사이버 보안의 초자동화 실현 목표 달성, ‘S.O.A.R’에 있다

SOAR, 오케스트레이션과 자동화로 구성...정교해지는 사이버 공격에 꼭 필요한 요소
보안 환경 전반 아우르는 프로세스 개선...성숙하고 효율적인 보안 운영 실현에 적합

[보안뉴스 김영명 기자] 과거 ‘산업혁명’이라고 일컬어졌던 사회 구조의 큰 변화에는 ‘기술의 진보가 인간의 노동력을 대체한다’는데 핵심이 있다. 증기기관의 발명, 전기의 보편화, 컴퓨터와 인터넷의 발전은 인간의 노동 생산성 개선과 함께 삶의 질을 높였다. 이러한 변화의 핵심에는 ‘자동화’가 있다.

▲떠오르는 기술 및 트렌드 영향도 레이더 2023[출처=가트너]

오늘날 인공지능(AI)을 포함한 IT 기술의 빠른 발전은 우리의 삶에 커다란 변화를 불러오고 있다. 현 시대의 AI를 포함한 자동화 기술은 인간의 지적 노동을 보완해 주는 측면에서 주목받는다. 금융업계에서 AI 알고리즘을 활용해 금융 거래 데이터 분석 및 사기 거래 탐지 프로세스를 자동화하고, 제조업계에서 RPA(Robotic Process Automation) 기술을 활용해 인력·주문·재고·공급망 관리 등 여러 분야의 프로세스를 자동화해 업무 효율을 높이고 있다. 이에 따라 인간은 단순 반복적인 영역을 벗어나 복잡하고 창의적인 영역에 집중하도록 돕는다. 이는 노동 효율성을 높여 수행하는 노동의 결을 변화시키는 데 일조한다.

보안업계도 예외는 아니다. 사이버 공격이 점점 더 정교해지고 발생하는 데이터 양이 폭발적으로 증가함에 따라, 이에 효율적으로 대응하기 위한 자동화 기술이 그 어느 때보다 필요해졌다. 이글루코퍼레이션은 최근 ‘보안 초자동화로 가는 길’로 SOAR의 중요성과 특징을 설명했다.

보안 전문가 직면한 문제 해결의 대안 SOAR
오늘날의 기업들은 전례 없이 어려운 보안 과제에 직면하고 있다. AI를 악용한 고도화된 사이버 공격과 함께 내부자 위협에 의한 정보 유출 사고가 급격히 증가하고 있다. 또한 디바이스를 감염시키는 ‘멀웨어(Malware)’, 몰래 접근해 데이터를 암호화하고 몸값을 요구하는 ‘랜섬웨어(Ransomware)’, 개인정보를 캐내 악용하는 ‘피싱(Phishing)’까지 일상을 침투한 공격도 점차 교묘해지고 있다. 보안 위협은 날로 진화하고 있지만, 보안 전문가의 수는 현저히 부족하다. 자동화에 대한 요구가 높아지는 건 어찌보면 당연한 일 아닐까?

▲사이버 범죄 비용 증가 추이[출처=엠브로커]

보안 운영·위협 대응 자동화 솔루션인 SOAR(Security Orchestration, Automation and Response)는 보안 프로세스의 효율과 성과를 높여 보안 전문가들이 직면한 문제를 해결하기 위한 대안으로 등장했다. SOAR의 핵심은 크게 ‘오케스트레이션(Orchestration)’과 ‘자동화(Automation)’로 나뉜다.

보안 오케스트레이션은 다양한 보안 솔루션, 도구, 기술들을 결합하고 연동하는 것을 말한다. 복잡해지는 IT 환경에 해커들이 겨냥할 수 있는 공격 표면이 이전과 비교해 대폭 늘어났다. 이에 보안 솔루션을 하나둘 추가하면 괜찮을 것으로 생각할 수 있으나 구색 맞추기 식의 무분별한 도입은 오히려 관리 업무의 급증과 대응 프로세스의 복잡성을 심화시키는 역효과를 초래한다. 오케스트레이션, 즉 조율이 필요한 이유다.

