보안 오케스트레이션, 자동화, 대응을 뜻하는 SOAR(Security Orchestration, Automation and Response)은 보안 팀에서 개별 툴을 효율적인 위협 대응 워크플로우로 통합하여 효과적으로 조정하게 해주는 소프트웨어 솔루션입니다.
거대 조직의 보안 운영 센터(SOC)에서는 각종 도구를 사용하여 사이버 위협을 추적하고 대응합니다. IBM의 2021년 사이버 레질리언스 조직 연구에서는 설문 조사에 참여한 조직의 29%가 서로 다른 보안 도구와 기술 31~50가지를, 23%는 51~100가지를 배포한 것으로 나타났습니다. 그중에는 서로 효과적으로 연동하도록 설계되지 않은 도구도 있는 만큼, SOC에서 각각의 보안 사고에 대응하려면 이들을 직접 통합해야 합니다.
SOC는 SOAR 플랫폼을 단일 중앙 콘솔로 활용하면서 여러 도구를 통합하여 최적화된 위협 대응 워크플로우를 구성하고, 이러한 워크플로우에 포함된 로우 레벨의 반복적인 태스크를 자동화할 수 있습니다. 아울러 각 도구에서 생성하는 모든 보안 알림도 이 중앙 콘솔에서 관리할 수 있습니다.
SOAR을 통해 알림 분류를 간단히 해결하고 각기 다른 보안 도구를 효과적으로 연동함으로써 SOC에서 평균 탐지 시간(MTTD) 및 평균 대응 시간(MTTR)을 단축하고 전반적인 보안 태세를 강화합니다. 보안 위협 탐지 및 대응 속도를 높여 사이버 공격의 영향을 완화합니다. IBM 2022 데이터 유출 사고 비용 보고서에 의하면, 데이터 유출의 라이프사이클이 짧을수록 해당 보안 침해로 인한 비용 부담이 줄어듭니다. 보안 침해가 200일 이내에 해결될 경우, 200일 이상 경과할 때보다 평균 USD 112만을 덜 부담하게 됩니다.
SOAR 기술은 앞선 세대의 보안 도구 3가지가 통합하여 탄생했습니다. 2015년에 'SOAR'이라는 용어를 처음 만든 Gartner에 따르면, SOAR 플랫폼은 보안 사고 대응 플랫폼, 보안 오케스트레이션 및 자동화 플랫폼, 위협 인텔리전스 플랫폼의 기능을 하나의 오퍼링으로 통합한 것입니다.
현대 SOAR 솔루션의 작동 원리를 이해하려면, 그 핵심 기능으로 나누어 살펴보는 게 좋습니다. 바로 보안 오케스트레이션, 보안 자동화, 사고 대응입니다.
"보안 오케스트레이션(Security Orchestration)"이란 SOAR 플랫폼이 해당 기업의 보안 시스템에서 하드웨어 및 소프트웨어 도구를 연결하고 연동하는 방식을 가리킵니다.
SOC에서는 위협 모니터링 및 대응을 위해 다양한 솔루션, 즉 방화벽, 위협 인텔리전스 피드, 엔드포인트 보호 도구 등을 사용합니다. 단순한 보안 프로세스에 여러 가지의 도구를 사용하기도 합니다. 이를테면 어떤 피싱 이메일을 조사하는 보안 분석가가 위협을 식별, 이해, 해결하려면 보안 이메일 게이트웨이, 위협 인텔리전스 플랫폼, 안티바이러스 소프트웨어가 필요할 수 있습니다. 이러한 도구는 대개 서로 다른 벤더가 제공한 것으로, 통합이 수월하지 않을 수 있습니다. 그러면 분석가가 직접 여러 도구를 오가면서 작업해야 합니다.
SOC에서 일관성 있고 반복 가능한 보안 운영(SecOps) 워크플로우의 형태로 이러한 도구를 통합하는 데 SOAR을 활용할 수 있습니다. SOAR에서는 보안 도구(및 기타 도구)를 연결하는 데 애플리케이션 프로그래밍 인터페이스(API), 사전 구축형 플러그인, 맞춤형 통합 기능을 사용합니다. 이러한 도구를 통합한 다음 SOC에서 플레이북에 따라 그 활동을 조정할 수 있습니다.
