SOAR이란?

보안 오케스트레이션, 자동화 및 대응(Security Orchestration, Automation, and Response), 즉 SOAR은 IT 시스템을 위협으로부터 보호하는 데 사용되는 일련의 기능을 가리킵니다.

SOAR은 사이버 보안 팀에서 사용하는 세 가지 주요 소프트웨어 기능인 사례 및 워크플로우 관리, 태스크 자동화, 중앙에서 위협 인텔리전스에 액세스하여 쿼리 및 공유할 수 있는 기능을 가리킵니다. SOAR은 Gartner 애널리스트 그룹에서 처음 사용한 용어입니다. 보안 애널리스트는 SOAR에 대해 다른 용어로 설명하기도 합니다. IDC는 이 개념을 보안 분석, 인텔리전스, 대응, 오케스트레이션(Analytics, Intelligence, Response, and Orchestration, AIRO)이라고 하며, Forrester는 보안 자동화 및 오케스트레이션(Security Automation and Orchestration, SAO)이라는 용어를 사용합니다.

SOAR은 일반적으로 조직의 보안 운영 센터(Security Operations Center, SOC)와 병행하여 구현됩니다. SOAR 플랫폼은 위협 인텔리전스 피드를 모니터링하고 보안 문제에 대한 자동 대응을 트리거합니다. 이는 IT 팀이 다수의 복잡한 시스템 전반에서 위협을 빠르고 효율적으로 완화하는 데 도움이 됩니다.

보안 자동화는 사람이 개입할 필요 없이 보안 운영 태스크를 실행하는 프로세스입니다. 보안 분야에서는 인프라 복잡성, 그리고 인프라의 다양한 요소 간 통합 부족으로 인해 자동화의 필요성이 높아지고 있습니다. 자동화할 태스크를 파악하려면 어떻게 해야 할까요? 다음과 같은 질문을 생각해 보세요.

1. 일상적인 태스크인가? 정기적으로 수행해야 하는 태스크인가?
2. 지루한 태스크인가? 정확히 완료해야 하는 특정한 작업 모음이 포함되어 있는가? 
3. 시간이 많이 소요되는가? 팀에서 그 작업 모음을 수행하는 데 상당한 시간을 들이고 있는가?

이러한 질문 중 하나라도 “예”라는 답변이 나온다면 자동화가 도움이 될 수 있습니다. 조직은 자동화를 통해 인적 오류를 줄이고, 효율성 및 속도를 높이고, 보안 인시던트 대응의 일관성을 개선하는 등 많은 장점을 누릴 수 있습니다.

태스크 자동화의 가장 큰 장점은 보안 팀의 업무 효율이 높아져 남는 시간을 다른 일에 투자할 수 있는 여유가 생긴다는 것입니다. 모든 조직의 요구 사항을 충족하기에는 보안 전문가가 부족하기 때문에 자동화는 보안 팀이 더 많은 일을 더 빠르게 완료할 수 있도록 지원함으로써 이러한 인재 격차를 해소하는 데 도움이 됩니다.

보안 팀은 엔드포인트 감지 및 대응(Endpoint Detection and Response, EDR) 소프트웨어, 방화벽, 보안 정보 및 이벤트 관리(Security Information and Event Management, SIEM) 솔루션과 같은 매우 다양한 툴과 제품을 다뤄야 하는데, 이러한 툴과 제품은 서로 통합되어 있지 않을 가능성이 높습니다. 이 모든 것을 수동으로 관리하면 문제 감지 및 해결이 지연되고, 리소스 구성에 오류가 발생하고, 정책 적용의 일관성도 떨어질 수 있으며, 결과적으로 시스템이 심각한 공격과 컴플라이언스 문제에 취약해질 수 있습니다. DevSecOps 접근 방식과 마찬가지로 자동화는 일상적인 운영을 간소화하는 것은 물론 프로세스, 애플리케이션, 인프라에 처음부터 보안을 통합하는 데 도움이 됩니다.

Ponemon Institute에 따르면 보안 침해를 200일 이내에 감지하여 차단할 경우, 침해로 인한 평균 비용이 122만 달러 절약됩니다. 신속하게 위협을 감지하면 조직의 보안 침해 가능성과 관련 비용이 줄어들 수 있지만 여러 플랫폼과 툴 전반에서 문제를 해결할 경우 일이 복잡해지고, 시간이 오래 걸리며, 오류가 발생하기 쉽습니다.

수동 프로세스로 인해 복잡한 IT 에코시스템에서 위협 식별이 지연될 수 있는 반면, 보안 프로세스를 자동화하면 조직은 수작업 없이도 위협을 더 빠르게 식별 및 검증하고 에스컬레이션할 수 있습니다. 보안 팀은 자동화를 통해 해당 환경 전반에서 대응 시간을 단축하는 동시에 피해를 입은 시스템의 문제를 해결할 수 있습니다.

오케스트레이션은 프로세스 기반, 자동화는 태스크 기반으로 이루어집니다. 보안 오케스트레이션은 대응 워크플로우를 간소화하기 위해 서로 다른 보안 툴과 시스템을 연결하고 통합하는 수단입니다. 툴과 시스템, 그리고 이들을 통제하는 프로세스를 연결함으로써 환경 전반에서 자동화의 장점을 누릴 수 있습니다.

