06.03
뉴스홈 > 보안/해킹
[SOAR①] 보안 업무 자동화로 효율성 향상보안분야에도 자동화 바람, ‘SOAR’에 주목

[아이티데일리] 최근 보안 시장에도 자동화 바람이 불고 있다. 현재 많은 조직에서 지능화되는 사이버 위협에 대응하기 위해 다양한 솔루션을 도입하고 있다. 하지만 너무 많은 솔루션을 도입할 경우 업무 증가와 더불어 인력 전문성 및 숙련도의 한계와 편차 등 문제를 야기하고 있다.

이런 문제의 해결방안으로 ‘보안 오케스트레이션·자동화 및 대응(SOAR: Security Orchestration, Automation and Response)’ 솔루션이 떠오르고 있다. 많은 보안 기업들이 솔루션을 출시, 개화되는 시장을 선점하기 위해 치열한 경쟁을 벌이고 있다. 특히 글로벌 기업들은 활발한 인수합병을 통해 솔루션을 선보이고 있다. 국내 기업 중에는 안랩이 자사의 노하우를 반영한 솔루션을 공급하고 있다. SOAR 솔루션 시장 트렌드를 살펴본다.

① 보안 업무 자동화로 효율성 향상
② 글로벌 기업, 인수합병 통해 역량 확보…기업간 협력 강조


다양한 보안 솔루션 연동 및 업무 자동화로 효율성 향상

지능화되는 사이버 위협에 대응하기 위해 다양한 보안 솔루션이 등장하고 있다. 하지만 보안 솔루션의 증가는 보안 담당자의 과중한 업무 부담으로 이어지고 있다. 또한 보안 인력의 경력, 전문성 등의 편차도 보안 업무를 효율화하는 데 걸림돌이 되고 있다.

보안 업계에서는 이런 문제점을 극복하기 위해 다양한 방안을 모색하고 있다. 그 중 최근 대안으로 주목받고 있는 것이 ‘보안 오케스트레이션·자동화 및 대응(SOAR: Security Orchestration, Automation and Response)’이다.

   
▲ SOAR 개요도(출처: 가트너)

SOAR는 보안 시스템 운영 시 유입되는 사이버 위협에 대한 대응 레벨을 자동으로 분류하고, 표준화된 업무 프로세스에 따라 사람과 기계가 유기적으로 협력해 대응역량을 높일 수 있도록 지원하는 플랫폼을 의미한다.

SOAR라는 개념은 2017년 가트너가 처음 제시했다. 가트너는 ‘SOAR’의 주요 기능으로 ▲다양한 보안 솔루션과 연동 ▲보안 업무 자동화 ▲SOC 업무 중 리포트 및 대시보드 통합 등을 꼽았다. 자세히 살펴보면 SOAR는 작업, 프로세스, 정책 실행 및 리포팅을 자동화하고 보안 솔루션들을 오케스트레이션할 수 있어야 한다. 더불어 보안 취약점에 대한 조치 및 작업, 리포팅, 협업도구를 형상화해야 하며, 보안사고에 대해 계획, 관리, 추적해 대응할 수 있는 기술이 적용돼야 한다.

SOAR 솔루션 구축하면 ▲운영 활동에 대한 우선순위 구분 ▲우선순위 및 위협 대응 형상화 ▲작업 프로세스 자동화 등 이점을 얻을 수 있다. SOAR는 다양한 보안 솔루션에서 발생하는 위협 알람과 IT 시스템 운영 시 발생하는 데이터를 통합할 수 있으며, 보안 이벤트의 가시성을 높이고 중요도를 구분해 사이버 위협에 대응할 수 있다.

