"충분히 좋은" SOAR 솔루션을 선택할 때 발생할 수 있는 문제점

“"이 정도면 괜찮다"는 말은 형식적인 절차는 충족시킬지 몰라도, 문제 자체를 해결해주지는 못할 겁니다.

CISO들은 공격 표면의 확장, 제한된 자원, 그리고 증가하는 규제 요건에 대응하기 위해 고군분투하고 있으며, 이러한 상황에서 "그럭저럭 괜찮은" 솔루션이 매력적인 선택지가 되고 있습니다. 하지만 "그럭저럭 괜찮은" 보안 오케스트레이션, 자동화 및 대응(SOAR) 솔루션을 도입하면 팀 생산성을 높이고 위험을 줄일 수 있을 것처럼 보일 수 있지만, 실제로는 오히려 더 큰 문제를 야기할 수 있습니다. "그럭저럭 괜찮은" 보안 솔루션은 단기적으로는 안심을 줄 수 있지만, 장기적으로는 고통스러운 전면 교체 프로젝트를 거쳐야 할 수도 있습니다. 이러한 고통을 피하려면 처음부터 올바른 SOAR 솔루션을 선택해야 합니다.

올바른 솔루션 선택

어떤 작업이든 적합한 도구를 선택하는 것은 매우 중요합니다. 톱이 필요한데 스테이크 나이프를 고르는 사람은 없겠죠. 수많은 SOAR 솔루션 중에서 어떤 솔루션이 보안 운영 센터(SOC)의 고유한 요구 사항에 가장 적합한지 어떻게 알 수 있을까요? 선택 과정을 거치다 보면 단순하고 사용하기 쉬워 보이는 첫 번째 솔루션에 마음이 끌릴 수 있지만, 이러한 유형의 솔루션은 일반적으로 확장성과 장기적인 생산성을 희생해야 한다는 점을 명심해야 합니다.

"그럭저럭 괜찮은" SOAR 솔루션과 완벽한 솔루션을 어떻게 구분할까요? 여러 가지 방법이 있지만, 우선 팀의 생산성을 향상시키면서 장기적인 운영 전략의 미래 경쟁력을 확보할 수 있는 솔루션에 집중하는 것이 중요합니다.

구매 후 후회로 이어질 수 있는 몇 가지 위험 신호가 있습니다. 그중 여섯 가지를 살펴보겠습니다.

1. 실제 적용 가능성이 제한적임 보안 운영은 매우 바쁜 업무이며, 경고, 사례 및 작업을 신속하게 처리하고 다음 작업으로 넘어가는 데 집중하기 쉽습니다. 그러나 연구원들은 공격자들이 공격을 실행하기 위해 중앙 집중화되지 않은 인프라를 점점 더 많이 사용하고 있다는 사실을 확인하고 있으며, 이는 위협 인텔리전스가 악의적인 명령 및 제어(C2) 인프라를 신속하게 식별하지 못하는 경우가 많다는 것을 의미합니다. SOAR 제품은 위협 인텔리전스 및 기타 조사 소스가 업데이트될 때마다 원격 측정 데이터를 갱신하는 장기 실행 자동화 기능을 갖춰야 합니다. 그렇지 않으면 위협 인텔리전스에서 발견되지 않아 서둘러 처리한 사례가 실제로는 여러분만을 위한 새로운 C2 서버일 수도 있습니다.

2. 굽힐 수 없음 "충분히 좋은" SOAR 솔루션을 신속하게 식별하는 핵심 방법 중 하나는 플랫폼의 주요 요소인 자동화 엔진, 사용자 경험 및 통합 프레임워크의 유연성을 살펴보는 것입니다. "충분히 좋은" 솔루션은 환경에 적합하지 않거나, 중복되거나, 관련성이 없는 경직된 공급업체 지정 단계를 따라야 합니다. 구성 가능하고 민첩한 솔루션을 찾는 것이 중요합니다. 확장 가능한 자동화 플랫폼은 유연하고, 복원력이 뛰어나며, 기능이 풍부하여 고유한 환경, 내부 프로세스 및 규정 준수 요구 사항을 고려하여 사용 사례를 구축할 수 있도록 지원합니다. 이러한 포괄적인 플랫폼이 없으면 팀은 일상 업무에 자동화를 적용할 기회가 제한되어 곧 제약을 느끼고 좌절감을 경험하게 될 것입니다.