SOAR는 여러 보안 도구와 기술을 하나의 통합된 플랫폼에서 관리할 수 있도록 지원하면서 일원화된 침해 대응 프로세스를 구현하고, 보안 환경 전반에 걸친 자동화를 가능하게 한다. 그리고 이렇게 조성된 환경을 토대로, 공격 유형별 최적의 대응 방안을 매뉴얼화한 ‘플레이북(Playbook)’을 활용해 탐지된 공격에 대한 자동 분석 및 대응을 수행한다.

아무리 간단한 이벤트라도 일단 경보가 발생하면 기초 정보 분석부터 차단까지 통상 짧게는 5분에서 길게는 약 60분 정도의 시간이 소요된다. 하지만 이글루코퍼레이션의 보안 운영·위협 대응 자동화(SOAR) 솔루션 ‘SPiDER SOAR’를 통해 플레이북 기반 자동 대응이 가능하다면, 해당 프로세스를 1분 이내로 단축해 보안 운영의 효율성을 극대화할 수 있다.

▲기존 경보 처리 프로세스와 SOAR 프로세스 비교[출처=이글루코퍼레이션]

가트너(Gartner)는 2022년 주요 전략 기술 트렌드 중 하나로 ‘초자동화(Hyperautomation)’를 제시했다. 가트너에 따르면 초자동화란 AI, 머신러닝, RPA, 로코드·노코드 등 여러 기술, 도구, 또는 플랫폼을 조화롭게 사용해 최대한 많은 비즈니스 및 IT 프로세스를 신속하게 식별, 검증, 자동화하는, 하나의 비즈니스 중심적인 접근 방식이다.

자동화와 초자동화를 구분하는 가장 큰 차이점은 단순 몇몇 개의 개별적인 반복 작업을 자동화했는지, 아니면 이를 넘어 전체적인 비즈니스 프로세스와 워크플로우를 대상으로 더욱 지능화된 자동화를 구현했는지에 있다. 자동화는 주로 특정 작업을 자동 처리하는 데 초점을 맞추는 한편, 초자동화는 인간의 개입 없이 다양한 자동화 기술들을 조합해 보다 넓고 통합된 자동화를 구현하는 데 중점을 둔다. 한마디로 ‘여러 기술들을 결합해 가능한 모든 작업을 자동화하고, 전체 비즈니스 운영을 최적화하는 전사적 접근법’이다. 가트너는 지난해 향후 높은 영향력을 보일 것으로 예측되는 신기술 중 하나로 ‘보안 초자동화(Hyperautomation in Security)’를 선정하기도 했다.

보안 초자동화의 구현은 아직 가야 할 길은 멀어 보인다. 하지만 그 여정의 시작점에 SOAR가 있음은 분명하다. SOAR의 진정한 가치는 단일 솔루션으로서의 기능보다 보안 환경 전반을 아우르는 프로세스 개선에 있다. SOAR 자체가 특정 위협을 탐지하거나 대응하는데 특화되어 있기보다, 전반적인 보안 프로세스와 기준, 절차를 혁신해 한층 더 성숙하고 효율적인 보안 운영을 실현하는 데 목표를 두고 있기 때문이다.

SOAR는 단순 반복적인 작업 자동화에서 벗어나 전체 프로세스를 개선하고 더 넓은 범위의 자동화를 구현하려는 초자동화의 목표와 맥을 같이 한다. 조직의 전반적인 보안 역량을 향상시키기 위한 필수적인 단계, 보안 초자동화로 나아가는 첫걸음을 SOAR로 시작해보는 것을 추천한다.
[김영명 기자(boan@boannews.com)]

최근 발생한 크라우드 스트라이크의 보안 SW 업데이트 오류 사태처럼 SW 공급망에 보안이슈가 발생할 경우 관련된 각종 시스템 및 IT 인프라 마비가 일어날 수 있다는 게 드러났습니다. 이러한 공급망 보안을 위협하는 가장 큰 요인은 무엇이라고 생각하시나요?
	랜섬웨어, 피싱 등의 사이버 공격
	SW 업데이트 및 SW 교체 과정에서의 오류
	SW 자체에 존재하는 보안 취약점
	시스템 관리자의 운영상 실수 및 관리 미흡
	기타(댓글로)