당신이 선택하지 않은 비상
보안 오케스트레이션 자동화 및 대응(SOAR) 플랫폼이 어떻게 도입되었는지 생각해 보세요. 특정 요구 사항에 대한 철저한 평가를 거쳐 의도적으로 결정한 것인가요? 아니면 단순히 더 큰 구매의 일부로 포함된 것인가요?
많은 보안팀에게 솔직한 대답은 두 번째입니다. SOAR는 선택된 것이 아니라, 어쩌다 보니 도입된 것입니다.
그 차이는 겉으로 보이는 것보다 훨씬 중요합니다. 보안 자동화는 분석가들이 매일 일하는 방식을 완전히 바꿔놓습니다. 대응 속도, 확장성, 그리고 도구들 간의 원활한 연동을 결정짓는 요소입니다. 이처럼 중요한 플랫폼은 그 자체의 장점을 기준으로 선택되어야 마땅합니다. 하지만 많은 팀들에게 있어, 그러한 선택은 결코 이루어지지 않았습니다.
요약:
- 대부분의 보안 팀은 SOAR를 의도적으로 선택한 적이 없습니다. SOAR는 더 큰 규모의 SIEM, 엔드포인트 또는 위협 인텔리전스 솔루션 계약에 포함되어 제공되는 경우가 많으며, 적합성을 평가하기보다는 구매 과정에서 선택 사항으로 제공되는 경우가 대부분입니다.
- 해당 SOAR 패키지는 특정 벤더의 생태계에 맞춰 최적화되어 있어 해당 벤더 내부에서는 원활하게 통합되지만, 다양한 환경이 혼합된 다른 스택에서는 제대로 작동하지 못합니다. 구축하는 모든 워크플로우가 이러한 벤더 종속성을 심화시킵니다.
- Swimlane은 정반대의 접근 방식을 취합니다. 벤더에 구애받지 않는 AI 기반 SOC 자동화 솔루션으로, 실제로 운영하는 환경을 오케스트레이션하도록 설계되었으며, 최대 90%의 워크플로우를 마이그레이션하는 플레이북을 제공합니다.
SOAR가 패키지 상품으로 포함되는 과정
익숙한 경로입니다. 공급업체가 SIEM, 위협 인텔리전스, 엔드포인트, 그리고 관리형 서비스 계층까지 포함하는 포괄적인 플랫폼을 제안합니다. SOAR도 플랫폼에 통합되어 있습니다. 구매팀은 계약이 더 깔끔해지고 관리해야 할 공급업체가 줄어든다고 생각합니다. 서류상으로는 거래가 타당해 보입니다. 그래서 계약이 체결되고 SOAR도 함께 포함됩니다.
누구도 앉아서 그 특정 자동화 엔진이 환경에 가장 적합한지 따져보지 않았습니다. 다른 대안들과 비교해 보지도 않았습니다. 결정은 전체적인 패키지에 관한 것이었고, SOAR는 그저 곁가지에 불과했습니다.
이는 이러한 도구들의 엔지니어링 기술 자체를 폄하하려는 것이 아닙니다. Palo Alto XSOAR, Splunk SOAR, FortiSOAR는 모두 훌륭한 팀들이 개발한 뛰어난 제품입니다. 하지만 솔직히 말해서, 이러한 SOAR 플랫폼들은 한때는 훌륭했지만, 수년간 혁신이 이루어지지 않아 오늘날의 위협에 대응하기에는 더 이상 적합하지 않습니다.
아무도 소리 내어 읽지 않은 4가지 주요 절충안
모든 패키지는 명시적으로 동의하지 않은 일련의 타협 사항으로 구성됩니다. 이러한 타협 사항은 프레젠테이션 자료에는 나타나지 않습니다. 나중에 운영 업무, 특히 일상적인 작업 과정에서 드러나게 됩니다. 마치 물려받은 맞춤처럼 말이죠. SOAR가 더 큰 규모의 계약에 포함될 경우, 특정 워크플로가 아닌 공급업체의 판매 전략에 최적화되어 있습니다. 도구가 사용자에게 맞춰지는 것이 아니라 사용자가 도구에 적응하게 되는 것입니다. 시간이 흐르면서 팀은 도구의 한계를 중심으로 프로세스를 구축하고, 이러한 한계를 당연한 것으로 여기게 됩니다.
1. SOAR 생태계 편향.
번들로 제공되는 SOAR는 상위 플랫폼과의 관계를 강화하도록 설계되었습니다. 해당 벤더의 생태계에 완벽하게 통합되지만, 다른 부분에서는 눈에 띄게 경직됩니다. 벤더가 홍보하는 통합 기능은 대개 자사 제품 판매를 촉진하는 기능입니다. 하지만 실제 보안 운영은 단일 벤더에 의존하지 않습니다. 대부분의 환경은 여러 벤더의 솔루션을 사용하며, 특정 벤더에 치우친 SOAR는 나머지 벤더를 부차적인 것으로 취급합니다.
2. 기존 SOAR 시스템은 유연성을 저하시켰습니다.
간단한 수정 작업에 전문가가 필요할 수 있습니다. 업데이트는 공급업체의 일정에 따라 진행되며, 사용자의 일정과는 다릅니다. 가장 구축하고 싶은 자동화 기능이 오히려 플랫폼에서 가장 구현하기 어려운 경우가 있습니다. 이러한 문제들은 결코 과장된 것이 아닙니다. 단지 팀의 시간과 의욕을 서서히 깎아먹는 요소일 뿐입니다.
