[컴퓨터월드] 최근 보안 시장에도 자동화 바람이 불고 있다. 현재 많은 조직에서 지능화되는 사이버 위협에 대응하기 위해 다양한 솔루션을 도입하고 있다. 하지만 너무 많은 솔루션을 도입할 경우 업무 증가와 더불어 인력 전문성 및 숙련도의 한계와 편차 등 문제를 야기하고 있다.

이런 문제의 해결방안으로 ‘보안 오케스트레이션·자동화 및 대응(SOAR: Security Orchestration, Automation and Response)’ 솔루션이 떠오르고 있다. 많은 보안 기업들이 솔루션을 출시, 개화되는 시장을 선점하기 위해 치열한 경쟁을 벌이고 있다. 특히 글로벌 기업들은 활발한 인수합병을 통해 솔루션을 선보이고 있다. 국내 기업 중에는 안랩이 자사의 노하우를 반영한 솔루션을 공급하고 있다. SOAR 솔루션 시장 트렌드를 살펴본다.

다양한 보안 솔루션 연동 및 업무 자동화로 효율성 향상

지능화되는 사이버 위협에 대응하기 위해 다양한 보안 솔루션이 등장하고 있다. 하지만 보안 솔루션의 증가는 보안 담당자의 과중한 업무 부담으로 이어지고 있다. 또한 보안 인력의 경력, 전문성 등의 편차도 보안 업무를 효율화하는 데 걸림돌이 되고 있다.

보안 업계에서는 이런 문제점을 극복하기 위해 다양한 방안을 모색하고 있다. 그 중 최근 대안으로 주목받고 있는 것이 ‘보안 오케스트레이션·자동화 및 대응(SOAR: Security Orchestration, Automation and Response)’이다.

SOAR는 보안 시스템 운영 시 유입되는 사이버 위협에 대한 대응 레벨을 자동으로 분류하고, 표준화된 업무 프로세스에 따라 사람과 기계가 유기적으로 협력해 대응역량을 높일 수 있도록 지원하는 플랫폼을 의미한다.

SOAR라는 개념은 2017년 가트너가 처음 제시했다. 가트너는 ‘SOAR’의 주요 기능으로 ▲다양한 보안 솔루션과 연동 ▲보안 업무 자동화 ▲SOC 업무 중 리포트 및 대시보드 통합 등을 꼽았다. 자세히 살펴보면 SOAR는 작업, 프로세스, 정책 실행 및 리포팅을 자동화하고 보안 솔루션들을 오케스트레이션할 수 있어야 한다. 더불어 보안 취약점에 대한 조치 및 작업, 리포팅, 협업도구를 형상화해야 하며, 보안사고에 대해 계획, 관리, 추적해 대응할 수 있는 기술이 적용돼야 한다.

SOAR 솔루션 구축하면 ▲운영 활동에 대한 우선순위 구분 ▲우선순위 및 위협 대응 형상화 ▲작업 프로세스 자동화 등 이점을 얻을 수 있다. SOAR는 다양한 보안 솔루션에서 발생하는 위협 알람과 IT 시스템 운영 시 발생하는 데이터를 통합할 수 있으며, 보안 이벤트의 가시성을 높이고 중요도를 구분해 사이버 위협에 대응할 수 있다.

또한 최신 보안 위협 사례를 기반으로 발생한 보안 사고를 평가해 격리, 치료 등의 조치를 취할 수 있다. 이를 통해 한정된 자원, 과다한 보안 업무의 환경에서도 빠르게 사이버 위협에 대응하고 문제를 해결하는 등 업무 효율성을 높일 수 있다. 이외에도 시간이 많이 소요되고 단순 반복적인 업무를 자동화해, 보안 인력이 위협 헌팅과 같은 더 높은 수준의 보안 업무에 집중할 수 있도록 돕는다.

김기환 포티넷코리아 이사는 “보안 관제 업무에 종사하면서 느낀 점은 ‘관제 업무가 크게 변화하지 않는다’는 것이다. 모니터링을 통해 이벤트를 수집하고, 이를 분석해 위협을 탐지·대응하는 것에서 벗어나지 않는다. 하지만 최근 보안 솔루션의 증가 등으로 보안 로그가 폭증하고 있으며, 보안 인력이 이에 대응하는 데 한계가 나타나고 있다. 더불어 보안 운영 비용 역시 빠르게 증가하고 있다. 이런 이유로 시장에서는 자동화를 통해 보안 업무의 효율성을 높이고 운영 비용을 절약하고자 하는 요구가 증가하고 있다”고 말했다.

