[2025 SOAR 솔루션 리포트] 보안전문가들이 바라 마지않는 ‘자동화’의 길, SOAR가 걷다

SOAR, 다양한 보안 솔루션 지휘해 자동으로 보안위협에 대응...편리하지만 영리한 운영자 필요해
SOAR에 대한 사용자 설문조사...보안전문가의 현 고민은 ‘너무나 많은 보안 솔루션과 운영상 문제’
SOAR 전문기업 집중분석: 쿼리시스템즈, 시큐어시스템즈, 안랩

[보안뉴스 원병철 기자] 2025년 2월 가상자산 거래소를 대상으로 한 해킹 공격이 연이어 발생하면서 심각한 금전적 피해가 발생했다. 특히 2월 21일 글로벌 가상자산 거래소 바이비트와 2월 28일 국내 블록체인 프로젝트 위믹스의 해킹사건은 거래소 자체를 노린 것이 아니라 주변의 약한 연결고리를 노리거나 관리 시스템을 우회한 것으로 알려졌다.

[자료: gettyimagesbank]

한국인터넷진흥원(KISA)은 ‘2025 사이버 위협 동향 보고서-상반기’를 통해 “바이비트와 위믹스의 해킹사건은 마치 성벽이 아무리 튼튼하더라도 성문이 아닌 보급로를 통해 침투하거나, 성안에 있는 보조 건물의 문이 열려있다면 결국 성 전체가 위험에 처할 수 있다”면서, “기업들은 주요 서비스외에도 다른 연결된 서비스에 대한 상시 보안 취약점 점검 조치와 자산에 대한 위협 모니터링을 통해 가시성 확보를 강화해야할 것”이라고 강조했다.

또한 2025년 상반기 발생한 GS Shop, Snowflake, 디올과 티파니, 까르띠에와 루이비통 등 명품 브랜드, Oracle 등을 노린 공격을 분석한 이상원 SSNC AI보안센터장은 2025년 상반기 사고의 공통 원인을 분석해 보면 내부 위협과 이상행위 탐지 미흡이 보인다고 보고서를 통해 설명했다.

이처럼 보안 위협에 대응하기 위해서는 내부 위협과 이상행위 탐지가 꼭 필요한 방법으로 꼽히지만, ①내부 위협- 정상 행위와 비정상 행위의 모호성 ②분석해야 할 데이터의 방대함 ③오탐 관리의 어려움 ④사후 분석 및 증거확보의 어려움 ⑤총체적 인력 부족 등의 문제로 인해 늘 어려움을 겪고 있다.

때문에 보안담당자들은 늘 이러한 보안 업무의 문제를 해결하기 위한 솔루션을 꿈꾸는데, 해결책으로 꼽히는 것 중 하나가 바로 ‘보안 오케스트레이션, 자동화 및 대응(SOAR: Security Orchestration, Automation, and Response)’ 솔루션이다.

끊임없는 보안 위협에 지친 보안전문가들을 위해 등장
SOAR는 2015년 가트너(Gartner)가 ‘Magic Quadrant for Security Information and Event Management(SIEM)’ 보고서에서 처음 언급했다. 당시 가트너는 SIEM의 발전 방향을 제시하면서 SOAR의 초기 형태인 ‘Security Operations, Analytics and Reporting’의 필요성을 언급했다. 이후 2017년 11월 ‘Innovation Insight for Security Orchestration, Automation and Response’ 보고서를 통해 SOAR의 개념을 명확하게 정의하고 핵심기능을 소개했다.

가트너는 보고서에서 기업과 기관이 운영하는 보안운영팀이 너무나 많은 경고에 과부하(Alert Overload)가 걸리고 있으며, 이로 인한 경고 피로(Alert Fatige)에 어려움을 겪고 있다고 설명했다. 또한 문제가 발생하면 각 솔루션별로 정보를 수집하고 수동으로 작업해야 했으며, 사고 대응 절차가 표준화되지 않아 사건마다 일관성없는 대응이 이뤄진다고 지적했다.

이러한 문제를 해결하기 위해 제시된 것이 바로 SOAR다. SOAR는 ‘보안 오케스트레이션(Security Orchestration)’으로 다양한 보안 솔루션을 관리하고 조율해 하나의 솔루션처럼 관리한다. 마치 오케스트라에서 수많은 악기를 지휘자가 지휘하는 것과 같다. ‘자동화(Automation)’는 미리 만들어놓은 ‘플레이북(Playbook)’을 통해 자동화한 것이다. 예를 들면, 악성 IP가 발견되면 ①차단 ②파일 해시 조회 ③계정 잠금 ④로그 수집 등의 업무를 순서대로 진행하도록 해, 보안 분석가의 업무를 줄이고 대응 속도를 높였다. ‘대응(Response)’은 플레이북에 따라 대응하는 기능을 말한다. 여기에 각 공격과 이에 대한 대응을 ‘케이스(Case)’로 만들어 각각 관리하고, 다른 협업도구와 대응에 따른 보고 등이 여기에 포함된다.