자동화를 통해 워크플로우를 간소화할 수 있지만, SOAR의 가장 가치 있는 측면 중 하나인 높은 수준의 보안 오케스트레이션을 위해서는 인력이 필요합니다. IT 팀은 오케스트레이션을 통해 자동화된 태스크의 실행 프로세스를 정의할 수 있습니다. 보안 프로세스 오케스트레이션에서는 이러한 팀의 팀원들이 보안 자동화의 대상, 이유, 시기를 결정합니다.

위협 인텔리전스는 조직의 자산을 노리는 기존 위협과 새로 등장한 위협에 대한 지식을 나타냅니다. 다수의 취약점 데이터베이스를 위협 인텔리전스의 소스로 활용할 수 있습니다. CVE 목록 등을 참조하면 여러 데이터베이스와 플랫폼에서 이러한 취약점을 더 쉽게 파악하고 공유할 수 있습니다. 위협 인텔리전스 플랫폼은 다양한 피드에서 취약점 관련 정보를 수집합니다. SOAR 툴은 여러 위협 인텔리전스 피드를 사용해 잠재적 위협을 식별합니다. SOAR에서 이러한 피드를 집계하여 통합된 소스를 구축하면 실무 팀에서 이 소스를 쿼리하고 자동화 태스크를 트리거할 수 있습니다.

SOC가 조직의 보안 대응에서 핵심 역할을 한다고 해도, 기업 내 여러 부서와 상호 조율하고 의사소통하기는 여전히 어려울 수 있습니다. 이때 여러 부서를 결속하는 힘이자 공통의 언어 체계로 자동화를 활용할 수 있습니다. 각 부서에서 모든 플랫폼에 자동화 솔루션을 사용하면 가장 시급한 보안 위협을 더 손쉽게 식별하고 분류할 수 있는 명확한 소통 채널을 마련할 수 있습니다.

문화적 변화를 통해 개발 프로세스에서 보안을 고려하는 시점을 변경하면 보안을 향상할 수 있습니다. 'DevOps'라는 용어는 아이디어가 개발에서 프로덕션 환경에 배포되기까지의 프로세스를 가속화하는 방식을 뜻합니다. 과거에 보안 역할은 개발의 최종 단계에 있는 특정 팀에 국한되어 있었습니다. 개발 주기가 몇 달 또는 몇 년씩 지속되던 과거에는 이러한 역할 분리가 큰 문제가 되지 않았습니다. 그러나 지금은 애플리케이션을 몇 주 내로 제공하는 경우가 많아졌습니다. 협업을 중시하는 DevOps 프레임워크에서 보안은 포괄적으로 통합된 공동의 책임이 될 수 있으며, 이를 'DevSecOps'라고 합니다.

DevSecOps를 통한 라이프사이클 현대화에 관한 웨비나 보기

DevOps와 마찬가지로 DevSecOps는 문화적 모델입니다. DevSecOps에서는 개발 프로세스 전체에 걸쳐 리스크 관리를 고려합니다. 주로 보안 지향적 기업이 앞장서서 DevSecOps 방법론을 도입합니다. 이는 개발자가 보안 팀과 긴밀하게 협력하고 개발 라이프사이클 초기에 조치를 구현하는 것으로, "보안을 초기에 통합(Shifting Left)"한다는 개념으로도 알려져 있습니다. 

쿠버네티스의 DevSecOps에 관한 백서 다운로드

문화적 기반이 마련되어 있더라도 DevSecOps를 성공적으로 구현하려면 자동화가 필요합니다. 이러한 자동화에는 소스 제어 리포지토리, 컨테이너 레지스트리, CI/CD 파이프라인, API 관리, 운영 관리 및 모니터링이 포함될 수 있습니다.

성공적인 DevSecOps 구현에 관한 체크리스트 보기

엔터프라이즈 오픈소스 소프트웨어에는 테스트와 성능 튜닝을 개선하는 개발 모델이 사용되며, 일반적으로 보안 팀이 이를 지원합니다. 엔터프라이즈 오픈소스 소프트웨어는 새로운 보안 취약점 및 프로토콜에 대응하기 위한 프로세스를 개선하여 사용자에게 보안 문제를 알리고 문제 해결 단계를 제공합니다. 즉, IT 보안을 위해 협력하는 오픈소스 신뢰망의 업그레이드된 버전이라 할 수 있습니다.

Red Hat® Ansible® Automation Platform 서브스크립션으로 다양한 보안 솔루션을 자동화하고 오케스트레이션하고 통합하세요. 엄선된 모듈, 롤, 플레이북 컬렉션을 사용해 기업 전반에 걸쳐 유기적인 통합 방식으로 위협에 대한 조사 및 대응을 간소화할 수 있습니다. 또한 API, SSH, WinRM, 기타 표준 또는 기존의 액세스 방법을 사용해 외부 애플리케이션을 통합할 수도 있습니다.

Ansible Automation Platform은 인프라에서 애플리케이션에 이르는 풀스택 프로세스를 지원하므로 모든 것이 보안 기술 계층과 조율됩니다. 또한 보안 운영 팀은 Ansible Automation Platform을 사용해 SOAR 솔루션과 같은 기타 엔터프라이즈 애플리케이션을 관리할 수 있습니다.

Red Hat은 오픈 하이브리드 클라우드에 대한 전문성을 바탕으로 사이버 위협 및 사이버 공격을 방지하기 위한 클라우드 보안 구현에 관해 독자적인 관점을 제공합니다. 제로 트러스트 모델을 도입해 조직의 보안 관점을 변화시키고 보안 정책을 재정비하세요.