SOAR 운영의 핵심 KEY는 ‘스마트 플레이북’
SOAR(Security Orchestration, Automation and Response)는 2017년 가트너가 진화하는 다양한 사이버 위협에 효율적으로 대응하기 위해 처음 정의한 개념이다. 최근 SOAR는 조직의 인프라 전반에 걸쳐 ‘보안의 복잡성을 푸는 열쇠’로 업계의 주목을 받고 있지만, 정작 대다수 보안 담당자는 SOAR가 정확히 무엇이며, 어떤 기능을 하는지 잘 알지 못한다.
SOAR는 결코 단순한 솔루션이 아니다. 구축이 까다롭고, 관제 및 운영 시스템을 구성하고 통합하는 난이도가 상당히 높기 때문에 SOAR에 대한 이해는 반드시 필요하다. SOAR의 개념 및 기능과 더불어, 성공적인 SOAR 도입과 운영에 필요한 스마트 플레이북에 대해서도 알아보자.
SOAR는 왜 탄생했을까?
SOAR가 등장한 가장 큰 이유는 보안 관제 업무가 폭증했기 때문이다. 조직이 고도화되는 위협에 대비해 다양한 보안 장비를 도입함에 따라, 네트워크 및 보안 서비스의 규모는 갈수록 커지고 있으며, 보안 이벤트 역시 기하급수적으로 늘어났다. 이로 인해 단순하고 반복적인 업무가 증가했다.
보안 솔루션의 수가 증가한 만큼, 보안 담당자들은 여러 가지 위협에 대한 ‘탐지’는 가능하지만, 비즈니스를 위협하는 이벤트를 선별하고 분석하는 데 어려움을 겪고 있다. 또한, 사일로화된 무수히 많은 보안 툴은 위협에 대한 가시성과 민첩성, 보안 운영 효율성을 제한하고, 대응 시간을 늦춘다.
1) 가트너가 정의한 SOAR
이 문제를 해결하기 위해 등장한 것이 바로 SOAR다. SOAR는 보안 오케스트레이션, 자동화를 구현하는 대응 플랫폼이다. 가트너의 정의에 따르면, SOAR는 ▲보안 오케스트레이션 및 자동화(Security Orchestration and Automation, SOA), ▲보안 사고 대응 플랫폼(Security Incident Response Platform, SIRP), ▲위협 인텔리전스 플랫폼(Threat Intelligence Platform, TIP)의 모든 기능을 단일 플랫폼에서 제공한다는 개념이다.
2) 오케스트레이션과 플레이북
SOAR의 핵심은 ‘시큐리티 오케스트레이션’과 ‘플레이북(Playbook)’이다. 오케스트레이션은 위협 대응 프로세스의 효율성을 높이기 위해 이기종의 보안 장비를 통합하는 것을 의미한다. 관현악에 비유하면, 오케스트라의 지휘자가 연주자들이 악기를 조율하도록 지시하는 것과 같다. 이때 악기가 내는 다양한 소리를 조화시키는 역할은 악보가 담당한다.
SOAR에도 이런 악보의 역할을 수행하는 ‘플레이북(Playbook)’이 있다. SOAR는 이 플레이북을 기반으로 작동한다. 플레이북은 위협 유형별 대응을 위한 솔루션, 업무 절차, 위협 정보 등의 요소들을 하나의 과정으로 묶어 매뉴얼화한 것이다. SOAR는 플레이북을 통해 보안 위협의 우선순위에 따라 대응 레벨을 자동으로 분류하며, 표준화된 업무 프로세스를 지원한다.
오케스트레이션과 플레이북은 조직 내부의 인프라 전반에 걸쳐 위협을 체계적으로 관리하고 대응하는 데 매우 중요한 역할을 한다. 이 두 기능을 모두 지원하는 SOAR의 도입은 이제 필요를 넘어 필수이다.
