보안

SOAR를 시작하기 위한 팁 5가지

Josh Fruhlinger | CSO 2021.05.17
SOAR(Security Orchestration, Automation and Response)은 상대적으로 새로운 보안 플랫폼의 이름이다. 이는 다양한 보안 도구가 생산한 정보를 정리하고 대부분의 분석 및 보호 대응을 자동화한다. SOAR은 보안 오케스트레이션, 자동화 및 대응을 의미하고, 2015년 가트너에 의해 처음 만들어진 용어다. 그 후 증가하는 보안 위협, 경직된 인력 시장으로 인해, 그리고 보호하는 시스템 및 네트워크의 현황에 대해 분석해야 할 정보가 증가하면서 보편화되었다. 
 
ⓒ Getty Images Bank

이상적으로, SOAR 플랫폼은 기존의 리소스, 다시 말해 인력과 도구의 효율적인 활용에 도움을 준다. 실무적으로, SOAR 패러다임으로 전환할 때 예상치 못한 변수가 있을 수 있지만, SOAR은 현대 기업이 분석해야 할 보안 데이터를 전체적으로 이해하는 데 유망한 플랫폼이다. 


SIEM과 SOAR의 차이  

이와 같은 설명에 기초해, SOAR 플랫폼과 SIEM(Security Information and Event Management) 소프트웨어의 차이를 알아보자. 

SIEM 소프트웨어가 다양한 로그과 도구로부터 정보를 수집하고 분석하는 것은 맞지만 SOAR 플랫폼과 같이 실질적 조치를 취하지는 않는다. 사실, SOAR 제품은 SIEM 소프트웨어를 입력 수단의 하나로 이용한다. 

SOAR이 SIEM을 어떻게 능가하는지를 이해하려면 SOAR의 목적이 무엇이고, 이들이 어떻게 작용하는 지를 심층적으로 조사해야 한다. 


SOAR의 목적은 무엇인가? 

현대 IT 보안의 담론은, 시스템을 보호하기 위해 기하급수적으로 늘어나는 도구에서 발생하는 거대한 양의 데이터를 수집하고 가공, 분석해야 하며, 필요하다면, 분석을 탐지된 위협에 대항하는 조치로 변환해야 한다는 점이다. 이들은 IT 보안에서 가장 중요한 리소스인 인간 노력 및 지성의 보강을 필요로 한다. 

파이어아이(FireEye)는 SOAR의 주요 효과를 5가지로 정리했다. 
  • 제한된 예산에 대처 
  • 시간 관리 및 생산성 향상 
  • 효과적인 사건 관리 
  • 유연성 
  • 협업 장려 

각각의 효과는 ‘지나치게 많은 데이터와 인간이 이를 처리하는 데 충분하지 않은 시간’이라는 IT 보안 문제를 점진적으로 해소한다. SOAR 플랫폼은 AI, 자동화, 협업 도구를 이용해 보안 요원의 직무로부터 반복적인 저수준 작업을 제거하고, 인간의 관심이 필요한 작업이 적절한 사람에게 배정되어 최대한 신속히 해결되도록 한다.
 
이름에서 알 수 있듯이, SOAR은 이를 달성하기 위해 3가지 주요 기술, 다시 말해 ‘오케스트레이션, 자동화, 대응’을 이용한다. 

- 오케스트레이션: SOAR 플랫폼은 네트워크에 전개된 수많은 보안 도구의 입력과 운영을 조율한다. 공급업체들은 종합적인 제품 스위트를 판매하려고 노력하지만 대다수 SOAR 플랫폼은 다양한 서드파티 도구로부터 데이터를 수집할 수 있는 능력을 자랑한다. 이는 대다수 보편적인 앱에서 이용할 수 있는 사전 구축된 커넥터 앱이나, 또는 다수의 도구가 지원하는 API를 통해 이뤄진다. 따라서 SOAR 플랫폼은 보안 전문가가 서로 상관된 도구들로부터 유효한 정보를 볼 수 있고, 진행 방식에 관한 명령을 내릴 수 있는 ‘단일 창’ 인터페이스를 제공할 수 있다. 

