지난 3월 안랩은 고객사 보안 담당자를 대상으로 ‘안랩 시큐리티 서밋 2019’라는 세미나를 열었다. 해당 세미나를 통해 정보보안 동향과 신규 보안 설루션을 소개했다.

이날 안랩은 세미나에서 효과적인 보안 대응 방안으로 ‘SOAR (Security Orchestration, Automation and Response)’를 강조했다. 이와 함께 SOAR 제품인 ‘안랩 세피니티 에어(AhnLab Sefinity AIR)’를 공개했다. 참고로 SOAR은 보안 위협을 자동으로 분석해서 보안 관제 요원이 사이버 공격에 효과적으로 분석할 수 있게 해주는 보안 설루션이다.

안랩은 세피니티 에어의 주요 세 가지 기능을 소개했다. 첫 번째 기능은 관제 요원이 일관적으로 대응할 수 있게 ‘플레이북’을 제공하는 것이다. 관제 요원은 이를 활용해 대응을 자동화할 수도 있다. 두 번째 기능은 통합 보안을 위해 여러 보안 설루션과 연동이 가능한 점이다. 마지막으로 기계학습 기반의 ‘첨단 보안 분석 (ASA)’를 제공해 위협 종류 분별 및 오탐 식별을 자동화해주는 것이다.

엄밀히 말해, SOAR은 안랩만이 제공하는 보안 설루션은 아니다. 글로벌 트렌드로 이미 자리를 잡고 있다.

지난 3월 28일 한국인터넷진흥원 (KISA)은 ‘글로벌 정보 보호 트렌드 세미나’를 개최했다. 당시 여러 주제로 보안 동향을 소개했다. 그중에서 세계 최대 보안 콘퍼런스 ‘RSA 2019’에서 화두가 됐던 내용도 소개했다.

KISA 세미나 자료에 따르면, SOAR 이전 버전의 보안 제품 ‘SIEM (Security Information and Event Management)’이 2018년 대비 관심도가 줄었다. 대신에 SOAR에 대한 관심이 늘어났다. 실제로 SIEM 관련 전시 회사는 전년 대비 40% 줄어든 42곳이었다. 대신, 작년에 없었던 SOAR이 새로 생기면서 56개 업체가 관련 제품을 전시했다.

시장 동향에서도 SOAR이 주목받고 있음을 알 수 있다. 가트너는 SOAR 도입 비율이 2018년 1% 였지만, 2020년에는 15%로 증가할 것으로 전망했다.

보안 산업은 이처럼 국내외를 막론하고 SOAR를 주목하고 있다. SOAR이 주목받는 이유를 살펴보자.

탐지 위주의 보안 관제가 지닌 한계점

SOAR의 등장 배경을 이해하기 위해서는, 현재 보안 체계의 한계점을 알아야 한다. 특히 SOAR은 보안 관제를 위한 설루션이기 때문에 이와 관련한 한계점을 살펴볼 필요가 있다.

사이버 공격 수법은 매우 치밀하다. 단순히 장난으로 공격을 가하지 않는다는 뜻이다. 해커는 특정 기관을 공격하기 위해서 사전에 정보를 수집하고, 다방면으로 사이버 공격을 시도해 기관을 침투하고자 한다. 그리고 침투에 성공하면, 장기간 잠복해 기회를 노려 큰 피해를 준다.

미국 인사관리국(OPM)의 해킹 사례를 예로 들어보자. 2014년 3월에 OPM을 대상으로 한 해킹이 발생했다. 다행히 OPM은 이를 확인했고 5월에 대응했다. 그러나 두 번째 해킹은 5월에 OPM 협력사를 통해 발생했는데, 해당 해킹은 안타깝게도 탐지되지 않았다.

해커는 1년간 OPM 내부에 잠복했었는데, 이로 인해 OPM은 중요 정보가 유출되는 피해를 보았다. 2150만 건의 개인정보가 유출됐는데, 그중 560만 건의 지문정보도 유출됐다.

해당 사례는 사이버 공격이 얼마나 치명적인지를 보여준다. 더욱이 이러한 사이버 공격 수법은 기술 발전으로 더욱더 치밀해지고 쉬워지고 있다. 해커는 자동화 취약점 툴을 이용해 공격 대상의 취약점을 쉽게 파악할 수 있다. 그리고 사물인터넷 등장은 해커가 공격할 수 있는 범위를 넓혔다.

이에 따라 기관은 탐지에서 범위를 확장해 사전과 사후 대응에도 신경을 써야 한다. 그러나 현실은 녹록하지 않다.