2023년 글로벌 SOAR 시장 5억 5천만 달러로 전망

SOAR 솔루션이 기업 내 보안 솔루션 종류 증가, 보안 전문 인력 부족 등의 문제를 해결할 수 있는 대안으로 각광받으면서, 시장 역시 고성장이 전망되고 있다. 가트너는 ‘SOAR 마켓 가이드’를 통해 오는 2023년까지 글로벌 SOAR 시장이 5억 5천만 달러(약 6,790억 원)에 달할 것으로 전망했다. 또한 2022년 말까지 5명 이상의 보안팀을 보유하고 있는 조직의 30%는 SOAR 솔루션을 도입할 것으로 예측했다(현재는 5% 미만).

글로벌 시장에서는 공공, 금융, 제조 등 다양한 분야에서 SOAR에 대한 관심을 나타내고 있다. 특히 보안에 대한 투자가 많고, 보안관제센터를 운영하고 있는 기업들로부터 수요가 발생하고 있다.

국내시장에서도 SOAR 솔루션에 대한 관심이 높아지고 있다. 한국인터넷진흥원(KISA)은 ‘2019년 보고서’를 통해 최근 보안 제품들간 연계의 중요성이 높아지면서 SOAR가 각광받고 있다고 밝힌 바 있다. 해당 보고서에서는 RSA 컨퍼런스를 리뷰하며, ‘글로벌 트렌드가 통합 보안 관제(SIEM: Security Information & Event Management)를 넘어 SOAR로 넘어가고 있다’고 설명했다.

보고서에 따르면 RSA 2019 컨퍼런스에 참여한 SIEM 업체는 42개였다. 반면 새로 생성된 부류인 SOAR 솔루션으로 등록한 업체는 56개로, 많은 기업들이 SOAR 기업을 표방하고 있는 것으로 나타났다. 이 기업들은 ▲룰(Rule) 자동 제공 ▲대응 자동화 등 자동화 기능의 중요성을 강조했다. 또한 올해 2월 진행된 RSA 2020 컨퍼런스에서도 SOAR 솔루션은 주요 키워드로 선정됐다.

