본문 바로가기

보안 Insight

[잍씽킹] SOAR 도입을 위한 세 가지 준비 사항 - 20년 경력의 IT 전문가 ALEX의 '잍(IT)' 생각! [위드네트웍스]

 최근에 세미나나 컨퍼런스에 참석해보면 SOAR에 대해서 많은 부스와 소개를 확인할 수가 있습니다. 마치 대세는 SOAR인 것처럼 다양한 SOAR 제품이 현재 출시되고 있는 것을 체감하고 있습니다.  외산 국산을 가리지 않고 많은 제품들이 나오고 있지만, 실무자 입장에서 무엇이 좋은지 알 수가 없습니다. 그래서, 오늘 이 시간에는 SOAR를 위한 준비에 무엇이 필요한지 알아보도록 하겠습니다.

 

 

SOAR(Security Orchestration, Automation and Response; 보안 오케스트레이션, 자동화 및 대응)

다양한 보안 위협에 대한 대응 프로세스를 자동화해 낮은 수준의 보안 이벤트는 사람의 도움없 이 처리하고, 보안 사고 발생시 표준화된 업무 프로세 스에 따라 직원이 쉽게 대응할 수 있게 도와주는 보안 솔루션

그림1. SOAR (Gartner)

 

1. SOAR의 개념 및 기능

 첫 번째로 SOAR의 개념과 기능에 대해서 알아야 합니다.

 SOAR를 한 마디로 요약한다면 SOC(보안 운영 센터; Security Operation Center)의 업무 가속화가 가능한 지능형 보안관제 플랫폼이라고 말 할 수 있습니다. 그리고 이름에서 알 수 있듯이, 오케스트레이션 및 자동화, 보안 위협 대응, 위협 인텔리전스의 3가지 기능으로 구분할 수가 있습니다. 국내에서는 오케스트레이션 및 자동화를 강조하는 경향이 있지만 실무자라면 이러한 SOAR의 개념과 전체적인 기능을 숙지하고 내부 환경에 필요한 요소를 고려해서 SOAR 제품을 선정할 필요가 있습니다.

 

 또한 앞으로 SOAR는 현재에는 SIEM(보안 정보 및 이벤트 관리; Security information and event management)와 분리되어 독립 시스템으로 구성이 되어있지만, 통합관제솔루션이라는 플랫폼으로 편입되어 SOARSIEM이 하나의 관제 솔루션으로 통합이 될 것으로 판단됩니다. 최근의 SOAR 제품들에 하드웨어 스팩을 고려했을 때 충분히 SIEMSOAR가 통합할 수 있는 여지가 충분하며, 기능적인 부분에 있어서도 유사한 점이 많이 있기 때문에 통합으로 인한 장점이 분리운영에 장점보다는 많을 것으로 판단됩니다.

그림2. SOAR & SIEM 연동

2. 보안 업무 정립

두 번째 SOAR를 도입하기 위해서는 보안 관련 업무 프로세스가 명확하게 정립되어 있어야 합니다. 단순히 솔루션 하나를 도입하는게 아니라 업무에 대한 자동화를 위한 솔루션이기 때문에 모니터링 및 대응 프로세스가 내부에 갖추어져 있어야 SOAR의 도입이 순조롭게 진행 될 수 있습니다. 이유는 내부 SIEM에서 탐지된 로그들을 수신하거나, 각각의 보안 솔루션들에 탐지 로그에 대한 분석을 통해서 대응 프로세스를 플레이북(Play Book)으로 구현함으로써 자동화가 이루어지기 때문입니다.

 따라서 내부에 보안관련 대응 프로세스가 없다면, SOAR를 도입하기 전에 대응 시나리오나 업무 Flow 체계를 갖추시기 바랍니다. 만약 이러한 업무 프로세스가 없는 상태로 SOAR를 도입하면 실무자나 구축하는 업체나 힘든 프로젝트가 될 것이기 때문입니다. SOAR를 도입은 내부에 SOC 대응 체계를 가지고 있거나 도입을 고려하는 고객에게 추천 합니다.

 

 

 

3. 인력 재배치에 대한 고려

세 번째는 SOAR를 도입함으로써 가져올 수 있는 인력 재배치에 대한 고려가 필요하겠습니다. SOAR 도입에 대한 기대효과로는 관제 업무 자동화가 가장 큽니다. 기존의 운영인력에 대한 업무 Load를 경감시켜주면서 업무 효율성을 가져올 수 있는 장점이 있겠습니다. 그런데, 말입니다. 우리는 여기서 한 가지 중요한 문제를 고려할 필요가 있습니다. 최근의 조사에 의하면 업무에 AI를 도입하면서 업무가 자동화되고 이에 따라 사라지는 직업에 대한 발표가 있었습니다. 의사, 번역사, 텔레마케터 등이 있는데 IT 운영 분야에도 기존 단순 작업을 수행하는 운영인력에 대한 재배치가 필요할 것으로 생각됩니다. , SOAR를 도입하면 5명의 인력이 해야 할 일을 3명이나 2명으로도 가능하게 된다는 것입니다. 따라서 SOAR 도입을 통한 업무의 자동화에 앞서 기존 업무에 대한 자동화를 어디까지 수용하고 적용할 것인지에 대한 정리가 필요하겠습니다.

 

 

 

 

 오늘은 간단하게 SOAR 도입을 위한 3가지 준비 사항에 대해서 알아봤습니다. 실제 SOAR 도입을 고려하고 있는 고객사에서는 첫 번째, 두 번째 사항에 대해서는 다양한 시나리오와 정보를 통해서 최적의, 최고의 솔루션을 도입하기 위한 시도를 많이들 하고 있습니다. 하지만 세 번째 사항인 "인력 재배치"에 대해서는 아직 그 시기가 멀었다고 생각할 수도 있지만, 최근의 IT 시장에서의 AI 발전 속도나 IT 업무 적용 시점을 보면 가까운 시일 내에 인력에 대한 문제가 생길 것으로 보여집니다. 고객사에서는 이러한 다양한 조건을 고려하면 안정적으로 자사 환경에 최적화된 SOAR 솔루션을 성공적으로 도입할 수 있습니다.

 

 

 

 

Fortinet의 FortiSOAR는 300개 이상의 보안 플랫폼 및 3,000개 이상의 작업을 매끄럽게 통합하여 SOC 팀의 생산성을 최적화하여 보안 관제 팀을 지원합니다.

 

보안 관제 센터(SOC) 팀이 기업의 모든 도구를 하나로 합친 맞춤형 자동 프레임워크를 구성하면 관제가 통합되고 알림에 대한 피로가 사라져 기업 전체가 상황에 적응해 움직일 수 있을 뿐만 아니라 보안 프로세스도 최적화할 수 있습니다.

 

 

 

 위드네트웍스는 포티넷 코리아가 지정한 엑스퍼트 파트너로(Expert Partner) 국내에서 FortiSOAR에 대한 최고 수준의 기술과 서비스를 제공합니다. 제품 문의 또는 추가 문의 사항이 있으시다면 아래의 링크를 통해 연락 부탁드립니다!

 

Copyright(c) 2021. (주)위드네트웍스