은 같은 문제를 서로 다른 렌즈를 사용해 들여다본다”고 말했다.

두 팀의 통합을 위해서는 극복해야 할 과제가 많다. 가장 큰 과제는 두 그룹의 목표가 근본적으로 다르다는 것이다. NOC의 주된 목표는 사람들을 연결하고 고성능 인프라를 구축하는 것인데 비해 SOC는 자산을 걸어 잠그고 적절한 승인을 받지 않은 사람은 연결하지 못하도록 하는 데 목표를 둔다. 이 차이가 가장 큰 장애물이다. 

분석 및 컨설팅 업체 EMA(Enterprise Management Associates) 선임 분석가인 샤머스 맥길리커디는 "이 외에도 팀을 아우르는 스킬의 부재, 공통 툴셋의 부재, 그리고 잘못 취급되거나 잘못 해석될 수 있다는 우려로 인해 서로 간 데이터 공유를 꺼리는 풍조 등도 해결해야 할 과제"라고 지적했다.

이런 과제에도 불구하고 보안팀과 네트워크팀 간의 장벽을 허무는 데서 오는 이점은 기업 입장에서 아주 매력적이다. SANS 인스티튜트(SANS Institute)의 연구원 넬슨 허낸데즈는 최근 보고서에서 “NOC/SOC 통합이 부상하기 시작했다”면서, “많은 기업에서 방어의 최전선에 있는 두 팀의 통합은 비용을 낮추고 효율성을 높이고 리소스를 최적화하기 위한 최선의 방법이 될 수 있다”라고 말했다.


SOC/NOC 통합의 효과 

SOC/NOC 통합의 4가지 주요 효과는 다음과 같다.
  • 더 나은 보안: NOC팀은 성능 문제와 관련된 경보를 수신하는데, 이 경보를 추가로 조사해보면 서비스 거부 공격과 같은 보안 관련 문제로 드러나는 경우가 많다. 따라서 두 팀이 협력하면 조직의 보안 태세가 강화된다. 
  • 개선된 네트워크 성능: 또 다른 면은 보안 관련 문제가 네트워크 성능 이상의 근본적인 원인이 되는 경우가 종종 있다는 것이다. 예를 들어 새로운 방화벽 규칙이 의도하지 않게 정상 트래픽을 차단하는 경우가 이에 해당된다. 두 팀이 협력하면 네트워크 성능 문제의 정확한 원인을 신속하게 찾아 수정할 수 있다.
  • 대응 시간 개선: SOC/NOC 통합 시나리오에서 결합된 팀은 보안 실무자가 사고 또는 공격에 대응하는 데 걸리는 시간을 줄일 수 있다. 비상 상황에서 대응 시간이 빠르다는 것은 침해가 미치는 금전적 피해를 줄인다는 것을 의미한다.
  • 운영 및 비용 효율성 개선: SOC/NOC 협업은 툴셋 사용의 중복을 제거해 비용을 절감할 수 있다. 운영 효율성은 일상적인 프로세스에 소요되는 시간을 줄여 보안 실무자가 더 전략적인 활동에 몰입할 수 있게 해준다.

350명의 IT 전문가를 대상으로 한 EMA 설문에 따르면, 기업도 이와 같은 혜택을 인식한 것으로 보인다. 90%에 육박하는 기업이 지난 2년 동안 보안팀과 운영팀 간의 협업이 늘었다고 보고했으며, 63%는 네트워크팀과 보안팀 서로가 필요할 때 즉흥적으로 협조하는 방식을 버리고 협업을 공식화했다.

맥길리커디가 정의하는 공식적인 협업이란 툴의 공유 또는 통합, 협업 프로세스 구축, 그리고 최선의 방법 공유다. EMA의 네트워크 매니지먼트 메가트렌드 2020 연구(Network Management Megatrends 2020 Study)에서도 두 그룹 간의 견고한 협업을 구축한 조직이 전체적인 보안 및 네트워킹 작업에서 더 성공적인 것으로 나타났다.


SOC/NOC의 완전한 통합, 갈길 멀다  

SOC/NOC 통합은 정보 공유를 위한 슬랙(Slack) 채널을 만드는 간단한 것부터 시작해 완전한 통합에 이르기까지 이어지는 과정이다. 맥길리커디에 따르면, 북미에서 완전한 통합 수준에 이른 기업은 1/3 미만이다.

최근 SANS 인스티튜트(SANS Institute)의 설문 보고서에 나온 결과도 EMA 설문 결과와 비슷하다. 이 설문 보고서에 따르면, 통합 대시보드와 API, 워크플로우가 있는 SOC/NOC 통합에 이르렀다고 답한 비율은 12%였다. NOC팀이 탐지 및 대응에 필수적인 부분이긴 하지만 협업은 필요에 따라 일시적으로 이뤄진다고 답한 비율은 20%였다. 반면 12%는 SOC와 NOC가 상호 거의 소통하지 않는다고 답했으며, 21%는 두 팀이 비상 상황에서만 협력한다고 답했다.

