보안 패러다임의 변화, ‘SOAR·제로 트러스트’ 주목

[테크월드뉴스=양승갑 기자] 러시아-우크라이나 사태 이후 급변하는 세계 정세에 사이버 공격이 증가하는 추세다. 보안 솔루션 전문기업 체크포인트 소프트웨어 테크놀로지스가 발간한 ‘2023년 시큐리티’ 보고서에 따르면 2022년 사이버 공격은 전년 대비 38% 증가했으며 조직당 평균 1168건의 공격이 발견됐다.

북한, 러시아, 중국 등 국가 배후로 추정되는 사이버 공격도 이어지고 있다. 지난해 6월 북한 산하 해킹 조직 라자루스는 미국 블록체인 기업 하모니를 공격해 약 1억 달러(1300억 원) 상당의 가상자산을 탈취한 바 있다. 친러 성향 해커 집단 킬넷은 미국 주요 공항 웹사이트에 분산 서비스 거부(DDos) 공격을 지난해 10월 가하기도 했다. 미국 사이버 보안기업 레코디드 퓨처는 17개국 코로나19의 정보를 탈취한 중국 해킹 조직 레드호텔을 발견했다.

특히 AI·IoT(사물인터넷)·클라우드 등 IT 기반을 활용한 디지털 전환이 가속화되고 챗GPT 같은 생성형 AI의 등장은 사이버 보안의 중요성을 더욱 높이고 있다. 이에 관련 업계에서는 차세대 보안의 주요 기술로 SOAR(Security Orchestration, Automation and Response)과 제로 트러스트 모델 등을 제시한다.

▶ 차세대 보안 핵심, SOAR·제로 트러스트

사이버 보안 위협에 대응하기 위한 기술은 진화하고 있다. 한국여성과학기술인육성재단에 따르면 보안관제 기술은 단위 보안관제, 통합 보안관제, 빅데이터 보안관제, 자동화 및 연계 기반 보안관제 순으로 발전 중이다. 이 중에서도 SOAR 기반 자동화 대응, 제로 트러스트 등은 차세대 보안 기술로 꼽히기도 한다.

2017년 가트너는 SOAR라는 용어를 처음 제시하면서 사고 대응, 자동화, 위협 관리 등을 단일 플랫폼에 결합한 솔루션이라고 설명했다. IDC에서는 분석, 인텔리전스, 응답 및 오케스트레이션을 포함한 AIRO라고 지칭했으며 포레스터 리서치는 SAO(보안 자동화 솔루션)라는 용어를 사용했다.

SOAR은 보안 오케스트레이션 및 자동화, 보안사고 대응 등으로 구성됐다. 일련의 기능으로 구성된 SOAR은 위협 피드를 모니터링하고 이기종 보안 솔루션을 통합·연동해 보안 전문가가 운영 작업을 일관되게 수행할 수 있도록 돕는다. 위협 인텔리전스 사용을 수집하고 운영할 수 있는 메커니즘으로 구성되기 때문에 사고가 발생하더라도 신속한 문제 해결이 가능하다

SOAR가 제대로 동작하기 위해서는 각 기능의 적절한 조화가 필수다. 보통 기업에서 활용되는 일반적 사례에 맞게 사전 구성된 워크플로우로 제공되지만 각 업체에서 요구하는 사항과 다를 수 있기 때문이다.

이를 두고 마이크로소프트는 오케스트레이션 도구와 자동으로 실행되도록 설계된 플레이북 등 자동화의 협력으로 SOAR을 구현할 수 있다고 설명했다. 또한 운영 비용을 최대 60% 절감해 우선순위가 높은 요구사항에 더 많은 예산 투입도 가능하다고 밝혔다

제로 트러스트는 ‘아무도 신뢰하지 않으며 항상 확인한다’는 원칙을 기반으로 한다. 네트워크 세분화 및 명확하게 정의된 네트워크 액세스 제어와 같은 방법론에 초점을 맞췄다. 2010년 처음 등장한 제로 트러스트 모델은 전통적 보안 시스템의 한계로 최근 중요성이 강조되는 추세다.

기존 보안 환경이 기업용 애플리케이션, 클라우드 등 외부 시스템과 연결되는 경우가 많아지면서 보안 관리자가 모든 기기를 관제하는 데 많은 시간과 비용이 소모되고 있다. 또한 기존 환경은 기업 내부 네트워크에 대한 신뢰와 차단을 전제로 했기 때문에 공격자가 내부에 침투하면 큰 피해가 발생한다.