플레이북이란 보안 분석가가 위협 탐지, 조사, 대응과 같은 표준 보안 프로세스의 단계를 개괄적으로 정리하는 데 활용할 수 있는 프로세스 맵입니다. 플레이북에서 여러 도구와 애플리케이션을 다룰 수도 있습니다. 완전히 자동화되었거나 100% 수동이거나 자동 태스크와 수동 태스크의 조합일 수도 있습니다.
SOAR 보안 솔루션은 시간 소모적이고 반복적인 로우 레벨의 태스크, 즉 지원 티켓 시작/종료, 이벤트 보완, 알림 우선순위 지정 등을 자동화할 수 있습니다. SOAR에서 통합된 보안 도구의 자동화된 작업을 시작할 수도 있습니다. 따라서 보안 분석가가 플레이북 워크플로우를 활용하여 여러 도구를 연결한 다음 더 복잡한 보안 운영 자동화를 수행하는 것도 가능합니다.
예컨대 SOAR 플랫폼에서 보안 침해가 일어난 노트북에 대한 조사를 어떻게 자동화할 수 있을까요? 뭔가 잘못되었음을 알리는 첫 번째 신호는 엔드포인트 탐지 & 대응(EDR) 솔루션에서 보냅니다. 여기서 해당 노트북의 의심스러운 활동을 찾아냅니다. EDR에서 SOAR에 알림을 보내고, 그러면 SOAR에서 사전 정의된 플레이북을 실행하기 시작합니다. 먼저 SOAR에서 해당 사고에 대한 티켓을 엽니다. 통합된 위협 인텔리전스 피드 및 기타 보안 도구의 데이터로 알림을 보완합니다. 그런 다음 SOAR에서 자동 대응을 실행합니다. 이를테면 네트워크 탐지 & 대응(NDR) 도구를 시작하여 문제의 엔드포인트를 격리하거나, 안티바이러스 소프트웨어를 실행하여 악성 코드를 찾아내 제거합니다. 마지막으로, SOAR에서 보안 분석가에게 티켓을 전달하면, 분석가는 해당 사고가 해결되었는지 아니면 사람의 개입이 필요한지를 결정합니다.
어떤 SOAR에는 인공지능(AI) 및 머신 러닝이 구현되어 있습니다. 그러면 보안 도구에서 보낸 데이터를 분석한 다음 향후 해당 위협을 처리할 방법을 조언합니다.
SOAR은 오케스트레이션 및 자동화 기능 덕분에 보안 사고 대응에서 중앙 콘솔의 역할을 할 수 있습니다. 보안 분석가는 여러 도구를 오갈 필요 없이 SOAR에서 사고를 조사하고 해결하면 됩니다.
위협 인텔리전스 플랫폼처럼 SOAR도 외부 피드 및 통합된 보안 도구로부터 각종 지표와 알림을 가져와 중앙의 단일 대시보드에 취합합니다. 분석가는 다양한 소스의 데이터를 대상으로 상관관계를 파악하고, 오탐지를 필터링하고, 알림의 우선순위를 정하고, 현재 직면한 구체적인 위협을 확인할 수 있습니다. 그런 다음 분석가는 올바른 플레이북을 실행하면서 대응합니다.
SOC에서 사후 감사, 그리고 더 선제적인 보안 프로세스를 위해 SOAR 도구를 활용할 수도 있습니다. 보안 팀은 SOAR 대시보드를 통해 특정 위협이 네트워크를 침투한 경위, 향후 이와 비슷한 위협을 차단하는 방법 등을 알아볼 수 있습니다. 물론 보안 팀은 들키지 않고 현재 활동 중인 위협을 찾아내고 위협 추적 활동의 방향을 올바르게 조정하는 데에도 SOAR 데이터를 활용합니다.
SOAR 플랫폼에서는 각종 보안 도구를 통합하고 태스크를 자동화함으로써 주요 보안 워크플로우, 즉 케이스 관리, 취약성 관리, 사고 대응 등을 더 효율적으로 수행할 수 있습니다. 이러한 효율화로 다음과 같은 이점을 누립니다.