SOAR와 SIEM의 차이
아직까지도 많은 보안 담당자들이 SOAR와 보안 정보 및 이벤트 관리(Security Information and Event Management, SIEM) 시스템을 혼동한다. SOAR와 SIEM은 상호 보완적인 관계에 있지만, 엄연히 다른 솔루션이다.
먼저, SIEM은 기본적으로 수집과 탐지에 중점을 둔 시스템이다. 다양한 보안 툴에서 발생하는 로그 등의 보안 관련 데이터를 수집하고 분석하되, 실질적인 조치는 취하지 않는다. 보안 위협을 실시간으로 모니터링하고 경보를 생성하며, 대시보드를 제공하는 수준에 그친다.
반면, SOAR는 대응과 SIEM이 선별한 대응 이벤트를 어떻게 처리할지가 관건인 시스템이다. SOAR는 여러 보안 솔루션을 하나의 인터페이스로 관리하고, 플레이북을 통해 보안 인시던트의 우선순위를 지정한다. 또, 이기종 보안 장비에서 데이터를 수집하고 분석하는 단순 및 반복 작업을 자동화함으로써 보안 관제 업무를 줄인다.
보안 운영을 개선하려면 최우수 성능의 SIEM과 SOAR를 유기적으로 연동하는 것이 가장 이상적이다.
[그림 1] SOAR와 SIEM의 관계성
SOAR 구축 시 겪는 현실적인 어려움
조직은 SOAR를 도입할 때 종종 실패를 경험하고는 한다. 그 이유는 바로 단순 솔루션 구축으로 접근하는 데 있다.
대다수 조직이 ‘TO-BE’ 경험이 부족해 몇 개의 플레이북과 연동 장비가 필요한지에 대해 전혀 모르는 상태에서 SOAR 사업을 시작한다. 그 결과, 플레이북의 개수가 방대해지고, 이에 따라 구축 기간이 연장되는 곤란한 상황이 발생한다.
또한, 공공 및 민간 기관에서 아마추어식으로 구축한 낮은 품질의 SOAR는 관제 체계를 수용하지 못한다. 예를 들어, 기존 SIEM에 운영 프로세스를 녹이기 위해 전문 툴을 사용하지 않고 플레이북을 SIEM의 기능이 조금 더 확장된 형태로만 제작한다. 이 경우, SOAR는 본연의 기능을 수행하지 못한다.
이 외에, 우여곡절 끝에 플레이북을 구축했지만 수작업보다도 느린 최악의 사태가 벌어지기도 한다. 플레이북은 상황에 따라 사용자의 수동 결정을 요구하는 절차를 시나리오에 추가할 수 있는데, 이런 동작을 남발하면 자동화를 구현할 수 없다. 또는 그 반대로, 자동화 기능에만 집중하고 보안 운영 센터(Security Operation Center, SOC)의 운영 절차를 고려하지 않는 경우에도 문제가 발생한다.
이에 안랩은 크게 3가지 해결 방안을 제시한다. 첫째, 체계화된 절차를 사전에 정의하는 SOAR 방법론을 기반으로 구축하는 것이다. 먼저, 현재 운영 중인 체계와 업무 현황, 물리적 환경을 파악하고, 플레이북 시뮬레이션을 통해 오류를 미리 확인하고 예방함으로써 예상과 유사한 결과를 도출할 수 있다.
둘째, SIEM과 별개로 전문 SOAR 솔루션을 도입해야 한다. SOAR의 완성도가 떨어지면 아무리 좋은 플레이북을 만든다고 해도 정상적인 운영이 어렵다. 따라서 SOAR가 그 자체로서 기능을 제대로 수행하는지 면밀히 검토해야 한다. 또한, 새로운 형태의 플레이북을 만들거나, 플레이북의 기존 처리 흐름을 바꿔야 하는 경우에 대비해 완성도가 높은 플레이북 제작 툴도 필요하다.
셋쨰, 컨설턴트의 도움을 받는 것도 좋다. 물론 수년간 SOC를 운영하며 내공을 쌓은, 관제 경험이 풍부한 컨설턴트여야 한다.
