SOAR란?

보안 오케스트레이션, 자동화 및 대응(Security Orchestration, Automation, and Response), 즉 SOAR은 IT 시스템을 위협으로부터 보호하는 데 사용되는 일련의 기능을 가리킵니다.

SOAR은 사례 및 워크플로우 관리, 태스크 자동화, 중앙에서 위협 인텔리전스에 액세스하여 쿼리 및 공유할 수 있는 기능 등 보안 팀에서 사용하는 세 가지 주요 소프트웨어 기능을 가리킵니다. SOAR은 Gartner 애널리스트 그룹에서 처음 사용한 용어입니다. 보안 애널리스트는 SOAR에 대해 다른 용어로 설명하기도 합니다. IDC는 이 개념을 보안 분석, 인텔리전스, 대응, 오케스트레이션(Analytics, Intelligence, Response, and Orchestration), 즉 AIRO라고 부르며, 한편 Forrester는 동일한 기능에 보안 자동화 및 오케스트레이션(Security Automation and Orchestration), 즉 SAO라는 용어를 사용합니다.

SOAR은 일반적으로 조직의 보안 운영 센터(Security Operations Center, SOC)와 병행하여 구현됩니다. SOAR 플랫폼은 위협 인텔리전스 피드를 모니터링하고 보안 문제에 대한 자동 대응을 트리거합니다. 이는 IT 팀이 다수의 복잡한 시스템 전반에서 위협을 빠르고 효율적으로 완화하는 데 도움이 됩니다.

귀사에 성숙한 SOC가 확립되어 있든 조직의 보안 트랜스포메이션을 이제 막 시작하는 단계든 간에 가장 좋은 취약점 관리 방법은 모든 보안 인시던트를 문서화하고 사례로 관리하는 것입니다. 사례 관리는 인시던트를 문서화하고 위협에 관한 지식을 축적하는 방법입니다. 이렇게 축적된 지식으로 보안 위협을 파악하고, 위험도에 따라 우선순위를 결정하고, 문제를 조사할 수 있습니다. 그리고 인시던트 대응 과정에서 수집된 인텔리전스를 문서화하여 조직 및 커뮤니티 내에서 공유할 수도 있습니다. 

SOAR 기술은 보통 일반적인 활용 사례에 맞게 사전 구성된 워크플로우와 함께 제공됩니다. 이러한 기본 활용 사례가 조직의 특정한 요구 사항과 맞지 않는다면 사용자 정의 개발을 통해 요구에 맞게 조정할 수 있습니다.

보안 자동화는 사람이 개입할 필요 없이 보안 운영 태스크를 실행하는 프로세스입니다. 보안 분야에서 자동화의 필요성이 높아지고 있습니다. 보안 인프라 자체가 점점 더 복잡해지고 인프라의 여러 요소가 통합되지 않은 경우가 많기 때문입니다. 자동화할 태스크를 파악하려면 어떻게 해야 할까요? 다음과 같은 질문을 생각해 보세요.

1. 일상적인 태스크인가? 정기적으로 수행해야 하는 태스크인가?
2. 지루한 태스크인가? 정확히 완료해야 하는 특정한 작업 모음이 포함되어 있는가? 
3. 시간이 많이 소요되는가? 팀에서 그 작업 모음을 수행하는 데 상당한 시간을 들이고 있는가?

이러한 질문 중 하나라도 "예"라는 답변이 나온다면 자동화가 도움이 될 수 있습니다. 조직은 자동화를 통해 사람의 실수로 인한 오류를 줄이고, 효율성 및 속도를 높이고, 보안 인시던트 대응의 일관성을 개선하는 등 여러 가지 장점을 누릴 수 있습니다.

태스크 자동화의 가장 큰 이점은 보안 팀의 업무 효율이 높아져 남는 시간을 다른 일에 투자할 수 있는 여유가 생긴다는 것입니다. 모든 조직의 요구 사항을 충족하기에는 보안 전문가가 부족한 것이 현실이기 때문에 자동화는 보안 팀이 더 많은 일을 더 빠르게 완료할 수 있도록 지원함으로써 이러한 인재 격차를 해소하는 데 도움이 됩니다.

보안 팀은 엔드포인트 감지 및 대응(EDR) 소프트웨어, 방화벽, 보안 정보 및 이벤트 관리(SIEM) 솔루션과 같은 엄청나게 다양한 툴 및 제품과 씨름해야 하는데, 이러한 툴과 제품은 서로 통합되어 있지 않을 가능성이 높습니다. 이 모든 것을 수동으로 관리하면 문제 감지 및 해결이 지연되고, 리소스 구성에 오류가 발생하고, 정책 적용의 일관성도 떨어질 수 있으며 결과적으로 시스템은 심각한 공격과 컴플라이언스 문제에 취약해집니다. DevSecOps 접근 방식과 마찬가지로 자동화는 일상적인 운영을 간소화하는 것은 물론 프로세스, 애플리케이션, 인프라에 처음부터 보안을 통합하는 데 도움이 됩니다.