그럼 SOAR에 대해 실제 보안 솔루션 업계에서는 어떻게 바라볼까? 안랩은 SOAR에 대해 “SOC나 보안 운영 조직에서 수행하는 위협 대응 및 보안 운영 업무 프로세스를 자동화 또는 반자동화해 전반적인 업무 효율성을 높이는 플랫폼”이라고 정의하면서, “플레이북을 통해 각 대응 절차를 체계적이고 일관되게 처리할 수 있으며, 반복적인 업무를 줄이고 표준화된 대응을 가능하게 한다”라고 설명했다.

시큐어시스템즈는 “SOAR는 보안 운영의 효율성과 자동화를 극대화하기 위한 통합 플랫폼”이며, “적은 인력으로 방대한 네트워크 보안 운영 전반을 지능화하고 체계화한다”라고 말했다.

시큐레이어는 “SOAR는 보안 오케스트레이션과 자동화, 보안사고 대응 플랫폼, 위협 인텔리전스의 세 가지 핵심 기능을 결합해 구성된다”라면서, “이를 통해 보안 위협 유형에 따른 조직별 보안 대응 프로세스를 정형화하고 표준화함으로써 대부분의 작업을 자동으로 처리하며, 이는 인력이 필요한 부분에만 집중할 수 있도록 해 전체적인 보안 대응의 효율성을 극대화한다”라고 말했다.

쿼드마이너도 “위협에 대해 대응 레벨을 자동으로 분류하고, 표준화된 업무 프로세스에 따라 사람과 기계가 유기적으로 협력할 수 있도록 지원하는 플랫폼”이라고 SOAR를 정의하면서, “다양한 보안 툴과 프로세스를 통합해 자동화하고, 빠르게 위협에 대응할 수 있도록 도와주며, 반복적인 작업을 자동화하고, 보안 사고에 대한 신속하고 일관된 대응을 할 수 있도록 지원한다”고 설명했다.

쿼리시스템즈는 “결국 SOAR는 보안관제 업무와 위협에 대한 자동 차단을 구현해주는 IT 보안 자동화 솔루션”이라고 쉽게 정의했다.

▲국내외 대표 SOAR 솔루션[자료: 시큐리티월드·보안뉴스 정리]

오케스트레이션과 자동화, 그리고 대응 중 SOAR의 핵심은 ‘오케스트레이션’
SOAR는 이름 그대로 크게 3가지 기능을 제공한다. 바로 오케스트레이션과 자동화, 그리고 대응이다. 그럼 이중에서 가장 중요한 것은 무엇일까? 우선 앞서 설명했듯, 이 세가지는 당시 가장 필요한 기능들을 모아놓은 것이기 때문에 어느 하나 놓쳐서는 안될 기능이다. 안랩 역시 이 세 기능은 각각 독립적인 기능이 아니라 전체 대응 프로세스를 구성하는 하나의 워크플로우 조합이라고 설명한다. 즉, 어느 하나만을 가장 중요한 기능이라고 단정할 수 없으며, 이 조합이 유기적으로 잘 작동해야 SOAR의 본질을 충족하며, 그렇기에 모두가 필수적인 구성요소라는 것이다.

그럼에도 하나를 꼽으라면 가장 먼저 언급되는 것이 바로 오케스트레이션이다. 시큐어시스템즈는 SIEM과 SOAR의 가장 큰 차이점은 ‘대응(Response)’이지만, 효과적인 대응을 위해서는 정확하고 다양한 분석이 필요하며, 여러 장비의 협업과 분석 과정인 오케스트레이션이 잘돼야 가능하기 때문이기에 오케스트레이션이 가장 중요하다고 생각한다고 설명했다.

시큐레이어 역시 오케스트레이션을 꼽으면서 아무리 뛰어난 자동화 기능과 신속한 대응 역량을 갖추고 있어도 이것들이 파편화되어 있으면 효과적인 보안 운영이 불가능하다고 강조했다. 때문에 이들을 하나의 유기적인 워크플로우로 연결해 전체적인 보안 가시성을 확보하고 각 단계가 원활하게 진행되도록 하는 것이 핵심이라고 덧붙였다.

보안전문가들 역시 오케스트레이션을 꼽았다. 뒤에서 자세하게 다루겠지만, 보안뉴스가 2,222명의 보안전문가를 대상으로 진행한 설문조사에서 ‘SOAR의 핵심 요소 중 가장 중요하다고 생각하는 것은 무엇인가?’에 대한 질문에 가장 많은 39.3%가 ‘오케스트레이션’을 선택했다.

SOAR의 가장 중요한 기능은 ‘플레이북?’
그렇다면 SOAR의 세부 기능 중에서는 어떨까? 특히 SOAR를 구축하기 위해 제품을 선택할 때 가장 중요하게 봐야 할 기능은 무엇인지 업계와 사용자들에게 물어봤다. 가트너를 비롯한 여러 기업이 SOAR의 핵심 가치로 꼽는 여섯 개의 기준(①플레이북 구축 용이성 ②연동 가능 솔루션 및 API 수 ③위협 정보 수집 능력 ④확장성 및 커스터 마이징 ⑤사람 개입 및 협업 지원 능력 ⑥사용 편의성 및 사용 교육 시간) 중에 업계 전문가들은 ①플레이북 구축 용이성을 꼽았다.