SOC에서 매일 수백, 또는 수천 개의 보안 알림을 다뤄야 할 수도 있습니다. 그로 인해 알림 피로(alert fatigue)가 커져 분석가가 위협 활동의 중요 신호를 놓칠 우려가 있습니다. SOAR에서 보안 데이터를 중앙에 통합하고 이벤트를 보완하고 대응을 자동화하면 알림 관리가 더 수월해질 수 있습니다. 그러면 SOC에서 더 많은 알림을 처리하고 대응 시간을 단축할 수 있게 됩니다.
SOC에서 주요 위협에 대한 표준 확장형 사고 대응 워크플로우를 정의하는 데 SOAR 플레이북을 활용할 수 있습니다. 보안 분석가가 케이스별로 위협을 다루기보다는 적합한 플레이북을 실행하여 효과적으로 해결하는 것입니다.
SOC에서 SOAR 대시보드를 활용하여 각자의 네트워크 및 직면한 위협에 관한 인사이트를 확보할 수 있습니다. 이러한 정보는 SOC에서 오탐지를 찾아내고, 더 효과적으로 알림의 우선순위를 지정하고, 정확한 대응 프로세스를 선택하는 데 도움이 됩니다.
SOAR에서 보안 데이터 및 사고 대응 프로세스를 중앙화하므로, 분석가들의 공동 조사가 가능해집니다. SOAR은 SOC에서 외부 관계자, 즉 HR 부서, 법무팀, 법 집행 기관 등과 보안 지표를 공유하는 것도 지원합니다.
SOAR, SIEM 및 XDR 툴이 몇 가지 핵심 기능을 공통적으로 가지고 있으나, 저마다 고유한 기능과 사용 사례가 있습니다.
보안 정보 및 이벤트 관리, 즉 SIEM(Security information and event management) 솔루션은 내부 보안 도구로부터 정보를 수집하고 중앙 로그에 취합한 다음 이상 요인에 플래그를 지정합니다. SIEM은 주로 방대한 보안 이벤트 데이터를 기록하고 관리하는 데 쓰입니다.
SIEM 기술은 처음에 컴플라이언스 보고 툴로 개발되었습니다. SOC에서 SIEM을 도입한 것은 SIEM 데이터로부터 사이버 보안 운영에 필요한 정보를 얻을 수 있음을 알게 되었기 때문입니다. SOAR 솔루션은 더 나아가 대부분 표준 SIEM에 없는 보안 중심의 기능, 즉 오케스트레이션, 자동화, 콘솔 기능 등을 추가하기 시작했습니다.
확장형 탐지 및 대응, 즉 XDR(Extended detection and response) 솔루션은 엔드포인트, 네트워크, 클라우드로부터 보안 데이터를 수집하고 분석합니다. SOAR과 마찬가지로 보안 사고에 자동으로 대응할 수 있습니다. 그러나 XDR에서는 SOAR보다 더 복잡하고 포괄적인 사고 대응 자동화가 가능합니다. 그리고 XDR은 보안 통합을 간소화할 수 있습니다. 대체로 SOAR 통합보다 더 적은 수준의 전문성이나 비용으로도 가능합니다. 어떤 XDR은 사전 통합된 형태의 단일 벤더 솔루션입니다. 이와 달리 여러 벤더의 보안 툴을 연결할 수 있는 것도 있습니다. XDR은 대개 실시간 위협 탐지, 사고 분류, 자동 위협 추적에 쓰입니다.
거대 기업의 SecOps 팀에서는 이 툴들을 함께 사용하는 경우가 많습니다. 그러나 공급업체에서 위협에 대응할 수 있는 SIEM 솔루션, SIEM처럼 데이터 로깅 기능을 갖춘 XDR 등을 내놓으면서 그 경계가 모호해지고 있습니다. SOAR이 그 전 세대 도구를 통합한 것처럼 언젠가는 XDR이 나머지 도구를 흡수할 것으로 내다보는 보안 전문가도 있습니다.
IBM® Security QRadar SOAR은 보안 팀에서 자신 있게 사이버 위협에 대응하고, 인텔리전스를 접목해 자동화하며, 일관성 있게 협업하도록 지원합니다.
IBM® Security QRadar XDR 제품군은 위협을 더 빨리 탐지하고 제거할 수 있도록 여러 툴을 포괄하는 단일 통합 워크플로우를 제공합니다.
사고 대응 계획을 더 발전시키고 사고 대응을 위한 팀, 프로세스, 통제 기능을 준비하여 보안 침해의 영향을 최소화하도록 지원합니다.