로그인 / 등록 Account

보안

SOAR이란?

Jump to section

보안 오케스트레이션, 자동화 및 대응(Security Orchestration, Automation, and Response, SOAR)은 IT 시스템을 위협으로부터 보호하는 데 사용하는 일련의 기능을 가리킵니다.

SOAR은 사례 및 워크플로우 관리, 태스크 자동화, 중앙에서 위협 인텔리전스에 액세스하여 쿼리 및 공유할 수 있는 기능 등 보안 팀에서 사용하는 세 가지 주요 소프트웨어 기능을 가리킵니다. SOAR은 Gartner 애널리스트 그룹에서 처음 사용한 용어입니다. 애널리스트마다 SOAR를 다르게 설명하기도 합니다. 예를 들어 IDC는 이 개념을 보안 분석, 인텔리전스, 대응, 오케스트레이션(Analytics, Intelligence, Response, and Orchestration, AIRO)이라고 부릅니다. 한편 Forrester는 동일한 기능에 보안 자동화 및 오케스트레이션(Security Automation and Orchestration, SAO)이라는 용어를 사용합니다. 

SOAR은 일반적으로 조직의 보안 운영 센터(Security Operations Center, SOC)와 병행하여 구현됩니다. SOAR 플랫폼은 위협 인텔리전스 피드를 모니터링하고 보안 문제를 완화하기 위해 자동화된 대응을 트리거할 수 있습니다.

SOAR에서 사례 및 워크플로우 관리

귀사에 성숙한 SOC가 확립되어 있든 아니면 조직의 보안 트랜스포메이션을 이제 막 시작하는 단계든 간에, 모든 보안 인시던트를 문서화하고 사례로 관리하는 것이 가장 좋습니다. 사례 관리는 인시던트를 문서화하고 위협에 관한 지식을 축적하는 방법입니다. 이렇게 축적된 지식으로 보안 위협을 파악하고, 위험도에 따라 우선순위를 결정하고, 문제를 조사할 수 있습니다. 그리고 인시던트 대응 과정에서 수집된 인텔리전스를 문서화하여 조직 및 커뮤니티 내에서 공유할 수도 있습니다. 

SOAR 기술은 보통 일반적인 활용 사례에 맞게 사전 구성된 워크플로우와 함께 제공됩니다. 이러한 기본 활용 사례가 조직의 특정한 요구 사항과 맞지 않는다면 사용자 정의 개발을 통해 요구에 맞게 조정할 수 있습니다.

태스크 자동화 및 오케스트레이션

보안 자동화는 사람이 개입할 필요 없이 보안 운영 태스크를 실행하는 프로세스입니다. 보안 분야에서 자동화의 필요성이 높아지고 있습니다. 보안 인프라 자체가 점점 더 복잡해지고 인프라의 여러 요소가 통합되지 않은 경우가 많기 때문입니다. 자동화할 태스크를 파악하려면 어떻게 해야 할까요? 다음과 같은 질문을 생각해 보세요.

  1. 일상적인 태스크인가? 정기적으로 수행해야 하는 태스크인가?
  2. 지루한 태스크인가? 정확히 완료해야 하는 특정한 작업 모음이 포함되어 있는가? 
  3. 시간이 많이 소요되는가? 팀에서 그 작업 모음을 수행하는 데 상당한 시간을 들이고 있는가?

이러한 질문 중 하나라도 “예”라는 답변이 나온다면 자동화가 도움이 될 수 있습니다. 조직은 자동화를 통해 사람의 실수로 인한 오류를 줄이고, 효율성 및 속도를 높이고, 대응 일관성을 개선하는 등 여러 가지 이점을 누릴 수 있습니다.

보안 프로세스를 자동화해야 하는 이유

태스크 자동화의 가장 큰 이점은 보안 팀의 업무 효율이 높아지고 남는 시간을 다른 일에 투자할 수 있는 여유가 생긴다는 것입니다. 자동화는 조직이 해당 산업의 인재 격차를 해소하는 데 도움이 됩니다. 솔직히 말해 모든 조직의 요구 사항을 충족하기에는 보안 전문가가 부족한 것이 현실입니다. 보안 태스크를 자동화하면 인력난에 시달리는 팀에서도 더 많은 일을 더 빠르게 해낼 수 있습니다.

보안 팀은 엄청나게 다양한 툴 및 제품과 씨름해야 하는데, 이러한 툴과 제품이 서로 통합되어 있지 않을 가능성이 높습니다. 이 모든 것을 수동으로 관리하면 문제 감지 및 해결이 지연되고, 리소스 구성에 오류가 발생하고, 정책 적용의 일관성도 떨어질 수 있으며 결과적으로 시스템은 심각한 공격 및 컴플라이언스 문제에 취약해집니다. DevSecOps 접근 방식과 마찬가지로 자동화는 일상적인 운영을 간소화하는 것은 물론 프로세스, 애플리케이션, 인프라에 처음부터 보안을 통합하는 데 도움이 됩니다. 보안 자동화를 완벽하게 구현할 경우 보안 침해로 인한 평균 비용도 95%나 절감할 수 있습니다.