<관련 뉴스> 포티넷코리아, ‘AI 중심의 보안 운영’ 등 4가지 전략으로 국내 공략 구축형 인공지능 어플라이언스 ‘포티AI’와 ‘포티SOAR’ 등 포트폴리오 강화 프티넷코리아(대표 조원균)가 ‘AI 중심의 보안 운영(AI-Driven Security Operation)’ 등 4가지 전략을 내세우고 있다. 포티넷코리아가 제시한 ‘AI 중심의 보안 운영’ 전략은 구축형 인공지능 어플라이언스 솔루션 ‘포티AI(Forti AI)’, ‘포티SOAR(Forti SOAR)’, ‘포티EDR(Forti EDR)’로 신규 수요를 창출한다는 것이다. ‘포티AI’는 셀프러닝 심층신경망 기술을 활용해 사이버 위협 교정의 속도를 높이고 보안 분석 업무를 자동화해 처리할 수 있다. ‘포티AI’에 적용된 ‘버추얼 시큐리티 애널리스트(FortiAI's Virtual Security Analyst)’는 포티넷 산하 보안 연구기관인 포티가드랩(FortiGuard Labs)에서 개발한 사이버보안 AI를 온프레미스 네트워크에 직접 적용해 지능형 위협을 서브-세컨드(초-단위)의 속도로 탐지할 수 있도록 지원한다. 한 예로 포티넷 자체 테스트 결과 샌드박스 솔루션 ‘포티SA’는 사이버 위협 탐지에 약 180초가 소요됐다면, ‘포티AI’는 1초 이내에 해당 사이버 위협을 탐지했다. ‘포티AI’의 주요 특징은 망 분리된 네트워크에도 적용 가능한 구축형 AI를 제공한다는 것이다. 셀프러닝 AI 모델을 사용하는 ‘포티AI’는 학습을 위해 인터넷 연결이 필요하지 않기 때문에 폐쇄된 환경이나 엄격한 보안 정책을 가진 조직 환경에도 적용할 수 있다. 포티넷은 ‘포티AI’를 기반으로 ▲포티가드랩 위협 인텔리전스 ▲포티샌드박스 ▲포티EDR ▲포티인사이트 ▲포티SIEM 등 솔루션을 업그레이드했다. ‘포티SOAR’는 다양한 보안 제품의 경보를 통합 및 심사해 보안운영센터(SOC)의 효율성을 높인다. 또한 분석 및 반복 작업을 자동화해 제한적인 자원을 절약하고, 정의된 플레이북을 통해 보안 사고에 실시간 대응할 수 있도록 지원한다. 포티넷은 SOAR 솔루션 관련 역량을 확보하기 위해 지난해 말 사이버스폰스(CyberSponse)를 인수했다. 이를 통해 ▲분산된 멀티-테넌시(multi-tenancy)를 지원하는 엔터프라이즈급의 확장 가능한 아키텍처 ▲325개 이상의 커넥터 ▲200개 이상의 바로 사용이 가능한 플레이 북 ▲ROI 또는 절감 측정 툴(savings measurement tool)을 포함한 사례 관리 모듈 등을 제공하는 ‘포티SOAR’를 ‘포티넷 보안 패브릭(Fortinet’s Security Fabric)’에 추가했다. ‘포티SOAR’는 특히 운영 편의성을 위해 GUI로 대시보드를 구성한 것이 특징이다. 타사 SOAR 솔루션의 경우 보안 정책 등을 설정하기 위해 스크립트를 짜야 하지만, ‘포티SOAR’는 GUI를 통해 간편하게 정책을 설정하고, 보안 업무 프로세스를 구성할 수 있다. 이를 활용하면 구축 기간 및 비용을 절약할 수 있으며, 운용 편이성이 향상돼 TCO를 향상시킬 수 있다. 한편 ‘AI 중심의 보안 운영’ 외 3가지 전략은 ▲보안-중심의 네트워킹(Security-Driven Networking) ▲동적 클라우드(Dynamic Cloud) ▲제로-트러스트 네트워크 액세스(Zero-Trust Network Access) 등이다.

인수합병 통해 SOAR 역량 확보나선 글로벌 기업

시장 확대가 확실시되는 상황에서 글로벌 보안 기업들이 SOAR 솔루션을 속속 출시하고 있다. 파이어아이, 팔로알토네트웍스, 포티넷 등 보안 기업뿐만 아니라, 마이크로소프트, IBM, 스플렁크 등 IT 기업들도 SOAR 시장에 진출하고 있다.

SOAR 시장의 특징은 오케스트레이션·자동화 및 대응에 의미를 부여하고 있는 만큼, 많은 기업들간의 협업 및 연동이 이뤄지고 있다. 특히 IBM, 스플렁크 등 경쟁 업체 간에 통합이 진행되고 있다는 점은 주목할만하다.

협업 및 연동이 활발한 만큼, 인수합병도 활발하다. 파이어아이는 힐릭스(Helix) 및 베로딘(Verodin)을, 팔로알토네트웍스는 데미스토(Demisto)를 인수해 SOAR 솔루션을 선보였으며, 포티넷은 사이버스폰스(CyberSponse)를 인수해 ‘포티넷 보안 패브릭(Fortinet’s Security Fabric)’을 SOAR 솔루션까지 확장했다.

이 외에도 ▲IBM은 리질리언트시스템즈(Resilient Systems) ▲스플렁크는 팬텀 사이버 코퍼레이션(Phantom Cyber Corporation) ▲마이크로소프트는 헥사다이트(Hexadite)를 인수해 SOAR 솔루션을 선보이고 있다.

국내에서는 안랩이 유일하게 SOAR 솔루션 ‘안랩 세피니티 에어(AhnLab Sefinity AIR: Advanced Incident Response)’를 출시했다. 안랩은 ▲보안 관제 노하우를 반영해 대응 프로세스를 표준화한 플레이북 ▲안랩 주요 솔루션과의 연동 기능 ▲머신러닝 기반 분석 엔진 등을 강점으로 내세우고 있다.