또한 최신 보안 위협 사례를 기반으로 발생한 보안 사고를 평가해 격리, 치료 등의 조치를 취할 수 있다. 이를 통해 한정된 자원, 과다한 보안 업무의 환경에서도 빠르게 사이버 위협에 대응하고 문제를 해결하는 등 업무 효율성을 높일 수 있다. 이외에도 시간이 많이 소요되고 단순 반복적인 업무를 자동화해, 보안 인력이 위협 헌팅과 같은 더 높은 수준의 보안 업무에 집중할 수 있도록 돕는다.

김기환 포티넷코리아 이사는 “보안 관제 업무에 종사하면서 느낀 점은 ‘관제 업무가 크게 변화하지 않는다’는 것이다. 모니터링을 통해 이벤트를 수집하고, 이를 분석해 위협을 탐지·대응하는 것에서 벗어나지 않는다. 하지만 최근 보안 솔루션의 증가 등으로 보안 로그가 폭증하고 있으며, 보안 인력이 이에 대응하는 데 한계가 나타나고 있다. 더불어 보안 운영 비용 역시 빠르게 증가하고 있다. 이런 이유로 시장에서는 자동화를 통해 보안 업무의 효율성을 높이고 운영 비용을 절약하고자 하는 요구가 증가하고 있다”고 말했다.


2023년 글로벌 SOAR 시장 5억 5천만 달러로 전망

SOAR 솔루션이 기업 내 보안 솔루션 종류 증가, 보안 전문 인력 부족 등의 문제를 해결할 수 있는 대안으로 각광받으면서, 시장 역시 고성장이 전망되고 있다. 가트너는 ‘SOAR 마켓 가이드’를 통해 오는 2023년까지 글로벌 SOAR 시장이 5억 5천만 달러(약 6,790억 원)에 달할 것으로 전망했다. 또한 2022년 말까지 5명 이상의 보안팀을 보유하고 있는 조직의 30%는 SOAR 솔루션을 도입할 것으로 예측했다(현재는 5% 미만).

   
▲ SOAR 유형(출처: 가트너)

글로벌 시장에서는 공공, 금융, 제조 등 다양한 분야에서 SOAR에 대한 관심을 나타내고 있다. 특히 보안에 대한 투자가 많고, 보안관제센터를 운영하고 있는 기업들로부터 수요가 발생하고 있다.

국내시장에서도 SOAR 솔루션에 대한 관심이 높아지고 있다. 한국인터넷진흥원(KISA)은 ‘2019년 보고서’를 통해 최근 보안 제품들간 연계의 중요성이 높아지면서 SOAR가 각광받고 있다고 밝힌 바 있다. 해당 보고서에서는 RSA 컨퍼런스를 리뷰하며, ‘글로벌 트렌드가 통합 보안 관제(SIEM: Security Information & Event Management)를 넘어 SOAR로 넘어가고 있다’고 설명했다.

보고서에 따르면 RSA 2019 컨퍼런스에 참여한 SIEM 업체는 42개였다. 반면 새로 생성된 부류인 SOAR 솔루션으로 등록한 업체는 56개로, 많은 기업들이 SOAR 기업을 표방하고 있는 것으로 나타났다. 이 기업들은 ▲룰(Rule) 자동 제공 ▲대응 자동화 등 자동화 기능의 중요성을 강조했다. 또한 올해 2월 진행된 RSA 2020 컨퍼런스에서도 SOAR 솔루션은 주요 키워드로 선정됐다.

<관련 뉴스>
포티넷코리아, ‘AI 중심의 보안 운영’ 등 4가지 전략으로 국내 공략
구축형 인공지능 어플라이언스 ‘포티AI’와 ‘포티SOAR’ 등 포트폴리오 강화

   
▲ 포티넷 코리아 4가지 핵심 전략(출처: 포티넷)

프티넷코리아(대표 조원균)가 ‘AI 중심의 보안 운영(AI-Driven Security Operation)’ 등 4가지 전략을 내세우고 있다.