대부분의 보안기업들은 플레이북 구축 용이성이 좋아야만 운영자가 도입 초기부터 빠르게 업무에 활용하고, 지속적으로 프로세스를 최적화할 수 있는 기반이 될 것이라고 설명한다. 또한 고객 환경에 따라 유연하게 플레이북을 수정하거나 확장할 수 있어야 장기적인 운영 효율성을 가져올 수 있다고 봤다.

무엇보다 자동화를 위해서는 오탐을 최소화하면서도 관제 대응이 필요한 위협만 정확하게 걸러낼 수 있어야 하는데, 이러한 작업은 결국 플레이북을 통해 구현되기 때문이라는 의견도 있었다. 효율적으로 설계된 플레이북을 얼마나 잘 운영할 수 있느냐에 SOAR의 활용성이 달려있으며, 그 안에 오케스트레이션과 자동화 대응이 모두 녹아있다고 설명한 한 업계 관계가는 ‘SOAR의 꽃은 플레이북’이라고 표현했다.

하지만 실제 사용자들인 보안전문가들은 업계 관계자들과 다른 의견을 냈다. 가장 많은 26.2%가 ③위협 정보 수집 능력을 꼽은 것. 또 20.2%는 ②연동 가능 솔루션 및 API 수를 꼽았으며, ③플레이북 구축 용이성은 세 번쨰로 많은 18.6%가 꼽았다.

이러한 결과는 여러 의미를 내포하고 있다. 솔루션 개발사들이 꼽은 주요 기능을 사용자들이 아직 제대로 활용하지 못했기 때문일 수도 있고, 반대로 사용자들의 니즈를 개발사들이 이해하지 못하고 있을 수도 있다. 하지만 이번 조사에서 6가지 항목 중 4개 항목이 큰 차이가 별로 나지 않게 표를 얻었고, 나머지 2항목을 선택한 사용자 역시 작은 편은 아니었다.

▲SOAR 솔루션 구축사례[자료: 시큐리티월드·보안뉴스 정리]

SOAR의 한국 시장 규모는 약 536억원
현재 국내에 SOAR를 제공하는 기업은 △안랩 △마이크로소프트 △팔로알토 네트웍스 △포티넷 △로그프레소 △시큐어시스템즈 △이글루코퍼레이션 △쿼리시스템즈 △시큐레이어 등이다. 업계에 따르면 SOAR는 국내 사이버보안 시장의 핵심 구성 요소로 중요성이 커지고 있으며, 국내 기업의 디지털 전환 가속화와 보안 위협 증가로 도입이 더욱 촉진되고 있다. 특히 보안 자동화와 통합 대응에 대한 수요가 지속적으로 확대되고 있는 만큼, 국내외 시장 모두 성장세를 이어갈 것으로 전망된다는 설명이다.

글로벌 리서치 기업 ‘Global Market Insight’는 ‘SOAR Market’ 보고서를 통해 2023년 전 세계 SOAR 시장의 규모를 ‘16억달러’로 평가했으며, 2024년부터 2032년까지 연평균 성장률 15%로 성장해 ‘57억달러’로 성장할 것이라고 예측했다. 보고서는 SOAR 플랫폼은 보안 프로세스를 자동화하고 조율함으로써 조직이 이러한 위협에 더욱 신속하고 효과적으로 대응할 수 있도록 지원함으로써 도입이 확대될 것으로 내다봤다. 다만 SOAR의 구현은 복잡하고 리소스가 많이 소요되는 프로세스일 수 있으며, 다양한 기존 보안 도구와의 통합, 워크플로우 맞춤 설정, 보안팀 교육 등이 포함되기 때문에 리소스나 전문 지식이 부족한 소규모 조직에게는 큰 장벽이 될 수 있다고 조언했다.

‘Grand View Research’도 보고서를 통해 2024년 전 세계 SOAR 시장을 17억 2,000만달러로 추산했다. 아울러 2025년부터 2030년까지 연평균 성장률 15.8%를 기록하며 2030년 41억 1,000만달러를 기록할 것으로 예상했다. 이들은 SOAR가 증가하는 위협 규모를 관리하고, 워크플로우를 최적화하며, 대응 시간을 단축하는데 도움을 준다면서, 특히 위협 인텔리전스, 규정 준수 관리, 워크 플로우 관리, 대응절차 등 다양한 분야에서 탁월한 기능과 활용도를 제공하기 때문에 도입이 증가할 것으로 예측했다. 다만 독점적인 SOAR 플랫폼의 경우 다른 도구와의 통합을 제한하고 유연성과 맞춤 설정을 제한하기 때문에 시장 성장을 저해할 수 있다고 설명했다.

특히 Grand View Research는 ‘한국의 SOAR 시장’을 2024년 3,860만달러, 한화 약 536억원대로 예측했다. 보고서는 2025년부터 2030년까지 연평균 성장률 17.1%로 성장해 2030년 9,910만달러, 한화 약 1,377억원대를 기록할 것으로 예측했다.

시큐어시스템즈 역시 한국 SOAR 시장 규모를 약 500억원대로 파악해 이러한 조사를 뒷받침했다.

