IT Solutions/Security

보안 사고, 'SOAR'로 대응하자!

2020. 10. 14. 09:30

지금까지 기업의 보안 투자는 예방과 탐지에 집중되었습니다. 방화벽, IPS, Anti-Virus 등 사전 차단을 위한 솔루션과 SandBox, AI 기반의 지능화된 탐지 솔루션, 그리고 보안 솔루션의 로그를 통합하는 SIEM 솔루션까지 예방과 탐지를 위한 다양한 솔루션을 구축했습니다.


지금까지의 투자를 통해 보안 이상 징후를 탐지할 수 있는 체계는 갖추게 되었지만 여전히 보안 사고는 발생하고 있으며, 발생한 보안 사고의 원인을 분석해 보면 피해 발생 전 이상 징후가 있었으나 제대로 대응하지 못한 경우가 다수 확인되었습니다.


하인리히(Heinrich) 법칙을 한 번쯤 들어 보셨을 겁니다. 하나의 큰 사고 이전에는 29건의 작은 사고와 300건의 사소한 징후가 나타난다고 하며, 이 법칙에 따르면 보안 사고도 하나의 큰 사고 이전에 여러 많은 사고가 발생했을 것이라고 합니다.


l 하인리히 법칙


하인리히 법칙이 얘기하는 것은 큰 사고는 어느 날 갑자기 발생하는 것이 아니고, 큰 사고가 발생하기 전 여러 번의 작은 사고가 있으며, 큰 사고는 늘 사소한 것을 방치할 때 일어난다는 의미입니다.


보안 사고 또한, 사소한 문제 발생 시 정확한 원인 파악 후 조치하면 큰 사고를 방지할 수 있지만, 적절히 조치하지 못하면 큰 사고가 발생하며, 이러한 사고는 이상 징후 대응을 제대로 하지 못한 인재라고 볼 수 있습니다.


이를 보완하기 위해서는 보안 이상 징후별로 대응 절차를 정의하고 반드시 실행되도록 관리하는 것이 중요하며, 이는 SOAR을 활용해 해결할 수 있습니다.


SOAR(Security Orchestration, Automation and Response)는 아래 세 가지 플랫폼을 통합한 개념으로 2017년 가트너에서 최초로 사용한 용어입니다.

1) 보안 사고 대응 플랫폼(SIRP: Security Incident Response Platforms)

2) 보안 오케스트레이션 및 자동화(SOA: Security Orchestration and Automation)

3) 위협 인텔리전스 플랫폼(TIP: Threat Intelligence Platforms)


l SOAR Types (출처: Gartner 2018.02. Preparing Your Security Operations for Orchestration and Automation Tools), 재구성


구성 요소별 역할을 살펴보면, 우선 보안 사고 대응 플랫폼(Security Incident Response Platforms, SIRP)은 보안 이벤트별 업무 프로세스를 정의하는 기능입니다.


 ‘SOAR’을 활용한 악성코드 감염 대응 사례


예를 들어, 악성코드 전파 행위로 추정되는 네트워크 통신이 과다하게 발생하는 보안 이벤트가 발생하면, PC 관리 업무 담당자에게 작업을 할당해서 해당 PC를 네트워크에서 격리하고 PC 사용자에게 연락해 어떻게 분석하고, 언제까지 조치하는지 등의 워크플로우를 정의할 수 있는 기능입니다. 여러 가지 보안 이벤트 유형별로 기업별 업무 특성에 맞게 정의되어야 합니다.


두 번째, 보안 오케스트레이션 및 자동화(Security Orchestration and Automation, SOA)는 다양한 IT, 보안 시스템을 통합하고 자동화하는 기능으로 SIRP에서 정의한 업무 프로세스 실행의 효율성을 높일 수 있습니다.



앞서 설명한 사례의 경우, 악성코드 감염된 PC를 네트워크 격리하기 위해 NAC(Network Access Control) 솔루션과 연동해 격리 조치하고, PC 사용자 식별을 위해 AD(Active Directory) 혹은 PC 보안 솔루션 등을 연동해 감염된 IP를 사용하는 사용자를 식별한 후, 사내 SMS 서버를 통해 휴대전화 SMS 메시지 전송을 자동화할 수 있습니다.


또한 보안 담당자가 분석한 결과 xyz.exe라는 신종 악성 파일이 확인되었다면, EDR(Endpoint Detection and Response) 등의 PC 보안 솔루션을 연동해 해당 악성 파일의 HASH 값을 등록해 추가적인 피해가 발생하지 않도록 재발 방지 조치까지 자동화할 수 있습니다. 따라서, SOA를 통한 자동화 효과를 높이기 위해서는 SIRP를 통해 세부적인 업무 프로세스까지 명확하게 정의하는 것이 중요합니다.


마지막으로, 위협 인텔리전스 플랫폼(Threat Intelligence Platforms, TIP)은 보안 Risk 판단을 위해 위협 인텔리전스를 활용하는 기능으로 분석가의 판단을 보조할 수 있습니다. xyz.exe 파일의 악성 여부를 판단하기 위해 Virus Total 서비스와 연동해 정보를 수집하거나, 통신하는 외부 IP의 평판 정보를 조회하기 위해 MISP(Malware Information Sharing Platform)와 연동해 쉽게 원하는 정보를 수집함으로써 좀 더 빠른 판단이 가능합니다.


지금까지 SOAR를 구성하는 3가지 플랫폼에 대해 알아보았습니다.