3. SOAR 번들로 인한 벤더 종속성
계약서 서명 시에는 거의 언급되지 않는 부분이 바로 이것입니다. 폐쇄적인 생태계 안에서 구축하는 모든 플레이북은 떠나기가 더욱 어려워집니다. 모든 통합, 모든 워크플로, 모든 의존성은 생각을 바꾸는 데 드는 비용을 증가시킵니다. 번들 솔루션은 도입하기 쉽도록 설계되었습니다. 바로 그 편안함이 전략입니다. 진정한 질문은 시작하기가 얼마나 쉬웠느냐가 아니라, 3년 후 얼마나 갇혀 있다고 느낄 것인가입니다.
4. 지금은 편리한 SOAR가 나중에는 제약이 될 수 있습니다.
번들링은 조달 문제를 해결합니다. 공급업체 관리를 간소화하고 계약을 깔끔하게 정리해 줍니다. 이러한 이점들은 분명 가치가 있습니다.
하지만 구매 편의성과 운영 현실은 전혀 다른 문제입니다. 이사회에서 갱신을 용이하게 하기 위한 결정이 SOC(보안 운영 센터)에서는 오히려 더 큰 어려움을 초래할 수 있습니다. 구매한 제품과 실제 필요한 제품 사이의 격차를 가장 크게 느끼는 것은 바로 분석가들입니다.
이것이 바로 "충분히 괜찮은" 자동화가 팀의 잠재력을 조용히 제한하는 방식입니다. 함께 제공되는 도구는 고장난 것이 아닙니다. 아무도 의문을 제기하지 않을 만큼 충분히 잘 작동합니다. 그러는 동안 팀원들은 임시방편을 강구하고, 제약 조건을 당연한 것으로 받아들이며, 이러한 제약 조건을 기반으로 구축된 플랫폼이 실제로 무엇을 할 수 있는지 서서히 잊어버립니다.
묻고 싶은 질문
현재 SOAR 계약이 잘못되었다고 선언할 필요는 없습니다. 다음 갱신 시점에 솔직한 질문 하나만 하시면 됩니다…
이 도구가 번들로 제공되지 않았다면 그래도 선택하시겠습니까?
답이 빠르고 확신 있게 나온다면, 당신은 좋은 위치에 있는 겁니다. 그대로 두세요. 하지만 망설인다면, 그 망설임은 당신에게 무언가를 말해주고 있는 겁니다. 그것은 이미 당신 대신 결정이 내려졌다는 뜻이고, 다시 한번 당신 스스로의 조건에 맞춰, 그리고 당신의 필요에 반해서라도 결정을 내려볼 가치가 있을지도 모른다는 의미입니다.
SOAR 재평가를 위한 솔직한 고려 사항
몇 가지 질문을 통해 그 목표에 도달할 수 있습니다.
- 귀사의 SOAR 자동화 시스템은 전체 스택에 걸쳐 깔끔하게 작동합니까, 아니면 특정 벤더의 도구만 사용합니까?
- 효율적인 워크플로우를 구축하거나 변경하는 데 얼마나 시간이 걸리며, 누가 그 작업을 해야 할까요?
- 만약 떠나고 싶다면, 지금까지 쌓아온 것 중 얼마나 많은 부분을 처음부터 다시 만들어야 할까요?
- 만약 이 플랫폼이 자체적인 경쟁력을 갖춰야 한다면, 여러분의 환경에서 자리를 잡을 수 있을까요?
더 나은 미래를 향한 길
여기가 바로 그곳입니다 스윔레인 터빈 이 문제가 어떻게 발생하는지, 그리고 우리가 이 문제에 대해 다르게 생각하는 이유는 무엇인지에 대해 이야기해 보겠습니다.
Turbine은 특정 벤더에 종속되지 않도록 설계되었습니다. 특정 생태계를 강화하거나 특정 벤더의 제품 구매를 유도하기 위해 만들어진 것이 아닙니다. 다양한 소스의 도구들이 혼합되어 있고, 끊임없이 변화하는 실제 환경을 오케스트레이션하도록 설계되었습니다. 자동화는 벤더의 로드맵이 아닌, 사용자의 스택을 따라 진행됩니다.
바로 그 개방성이 핵심입니다. 자동화 방식이 특정 플랫폼에 종속되지 않으면 선택의 폭을 넓히고, 빠르게 적응하며, 승인된 부분뿐만 아니라 운영하는 모든 시스템을 아우르는 통합적인 관리가 가능해집니다.
기존에 구축해 놓은 모든 것을 다시 만들어야 할까 봐 걱정되신다면 충분히 이해합니다. 하지만 걱정 마세요. Swimlane은 현재 플랫폼에서 최대 90%의 기존 워크플로우를 이전할 수 있습니다. 대부분의 번거로운 작업은 시작하기 전에 완료되므로, 마음이 바뀌더라도 처음부터 다시 시작할 필요가 없습니다.
SIEM 솔루션과 엔드포인트 관리 도구를 직접 선택하셨듯이, 환경 오케스트레이션 방식 또한 환경에 맞춰, 사용자의 필요에 맞게 직접 선택할 수 있어야 합니다.
그러니 스스로에게 솔직한 질문을 던져보세요. 그리고 당신의 팀이 진정으로 받을 자격이 있는 것이 무엇인지 결정하세요.
SOAR 이후에 무엇이 올지 다시 생각해 보세요
Swimlane이 팀이 기존 SOAR 제약 조건을 최신 보안 운영 방식에 맞춰 설계된 에이전트 기반 AI 자동화로 대체하는 데 어떻게 도움을 주는지 확인해 보세요.