▲보안전문가들의 SOAR에 대한 설문조사[자료: 시큐리티월드·보안뉴스 정리]

SOAR의 발걸음을 막아서는 문제들
그럼 현재 SOAR 시장의 주요 이슈는 무엇일까? 우선 업계에서는 여러 보안 기능을 통합한 플랫폼에 대한 수요가 늘어나고 있으며, SOAR 역시 XDR과 NG-SIEM, 또는 SOC 플랫폼에 내재화되는 방향으로 발전하고 있다고 설명한다. 단일 플랫폼 내에서 각각의 보안 제품들이 유기적으로 연동되어 하나의 솔루션처럼 작동하는 것으로, 단순히 일부 기능만 연동하는 것이 아니라 전체가 하나의 제품처럼 매끄럽게 연결되어 운영되고 있다는 것이다.

다만 SOAR를 도입하려는 조직마다 보안 인프라 수준과 역량이 달라서 같은 제품이라 할지라도 편차가 크며, 특히 일부 중소기업의 경우 자동화 이전에 운영 체계부터 정비가 필요한 경우가 있다고 업계에서는 설명한다. SOAR의 특성상 플레이북 커스터마이징과 외부 연동이 필수인데, 이에 대한 내부 리소스나 컨설팅 역량 부족이 도입 장벽으로 작용하기도 한다는 것. 때문에 보안 예산이 제한된 기업에서는 EDR이나 XDR이 SOAR와 경쟁관계에 놓이기도 하는 상황이다.

그렇다면 보안업계에서 보는 SOAR의 가장 큰 문제는 무엇일까? 안랩은 ‘이기종 솔루션 간 연동의 어려움’이 가장 큰 문제라고 지적했다. 모든 솔루션이 API 기반으로 개발되지 않아 연동에 제약이 있으며, 경쟁사의 이유로 API 제공이 제한되는 경우도 있다는 설명이다. 쿼리시스템즈 역시 “SOAR의 등장 이유는 결국 IT 업무의 자동화, 또는 보안 위협 자동 차단 대응이지만, 기존 관문 보안장비의 로그상에 담긴 제한적인 정보만으로는 정확한 분석이 어렵다”면서, “자체 EDR과 NDR 기술을 보유해야만 정밀하고 정확한 분석이 가능하다”라고 강조했다.

전문 인력 부족도 꼽혔다. 시큐어시스템즈는 사용자가 얼마나 SOAR를 이해하고 효율적으로 사용할 수 있느냐, 즉 엔지니어링에 따라 SOAR의 성능이 많이 바뀐다고 지적했다. 때문에 별도의 설정없이 바로 사용가능한 정책과 플레이북이 필수라고 강조했다. 시큐레이어도 “SOAR를 도입하더라도 이를 효과적으로 운영하고 복잡한 플레이북을 구축하며 변화하는 위협에 맞춰 지속적으로 업데이트할 수 있는 전문 인력이 부족해 SOAR의 잠재력을 충분히 발휘하지 못하는 경우가 많다”라고 설명했다.

문제는 사용자들이 SOAR만 사용하면 ‘자동화’로 인해 보안업무가 한결 쉬워질거라 생각한다는 점이다. 부족한 전문 인력 문제를 SOAR로 해결할 수 있을 것이라고 생각하지만, 오히려 SOAR를 제대로 사용하기 위해 전문 인력이 더 필요한 상황에 서로가 어려움을 겪고 있다는 것. 이에 대해 안랩은 “SOAR의 도입과 확산을 어렵게 만드는 원인 중 하나가 바로 SOAR에 대한 이해력 부족”이라고 말했다. “SOAR는 설치만으로 곧바로 모든 업무를 자동화하는 솔루션이 아니며, 자동화의 효과를 극대화하기 위해서는 대응 업무가 일정 수준 이상 절차화되어 있어야 합니다. 하지만 실제 현장에서는 조직마다 업무 프로세스의 정형화 수준이나 보유한 보안 솔루션의 범위가 다르기 때문에, 초기에는 자동화 범위를 단계적으로 확대해 나가는 접근이 현실적이고 효과적일 수 있습니다.”

시큐어시스템즈는 “담당자가 자동 차단을 꺼려하는 것도 이유”라면서, “아무래도 오탐에 의한 사고를 우려해서 직접 확인하지 않는 위협은 차단하지 못하는데, 담당자가 믿을 수 있는 수준의 분석 결과와 근거가 명확할 때 이 문제점은 해소될 것이라고 생각한다”라고 설명했다.

아울러 사용자 입장에서는 SOAR, SIEM, XDR 등을 비슷한 솔루션으로 생각할 수 있다는 점도 문제다. 실제로 보안 분석 플랫폼 시장이 ‘TDIR(Threat Detection, Investigation and Response)’ 관점에서 솔루션 간 경계가 점점 모호해지는 추세도 영향을 끼친다고 안랩은 설명한다. SIEM이나 XDR도 SOAR와 유사한 기능을 일부 포함하고 있으며, 이는 각 솔루션이 독립적으로 기능을 수행한다기보다는, 하나의 플랫폼 안에서 서로 연동되어 통합적으로 작동하는 구조로 진화하고 있기 때문이라는 것. 하지만 SOAR, SIEM, XDR 모두 각각의 지향점이 명확하기 때문에 사용자들이 이에 대한 이해와 자신이 속한 조직의 보안상의 목표를 정확하게 파악한다면 해소될 수 있을 거라고 업계에서는 보고 있다.

