[아이티데일리] 사이버 위협이 갈수록 지능화되면서 그에 대응하는 보안 솔루션들이 쏟아지고 있다. 그러나 보안 담당자들은 늘어난 솔루션의 종류만큼 업무 역시 나날이 과중해지고 있다며 어려움을 호소하고 있다. 이에 보안 업계는 자동화를 통해 보안 업무의 효율성을 높이고, 나아가 운영 비용까지 절감하고자 그동안 쌓아온 노하우를 기반으로 해결책을 선보였다. ‘보안 오케스트레이션, 자동화 및 대응(Security Orchestration, Automation and Response)’, 줄여서 SOAR로 불리는 솔루션이 주목받는 배경이다.

팔로알토네트웍스는 2015년 이스라엘에서 만들어진 ‘데미스토(Demisto)’ 솔루션을 인수해 지금의 ‘코어텍스 XSOAR’를 출시했다. 팔로알토는 코어텍스 XSOAR에 대해, 가트너가 SOAR에서 요구하는 기능인 워크플로우 자동화 엔진, 인시던트 관리 및 협업 플랫폼, 보안 티케팅 시스템, 위협 인텔리전스 관리 플랫폼 등을 충실히 구현했다고 소개했다. 타 제품에 비해 가장 많은 플레이북과 서드파티 연결 인테그레이션을 제공하며, 이미 전 세계 약 1천여 고객이 보안관제 및 운영에 활용하고 있다는 게 회사 측 설명이다. TIP와 SOAR를 통합해 진정한 보안관제 자동화를 구현하도록 설계된 ‘코어텍스 XSOAR’를 통해 우선순위가 높은 위협을 즉시 파악할 수 있으며, 기업 전반에 강력한 보안을 유지할 수 있다고 팔로알토는 설명한다.

또한 팔로알토는 올해 초 통합보안관제(SIEM) 시장을 겨냥해 설계 단계에서부터 자율 보안 플랫폼으로 구성돼 지원하는 ‘코어텍스 XSIAM(Extended Security Intelligence & Automation Management)’을 출시했다. 로그와 알림을 집계해 분석하는 방법을 사용하는 기존 SIEM 제품들의 경우, 보안 운영팀에서 각각의 문제가 발생할 때마다 이에 맞춰 설계된 새로운 툴을 적용해야 한다. 이 때문에 보안 아키텍처가 파편화되고 비효율적으로 구성되는 문제를 겪게 된다. 서버, 스토리지가 폭발적으로 증가하는 상황에서 AI 기반의 광범위한 사이버 공격을 실시간으로 막아낼 수 있는 근본적인 변화의 필요성이 높아지는 상황이다. 코어텍스 XSIAM은 로그와 알림뿐만 아니라 세분화된 단위 데이터를 수집해 머신러닝으로 자동 대응하는 방식을 사용한다. 알림과 데이터 사이의 상관관계를 분석하고, 고도로 복잡하게 구성된 새로운 위협을 탐지하는 한편 네이티브 위협 인텔리전스 및 공격 표면 데이터를 기반으로 자동 조치를 실시하는 등의 기능이 탑재됐다.

엔터프라이즈 보안을 위한 포괄적 운영 플랫폼

코어텍스 XSOAR는 엔터프라이즈 보안을 위한 포괄적인 운영 플랫폼을 통해 SOC의 효율성을 높인다. ‘코어텍스 XSOAR’는 업계 최초의 확장된 SOAR 제품에 사례 관리, 자동화, 실시간 협업 및 네이티브 위협 인텔리전스 관리를 통합하고 있다. 보안팀은 모든 소스의 알림을 통합 관리하고 플레이북으로 프로세스를 표준화하며, 위협 인텔리전스에 대해 조치를 취하고 모든 보안 사용 사례에 대한 대응을 자동화함으로써 대응 시간을 최대 90% 단축하고 인적 개입이 필요한 알림을 최대 95%까지 줄일 수 있다.