3. 벤더 통합 부족 – 통합 SOAR 기능의 핵심은 통합입니다. 평가 중인 솔루션이 현재 사용 중인 도구와의 통합을 제공하는지 확인하십시오. 새로운 통합 기능은 얼마나 빠르게, 그리고 얼마나 자주 추가됩니까? 자사 제품 라인과의 통합을 우선시하는 공급업체는 주의해야 합니다. 또한, 향후 필요한 통합 기능도 고려해야 합니다. 이러한 통합 기능이 모두 단일 포트폴리오 기업을 위한 것인지, 아니면 보안, DevOps, IT 및 클라우드 인프라를 아우르는 다양한 기술 스택에서 필요한 것인지 생각해 보십시오.

4. SOAR에 초점이 맞춰져 있지 않습니다. 일부 SOAR 공급업체는 광범위한 제품 라인을 보유하고 있지만 SOAR는 전체 제품 라인에서 아주 작은 부분만을 차지하는 경우가 있습니다. 회사의 주력 사업이 SOAR가 아닌 경우를 주의 깊게 살펴봐야 합니다. 해당 업체가 귀사의 SOAR 솔루션을 제대로 혁신하고 개선하는 데 시간을 투자할지, 아니면 단순히 명목상의 비용으로 묶어서 제공하거나 다른 제품 구매를 유도하기 위한 미끼로 사용할지 확인해야 합니다. 기술 개발은 다른 모든 분야와 마찬가지로 전문적인 기술과 경험이 필요한 작업이며, 적합한 도구를 사용하는 것뿐만 아니라 깊이 있는 전문성과 공통된 목표를 가진 적합한 파트너를 선택하는 것 또한 중요합니다.

5. 확장성이 없습니다 – 조직이 성장함에 따라 SOAR 솔루션도 함께 성장해야 합니다. 대기업이든 MSSP(관리형 서비스 제공업체)든 관계없이 SOAR 솔루션이 부족하면 문제가 발생할 수 있습니다. 확장성 "충분히 좋은" SOAR 솔루션의 용량 한계를 넘어서려고 하면 엄청난 부정적인 영향을 미칠 수 있습니다. 보안 팀이 관리해야 하는 데이터 양은 줄어드는 것이 아니라 오히려 늘어나고 있으며, 보호해야 할 영역 또한 마찬가지입니다.

6. 비용 대비 성능에 집중 누구나 예산이 한정되어 있습니다. 저렴한 가격으로 완벽한 SOAR 솔루션을 얻거나 필요한 기능 대부분을 추가 옵션으로 이용할 수 있는 것처럼 보일 때 매력적으로 느껴질 수 있습니다. 하지만 이러한 저가형 옵션들이 간과하고 있는 사실은 비용을 낮추기 위해 필수적인 기능들을 포기해야 한다는 점입니다. 완벽한 솔루션은 처음에는 더 비싸 보일 수 있지만, 투자수익률(ROI) 그 가격 차이를 충분히 상쇄하고도 남을 것입니다.

궁극적으로 적합한 SOAR 솔루션은 보안 운영팀의 효율성과 효과성을 높여줍니다. 따라서 일부 솔루션이 단순해 보이는 인터페이스나 저렴한 가격으로 눈길을 사로잡을 수 있지만, 시간을 들여 여러 솔루션을 평가하고 팀의 성장에 맞춰 확장 가능한 SOAR 솔루션인지 확인하는 것이 중요합니다.