신속히 위협을 감지하면 조직의 보안 침해 가능성이 줄어들 뿐만 아니라 보안 침해가 발생하더라도 그로 인한 비용을 줄일 수 있습니다. 보안 침해를 200일 이내에 감지하여 차단할 경우, 침해로 인한 평균 비용이 122만 달러 절약됩니다. 복잡한 IT 환경에서는 수작업 프로세스로 인해 위협 식별이 늦어지고 비즈니스 취약점이 노출되기도 합니다. 보안 프로세스를 자동화하면 수작업 없이도 위협을 더 빠르게 식별 및 검증하고 에스컬레이션할 수 있습니다.

그러나 여러 플랫폼과 툴에서 문제를 해결할 경우 일이 복잡해지고, 시간이 오래 걸리며, 오류가 발생하기 쉽습니다. 보안 팀은 자동화를 통해 해당 환경에서 피해를 입은 시스템의 문제를 신속히 해결하는 동시에 인시던트에 대한 대응 속도를 높일 수 있습니다.

자동화와 오케스트레이션의 차이점은 무엇인가요?

보안 오케스트레이션은 프로세스를 간소화하기 위해 서로 다른 보안 툴과 시스템을 연결하고 통합하는 방법입니다. 툴과 시스템을 연결함으로써 환경 전반에 걸쳐 자동화의 이점을 누릴 수 있습니다. 오케스트레이션은 프로세스 기반, 자동화는 태스크 기반으로 이루어집니다. 오케스트레이션과 자동화의 주된 차이점은 사람입니다. 높은 수준의 보안 오케스트레이션에서는 SOAR의 가치가 확연히 드러납니다. 팀은 오케스트레이션을 통해 자동화된 태스크의 실행 프로세스를 정의할 수 있습니다. 보안 프로세스 오케스트레이션에서는 이러한 팀의 팀원들이 보안 자동화의 대상, 이유, 시기를 결정합니다.

중앙화된 위협 인텔리전스

위협 인텔리전스는 조직의 자산을 노리는 기존 위협과 새로 등장한 위협에 대한 정보를 가리킵니다. 다수의 취약점 데이터베이스를 위협 인텔리전스의 소스로 활용할 수 있습니다. CVE 목록 등을 참조하면 여러 데이터베이스와 플랫폼에서 이러한 취약점을 더 쉽게 파악하고 공유할 수 있습니다. 위협 인텔리전스 플랫폼은 다양한 피드에서 취약점 관련 정보를 수집합니다. SOAR 툴은 여러 가지 위협 인텔리전스 피드를 사용해 잠재적 위협을 파악합니다. SOAR을 통해 이러한 피드를 집계하여 통합된 소스를 구축하면 실무 팀에서 이 소스를 쿼리하고 자동화 태스크를 트리거할 수 있습니다.

SOC가 조직의 보안 대응에서 핵심 역할을 맡는다고 해도, 기업 내 여러 부서와 상호 조율하고 의사소통하기는 여전히 어려울 수 있습니다. 이때 부서와 부서를 통합하는 힘이자 공통의 언어 체계로 자동화를 활용할 수 있습니다. 각 부서에서 모든 플랫폼에 자동화 솔루션을 사용하면 보안 위협에 대처하기 위한 명확한 소통 채널을 마련할 수 있습니다.

Red Hat의 지원 방식

엔터프라이즈 오픈소스 소프트웨어는 테스트 및 성능 튜닝을 강화하는 개발 모델을 사용합니다. 대개 보안 팀에서 이를 뒷받침하며, 새로운 보안 취약점에 대응하는 프로세스 및 보안 문제와 해결 단계를 사용자에게 알리는 절차가 마련되어 있습니다. 다시 말해, IT 보안을 위해 협력하는 오픈소스 신뢰망의 업그레이드된 버전이라 할 수 있습니다.

Red Hat® Ansible® Automation Platform으로 다양한 보안 솔루션을 자동화하고 통합하세요. 엄선된 모듈, 롤, 플레이북 컬렉션을 사용해 기업 전반에 걸쳐 유기적인 통합 방식으로 위협에 대한 조사 및 대응을 간소화할 수 있습니다. 또한 API, SSH, WinRM, 기타 표준 또는 기존의 액세스 방법을 사용해 외부 애플리케이션을 통합할 수도 있습니다.

Red Hat Ansible은 인프라에서 애플리케이션에 이르는 풀스택 프로세스를 지원하므로 모든 것이 보안 기술 계층과 조율됩니다. 이와 함께 보안 팀은 Red Hat Ansible로 SOAR 솔루션을 비롯한 다른 엔터프라이즈 애플리케이션을 관리할 수 있습니다.

유능한 인재를 지원하는 Red Hat 툴 소개

Red Hat Ansible Automation Platform

에이전트리스 자동화 플랫폼입니다.

Red Hat Insights

Red Hat® Enterprise Linux® 환경의 보안, 컴플라이언스, 구성 관련 리스크를 파악하여 해결합니다.