보안도 ‘다이어트’가 필요하다

보안 이슈 2022-09-05

조직의 보안을 책임지고 있는 보안 담당자들에게 ‘워크 다이어트(Work-Diet)’라는 단어는 다소 생소할 수 있다. 숨쉴 틈도 없이 증가하는 고도화된 위협을 철통 방어하는 것이 보안 담당자에게 주어진 숙명과도 같은데, 365일 24시간 대응을 해도 모자랄 판에 업무를 ‘다이어트’하자는 말은 도무지 앞뒤가 맞지 않아 보인다.

하지만 보안 업무에 있어 워크 다이어트는 그 어떤 분야보다도 중요하다. 워크 다이어트는 ‘반복적이고 소모적인 업무를 간소화해 부가가치가 높은 업무에 집중하도록 하여 성과를 높이는 일’이라고 정의할 수 있다. 이번 글에서는 워크 다이어트 개념의 중요성과 해당 개념을 보안 실무에 적용해 효율적으로 운영하는 방안, 그리고 안랩의 솔루션을 함께 알아본다.

먼저 보안 업무에서 워크 다이어트를 적용할 수 있는, 가장 널리 알려진 솔루션으로는 대표적으로 SOAR(Security Orchestration, Automation and Response)가 있다. 이 SOAR의 개념과 함께, 보안 인프라가 어느 정도 갖춰져 있지만 SIEM(Security Information & Event Management)과 SOAR를 도입해서 운영하기에 다소 한계가 있는 중견 기업에 적용 가능한 워크 다이어트 방안 위주로 살펴보자.

필자의 소속 부서는 솔루션컨설팅팀으로 업무 특성상 다양한 기관 및 기업의 보안 담당자를 자주 만나고, 실무에서 발생하는 여러 애로사항을 보안 담당자를 통해 직접 청취할 기회가 많다. 올해 초에는 평소 친분이 있던 보안 담당자들에게 2022년 보안과 관련된 가장 큰 관심사가 무엇인지 물었는데, 해당 질문에 대한 대답은 업무 간소화, 즉 ‘워크 다이어트’였다. 비록 표본이 작지만, 실무에서 다양한 보안 솔루션과 네트워크 장비를 운영하고 있는 보안 담당자가 그렇게 답변한 것은 이들이 반복 업무를 어떻게 간소화하고 효율적으로 처리할 수 있는지에 대해 깊이 고민하고 있다는 반증이라고 할 수 있다.

Why Work-Diet?

보안 업무에 있어 워크 다이어트가 필요한 이유는 굉장히 다양하다.

[그림 1] 워크 다이어트의 개념

대표적인 이유는 과중한 업무로 인한 보안 공백이다. 보안 위협이 고도화됨에 따라 기존의 레거시 솔루션만으로 다양한 위협에 대응하는데 한계가 있어, 보안 담당자들은 새로운 보안 패러다임에 맞춰 최신 기술이 적용된 다양한 포인트 솔루션을 도입했다. 그 결과, 다수의 이기종 솔루션을 운영하게 되면서 자연스럽게 업무 과중에 시달렸다. 이런 단순하고 반복적인 업무에 치이다 보면 위협 사냥(Threat Hunting)과 같은 정작 필요한 핵심 보안 업무를 못하게 되면서 보안 공백이 발생하고, 악순환이 반복된다.

게다가 보안 전문 인력의 수급 부족으로 인해 보안 담당자들의 업무 강도는 갈수록 높아지고 있다. 실제로 보안 인력의 50%가 번아웃 증후군을 겪고 있다는 연구 결과도 있다. 이렇게 개인의 지식과 경험에 따른 역량이 업무의 질을 좌지우지하는 현재의 보안 업무 체계에서는 과중한 업무가 오히려 보안 공백을 발생시키는 또 하나의 위협이 될 수도 있다.

[그림 2] 보안 업무의 문제점과 워크 다이어트 기반 해결 방안

다음은 보안 업무를 수행하는데 어떤 현실적인 문제점이 있으며, 이를 해결하는 방법에 대해 간단히 설명한다.

우선 앞에서 언급한 바와 같이, 엔드포인트 및 네트워크 영역에서 운영되는 다양한 이기종의 보안 솔루션으로 인해 보안 담당자의 업무가 과중되고 있다. 이 문제는 엔드포인트와 네트워크 솔루션의 연동 및 연계를 통해 통합되고 일관된 정책을 운영함으로써 업무를 간소화할 수 있다.