작년에 보안 전문 기업 ‘데미스토 (DEMISTO)’는 이러한 어려움을 분석한 바 있다. 데미스토에 따르면, 기관 내 여러 보안 설루션에서 발생하는 악성 의심 정보 (Alert)는 매주 17만 4000개에 이른다. 이는 보안 관제팀이 매주 악성 여부를 판별해야 하는 양이다. 그런데 보안 관제팀은 10분의 1도 안 되는 1만 2000개 밖에 처리하지 못한다. 현재 상황도 대처하기 힘든 셈이다.

데미스토는 추가로 보안 관제의 어려움을 좀 더 조사했다. 시간 부족 (80.39%), 인력 부족 (78.76%), 처리해야 할 수많은 의심 정보 (71.27%) 등의 순으로 어려움을 겪고 있었다.

이를 해결하기 위해서는, 사람을 더 채용하거나 보안 인력의 능력을 향상해야 한다. 그러나 현실적으로 쉽지 않다. 데미스토는 응답자의 74.8%가 신규 채용의 예산 압박을 느끼고 있다고 주장했다. 보안 인력의 업무 능력 향상 또한 높은 이직률로 어렵다. 67%가 4년 이내 이직하기 때문이다.

SOAR로 보안 관제의 한계점 해소 가능      

보안 관제의 이러한 한계점은 해킹 대응에 세 가지 문제점을 불러온다. 첫 번째 문제는 ‘보안의 구멍’을 만든다는 점이다. 앞서 언급했듯이, 무수히 많은 위협 의심 정보가 생성된다. 그리고 관제 요원은 이를 다 볼 수 있는 여력이 없다. 이는 관제 요원이 그중 진짜 위협 정보를 놓치게 할 위험이 있고, OPM과 같은 해킹 사고를 발생하게 할 수 있다.

두 번째는 보안 운영의 효과성을 떨어뜨리는 점이다. 관제 요원은 충분한 시간을 갖고 해킹 공격의 흐름을 파악해야 한다. 그런데 의심 정보를 처리하는 데에 치중하다 보면, 이를 분석할 수 있는 시간이 없게 된다. 이는 결국 보안의 대응 효과를 떨어뜨린다.

마지막으로 사이버 공격 대응에 민첩하게 반응하지 못하게 한다. 데미스토는 보안 사고에 대응하는 시간이 평균 4.35일이 걸리는 것으로 분석했다. 소 잃고 외양간 고치는 격이 되는 셈이다.

그러나 다행스럽게도 이를 해결할 수 있는 보안 설루션이 등장했다. SOAR이 바로 이러한 설루션이다. 가트너에 따르면, SOAR은 세 가지 기능을 제공한다. 가장 중요한 기능은 ‘자동화’이다. SOAR은 자동으로 위협 의심 정보를 식별하고 판단해 업무를 줄여준다. 그뿐만 아니라, 기관 내 구축된 보안 설루션에 자동으로 보안 정책을 내려주는 기능도 제공한다.

두 번째는 기관 내 구축된 보안 설루션으로부터 발생한 위협 의심 정보를 통합적으로 보여주는 것이다. 따라서 관제 요원이 보안 운영 현황을 알 수 있게 한다. 이를 통해 사후 대응력을 높일 수 있다. 보안 사건이 일어났을 때, 이를 바로 확인할 수 있기 때문이다. 참고로 이러한 기능은 기존 버전의 제품 SIEM에서도 제공하기 때문에, SOAR만의 특별한 기능은 아니다.

마지막으로 취약점 정보를 제공한다. 이는 관제 요원이 사전 대응력을 높여준다. 취약점에 미리 대응할 수 있게 하기 때문이다.

결국, SOAR은 보안 관제 업무를 보조해줘 관제 요원의 업무 능력을 향상시켜준다. 그뿐만 아니라 사전과 사후 대응 기능도 제공해 사이버 보안 수준을 더욱더 높여준다.

지금까지는 ‘창’이 유리했다. 해커와 관제 요원 사이에 불균형이 있는데, 공격에 당할 수밖에 없는 구조였다. 관제 요원은 위협 의심 정보 처리만으로도 벅찼기 때문이다. 그러나 SOAR은 이러한 불균형을 깨뜨릴 것으로 보인다. 공격과 방어의 균형을 넘어서 방어를 더욱더 우세하게 할 수도 있다. 이를 통해 사이버 안보가 더욱더 강화될 수 있다.