- 자동화: SOAR 플랫폼은 제반 데이터를 처리하는 데 따른 지루한 분석 작업의 대부분을 수행하는 것을 목표로 하며, AI는 취약점 스캔 및 로그를 정밀하게 조사하며 잠재적 위협을 표면화한다. 흔히 보안 인력의 근무 시간의 대부분을 차지하는 비교적 단조로운 작업은 플레이북을 통해 대부분 자동화될 수 있다. 플레이북은 정기적으로 실행될 수 있거나 한번의 클릭으로 호출될 수 있는 작용들을 서술한 사전 작성된 스크립트다. 앞서 언급한 커넥터 및 API 덕분에 SOAR 제품은 데이터를 취합하는 것을 넘어 명령을 설정하고 필요할 때 도구로 전송할 수 있다. 일부 작업은 완전히 자동으로 실행될 수 있지만, 이보다 더 많은 작업을 한데 묶어서 직원은 경보를 격상하거나, 로그로부터 데이터를 수집하거나, 적절한 데이터가 담긴 트러블 티켓을 생성할 수 있다. 이는 이들 툴을 개별적으로 가동하는 것보다 훨씬 더 빠르게 이루어질 수 있다. 

- 대응: SOAR 플랫폼이 도구로부터 나온 데이터에 대해 제공하는 가시성을 통해 분석가는 위협에 대응하는 조치를 신속히 계획하고 관리하며, 모니터하고, 보고할 수 있다. 일반적으로 SOAR 플랫폼은 사건 관리과 보고 도구가 통합되어 있어 공격에 관한 정보를 미래에 참조할 수 있도록 보존할 수 있다. 또한 대다수는 위협 인텔리전스 서비스가 함께 있어서 다른 보안 전문가가 처리 중인 것을 쉽게 파악할 수 있고 본인의 경험을 커뮤니티와 공유할 수 있다. 


SOAR를 준비하기 위한 5가지 팁 

SOAR는 기성품을 구매해 그냥 설치하는 플랫폼이 아니다. 각 환경에 맞는 커스터마이징이 필요하다. 따라서 제품에 따라오는 공급업체 지원이 어떠한지 면밀히 검토해야 한다. 그러나 SOAR 솔루션으로 얻게 될 새 워크플로우 및 기능을 수용할 수 있도록 회사 자체의 보안 업무를 준비시키는 작업도 필요하다. 이 분야에 경험이 많은 보안 전문가들은 이 SOAR 접근방법에 대해 다음과 같이 조언했다.
 
- 인하우스 스킬과 선택한 플랫폼이 서로 정렬됨을 확인하라
VPN오버뷰(VPNoverview)의 사이버보안 전문가인 베로니카 밀러는 “각 SOAR 솔루션은 접근법이 약간씩 상이하다. 고도의 기술을 갖춘 전문가를 위한 솔루션이 있는가 하면 모든 수준의 이용자를 위한 솔루션도 있다”라고 말했다. 예를 들어 일부 SOAR 제품은 보안 도구를 통합하고 플레이북을 생성하기 위해 펄(Perl), 파이썬(Python), 또는 루비(Ruby) 언어로 스크립트를 작성해야 할 수 있다. 

밀러는 “선호하는 플랫폼이 GUI(Graphical User Interface), 그리고 스트립트 작성 모듈을 포함하는지 문의하라. 예를 들어 IDE(Integrated Development Environment) 같은 것이다”면서 “GUI는 코드를 모르는 사람이, 단순한 드래그-앤-드롭 기능 등으로, SOAR 솔루션의 위력을 즉시 이용할 수 있게 해준다. 반면 IDE는 코딩 전문가가 고도화된 커스터마이징을 할 수 있게 해준다”라고 설명했다. 

- 필요한 API 커넥터가 포함되어 있는지 확인하라 
앞서 지적한 것처럼, 일부 SOAR 플랫폼은 대중적 도구를 위해 사전 작성된 커넥터를 제공하지만, 이는 보편적이지 않다. 그리고 자체 제작한 도구를 통합하고 싶을 수도 있다. 그렇다면 API 커넥터가 필요하다. 

스마트 빌리언즈(Smart Billions) CTO 제이슨 미첼은 API 커넥터가 필요한 도구의 목록을 만드는 일이 중요한 단계라고 말했다. 시스템 내에서 감사, 경보, 교정 대책을 수행하는 데 쓰일 장치를 조사하고, 모든 API 커넥터가 이용 가능하거나 개발 가능함을 확인하라. 그리고 이들이 사용자가 원하는 특정 작용을 수행하는 지도 확인해야 한다”라고 말했다.
 