‘SOA-SIRP-TIP’는 새로운 플랫폼이 아니며, 기존 보안 업무에서도 일부 활용하는 기술로써, SOAR은 3가지 플랫폼을 모두 활용합니다. 이를 통해 사람(People), 기술(Technology), 프로세스(Process)를 융합해 정해진 업무 프로세스에 따라 탐지•분석•조치 업무를 효율적으로 수행할 수 있도록 지원하는 솔루션입니다.


 ‘SOAR’을 어떤 업무에 활용할 수 있을까?


앞서 설명한 악성코드 감염 대응 사례처럼 여러 가지 유형의 보안 사고 대응에 활용할 수 있으며, 악성 메일 대응, 웹 해킹 공격 대응, DDoS 공격 대응 등 외부 공격자에 의한 보안 사고뿐만 아니라 내부자 정보 유출 대응 등 기업 보안 조직에서 수행하는 보안 사고 대응 업무 대부분에 적용 가능합니다.


또한, SOAR에서 보안 사고 대응 히스토리를 저장하고 조회할 수 있어 컴플라이언스 대응 측면에서 증적 자료로도 활용할 수 있습니다. 아래 표는 악성코드 감염 대응 자동화 사례를 설명한 자료입니다.


l SOAR를 활용한 악성코드 감염 대응 자동화 사례 (출처: Gartner 2020.03. SOAR: Assessing Readiness Through Use-Case Analysis), 재구성


이처럼 SOAR는 자동화 기능을 통해 보안 전문가의 업무 부담을 줄일 수 있는 효과를 가지고 있으며, 정해진 업무 프로세스에 따라 단계별로 처리할 수 있어 초급 보안 전문가의 업무 수행을 보조하는 목적으로도 활용 가능합니다. 이를 통해 보안 전문 인력의 부족 문제를 어느 정도 해소할 수 있을 것으로 예상됩니다.


어떤 업무를 SOAR에 적용할지에 따라 효과의 차이는 있겠지만, 가트너 자료에 따르면 악성 메일 대응 업무의 경우, 약 87% 소요시간 절감 가능한 것으로 알려져 있습니다.


l 악성 메일 대응 자동화를 통한 업무 공수 절감 효과 (출처: Gartner 2020.03. SOAR: Assessing Readiness Through Use-Case Analysis), 재구성


SOAR을 다양한 보안 업무에 활용할 수 있지만, Plug & Play 제품이 아니므로 SOAR 도입을 고려하는 기업에서는 몇 가지 고려해야 할 사항이 있습니다.


먼저, 가장 중요한 것은 업무 프로세스를 명확하게 정의해야 합니다. SOAR은 정해진 업무 프로세스에 따라 워크플로우를 진행할 수 있도록 도와주는 솔루션으로 존재하지 않는 업무 프로세스를 처리하지는 못합니다. 세부적인 업무 프로세스를 정의하지 못하고 SOAR 활용에 실패한 사례가 있음으로 SOAR 도입을 위해서는 반드시 세부적인 업무 프로세스까지 정의해야 합니다.


두 번째, 업무 자동화를 위한 목적으로 SOAR를 도입하더라도, 모든 업무의 자동화 적용은 불가능하며, 자동화 Risk에 대해서도 충분히 고려해 워크플로우를 반영해야 합니다. 예를 들어, 위협 정보(Threat Intelligence)를 활용해 공격 IP 차단을 검토하는 경우, TI 정보의 부정확성을 고려해 반드시 보안 전문 인력이 최종 판단을 해야 하며, SOAR과 연계한 다양한 보안 시스템의 API 기능 오류 등 예상치 못한 오동작을 고려해 자동화 설계 필요합니다.


SOAR의 자동화 기능은 보안 전문 인력을 보조하는 수준으로 활용하는 것을 권장하며, 모든 업무를 전적으로 자동화하는 것은 한계가 있습니다.


세 번째, SOAR은 지속적인 유지 관리가 중요하므로, 도입 후 어떻게 운영할지에 대해 충분히 준비되어야 합니다. 기업의 업무 프로세스는 지속해서 변화하며, 그 변화에 따라 SOAR에 적용한 워크플로우 또한 수정되어야 하며, 연계된 보안 장비의 기능 변경에 따라 API 수정 개발도 필요합니다.



SOAR은 보안 위협 증가로 인한 보안 전문 인력의 부족 및 업무 복잡도 증가 등 보안 분야의 현실적인 문제를 해결할 방안으로써 아직 국내 기업의 도입 사례는 많지 않지만, 다수의 기업에서 관심이 있으며 국산 제품도 출시되고 있어 지속해서 시장 확대가 예상됩니다. 가트너는 2023년까지 약 30%의 기업이 SOAR을 도입할 것으로 예상합니다.


SOAR을 도입한다고 해서 모든 문제가 해결되는 것은 아닙니다. 앞서 설명해 드린 것과 같이 기업은 보안 사고별 대응 프로세스를 명확히 정의하고, 자동화 처리를 위한 다양한 보안 솔루션을 갖춰야만 SOAR을 도입해 보안 사고 대응 체계를 한 단계 더 높은 수준으로 고도화할 수 있습니다.


글 l LG CNS 보안서비스팀


* 해당 콘텐츠는 저작권법에 의해 보호받는 저작물로 LG CNS 블로그에 저작권이 있습니다.

* 해당 콘텐츠는 사전 동의없이 2차 가공 및 영리적인 이용을 금하고 있습니다.





Posted by IT로 만드는 새로운 미래를 열어갑니다 LG CNS

댓글을 달아 주세요

위로