이글루 ‘스파이더 SOAR’, ‘똑똑한 보안관제’ 만든다

최근 디지털 전환 가속화로 사이버 공격이 복잡해지면서 넓어진 공격표면과 증가한 경보량으로 보안 담당자들의 피로도가 크게 높아졌다. 오르카 시큐리티 보고서에 따르면, 보안 툴에서 발생하는 경보의 80%는 오탐과 낮은 우선순위 경보다. 반면, 실제 중요한 경보는 10%밖에 안된다. 보안 담당자들은 오탐 경보 증가로 인해 점차 둔감해져 오히려 주의를 기울여야 하는 경보를 놓치고 있는 실정이다. 이에 보안업무 효율성을 높이고 보안인력 부족 문제까지 해결할 수 있는 대안으로 ‘보안 오케스트레이션·자동화·대응(Security Orchestration, Automation and Response, SOAR)’이 주목받고 있다.

이글루코퍼레이션(대표 이득춘)은 SOAR가 보안관제센터(SOC)의 효율성을 높이는 핵심 열쇠가 될 것이라는 확신을 바탕으로 20여 년의 관제 노하우를 담아 2021년 초 ‘스파이더 SOAR(SPiDER SOAR)’를 개발, 출시했다.

스파이더 SOAR는 국내 보안관제센터에서 운영하고 있는 이기종 보안 솔루션, 업무 시스템 간의 긴밀한 연동을 지원한다. 이에 따라 통합보안관제(SIEM), 머신러닝(ML) 기반 보안관제 시스템, 위협 인텔리전스, 자산정보 및 취약점 관리 솔루션 등 여러 이기종 보안 솔루션을 손쉽게 연동해 자동화된 침해 대응 프로세스를 구현할 수 있다.

스파이더 SOAR의 큰 강점은 오랫동안 보안관제를 수행한 기업만이 제공할 수 있는 고유의 노하우가 담긴 ‘플레이북’이다. 플레이북은 보안관제를 위한 업무 자동화 매뉴얼로, SOAR에서 가장 중요한 요소다.

이글루코퍼레이션은 누구나 손쉽게 플레이북 생성·편집작업을 할 수 있도록 사용자 인터페이스(UI)를 구성했다. 공격 유형과 프로세스에 따라 유연하고 쉽게 구성할 수 있어 플레이북 작성만으로 추가 상세로그 분석부터 대응문구 입력까지 원클릭으로 처리할 수 있다.

또 다년간의 보안관제를 통해 도출한 핵심 보안관제 처리 프로세스에 기반한 표준 플레이북이 적용돼 최적화된 자동화를 구현할 수 있다. 이글루코퍼레이션은 표준 플레이북을 제공하는데 그치지 않고 표준 플레이북이 적용된 보안관제센터의 보안관제 프로세스를 분석하고 플레이북을 최적화해 플레이북의 활용도와 정확도를 높이는 데 힘쓰고 있다.

SOAR는 일정 규모 이상 보안체계를 갖춘 조직은 물론, 보안인력이 1~2명인 조직에도 반드시 필요한 핵심 솔루션이다. 

SOAR은 대형 사이트 조직을 효과적이면서도 더 성숙한 보안관제의 방향으로 안내한다. 보안관제 인력 간의 능력 편차를 줄여주고, 위협 오탐 자동화 처리를 통해 미탐 분석에 집중할 수 있는 시간을 만들어 주기 때문이다.

1~2인 소형 사이트 조직은 SOAR 도입을 통해 사람의 개입 없이 플레이북으로 자동 분석과 차단 실행이 가능해진다. 이는 관제인력이 바뀌어도 성숙한 침해대응이 가능하게 한다. 또 수동 분석 시 50~60분가량 소요됐던 경보를 1분 이내에 자동화 대응함으로써 경보 처리의 효율성을 높이고 중요한 상세 분석에 좀 더 집중할 수 있게 된다.

완전한 SOAR 프로세스를 구축하기 위해서는 사이트의 환경과 특성에 맞는 위협 분석과 대응 프로세스가 반영된 플레이북이 필요하다. 이를 위해 이글루 얼라이언스 협약 모델을 통해 자동 차단을 위한 제품군 연동을 계속 확대하고, 사용자 정의 플레이북에 기반한 자동화 비중을 높이는 데 힘을 실을 방침이다. 

이글루코퍼레이션은 또 경보 탐지 중심 대응에서 한 단계 나아가 더욱 선제적으로 고도화된 위협을 찾아내는 침해 대응 중심 체계를 구현할 계획이다.

강동식 기자 lavita@datanews.co.kr