SOC 현황 및 SIEM 활용

SOAR의 과거, 현재, 그리고 미래 1부

보안 운영 센터(SOC)는 효율적인 팀 운영과 경영진에 대한 투자 수익률(ROI) 입증을 병행하면서 모든 유형의 경고, 공격 또는 사고에 신속하고 효과적으로 대응할 수 있어야 합니다. 이를 위해서는 고도로 숙련되고 훈련된 인력, 잘 문서화된 프로세스, 그리고 정교하게 조정된 기술이 필수적입니다. 하지만 이러한 조건을 모두 갖춘 SOC는 많지 않습니다. 오히려 끊임없이 진화하는 위협 환경과 정교한 공격자로부터 쏟아지는 경고를 처리해야 하는 현실에 직면해 있으며, 인력 변동이 잦고 서로 다른 도구와 프로세스를 사용하는 경우가 많습니다. 이러한 일반적인 환경에서는 분석가가 경고를 수신하고, 핵심 내용을 파악하고, 데이터를 다른 도구에 복사하여 붙여넣어 오탐이 아닌지 확인한 후, 공격을 차단하고 복구 조치를 취하기까지 너무 많은 시간이 소요됩니다. 기업은 이러한 시간 동안 취약한 상태로 방치될 여유가 없습니다.

하지만 저희에게는 SIEM이 있습니다.

A 보안 정보 및 이벤트 관리(SIEM) 시스템 이는 현재 대부분의 SOC가 위에서 설명한 심각한 문제에 대응하기 위해 사용하고 있는 것입니다. SIEM의 특징은 일반적으로 엄청난 양의 정보를 생성하기 때문에 SOC가 이를 따라잡기 어렵다는 점입니다. 실제로, 최근 Enterprise Management Associates(EMA) 연구, 하루에 발생하는 보안 관련 티켓 641건 중 641건은 인력 부족으로 인해 조사되지 않고 있습니다.

SIEM 솔루션은 경고 데이터를 수집하는 데 도움이 되지만, 빅데이터 도구는 아닙니다. 보안 팀은 SIEM 경고와 함께 제공되는 대규모 데이터 세트를 분석하여 신속한 의사 결정을 내리고 패턴과 추세를 파악하기 위해 빅데이터 도구가 필요합니다. 조직들은 데이터 관리, 데이터 파이프라인, 클라우드 컴퓨팅 등 보유하고 있는 도구와 리소스를 살펴보면서 왜 보안 측면에서는 유사한 도구를 사용할 수 없는지 의문을 제기하고 있습니다. 조직들이 로그 집계, 로그 관리 및 데이터 분석과 같은 리소스를 점점 더 많이 클라우드로 이전함에 따라, SIEM과 클라우드 인프라에서 기본적으로 사용할 수 있는 도구에 관심을 갖기 시작했습니다. 이상적으로는 보안 운영 팀도 개발 및 엔지니어링 관점에서 보유하고 있는 동일한 기술 스택과 리소스를 활용할 수 있어야 합니다.

자동화를 도입해 보세요.

보안사고관리시스템(SIEM) 경고에 대응하기 위해 보안운영센터(SOC)에서는 자동화를 도입하고 있습니다. 로그 표준화, 로그 관리, 로그 집계, 상관관계가 있는 경고를 통한 로그 데이터 조사 및 검토 등 다양한 작업을 자동화하고 있습니다. 물론 모든 로그 경고를 검토하는 것은 불가능합니다. 따라서 목표는 로깅 정보의 집계 및 분석을 자동화하는 것입니다. 실제로 지난 10년간 많은 조직들이 이러한 수준의 자동화를 비교적 성공적으로 구현해 왔습니다.

하지만 실제로는 보안 운영(SecOps)의 인적 요소에 대한 자동화가 제한적이었기 때문에, 이러한 노력은 사람들이 해야 하는 작업량에 비해 공격 확산의 초기 단계를 막는 데 그쳤습니다. 조직들은 가능한 한 많은 부분을 자동화함으로써 우선순위 지정이나 중복 제거에만 집중했습니다. 자동화의 진정한 이점을 누리려면 접근 방식을 재고하고 공격 발생 초기 단계에서 기회를 포착해야 합니다. 예를 들어, 상관관계 분석이나 추가 조치가 필요하지 않고 바로 대응할 수 있는 핵심 성과 지표가 있는지 살펴봐야 합니다. 조직들은 SIEM이나 데이터 레이크에 저장되는 데이터가 원본 상태 그대로도 높은 정확도를 지니고 있으며, 추가적인 처리가 많이 필요하지 않다는 사실을 깨닫기 시작했습니다.

그러니까 오늘날의 SOC에는 더 나은 자동화가 필요하다는 거죠. 그게 전부인가요?

조직이 리소스를 확장함에 따라, 탐지가 발생하고 조치가 필요할 때 어떻게 처리해야 할까요? 클라우드 기반 리소스 및 기타 리소스가 끊임없이 추가되는 상황에서 탐지 및 조치는 어디에서 처리해야 할까요? 사물 인터넷(IoT) 장치, 가상화, 모바일 장치, 컨테이너화 등 모니터링해야 할 변화와 추가 사항이 끊임없이 빠르게 증가하고 있습니다. 이러한 각 기술은 고유한 인프라 요구 사항, 모니터링 요구 사항, 보안, 패치 및 취약성 평가 요구 사항을 가지고 있습니다. 향후 5~10년 동안 IP 지원 장치가 최대 1,000억 개에 달할 것으로 예상되는 상황에서, 이를 안전하게 보호하기 위해 해야 할 일은 상상을 초월합니다. 미래 지향적인 보안 운영을 구축하려는 조직에게는 이러한 광범위한 영역에 걸쳐 유연성과 확장성이 매우 중요합니다. 따라서 간단히 말해서, 답은 "아니요"입니다. SOC 자동화를 개선하는 것만으로는 충분하지 않습니다.

이 3부작 블로그 시리즈의 다음 두 편에서는 보안 오케스트레이션, 자동화 및 대응(SOAR)이 현재 SOC의 문제점을 어떻게 해결하고 있는지, 그리고 조직이 새로운 10년의 SecOps를 위해 무엇을 염두에 두어야 하는지 살펴보겠습니다.