[디지털투데이 석대건 기자] 연결 접점이 넓어질수록, 생성되는 데이터가 늘어날수록 보안 과제 역시 동시에 늘어난다. 이 때문에 아무리 기술이 발전해도 점점 ‘일’만 늘어난다는 건, 적어도 보안 업계 관계자에겐 틀린 말이 아니다. 

물론 보안업계는 데이터 급증과 연결성 확장에 대비하기 위해 일련의 사이버 보안 단계를 통합하는 ‘SIEM(보안 정보 및 이벤트 관리, Security Information and Event Management)’ 개념으로 산업 전반에 도입했다.

‘SIEM’은 사이버 공격 등 증가하는 보안 이벤트를 중앙으로 모아 분석하고 위협을 탐지한다. ‘2017 M-트렌드 보고서’에 따르면, 실제로도, 사이버 공격 탐지 시간은 2015년에 평균 146일이었지만, 2016년에는 평균 99일로 감소했다. 더불어 최근 AI 기술 발전으로 소요 시간을 더욱 줄어들 것으로 보인다.

기업의 사이버 공격 대응을 방해하는 요소(사진=CyberEdge Group 보고서)
기업의 사이버 공격 대응을 방해하는 요소(사진=CyberEdge Group 보고서)

하지만 새로운 문제가 등장했다. 탐지하고 분석하고 대응하는 과정 자체가 너무 많아지게 된 것. 일례로, IBM에 따르면, 보안관제센터(SOC)는 평균 75개 이상의 보안 툴을 사용하고 있다. 

게다가 모든 보안 이벤트를 찾아내다 보니, 대응 수준을 결정하는 과정에도 시간이 소요되고 또 결정되더라도 다시 오탐 · 미탐 여부를 분석해야 한다. ‘오탐(False Positive)’은 위협이 아닌데도 위협이라도 판단하는 것, 미탐(False Negative)은 실제 공격 임에도 탐지하지 못 하는 것을 말한다.

포네몬 연구소에 따르면, 일반적인 보안관제센터는 1주일에 약 1만 7천 개에 달하는 악성 프로그램 경고를 받고 있으며, 하나의 센터에서 매년 오탐(false positive)을 추적하는 데 2만 1천 시간을 소비한다고 밝혔다. 소모 비용은 약 130만 달러(약 15억 3,205만 원)에 달한다.

SOAR = SOA + SIRP + TIP

이같은 사이버 공격의 고도화, 보안 툴의 복잡화, 보안 인력 부족과 비용 증가 등 보안 스트레스를 해결하기 나온 개념이 ’SOAR’다.
 
SOAR(Security Orchestration, Automation and Response)는 복잡다단해지는 보안 위협의 대응 프로세스를 자동화해, 보안관제센터에서의 소모적인 업무를 줄이는 한편, 위협 수준에 맞게끔 보안 이벤트를 대응할 수 있도록 지원하는 새로운 보안 패러다임이다.

가트너는 ‘SOAR’를 ▲ 보안 오케스트레이션 및 자동화(Security Orchestration and Automation, SOA), ▲ 보안 사고 대응 플랫폼(Security Incident Response Platforms, SIRP) ▲ 위협 인텔리전스 플랫폼(Threat Intelligence Platforms, TIP)의 결합으로 설명한다.

(사진=IBM)
SOAR 패러다임은 'Security Orchestration, Automation and Response'의 결합이다. (사진=가트너)

각각 구성요소의 역할을 살펴보면, 보안 오케스트레이션 및 자동화(Security Orchestration and Automation, SOA) 영역은 보안 대응팀이나 보안관제센터의 단순 반복 작업을 ‘정리’하고, 오토메이션 툴로 자동화해 대응 효율성을 높인다. 화면 전환이나 데이터 전송 등 아주 사소한 자동화만으로도 시간을 아낄 수 있다는 것.

보안 사고 대응 플랫폼(Security Incident Response Platforms,  SIRP)는 대응 프로세스로써, 보안 이벤트 발생 시 그에 수반되는 작업을 관리한다. 예를 들면, 담당 업무가 어떤 팀에 할당돼야 하고, 어떤 조치가 필요하며, 언제까지 해결해야 하는지 등을 메뉴얼화하는 것. 이는 이전까지 보안 관리자의 업무 영역 중 하나였다.

마지막으로, 위협 인텔리전스 플랫폼(Threat Intelligence Platforms, TIP)은 보안 이벤트 데이터를 수집·분석하고, 이를 대응 솔루션과 연계하는 플랫폼이다. 데이터가 쌓이면 쌓일수록 그 수준도 높아진다.

보안 역시 하나의 기업 전략으로 삼아야

포네몬 연구소와 IBM의 ‘2019년 기업 사이버공격 대응 실태’ 보고서에 따르면, 전 세계 77%의 기업이 사이버보안 사고 대응 계획(CSIRP)을 보유하지 않았다고 밝혔다. 또 대응 계획을 보유했다는 23% 중 절반 이상은 정기적인 테스트를 수행하지 않고, 계획만 있다고 전했다. 이는 보안관제센터에 사이버 공격 방어를 대부분 기대하고 있다는 의미로, 향후 한계는 명확하다. 언제 무너질지 모르는 상황인 것.

보안업계 관계자는 “SOAR 패러다임은 보안이 단순히 사이버 공격을 막는 게 아니라, 기업이 갖춰야할 필수 부문으로의 확장”이라며, “보안이 기업 전략의 한 축으로 받아들이고 신경 써야 할 것”이라고 말했다. 이어 “CISO(정보보호 최고책임자)의 의무 지정 신고 제도 역시 이러한 보안 관제 및 대응의 중요성을 의미한다”고 덧붙였다.
 

키워드

#SOAR #보안관제
저작권자 © 디지털투데이 (DigitalToday) 무단전재 및 재배포 금지

관련기사