파크 플레이스 테크놀로지(Park Place Technologies) CIO 마이클 캔터는 "NOC팀이 SOC팀의 SIEM 시스템에 이벤트 데이터를 제공하고 있지만 두 팀의 완전한 통합을 추진하지는 않는다"면서, "내 목표는 두 그룹이 더 자주 대화하도록 하는 정도"라고 말했다.

정보 서비스 및 기술 업체인 뉴스타(Neustar)는 완전한 통합을 추진하면서 NOC와 SOC를 성공적으로 통합했다. 제품 관리 책임자인 맷 윌슨은 통합된 팀을 '퓨전 센터(fusion center)'로 지칭한다.

불과 1년 전만 해도 뉴스타의 NOC와 SOC팀은 서로 완전히 분리돼 있었지만 전 CIO의 강력한 리더십 하에 통합됐다. 윌슨은 “거의 모든 요소가 하나의 센터로 통합됐다. 이 센터는 네트워크 측면의 모든 작업을 관리한다. 기업 네트워크, 가용한 서비스, 보안을 포함한 기업 데이터센터, 모두 풍부한 툴셋을 보유한 한 그룹을 통해 관리된다”라고 설명했다.

윌슨에 따르면, 두 팀의 통합은 경계를 허물고 여러 그룹을 묶어 중복을 줄이고 효율성을 개선해 새로운 협업 문화를 조성하고자 뉴스타가 추진한 광범위한 전사적 전략의 일부였다. 예를 들어 두 팀은 모두 스플렁크(Splunk) 라이선스 비용을 지불하고 있다는 사실을 발견했다. 

뉴스타는 툴셋의 중복을 제거함으로써 라이선스 비용을 줄일 수 있었지만 더 중요한 효과는 두 팀이 깊이 밴 사고의 프로세스를 바꾸고 협력해 보안의 모든 의사 결정에서 네트워킹 측면을 고려하고 그 반대 역시 가능하게 하는 데 있다.

SOC/NOC 통합을 이끈 원동력은 '전체적인 보안 상황을 개선하고 두 그룹 간의 소통의 단절과 상호 비난을 방지하고자 하는 바람'이었다.

윌슨은 이 과정에서 습득한 교훈에 대해 “무엇보다 문화를 바꿔 모두가 개념을 수긍하도록 해야 한다. 서로 격리된 채로는 못한다. 교차 직무팀이 공통된 목표를 향해 나아가는 협업 작업이 되어야 한다. 전통적으로 어려운 부분”이라고 말했다.

보안과 네트워크팀의 결합은 애플리케이션 개발팀과 운영팀을 데브옵스로 통합하는 추세와 동일하다. 효율성을 높이고 새로운 위협과 문제 발생에 신속하게 대응하려면 데브옵스와 비슷한, 장벽을 없앤 접근 방식을 취해야 한다.

윌슨에 따르면 문제 티켓, 경보 또는 보안 관련 사고 대응에 있어 결합된 팀의 속도와 효율성이 크게 개선됐다. 팀은 슬랙 채널을 사용해 실시간으로 커뮤니케이션한다. 예를 들어 네트워크팀이 까다로운 문제에 직면할 경우, 이를 두 팀이 데이터와 지식을 상호 공유하는 공동 SOC/NOC 상황실로 전달할 수 있다.

윌슨은 "여정이 아직 끝나지 않았다. 이는 지속적인 프로세스이며 끝났다고 말할 수 있는 완료된 상태라는 것이 없다. 새로운, 다른 툴셋과 협업의 필요성을 유발하는 새로운 위협이 앞으로도 나타날 것이기 때문이다”라고 말했다.


보안과 네트워크 운영을 통합하는 시점 

뉴스타는 두 팀 간의 협업을 늘리고 장벽을 없애라는 상부의 지시가 있었다. 많은 기업에서 IT 전략의 변화 또는 갱신 주기가 SOC/NOC 통합을 촉발하는 계기가 될 수 있다.    

예를 들어 기업이 프라이빗 클라우드를 구축하기로 결정하고 이에 따라 네트워크팀이 이 새로운 접근 방식을 수용하기 위해 트래픽 흐름을 재구성해야 한다면 보안팀은 이 시점에 가상 머신을 보호할 최선의 방법을 찾을 수 있다. 분산 방화벽(distributed firewalls)을 구축하거나 마이크로 세그먼테이션(micro segmentation)을 도입해야 할 시점일 수 있고, 제로 트러스트(zero trust) 모델에 대한 논의를 시작할 시점일 수도 있다.

SOC/NOC 통합은 문제 티켓/사고 대응 수준에서 그치지 않는다. 프로세스의 조기부터 협력하면 두 팀은 제품 조달, 즉 두 팀이 함께 사용할 수 있는 툴 구매에서도 협력할 수 있다. 그 다음 툴이 구현되면 두 팀은 관리와 모니터링에서 협력을 시작할 수 있다.

허낸데즈는 “CTO/CIO와 CISO(Chief Information Security Officers)는 단절된 두 팀이 사후 정리 회의 외에는 거의 교류하지 않는 상태에 비해 협업적이고 효율적인 작업 통합이 가져다줄 이점을 명확히 봐야 한다. NOC/SOC의 통합은 모든 기업이 고려해야 할 개념”이라고 정리했다. editor@itworld.co.kr