▲보안전문가들의 SOAR에 대한 설문조사[자료: 시큐리티월드·보안뉴스 정리]

보안전문가들의 SOAR에 대한 설문조사
그렇다면 실제 보안전문가들은 SOAR에 대해 어떻게 생각할까? 시큐리티월드와 보안뉴스는 보안전문가들의 의견을 들어보기 위해 2025년 7월 31일부터 8월 6일까지 6일간 약 10만명의 보안전문가들에게 설문조사를 진행했다. 이번 설문조사에는 공공(24.8%)과 민간(75.2%)의 보안전문가 2,222명이 답했다.

우선 설문 응답자에게 보안관제를 하고 있는지 물어봤다. 가장 많은 응답자의 33.1%가 ‘보안관제 전문기업의 서비스를 받는다’라고 응답했으며, 이어 23.4%의 응답자가 ‘보안부서 담당자 및 내부 시스템으로 모니터링한다’라고 답했다. 하지만 20.4%는 ‘별도로 하지 않는다’라고 답해 우려를 자아냈다. 그리고 10.3%는 ‘SOAR’를 도입해 운영한다고 말했으며, 8.3%는 ‘SOAR가 아닌 EDR/NDR/SIEM/XDR 등을 도입해 대응한다’를 선택했다. 4.2%는 SOC를 직접 운영한다라고 답했다.

그렇다면 보안전문가들은 관제 업무에서 어떤 점을 가장 어려워할까? 23.4%는 ‘너무나 많은 보안 솔루션과 운영상 어려움’을 꼽았으며, 22.1%는 ‘예산 부족’을 들었다. 또한 21.4%는 ‘경영진의 예산 투자 확대에 대한 필요성 인식 부족’, 19.3%는 ‘인력 부족’, 7.6%는 ‘체계화되지 않은 업무 프로세스’, 5.5%는 ‘잦은 오/미탐 발생 등으로 인한 업무 과중’을 각각 선택했다.

이어 현재 보안관제 업무에서 가장 시간이 많이 소요되는 업무가 무엇인지를 묻자 24.7%가 ‘실시간 모니터링’이라고 답했으며, 22.1%는 ‘침입차단 등 보안위협 대응’이라고 답했다. 또한 21.4%가 ‘오탐 분류 및 제거’를 선택해 이 세 가지 업무가 가장 시간이 많이 소요된다고 답했다. 여기에 16.6%는 ‘기초 분석 등 단순 반복 업무’를, 12.4%는 ‘공격 필터링 및 분석’을 각각 꼽았다.

이번에는 SOAR에 대해 알고 있는지를 물어봤다. 57.3%는 ‘대략 알고 있다’라고 답했고, 17.2%는 ‘매우 잘 알고 있다’라고 답해, 보안전문가의 2/3는 SOAR에 대해 대략적이라도 알고 있는 것으로 조사됐다.

하지만 SOAR를 도입해 사용하고 있는지를 물어보자 41.3%가 ‘아니’라고 답했으며, 27.6%는 ‘필요성에 공감하지만, 아직 단기간 내 도입 계획이 없다’라고 답해, 보안전문가의 2/3는 SOAR를 사용하지 않는 것으로 조사됐다. 다만 22/8%는 SOAR를 사용하고 있다고 답했으며, 8.3%는 ‘아직 사용하지 않지만 2025년 내 도입계획’이라고 답해 성장 가능성을 보여줬다.

이어 SOAR를 사용 중인 보안전문가에게 ‘현재 사용 중인 SOAR의 만족도’를 물어보자, 가장 많은 33.1%는 ‘80~61점’이라고 답했다. 또한 31.7%는 ‘60~41점’을 선택했고, 19.3%는 ‘20~0점’을 선택했다. 그리고 13.1%는 ‘100~81점’, 2.8%는 ‘40~21점’을 각각 선택했다.

그렇다면 보안전문가들은 SOAR의 핵심은 뭐라고 생각할까? 가장 많은 39.3%는 ‘다른 보안 도구를 연결하고 작업을 조율하는 오케스트레이션(Orchestration)’을 선택했다. 이어 35.9%는 ‘사전에 정의된 ‘플레이북(Playbook)’을 활용한 자동화(Automation)’를, 그리고 24.8%는 ‘보안분석가의 심층적 분석과 판단을 이용한 대응(Response) 및 케이스 관리(Case Management)’를 선택했다. 하지만 어느 한 기능이 압도적인 선택을 받은 것은 아니라서, SOAR가 이 세 가지 기능을 선택한 이유를 알게 했다.

아울러 SOAR의 기능 중 가장 중요한 것을 묻자 26.2%가 ‘위협 정보 수집 능력’을 선택했다. 20.2%는 ‘연동 가능 솔루션 및 API 수’를, 18.6%는 ‘확장성 및 커스터 마이징’을, 17.2%는 ‘플레이북 구축 용이성’을, 8.9%는 ‘사람 개입 및 협업 지원 능력’을, 역시나 8.9%가 ‘사용 편의성 및 사용 교육 시간’을 각각 선택했다.

