보안 운영(SecOps) 솔루션뿐 아니라 비즈니스 요구 사항에 맞는 진정한 SOAR 솔루션이 필요한 이유

우리는 이미 여러 번 말했지만, 다시 한번 강조합니다. "이 정도면 괜찮다"는 말은 형식적인 절차는 통과시킬 수 있어도 문제를 해결하지는 못할 것입니다.

우리 마지막 블로그 게시물 보안 오케스트레이션, 자동화 및 대응(SOAR)을 위한 "충분히 좋은" 솔루션을 선택할 때 발생할 수 있는 문제점에 대해 논의하면서, 주의해야 할 6가지 주요 위험 신호에 대해 살펴보았습니다. 다시 한번 정리하자면 다음과 같습니다.

1. 실제 적용 가능성이 제한적임

2. 굽힐 수 없음

3. 벤더 통합 부족

4. SOAR에 초점이 맞춰져 있지 않습니다.

5. 확장성이 없습니다

6. 비용 대비 성능에 집중

이러한 제한 요소 외에도, "충분히 괜찮은" SOAR 솔루션의 가장 큰 문제는 일반적으로 제한된 수의 사용 사례만을 위해 구축되었다는 점입니다. 진정한 보안 자동화 솔루션은 그보다 훨씬 강력하며, 보안 운영 센터(SOC)를 훨씬 뛰어넘는 적용 범위를 가지고 있습니다.

자, 이제 포괄적인 보안 자동화 솔루션에서 여러분이 원하지 않는 것이 무엇인지 알았으니, 무엇을 원하시나요?

우선 SOAR에 대한 우리의 사고방식을 재정립할 필요가 있습니다. 이전에는 SecOps라고 하면 주로 온프레미스 옵션, 즉 엔드포인트, 방화벽, 데이터센터 인프라, 기업 IT 등을 떠올렸습니다. 하지만 2020년 원격 근무로의 급격한 전환과 함께 일어난 디지털 혁신으로 인해 이러한 도구와 기능 대부분이 클라우드에 자리 잡게 되었습니다. 클라우드 인프라에 초점을 맞추면서 필요한 가시성도 달라졌는데, 이는 위험 요소와 이러한 위험을 완화하고 해결하는 방법이 달라졌기 때문입니다. 이 모든 것이 무엇을 의미할까요?

IT 관점에서 디지털 전환은 극심한 불확실성 속에서도 비즈니스 운영을 유지하기 위해 필수적이었기 때문에 성공적이었습니다. 이제는 정보 보안(InfoSec)이 그 뒤를 따라잡을 차례입니다. SOAR는 보안 운영(SecOps)과 비즈니스 운영 간의 장벽을 허물어 이러한 목표 달에 기여할 수 있습니다.

전통적으로 사람들은 SOAR를 보안 운영 센터(SOC)의 자동화 도구로만 여겨왔지, 전체 보안 조직을 위한 비즈니스 도구로 생각하지는 않았습니다. 이제는 이러한 인식을 바꿔야 할 때입니다. 2020년에 우리는 그 방법을 배웠습니다. 원격 근무는 여러모로 유익할 수 있습니다. 어떤 개인과 조직에게는 이러한 방식이 적합하며, 어떤 이들은 이전 방식으로 돌아가고 싶어하지 않습니다. 반면, 여러 가지 이유로 사무실 복귀를 간절히 바라는 사람들도 있습니다. 이러한 하이브리드 근무 모델이 어떤 모습일지 계속해서 탐색해 나가는 가운데, 한 가지 분명한 것은 근무 모델 자체가 근본적으로 변화했다는 점입니다.

직원들이 현장 근무와 원격 근무를 병행하고, 시간대와 대륙을 넘나들며 근무하는 상황에서 효과적인 협업 방법을 찾는 것은 조직 전체의 지속적인 과제가 될 것입니다. 예를 들어, DevOps 환경에서 SOAR가 DevOps 팀의 협업을 어떻게 지원할 수 있는지 살펴보겠습니다.

팬데믹 이전에는 개발자들이 사무실에서 근무할 때 문제가 생기거나 질문이 있으면 고개를 들거나 복도를 걸어가 동료와 이야기를 나눌 수 있었습니다. 재택근무로 전환된 후에는 줌, 슬랙 등을 통해 협업할 수 있었죠. 하지만 하이브리드 근무 모델에서는 사무실에 있는 사람들은 대부분 사무실 동료들과만 소통하게 될 것이고, 앞으로 몇 달 동안 근무 방식이 매우 불안정해질 것입니다.

진정한 SOAR 솔루션은 모든 구성원이 하나의 플랫폼에서 협업하고 데이터를 중앙 집중화함으로써 이러한 문제를 해결할 수 있습니다. 사무실 근무 여부와 관계없이, 자동화 및 중앙 집중식 정보 기능을 갖춘 이 단일 플랫폼은 교대 근무 인수인계, 데이터 집계, 장기 자동화 및 과거 기준선 분석, 반복되는 주제와 패턴 파악을 위한 정보 수집 등 다양한 작업에서 효율성을 높여줍니다.

중앙 집중식 데이터 및 협업 요소 외에도, SecOps 자동화 도구는 비즈니스 도구로 활용되어야 합니다. 이는 확장성과 수평적 적용 가능성을 염두에 두고 구축된 SOAR 솔루션에서만 가능합니다. 진정한 SOAR 솔루션은 자동화를 통해 비즈니스 부서가 파트너 또는 팀과 더 빠르게 비즈니스 거래를 처리할 수 있도록 지원하며, IT 비용(인력 증원 포함)을 추가로 발생시키지 않아도 됩니다.

궁극적으로 기업의 역할은 혁신하고 새로운 시스템을 필요로 하는 새로운 것들을 창출하는 것입니다. 엔드포인트, 취약점 관리 또는 위협 인텔리전스에 특화된 "충분히 괜찮은" SOAR 솔루션으로는 강력하고 완벽한 오케스트레이션 및 자동화 솔루션만큼 비즈니스 혁신을 이끌어낼 수 없습니다. "충분히 괜찮은" 솔루션은 현재의 요구 사항을 충족할 수는 있겠지만, 기업의 고유한 보안 운영 및 비즈니스 요구 사항에 맞춰 확장하고 발전할 수는 없습니다.