코어텍스 XSOAR는 여러 피드 소스에 걸쳐 매일 수백만 개의 지표를 집계하고 구문 분석과 중복 제거 및 관리할 수 있는 자동화된 플레이북을 제공한다. 이를 통해 보안 인력의 수작업을 제거해 업무를 줄이고 실수 및 오판으로 미숙하게 대응하는 것을 방지한다. IOC 평가를 손쉽게 확장·편집할 수 있으며 특정 환경에 대해 가장 관련성이 높은 지표를 가진 공급자를 찾아 정확한 대응이 가능하도록 한다.

조직이 자체적으로 축적한 위협 인텔리전스와 팔로알토네트웍스의 위협 인텔리전스 서비스인 ‘오토포커스(AutoFocus)’, 그리고 외부 위협 인텔리전스를 결합해 탐지된 위협의 수준을 객관화하고 더 높은 수준의 위협에 먼저 대응할 수 있도록 한다. 또한 전사적으로 위협을 즉시 차단할 수 있는 자동화된 조치를 취할 수 있게 한다. 내부 팀 및 신뢰할 수 있는 조직 간에 위협 인텔리전스를 쉽게 공유함으로써 조사 범위를 확대한다.

A그룹 보안관제센터, 이벤트당 분석 시간 90% 단축

국내 A그룹의 보안관제센터는 20여 년간 전 세계 그룹 관계사와 여러 산업군의 기업 고객에게 통합보안관제 서비스를 제공하고 있다. 다양한 업종 환경에서 축적된 보안관제 노하우와 고도화된 보안관제 거버넌스를 보유한 이 관제센터는 팔로알토네트웍스의 코어텍스 XSOAR를 활용하고 있다.

A그룹은 다양한 SIEM 제품을 활용하고 있는데, 실제 하루 평균 이벤트가 170억 건, 분석 대상 이벤트 2만 건, 악성 의심 파일 정밀 분석 건수는 하루 3,000건이 넘었다. 코어텍스 XSOAR를 활용하기 전에는 보안 분석가가 이벤트를 수동으로 분석했다. 이벤트 하나를 처리할 때 소요되는 시간이 10~30분 정도였으며, 이벤트 처리 시 접속해 확인해야 하는 보안 시스템이 5~8개 정도였다. 이 관제센터는 고도화된 침해 탐지 시스템을 갖추고 안정적인 서비스를 제공하고 있었지만, 나날이 늘어나는 분석 업무를 감당하기 어려웠다. 이에 빠르게 증가하는 보안 이벤트를 수용할 수 있는 확장 가능한 아키텍처, 다양한 보안 솔루션과 즉시 연동할 수 있는 편의성, 보안관제 전문가의 커뮤니케이션과 실시간 위협 분석에 최적화된 인터페이스를 갖춘 솔루션을 찾기 시작했다. 특히 향후 새로운 보안 솔루션이 추가되거나 관제 업무가 증가해도 현재 구성원만으로 향상된 서비스 품질을 유지하기를 원했다.

팔로알토네트웍스의 코어텍스 XSOAR를 도입한 후 A그룹 보안관제센터는 이벤트당 분석 시간을 90% 단축해 5분 이내로 처리할 수 있었으며, 다른 시스템에 접속하는 과정을 SOAR가 전담하게 돼 이벤트 처리 시 접속하는 보안 솔루션 수를 80% 감소시켰다. 또한 관제 업무의 상당 부분을 자동화해 보안 분석가의 성숙도와 관계없이 일정 수준 이상의 서비스 품질을 보장할 수 있게 됐다. 특히 보안 인력은 단순 반복적인 업무에서 벗어나 심화 분석, 탐지 룰 고도화 등 좀 더 가치 있는 역량 개발에 집중할 수 있었다.

팔로알토는 코어텍스 XSOAR가 국내 A그룹 보안관제센터, 국내 B 철강회사, 국내 C 금융회사를 비롯해 전 세계 1천여 곳의 기업에서 사용하는 이미 검증된 솔루션이라고 강조했다. 코어텍스 XSOAR는 빠른 수평적 확산으로 운영의 안정성과 향상된 성능을 제공하며 850개 이상의 연동 시스템과 650개 이상의 플레이북, 정기적으로 새로운 콘텐츠 팩을 업데이트한다. 프리미엄 서비스인 전담 CS 매니저를 통해 설치부터 구현은 물론 성공적인 활용을 지원하는 서비스도 제공한다.