<솔루션 소개> 안랩 관제 노하우 접목된 SOAR 솔루션 ‘안랩 세피니티 에어’ 안랩의 SOAR솔루션 ‘안랩 세피니티 에어’는 국내 기업 중 처음으로 SOAR 개념을 도입한 보안 운영 플랫폼이다. ‘안랩 세피니티 에어’의 주요 기능은 ▲안랩의 축적된 보안관제 노하우를 집약해 위협 종류, 상황별 대응 프로세스를 표준화한 ‘플레이북(Playbook)’ 제공 및 대응 자동화 ▲전체적 관점의 보안 운영(Orchestration)을 위한 안랩 엔드포인트 솔루션 및 주요 보안 솔루션과 연동 기능 ▲위협종류 분별 및 정오탐 식별을 자동화하는 머신러닝 기반 ASA(Advanced Security Analytics) 엔진 등이다. ‘안랩 세피니티 에어’는 다년간 축적된 안랩의 위협 대응 시나리오 바탕으로 설계된 플레이북을 제공한다. 이를 기반으로 자동화된 대응 절차를 지원하기 때문에 보안 담당자의 경험과 전문성에 따른 편차없이 일정한 품질 이상의 보안위협 대응수준을 유지할 수 있다는 것이 강점이다. 또한 보안/비보안 솔루션 연동으로 수집되는 다양한 영역의 보안위협 데이터를 하나의 화면에서 탐색하고 처리할 수 있고, 고객사별 환경에 맞게 프로세스를 최적화할 수도 있어 전반적인 보안위협 대응과 운영 업무의 효율성을 높일 수 있다. 안랩 관계자는 “안랩은 변화하는 고객 환경에 대응하기 위해 꾸준히 제품 콘텐츠를 업그레이드 하고 있다. 안랩이 현장에서 수행하는 보안위협 대응을 바탕으로 최신 보안위협 정보를 수집하고, 대응 절차 수립, 자동화 프로세스, 관제 연동 등 제품 역량을 강화하고 있다. 이외에도 클라우드, 운영기술(OT) 환경에서도 SOAR를 활용할 수 있도록 지원하는 연구개발을 진행하고 있다”고 설명했다. 이어 “안랩은 다양한 환경에서 SOAR를 활용할 수 있도록 보안 위협 종류, 상활별 대응 프로세스 표준화와 위협 종류 분별 및 정오탐 식별을 자동화하는 머신러닝 기반 엔진 강화 등 연구 개발을 지속하고 있다”고 덧붙였다.

솔루션 연동 문제 해결해야

인수합병이 활발한 글로벌 시장에 비해 국내는 아직 초기시장이라 할 수 있다. 도입을 위해 테스트를 진행하며 신중하게 접근하고 있는 상황이다. 다만 글로벌 보안 컨퍼런스에서 지속적으로 회자되고 있고 국내 기업 및 기관들도 관련 정보를 지속적으로 공유하고 있는 만큼, 조만간 시장이 크게 확대될 것으로 보인다.

글로벌 기업들은 국내 시장의 성장이 더딘 이유로 국산 보안 솔루션과의 연동 문제를 지적한다. 국산 보안 솔루션의 경우 API가 제한적이기 때문에, 글로벌 제품과의 연동이 어렵다는 것이다. 김기환 포티넷코리아 이사는 “글로벌 시장에서는 얼라이언스 등 협업이 활성화돼 있다. 이를 통해 많은 보안 솔루션이 REST API로 연동된다. 하지만 국산 보안 솔루션은 API를 오픈하지 않기 때문에 연동이 어렵다. 국내에서 프로젝트를 추진하기 위해서는 국내 제품과의 연동 작업을 별도로 진행해야 한다”고 설명했다.

현재 국내 SOAR 시장은 글로벌 기업들이 주도하고 있다. 국산 제품인 ‘안랩 세피니티 에어’가 있지만, 해외 유명 업체와 경쟁하기에는 아직 역부족이다.

글로벌 기업들은 국내 시장이 활성화되기 위해서는 국산 보안 솔루션의 API를 오픈해야 한다고 주장한다. 글로벌 제품과 국산 제품 간 API를 오픈하고 데이터를 확보하는 것이 선행돼야, 국내 상황에 맞게 기술을 발전시킬 수 있다는 것이다. 국내 기업들도 글로벌 트렌드에 따라 협업하는 방안을 모색해야 한다는 이야기다.