마지막으로 주요 성능 지표를 통한 플레이북 성능을 비교할 때, 가장 중요하다고 생각하는 것에 대해 묻자, 26.2%가 ‘평균 대응 시간(MTTR: Mean Time To Respond/Mean Time To Remediate): 위협이 탐지된 후, SOAR 플레이북이 격리, 차단 등 초기 대응 조치를 완료하기까지 걸리는 시간’을 골랐다. 이어 18.6%는 ‘평균 탐지 시간(MTTD: Mean Time To Detect): 위협이 발생한 시점부터 SOAR가 이를 감지하고 경고를 생성하기까지 걸리는 시간’을, 17.9%는 ‘오탐 감소율(False Positive Reduction Rate): 전체 경고 중 플레이북이 자동으로 오탐을 걸러내어 보안 분석가에게 전달되는 유효 경고의 비율을 얼마나 줄이는지 측정한 시간’을, 역시나 17.9%가 ‘자동화된 작업 비율(Automation Rate): 전체 보안 인시던트 또는 특정 유형의 인시던트 중 플레이북을 통해 사람의 개입 없이 완전히 자동화되어 처리된 비율’을 각각 선택했다. 또한 13.1%는 평균 조사 시간(MTTI: Mean Time To Investigate): 경고 발생한 후, SOAR 플레이북이 관련 정보를 수집하고 초기 분석을 완료하기까지 걸리는 시간을, 6.3%는 ‘수동 작업 시간 절감(Manual Effort Reduction): SOAR 도입 전 특정 인시던트 처리 시 소요되던 수동 작업 시간(예: IP 조회, 파일 해시 분석, 티켓 생성 등)이 플레이북 적용 후 얼마나 줄어들었는지 측정한 시간’을 골랐다.

보안을 위해 반드시 구축해야 할 솔루션, SOAR
SOAR는 태생적으로 보안전문가들이 가장 어려워하고 힘들어하는 부분을 해결하기 위해 만들어졌다. 너무나 많은 보안 솔루션과 쏟아지는 알람들, 그리고 갈수록 지능화되고 다양해지는 보안 위협들로부터 보안전문가들을 해방시키기 위해 등장한 SOAR는 그만큼 다양한 기능을 제공하기 때문에 오히려 더 전문적인 지식과 능력을 요구하고 있다. 게다가 SIEM과 XDR 등 ‘자동화’나 ‘보안 솔루션 연동’ 등 사용자의 편의를 위해 발전하고 있는 다른 보안 솔루션과의 경쟁도 신경써야 한다. 실제로 SOAR의 기능을 SIEM이나 XDR 등에서 제공하는 경우도 적지 않다.

하지만 SOAR는 끊임없이 늘어나는 보안 위협과 매일매일 관리하기 어려울 정도로 늘어난 보안 솔루션, 체계화되지 않은 대응 방법 등 어려움을 겪는 보안전문가와 SOC를 위해 태어난 만큼 그 필요성만큼은 확실하며, 때문에 사용자들의 니즈에 맞게 꾸준하게 발전한다면 반드시 구축해야 하는 보안 솔루션으로 자리매김할 것이다.

▲SIEM·SOAR·NDR 통합 보안위협, 탐지대응 자동화 XDR 솔루션[자료: 쿼리시스템즈]

[SOAR 솔루션 집중분석-1] 쿼리시스템즈
SIEM·SOAR·NDR을 하나로, AI 기반 통합 보안 플랫폼 QTIE
생성형 AI와 딥러닝이 결합된 차세대 통합 보안 플랫폼
쿼리시스템즈 큐티(QTIE)는 ‘알려지지 않은 위협 탐지’와 ‘보안 위협 자동 차단 및 업무 자동화’를 목표로 한 국내 유일의 SIEM, SOAR, NDR 통합 플랫폼 QTIE를 개발, 국내 금융권·공공기관·대기업·대학 등 다양한 산업 분야에 걸쳐 고객사를 확보하고 있다. 특히, 장애에 민감한 금융기관과 대국민 서비스를 제공하는 공공기관과 같이 미션 크리티컬한 환경에서도 자동 차단 체계 적용후 무장애 서비스 제공으로 IT 보안 자동화의 새로운 기준을 제시하고 있다.

딥러닝 기반 위협 탐지 기술로 진화한 보안관제
QTIE는 네트워크 기반 탐지·대응 솔루션(NDR)과 보안 정보 및 이벤트 관리 솔루션(SIEM), 그리고 보안 오케스트레이션 및 자동 대응 시스템(SOAR)을 통합해 알려지지 않은 위협 및 정보 유출 위협을 효과적으로 탐지한다. 기존 시그니처 기반 및 상관분석 엔진뿐만 아니라, 머신러닝·딥러닝 기반 탐지 엔진을 활용해 비정상적인 통신 패턴 및 잠재 위협을 실시간으로 식별한다.