안랩이 제시하는 스마트 플레이북 2.0
플레이북은 적어도 지금보다는 미래지향적으로 진화할 필요가 있다. 그런 관점에서 안랩은 오랜 기간 동안 축적해온 경험과 노하우를 기반으로 하는 ‘스마트 플레이북 2.0’을 제시한다.
스마트 플레이북 2.0의 핵심은 미리 제작된 플레이북을 구독할 수 있어야 하고, 주기적으로 업데이트해야한다는 것이다. 더 구체적으로, 전문가가 제공하는 다양한 대응 플레이북은 사용자가 간단한 클릭 만으로 사용할 수 있어야 하며, 업데이트를 통해 신규 위협에 최적화된 시나리오를 배포해야 한다. 또한, 방대한 데이터에 기반한 딥러닝(DL) 탐지 엔진을 접목하는 등 인텔리전스를 최대한 활용해 완전한 자동화를 구현해야 한다.
[그림 2] 스마트 플레이북 2.0이 적용된 AhnLab SOAR
안랩은 자체 개발한 스마트 플레이북 2.0을 플레이북, 앱 등을 포함한 컨텐츠 팩 형태로 AhnLab SOAR 및 AhnLab SOAR Basic을 통해 주기적으로 무상 제공한다. 이 컨텐츠 팩은 무상으로 배포된다.
안랩의 스마트 플레이북은 On/Off 형태로 손쉽게 사용할 수 있으며, 20명이 넘는 보안 시나리오 전담 인력이 운영한다. 스마트 플레이북이 커버할 수 없는 시나리오에 대해서는 기존 플레이북 제작 툴을 활용해 새로운 플레이북을 만들어 대응할 수 있다.
더 나아가, 안랩은 플레이북의 완전한 자동화를 위해 AhnLab SOAR에 인공지능(AI) 엔진 2개와 대응 자동화를 판별하는 스코어링을 제공한다.
첫번째 AI 엔진인 ASA는 공격 페이로드를 분석하고, 마이터어텍(MITRE ATT&CK)의 TTP(Tactic, Technique, Procedure)를 기반으로 안랩이 재정의한 144개 탐지 분류와 확률을 제공한다. 또, 과거의 유사한 페이로드의 공격 구문을 바탕으로 공격에 대해 설명할 수 있는 AI를 구현했다. 이는 안랩의 SOC 전문가가 다년간 분석한 데이터셋을 기반으로 하는 머신러닝(ML)을 통해 가능하다.
두번째 AI 엔진은 새로운 공격이 발생했을 때 기존 공격 패턴 학습을 통해 체인 룰(Chain Rule)을 구성하고, 다음 공격을 예측한다. 여기서 체인 룰이란 대용량(Large Scale) 데이터마이닝 기술을 통해 위협 패턴을 정의하고, 각 패턴의 상관관계를 시간 축과 공간 축으로 연결한 알고리즘이 핵심 원리이다. 이런 기법을 통해 다음 공격의 방법과 위치 추천을 통해 피해 확산 방지가 가능하다.
AhnLab SOAR는 이런 AI 및 ML 기반 정보들을 플레이북에 모아 스코어를 기반으로 위험도를 산출하고, 사용자 개입을 최소화한다.
[그림 3] 스마트 플레이북 2.0 기반 아키텍처 시각화
플레이북은 조직의 관제 환경에 최적화되지 못하면 그 기능을 상실한다. 따라서 중장기적인 관제 프로세스를 혁신하기 위한 과정의 일부로 SOAR 도입 전략을 수립해야 한다. SOC는 스마트 플레이북 2.0을 도입하면 보다 더 촘촘하고 강력한 방어 체계를 구현할 수 있을 것으로 기대된다. 이로써 미래지향적인 SOC가 완성되는 것이다.
보다 자세한 내용은 AhnLab ISF 2023의 발표 세션 영상을 통해 확인할 수 있다.
- AhnLabSOAR플랫폼팀 김재열 팀장