API 커넥터를 스스로 제작해야 할 수 있다. 대부분의 공급업체는 이를 위한 통합 프레임워크를 제공한다. 미첼은 “또한 세크옵스(SecOps)를 개선하는 대몬을 구축할 수 있다”고 덧붙이면서, “만들 수 있는 대몬 유형에는 제한이 없다. 예를 들어 위협 인텔리전스 플랫폼이나 고위험 SIEM 경보에서 새로운 침해지표(IoCs)를 만들 수 있다”라고 말했다. 

- 사건 대응 절차를 자동화하기 전에 이를 매핑하라 
자동화는 SOAR 플랫폼이 내세우는 큰 가치 제안의 하나이기 때문에 이를 구현하는 회사는 자동화 프로세스를 서둘러 진행한다. 그러나 이는 커다란 실수일 수 있다. 인VPN(InVPN) CEO인 티모시 로빈슨은 “자동화는 절차를 크게 개선할 잠재력이 있지만, 문제를 악화시킬 잠재력 또한 가지고 있다”면서, “비효율적인 절차에 추가된 자동화는 비효율을 확대할 것이다”라고 지적했다.

SOAR로의 전환을 계기로 절차들을 분석하고 합리화한 후 이를 바탕으로 플레이북을 생성해야 한다. 로빈슨은 “가시성 및 연동을 향상시키려면 종이나 화이트보드에 예시적 도표를 그리는 것이 좋다”라고 조언했다. 로빈슨은 또한 여러 공급업체가 사전 작성된 플레이북을 포함시키고 있고, 이는 회사의 현행 프로세스보다 더 우수할 수 있다고 덧붙였다. 이어서 “이는 SOAR를 시작하는 환상적인 방법일 수 있고, 회사의 SOC에 가장 어울리는 것을 파악해 이를 정교화할 수 있다”라고 말했다. 

- 자동화로 원만히 전환하라 
기존 프로세스들을 분석할 때 이들이 즉시 자동화해야 하는 지 아니라면 자동화해서는 안 되는지를 파악해야 한다. 스프레드시트 플래넛(Spreadsheet Planet) CTO인 스티브 스캇은 “가장 난해하고 악성인 사건조차 보안 전문가만이 제공할 수 있는 직접적인 비판적 사고가 필요하다”면서 “따라서 SOAR를 구현할 때 기계에 의한 활동과 인간에 의한 활동의 적절한 조합을 파악해야 한다. 자동화에 가장 적합한 프로세스를 식별하고 그곳에 먼저 SOAR를 도입해야 한다. 그 후 자동화를 진전시켜 나가야 한다”라고 말했다. 

- SOAR 구현의 진화에 대비하라 
SOAR와 함께 하는 여정은 글자 그대로 여정임을 기억하라. 앞으로 나아가면서 이를 니즈에 따라 최적으로 조절하는 법, 그리고 효과가 있는 것과 그렇지 않은 것이 무엇인지 습득할 것이다. TRG데이터센터즈(TRGDataceneters) 수석 네트워크 엔지니어인 에릭 맥기는 “처음부터 잘 될 수는 없다. 특정한 사건 대응 플레이북을 생성하는 데 많은 시간과 노력을 투입한다고 해도 결함이 있을 확률이 높다”라고 설명했다. 

그리고, 물론, 위협 지형은 언제나 변하고 있다. 새로운 난제에 맞서려면 SOAR 플레이북의 끊임없는 갱신이 필요하다. 맥기는 “사이버 위협 기법, 전략, 절차는 시간이 지나면서 변화한다”면서, “그 결과, 필요에 따라 적응하고 변화해야 한다. 분석가는 프로세스가 SOAR 솔루션을 이용해 만들어지면 이를 계속해서 추적하고 검토하고 고도화해야 하고, 각 플레이북이 최적의 효과 및 성능으로 지속적으로 작용함을 확인해야 한다"라고 말했다. 

지속적인 발전은 SOAR 솔루션의 지원을 받을 수 있다. 이는 플레이북에 관한 테스트와 경보 시뮬레이션을 지원한다. 모든 것이 순조롭다면 SOAR 플랫폼은 회사의 SOC 효율을 향상시킬 것이고, 분석가는 온종일 위협에 맞서는 대신 전략적으로 생각할 수 있는 시간을 갖게 될 것이다.
  
SOAR로의 전환은 복잡할 수 있지만, 그만한 보상이 따를 것이다. editor@itworld.co.kr   
 Tags SOAR SIEM

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.