한편으론 SOAR를 IT 인프라 전체에 대한 자동화 개념으로 도입해야 한다는 주장도 나오고 있다. 보안 업무 자동화뿐만 아니라 시스템 리소스 사용률 등을 자동으로 관리할 수 있는 방안을 고려한다면 SOAR의 활용범위는 무궁무진할 것이라는 설명이다.

데브옵스와 같이 단계적으로 프로젝트 진행해야

SOAR는 다양한 솔루션 연동을 통해 대응 프로세스의 효율성을 높이는 오케스트레이션과 반복적으로 행해지는 업무 자동화에 초점을 맞춘 솔루션이다. 때문에 소규모 사업체보다, 많은 보안 솔루션을 도입하고 보안팀을 보유한 중·대규모의 조직에서 도입하는 것이 효과적이다.

SOAR 기능을 온전하게 사용하기 위해서는 ▲종류 및 상황별 대응 프로세스를 표준화한 플레이북 ▲UX ▲솔루션 연계 능력 ▲개발 등이 프로젝트에 포함돼야 한다. 하지만 플레이북을 제외한 UX, 개발 등은 기존 보안 조직의 역량과 동떨어지기 때문에, SOAR 벤더의 역할이 중요하다.

김기환 포티넷코리아 이사는 “SOAR를 구축하기 위해서는 자산에서 운영되고 있는 솔루션 연계성을 통해 시나리오를 만들 수 있는 역량, 대응 정책 설정이 선행돼야 한다. 이와 더불어 구축 과정에서 솔루션간 연동을 위한 API 변경 등 인프라 변경 작업이 들어갈 수 있어 개발 역량도 필요하다. 기존 보안 조직만으로는 감당할 수 없는 다양한 역량을 요구하다 보니, 이런 역량을 지원할 수 있는 벤더를 선택해야 한다”고 설명했다.

특히 김기환 이사는 SOAR 솔루션 도입 과정에 있어 데브옵스(DevOps)와 같이 단계적으로 추진하는 것이 중요하다고 강조했다. SOAR 솔루션은 단순 구매 및 설치하면 되는 것이 아니라, 조직에 최적화된 업무 프로세스를 설계하고 자동화하는 과정이 필요하기 때문에 프로젝트 범위 및 결과를 명확하게 설정하고 단계별로 진행해야 한다는 것이다.

SOAR를 도입하는 과정을 살펴보면, 조직 시스템에 대한 형상관리가 선행돼야 한다. 시스템 현황을 파악하고, 이를 연동할 수 있는 방안을 모색한다. 이후 프로젝트 범위를 설정하고 시스템을 구축한다. 이 과정에서 기존에 사용하던 보안 정보 관리(SIM: Security Information Management) 등이 있다면 활용할 수 있다. 특히 기존에 운영하고 있던 시나리오 룰과 위협 대응에 대한 규정이 있다면 쉽게 구축이 가능하다.

전문 인력 부족 문제 해결책 될 수도

IT 업계, 특히 보안 업계에서는 ‘인력이 부족하다’는 말이 심심치 않게 들려온다. 기업 환경에서의 보안의 중요성이 높아짐에 따라 전문 인력에 대한 수요도 당연히 높아지고 있다. 하지만 여전히 공급은 부족한 상황이며, 기업에서 인력을 육성하는 것도 한계가 있다.

이런 관점에서 SOAR 벤더들은 보안 업무를 효율화하고, 투자수익률(ROI: Return on Investment)을 높일 수 있는 솔루션이라는 것을 강조한다. 대응 레벨을 자동으로 분류하고, 표준화된 업무 프로세스에 따라 사람과 기계가 유기적으로 협력할 수 있도록 지원한다는 설명이다. 이를 통해 전문인력이 고부가가치 업무에 집중할 수 있도록 하며, 초급 인력도 자동화 기능을 통해 일정 수준 이상의 업무 성과를 유지할 수 있도록 돕는다.

보안 인력의 부족, 전문성 및 숙련도의 격차 등 문제는 지속적으로 제기돼 왔던 만큼, SOAR 솔루션의 수요는 많을 것으로 생각된다. 다만 아직까지 솔루션 간의 연동 등 해결해야 하는 과제도 남아있는 실정이다. 2022년까지 본격적으로 확산될 것으로 전망되는 SOAR 솔루션의 귀추가 주목된다.