포티넷코리아가 제시한 ‘AI 중심의 보안 운영’ 전략은 구축형 인공지능 어플라이언스 솔루션 ‘포티AI(Forti AI)’, ‘포티SOAR(Forti SOAR)’, ‘포티EDR(Forti EDR)’로 신규 수요를 창출한다는 것이다.

‘포티AI’는 셀프러닝 심층신경망 기술을 활용해 사이버 위협 교정의 속도를 높이고 보안 분석 업무를 자동화해 처리할 수 있다. ‘포티AI’에 적용된 ‘버추얼 시큐리티 애널리스트(FortiAI's Virtual Security Analyst)’는 포티넷 산하 보안 연구기관인 포티가드랩(FortiGuard Labs)에서 개발한 사이버보안 AI를 온프레미스 네트워크에 직접 적용해 지능형 위협을 서브-세컨드(초-단위)의 속도로 탐지할 수 있도록 지원한다.

한 예로 포티넷 자체 테스트 결과 샌드박스 솔루션 ‘포티SA’는 사이버 위협 탐지에 약 180초가 소요됐다면, ‘포티AI’는 1초 이내에 해당 사이버 위협을 탐지했다.

‘포티AI’의 주요 특징은 망 분리된 네트워크에도 적용 가능한 구축형 AI를 제공한다는 것이다. 셀프러닝 AI 모델을 사용하는 ‘포티AI’는 학습을 위해 인터넷 연결이 필요하지 않기 때문에 폐쇄된 환경이나 엄격한 보안 정책을 가진 조직 환경에도 적용할 수 있다. 포티넷은 ‘포티AI’를 기반으로 ▲포티가드랩 위협 인텔리전스 ▲포티샌드박스 ▲포티EDR ▲포티인사이트 ▲포티SIEM 등 솔루션을 업그레이드했다.

‘포티SOAR’는 다양한 보안 제품의 경보를 통합 및 심사해 보안운영센터(SOC)의 효율성을 높인다. 또한 분석 및 반복 작업을 자동화해 제한적인 자원을 절약하고, 정의된 플레이북을 통해 보안 사고에 실시간 대응할 수 있도록 지원한다.

포티넷은 SOAR 솔루션 관련 역량을 확보하기 위해 지난해 말 사이버스폰스(CyberSponse)를 인수했다. 이를 통해 ▲분산된 멀티-테넌시(multi-tenancy)를 지원하는 엔터프라이즈급의 확장 가능한 아키텍처 ▲325개 이상의 커넥터 ▲200개 이상의 바로 사용이 가능한 플레이 북 ▲ROI 또는 절감 측정 툴(savings measurement tool)을 포함한 사례 관리 모듈 등을 제공하는 ‘포티SOAR’를 ‘포티넷 보안 패브릭(Fortinet’s Security Fabric)’에 추가했다.

‘포티SOAR’는 특히 운영 편의성을 위해 GUI로 대시보드를 구성한 것이 특징이다. 타사 SOAR 솔루션의 경우 보안 정책 등을 설정하기 위해 스크립트를 짜야 하지만, ‘포티SOAR’는 GUI를 통해 간편하게 정책을 설정하고, 보안 업무 프로세스를 구성할 수 있다. 이를 활용하면 구축 기간 및 비용을 절약할 수 있으며, 운용 편이성이 향상돼 TCO를 향상시킬 수 있다.

한편 ‘AI 중심의 보안 운영’ 외 3가지 전략은 ▲보안-중심의 네트워킹(Security-Driven Networking) ▲동적 클라우드(Dynamic Cloud) ▲제로-트러스트 네트워크 액세스(Zero-Trust Network Access) 등이다.

인기기사 순위
(우)08503 서울특별시 금천구 가산디지털1로 181 (가산 W CENTER) 1713~1715호
TEL : 02-2039-6160  FAX : 02-2039-6163  사업자등록번호:106-86-40304
개인정보/청소년보호책임자:김선오  등록번호:서울 아 00418  등록일자:2007.08  발행인:김용석  편집인:김선오