또한, 스스로 시그니처를 생성하고 탐지 엔진에 적용하는 능동 대응 인공지능 기술을 통해, 보안 패치 이전의 제로데이 공격이나 기준 설정이 어려운 웹 어뷰징, 내부자의 대량 데이터 유출 등 기존 보안 체계로는 식별이 어려운 위협까지도 선제적으로 대응할 수 있다.

고성능 검색 및 분석엔진과 스플렁크 스타일의 유연한 검색 지원
쿼리시스템즈 QTIE는 인메모리 기반의 고성능 검색·분석 엔진을 채택, 서버 한 대당 초당 100억~1,000억 건에 달하는 대용량 데이터에 대한 초고속 검색 성능을 제공한다. 여기에 스플렁크 및 키바나 스타일의 직관적인 검색 UI와 자체 개발한 QPL(QTIE Pipeline Language)을 결합해, 보안 담당자가 손쉽게 유연한 통계 분석과 고급 위협 탐지를 수행할 수 있도록 지원한다.

또한, 탐지된 위협에 대한 정밀 분석 및 자동 대응이 가능한 500종 이상의 제조사 권장 플레이북과 고객 맞춤형 대응 정책이 내장되어 있어, 복잡하고 반복적인 보안관제 이벤트의 탐지 및 대응 소요 시간을 획기적으로 줄여준다.

여기에 더해, QTIE는 생성형 인공지능 기술을 통합한 AI 어시스턴트 기능을 통해, 보안 분석 경험이 부족한 사용자도 자연어 기반의 질의만으로 위협 로그를 검색하고 분석할 수 있는 편의성을 제공한다. 이를 통해 보안 운영의 효율성과 접근성, 실시간 대응 역량을 동시에 향상시키며, 보안관제 업무의 자동화를 한 단계 더 진화시켰다.

QTIE는 국내 보안관제 시장에서 AI 기반 자동화 보안의 새로운 패러다임을 제시하며, 고객의 디지털 자산을 지키는 든든한 파트너로 자리매김하고 있다.

▲SecureOrchestra V3.0 AI 엔진 분석을 활용한 Playbook 동작 화면[자료: 시큐어시스템즈]

[SOAR 솔루션 집중분석-2] 시큐어시스템즈
시큐어시스템즈 SOAR 기반 통합보안 플랫폼 ‘SecureOrchestra’
AI 분석과 자동화 대응으로 보안 운영의 패러다임 전환
시큐어시스템즈는 SOAR 기반의 통합보안 관리 플랫폼 ‘SecureOrchestra(시큐어오케스트라)’를 중심으로 AI와 자동화 기술이 결합한 차세대 보안 운영 전략을 선보이며, 보안 운영과 위협 대응의 효율성 극대화에 나서고 있다.

AI 보안 분석과 자동화 플레이북의 결합
시큐어오케스트라는 보안 위협 탐지부터 분석, 대응까지의 모든 과정을 자동화해 보안 운영의 기민성과 정확성을 높인 것이 특징이다. 시큐어시스템즈는 AI 기반 보안 분석 모델인 AI 엔진 ‘리차드(Richard)’를 시큐어오케스트라에 내재화해 수집된 로그와 이벤트 데이터를 분석할 때 정탐(True Positive)과 오탐(False Positive)을 정확히 구분하고, 탐지 정확도를 대폭 향상시켰다.

AI 엔진 리차드는 웹 공격 분석(R1), 악성코드 정밀 분석(R2), 네트워크 패킷 페이로드 분석(R3) 등 세 가지 엔진으로 구성되어 다양한 위협 상황을 실시간으로 탐지·분석하고 대응까지 일원화한다. 정규분포 기반 모델링 기법을 활용한 AI 기반 이상행위 탐지 기술로 네트워크 및 엔드포인트에서 발생하는 비정상 패턴을 실시간으로 탐지한다.

시큐어오케스트라는 AI 기반 보안 분석과 플레이북에 의한 자동화 처리를 통해 단순 반복적인 보안관제 업무의 상당 부분을 자동화하여 관제요원은 더 중요한 상세 분석 및 예방 활동에 집중할 수 있다.

SIEM+SOAR 확장형 통합 보안 플랫폼
시큐어오케스트라는 초기 단계에는 SIEM 기능만으로도 운용이 가능하며, 필요시 플레이북 모듈 추가를 통해 SOAR 플랫폼으로 손쉽게 확장할 수 있는 구조를 채택했다. SIEM은 수많은 이벤트를 빅데이터 기반의 인덱싱·탐지 기술로 초고속 분석하며, 2만 개 이상의 침입 탐지 패턴을 보유하고 있다.

6,800개 이상의 대응 시나리오가 내장된 플레이북을 제공하는 SOAR 플랫폼에서는 보안 담당자가 복잡한 스크립트 작성 없이 드래그 앤 드롭 방식으로 ‘IOC 설정–분석–경고–대응’ 4단계 흐름을 구성할 수 있어, 자동화된 워크플로우를 손쉽게 설계할 수 있다. 또한, 침입 차단 기능을 제공하는 다수의 보안 솔루션과 연동해 최적의 통합 대응체계를 제공한다. 휴네시온의 망연계(i-oneNet DD) 및 i-oneNAC 솔루션과 연동한 SOAR 플랫폼은 이상행동 탐지 시 자료전송 차단, 차단 구역 격리 등 자동화된 대응까지 지원한다.