또한, 다양한 이기종 솔루션 도입으로 인해 발생하는 호환성 및 성능 문제로 인해 조직 구성원들의 불만이 증가하고 있다. 이에 솔루션간 연계 및 호환성을 확실하게 보장받을 수 있는 단일 공급업체(One-Vendor) 솔루션을 도입해 운영하는 것이 해결책이 될 수 있다. 단일 공급업체 솔루션은 호환성 보장 외에도 보안 영역별 솔루션간 연계 및 연동, 통합 로그 관리 등 다양한 측면에서 이점이 있다. 따라서 워크 다이어트 관점에서 저비용으로 가장 극적인 효과를 볼 수 있기에 충분히 고려할 만한 해결책이다.

이 외에 인력 부족으로 발생할 수 있는 위협에 대한 대응의 한계나 다수의 이기종 솔루션 대상 정책 관리의 번거로움, 침해 사고 발생 후 사후조사 및 재발방지 대책 수립을 위해 투입되는 리소스 등의 다양한 문제가 있다. 이런 문제들은 SOAR 개념이 적용된 솔루션을 활용해 작업 및 프로세스, 정책관리, 리포팅 등의 업무 자동화를 구현하고, 보안 이벤트에 대한 더 나은 가시성을 확보해 업무 우선 순위를 식별하고 다양한 위협에 효율적으로 대응한다면 큰 효과를 볼 수 있을 것이다.

What is SOAR?

SOAR는 2017년 가트너가 처음 제시한 개념으로 SIEM과의 연계를 통해 이기종 솔루션간의 연동 및 작업, 프로세스, 정책실행 및 리포팅 등의 보안 관제 자동화가 핵심인 솔루션이다. 안랩도 Sefinity AIR라는 SOAR 제품을 많은 기업에 공급하고 있다.

[그림 3] AhnLab Sefinity AIR의 주요 개념

다만, SOAR는 규모가 크지 않은 중견기업에서 운영하기에는 부담이 발생할 수 있고, SIEM이 도입되어 있지 않은 운영 환경에서는 사용이 불가능하다는 단점이 있다.

그래서 안랩은 기존의 SOAR 솔루션처럼 이기종 솔루션간 연동을 통한 자동화 구현은 불가능하지만 안랩 솔루션을 사용 중인 기업을 대상으로 엔드포인트와 네트워크 영역을 융합하고 연계해 자동화된 대응과 리포팅이 가능한 별도의 솔루션을 준비하고 있다.

해당 솔루션의 경우 기존 SOAR 제품과의 가장 큰 차이점은 아무래도 도입 비용이겠지만, 이 외에도 이기종 솔루션간 연동이 아닌 안랩 제품을 대상으로만 자동화 지원이 가능하다는 점과 SIEM이 도입되어 있지 않은 환경에서도 독립적인 운영이 보장된다는 점, 그리고 플레이북(Playbook)이라고 하는 워크 플로우 자동화 프로세스를 커스터마이징 방식이 아닌, 업데이트 방식의 패키지 형태로 제공한다는 점도 있다.

안랩 솔루션을 활용한 워크 다이어트 구현 예시

① 알려지지 않은 악성코드 유입 시 자동 대응

첫번째는 샌드박스 기반 APT 대응 솔루션을 통해 알려지지 않은 악성코드 유입이 인지되었을 경우 운영 중인 솔루션간 연계를 통해 자동 대응 및 조치를 수행하는 시나리오다.

[그림 4] 플레이북이 없는 상황에서의 악성코드 대응 프로세스

플레이북이 적용되지 않은 일반적인 환경에서 위와 같은 악성코드 유입이 발생했을 경우를 가정해 본다면, [그림 4]와 같이 여러 업무를 일일이 수동으로 대응하고 처리해야하는 번거로움이 발생한다.

하지만 플레이북을 적용하면 [그림 5]처럼 모든 과정이 자동으로 처리된다. UserTask 항목에서 자동으로 취합 및 추출된 위협 정보를 확인하고, 대응 여부에 대한 의사결정만 내리면 연계된 모든 솔루션을 대상으로 차단 룰셋을 적용하고 처리 결과에 대한 리포트를 받아볼 수 있다.

[그림 5] 플레이북이 적용된 악성코드 대응 프로세스