Ponemon Institute에 따르면 보안 침해를 200일 이내에 감지하여 차단할 경우, 침해로 인한 평균 비용이 122만 달러 절약됩니다. 신속히 위협을 감지하면 조직의 보안 침해 가능성과 관련 비용이 줄어들 수 있지만 여러 플랫폼과 툴에서 문제를 해결할 경우 일이 복잡해지고, 시간이 오래 걸리며, 오류가 발생하기 쉽습니다.

수동 프로세스로 인해 복잡한 IT 에코시스템에서 위협 식별이 지연될 수 있는 반면, 보안 프로세스를 자동화하면 조직은 수작업 없이도 위협을 더 빠르게 식별 및 검증하고 에스컬레이션할 수 있습니다. 보안 팀은 자동화를 통해 해당 환경 전반에서 대응 시간을 단축함과 동시에 피해를 입은 시스템의 문제를 해결할 수 있습니다.

오케스트레이션은 프로세스 기반, 자동화는 태스크 기반으로 이루어집니다. 보안 오케스트레이션은 대응 워크플로우를 간소화하기 위해 서로 다른 보안 툴과 시스템을 연결하고 통합하는 수단입니다. 툴과 시스템, 그리고 이들을 통제하는 프로세스를 연결함으로써 환경 전반에서 자동화의 장점을 누릴 수 있습니다.

자동화를 통해 워크플로우를 간소화할 수 있지만 SOAR의 가장 가치 있는 측면 중 하나인 높은 수준의 보안 오케스트레이션을 위해서는 인력이 필요합니다. IT 팀은 오케스트레이션을 통해 자동화된 태스크의 실행 프로세스를 정의할 수 있습니다. 보안 프로세스 오케스트레이션에서는 이러한 팀의 팀원들이 보안 자동화의 대상, 이유, 시기를 결정합니다.

위협 인텔리전스는 조직의 자산을 노리는 기존 위협과 새로 등장한 위협에 대한 정보를 가리킵니다. 다수의 취약점 데이터베이스를 위협 인텔리전스의 소스로 활용할 수 있습니다. CVE 목록 등을 참조하면 여러 데이터베이스와 플랫폼에서 이러한 취약점을 더 쉽게 파악하고 공유할 수 있습니다. 위협 인텔리전스 플랫폼은 다양한 피드에서 취약점 관련 정보를 수집합니다. SOAR 툴은 여러 가지 위협 인텔리전스 피드를 사용해 잠재적 위협을 파악합니다. SOAR을 통해 이러한 피드를 집계하여 통합된 소스를 구축하면 실무 팀에서 이 소스를 쿼리하고 자동화 태스크를 트리거할 수 있습니다.

SOC가 조직의 보안 대응에서 핵심 역할을 맡는다고 해도 기업 내 여러 부서와 상호 조율하고 의사소통하기는 여전히 어려울 수 있습니다. 이때 부서와 부서를 결속하는 힘이자 공통의 언어 체계로 자동화를 활용할 수 있습니다. 각 부서에서 모든 플랫폼에 자동화 솔루션을 사용하면 가장 시급한 보안 위협을 더 손쉽게 식별하고 분류할 수 있는 명확한 소통 채널을 마련할 수 있습니다.

엔터프라이즈 오픈소스 소프트웨어는 테스트 및 성능 튜닝을 강화하는 개발 모델을 사용합니다. 대개 보안 팀에서 이를 뒷받침하며, 새로운 보안 취약점에 대응하는 프로세스 및 보안 문제와 해결 단계를 사용자에게 알리는 절차가 마련되어 있습니다. 다시 말해, IT 보안을 위해 협력하는 오픈소스 신뢰망의 업그레이드된 버전이라 할 수 있습니다.

Red Hat® Ansible® Automation Platform으로 다양한 보안 솔루션을 자동화하고 통합하세요. 엄선된 모듈, 롤, 플레이북 컬렉션을 사용해 기업 전반에 걸쳐 유기적인 통합 방식으로 위협에 대한 조사 및 대응을 간소화할 수 있습니다. 또한 API, SSH, WinRM, 기타 표준 또는 기존의 액세스 방법을 사용해 외부 애플리케이션을 통합할 수도 있습니다.

Ansible Automation Platform은 인프라에서 애플리케이션에 이르는 풀스택 프로세스를 지원하므로 모든 것이 보안 기술 계층과 조율됩니다. 또한 보안 운영 팀은 Ansible Automation Platform을 사용해 SOAR 솔루션과 같은 다른 엔터프라이즈 애플리케이션을 관리할 수 있습니다.