국제 사이버 방어 훈련 참여로 기술 우수성 검증
시큐어오케스트라는 NATO CCDCOE 주관 ‘Locked Shields 2025’에서 국내 솔루션 최초로 주요 시나리오 대응에 투입되어 실시간 위협 분석·자동화 대응 능력을 검증받았다. 또한 올해 하반기 국가정보원 주도 국제 훈련 ‘APEX 2025(Allied Power EXercise)’에 참가해 글로벌 연합팀과 합동 대응 역량을 강화하고 기술 우수성을 입증할 예정이다.

공공 보안관제 시장 이어 OT 보안관제 시장 공략
한국서부발전, 한국농어촌공사, 서울주택도시개발공사 등 주요 공공기관은 시큐어오케스트라 도입 후 이상 행위 탐지부터 네트워크 차단·격리에 이르는 전체 대응 흐름을 자동화해 보안관제 운용 효율을 높였다. 시큐어시스템즈는 SOAR 플랫폼으로 AI 기반 OT 보안 아키텍처를 제시해 휴네시온, 오투원즈와 함께 OT 보안 토탈 프레임워크를 제공할 계획이다.

[자료: 안랩]

[SOAR 솔루션 집중분석-3] 안랩
보안 운영 효율화를 위한 최고의 선택 ‘AhnLab SOAR’
높은 수준의 자동화, 보안 담당자가 중요 업무에 집중할 수 있는 환경 조성
AhnLab SOAR는 보안관제 분야에서 오랜 기간 축적된 안랩의 기술력과 노하우를 집약시킨 SOAR 솔루션이다. 표준화된 플레이북과 자유로운 편집 기능을 제공하며, 다양한 솔루션과의 연동을 통해 오케스트레이션 개념을 업무에 도입할 수 있다. 프로세스 자동화와 머신러닝 기반 분석 모듈로 위협 요소를 자동 식별하고, 식별된 요소로 위협을 추론해 대응 업무의 효율성을 향상시킬 수 있다.

오케스트레이션: 태스크 지휘로 업무 수행 최적화
AhnLab SOAR는 하나의 위협 대응 프로세스에 속해 있는 각각의 태스크(Task)를 조절한다. 인력과 자동화의 투입을 적절하게 조율함으로써 업무 수행을 최적화시키는 것이다. 안랩 제품을 기본으로 고객사에서 많이 사용하는 SIEM, 로그 관리 시스템, 보안 솔루션, 업무 지원 시스템과 연동도 가능하다. 고객사 내부 자체적인 시스템과의 연동은 커스터마이징을 지원한다. 이밖에, 발생한 이벤트에 해당되는 대응 프로세스를 자동으로 매칭해 준다. 따른 필수 수행 플레이북과 케이스와 플레이북의 테넌트(Tenant) 및 레이블(Label) 정보를 매칭 시켜주는 기능도 갖추고 있다.

자동화: 안랩의 보안관제 노하우가 집약된 플레이북 탑재
AhnLab SOAR는 추상적인 개념의 워크플로우를 구체화하고 태스크 별로 정의해 플레이북으로 제작할 수 있도록 한다. 재사용성이 높은 안랩의 보안관제 노하우가 적용된 ‘빌트인 플레이북(Built-in Playbook)’도 제공한다. 업무의 비즈니스 로직, 위험도 판단을 위한 계산식 및 추가적인 정보 수집을 위한 내용 등을 스크립트로 구현해 즉각적으로 업무 효율성을 개선할 수 있다. 또, 추가된 스크립트는 스크립트 라이브러리를 통해 관리한다.

AhnLab XDR 연동: 간편하고 품질 높은 위협 대응 구현
AhnLab SOAR는 AhnLab XDR 연동을 통해 위협 대응 업무를 간소화한다. AhnLab XDR에서 위협이 탐지되면 이에 대한 ‘추천 대응’ 옵션이 제공한다. 사용자는 AhnLab SOAR의 플레이북 기능을 통해 클릭 한 번으로 효과적인 대응이 가능하다. 플레이북은 네트워크 차단, 백신 실행, 사용자 알림 메일 발송 등 다양한 대응 절차를 포함하고 있으며, 다층적인 보안 조치가 순차적으로 실행된다. 각 플레이북은 안랩의 오랜 보안 운영 노하우가 반영되어 있어 검증된 대응 프로세스를 제공한다. 반복 발생하는 위협에 대해서는 자동 실행 설정이 가능해 대응 시간을 단축하고 보안 인력의 업무 효율성을 향상시킨다.

[원병철 기자(boanone@boannews.com)]

SK텔레콤 해킹 사태로 최근 잇슈가 되고 있는 ‘BPF도어’ 관련, 어떤 솔루션을 사용중인가요?
	안랩 V3 Net for Linux
	소만사 Server-i
	파이오링크 점검 도구
	잉카인터넷 전용 백신
	트렌드 마이크로 백신
	기타 국산(솔루션명은 댓글로)
	기타 외산(솔루션명은 댓글로)
	사용하지 않는다