그러나 제로 트러스트가 적용된 보안 시스템은 모든 트래픽과 사용자를 검증하는 철저한 신원 인증에 중점을 두고 있다. 이에 따라 위치나 디바이스에 상관없이 일관된 보안 접근을 제공하므로 보안성을 강화할 수 있다. OTP 같은 보안키, 지문, 홍채, 얼굴 인식 등의 인증이 복합적으로 사용된다.

특히 레드햇은 제로 트러스트 원칙을 고수하기 위해 모든 상호 작용에 다중 인증(MFA)과 직접 권한 부여가 필요하다고 강조한다. 시간이 지나면서 기업 환경도 변하기 때문에 신원 인증과 권한 부여를 상황에 맞게 적용해야 한다는 시각이다.

▶ 각국 정부와 기업, 보안관제에 대한 중요성 인식

현재 국내외 보안 기업들도 SOAR, 제로 트러스트 모델을 중심으로 차세대 보안관제 시스템을 개발하고 있다. IBM이 개발한 QRadar SOAR(리질리언트) 플랫폼은 사이버 위협에 대응하고 인텔리전스를 자동화해 보안 관리자가 일관성을 갖고 협업이 가능하도록 설계됐다. IBM에 따르면 QRadar SOAR를 사용한 고객의 대응 조치 시간은 평균 수 일에서 수 시간 이하로 단축됐다.

보안 플랫폼 기업 팔로알토 네트웍스는 사용자, 애플리케이션 등에 SOAR과 제로 트러스트를 도입하고 있다. 팔로알토 네트웍스가 개발한 코텍스 XSOAR은 사례 관리, 자동화, 실시간 협업 및 위협 인텔리전스 관리를 통합하는 플랫폼으로 모든 보안 데이터를 한 곳에 수집해 보안 가시성을 확보할 수 있다.

국내에서는 안랩과 이글루코퍼레이션이 대표적이다. 안랩은 통합보안 플랫폼 ‘SOAR 베이직’을 지난 6월 출시했다. 대응 프로세스를 별도 구현 과정 없이 표준화해 사전 정의된 시나리오를 기반으로 플레이북을 제공한다. 안랩에 따르면 단순 반복적인 프로세스를 자동화해 각 케이스에 대한 선별 및 대응을 즉각적으로 수행할 수 있다.

시큐리티인텔리전스 기업 이글루코퍼레이션은 국내 보안 기업 최초로 SOAR 특허를 취득해 기술력을 증명하기도 했다. 보안관제 기술력이 집약된 특허 적용으로 보안 관리자들은 사이버 공격에 대해 보다 손쉬운 대응이 가능하다.

사이버 공격 대비와 예방을 위해 각국 정부도 디지털 전환에 맞춘 보안 정책을 수립하고 있다. 미국에서는 소프트웨어 투명성을 확보하고 인프라 보안을 강조한 ‘국가 사이버 보안 전략 구축 계획’을 발표됐다. 구체적으로 ▲사회 기반 시설의 방어 ▲위협 행위자들의 와해와 해체 ▲보안과 복구 능력 강화를 위한 시장 전체 분위기 조성 ▲미래를 위한 투자 유치 ▲국제적 파트너십 강화 등 항목이 포함됐다.

국내의 경우 과학기술정보통신부가 지능·조직적 사이버 위협에 대응하기 위해 ‘제로 트러스트 가이드라인 1.0’을 마련했다. 가이드라인에서는 ▲강화된 인증 ▲마이크로 세그멘테이션 ▲소프트웨어 정의 경계 등 핵심 원칙 및 도입 참조 모델을 제시하고 있다.

▶ 실시간 위협 예측과 노출 시간 최소화가 중요

관련 업계에서는 디지털 전환의 가속화와 국내외 정세 변화가 맞물리며 지속적으로 더 많은 사이버 공격이 일어날 것으로 예측하고 있다. 이와 관련해 한국정보통신기획평가원(IITP)은 차세대 보안관제의 목표는 사전 또는 실시간 보안 위협을 예측 또는 인지하거나 노출되는 시간을 최소화하는 것이라고 설명했다.

또한 향후 차세대 보안관제 시스템은 변화된 사이버 보안 패러다임에 능동적으로 대응하기 위해 제로 트러스트 관점에서 비즈니스 연속성과 재해 복구 계획을 보유한 사이버 복원력 등을 보유한 통합 사이버 보안 서비스를 제공해야 한다고 강조했다.

한편 사이버 보안 시장은 계속해서 성장할 것으로 예측된다. 시장조사기관 카날리스에 따르면 올해 1분기 전 세계 사이버 보안 시장 규모는 186억 달러(24조 원)를 기록했다. 전년 동기 대비 12.5% 증가한 수치다.