웨비나의 마지막 순간, Cisco Korea 강성묵 프로의 농담처럼 던진 이 말에는 보안 담당자들의 애환이 짙게 묻어 났습니다. 하루가 다르게 진화하는 사이버 위협 속에서 보안 담당자들은 매일 버거운 업무들을 처리해 나가고 있습니다. 잘 하면 기본, 못하면 욕먹는 보안의 현실이 담당자들의 마음을 짙누르곤 하죠. 무엇보다 보안 운영 센터 SOC (Security Operation Center)의 측면에서도 실시간 탐지, 대응, 분석을 동시에 수행해야 하는 부담은 더욱 심해지고 있습니다. 그래서 이런 부담을 덜어줄 SOC의 새로운 패러다임이 필요한 시점이 도래한 것 같네요.
이번 잇츠맨 웨비나에서는 Splunk와 Cisco의 보안 전문가들과 차세대 SOC(Security Operations Center)를 화두로 보안 전략을 다루어 보았습니다. 단순한 솔루션 소개가 아니라, 실제 기업들이 직면한 현실적인 문제를 해결하기 위한 통찰을 공유한 자리였는데요. 아주 흥미로운 이야기들을 많이 다루었습니다. Splunk Korea 임예슬 부장 그리고 Cisco Korea 강성묵 프로와 함께한 잇츠맨 라이브, 이번 ‘잇츠맨 리뷰’에서는 그 핵심 내용을 정리해 보겠습니다.
차세대 SOC는 이래야 한다. TDIR 플랫폼의 완성, Cisco와 Splunk의 통합의 시너지 효과 #스플렁크#시스코#잇츠맨 (웨비나 다시 보기)
#보안 환경, 너무 복잡해졌어요
Splunk Korea 임예슬 부장은 SOC(Security Operations Center) 운영의 복잡성에 대해 이렇게 말합니다.
“급격히 변화하는 보안 환경과 데이터 폭증으로 인해 보안 운영팀(SOC)이 실시간으로 모든 위협을 대응하기가 점점 어려워지고 있어요. 데이터가 너무 많아져서 진짜 중요한 것이 무엇인지 판별하는 데 많은 시간이 걸리는 상황입니다.”
랜섬웨어 공격과 제로데이 위협이 증가하면서 보안팀이 감당해야 할 경보(Alert)도 폭발적으로 늘어났죠. 복잡한 보안 위협에 대응하기 위해서 다양한 보안 솔루션들을 도입했지만 개별적인 정보들이 너무 많아서 오히려 중요한 위협에 대처를 하기 어려운 아이러니한 상황에 직면했습니다. Cisco Korea 강성묵 프로는 현재 SOC의 문제점을 이렇게 파악했습니다.
“SOC의 가장 큰 문제는 가시성 부족입니다. 데이터를 수집하는 것은 어렵지 않지만, 각종 보안 솔루션이 사일로화되어 있어 공격의 출처를 정확히 파악하는 게 쉽지 않아요. 다양한 플랫폼에서 로그를 분석해야 하니, 결국 위협을 놓치거나 대응 속도가 늦어지는 거죠.”
이러한 문제를 해결하기 위해 Splunk Korea 임예슬 부장은 “TDIR(Threat Detection, Investigation, and Response)“을 중심으로 차세대 SOC를 재편해야 한다고 강조합니다.
#차세대 SOC는 어떠해야 하나요?
TDIR 중심의 차세대 SOC를 구축하기 위해 가장 중요한 컨셉은 SIEM(Security Information and Event Management, 보안 정보 및 이벤트 관리)과 SOAR(Security Orchestration, Automation, and Response)이 제대로 동작해야 한다는 것입니다. TDIR 구축을 위한 SIEM과 SOAR의 특징을 3가지 정도로 정리할 수 있을 것 같은데요.
어떻게 포괄적인 데이터 관리를 할 것인가
전체적인 컨텍스트 분석을 통해 정확한 위협 탐지가 가능한가
그리고 자동화된 워크플로우를 갖추고 있는가
이 세 가지 핵심 사항들을 만족하게 된다면 차세대 SOC를 위한 가장 중요한 뼈대를 세울 수 있게 됩니다.
#Splunk 는 어떤 준비가 되어 있나요?
그러면 이제 Splunk의 제안에 대해 얘기를 들어볼까요? Splunk의 Enterprise Security(ES) 플랫폼은 기존 보안 솔루션과 쉽게 연동되어 통합된 가시성을 제공하는 것이 가장 큰 장점이라고 할 수 있습니다.
“Splunk의 Enterprise Security(ES)라는 SIEM 솔루션은 다양한 보안 장비의 데이터를 수집하여 한 곳에서 검색하고 분석할 수 있도록 도와줍니다. 무엇보다 아주 쉽고 유연한 연동 프로세스가 강점인데요. 기존에 많이 사용하고 있는 제품들 뿐 아니라 국내 및 소규모 제품군들까지도 데이터 정규화 과정을 통해 쉽게 데이터를 융합시킬 수 있습니다. 이런 부분에 대한 노하우는 저희가 정말 많이 가지고 있죠.”
그리고 RBA (Risk-Based Alerting) 룰을 통해서 단발성 경보들 속에 숨어있는 진짜 중요한 경보를 컨텍스트 기반으로 분석해서 알려주는 위협 탐지 기능도 중요한 특징이라고 볼 수 있을 겁니다. 추가적으로 SOAR의 자동화 기능도 TDIR 구축을 위한 핵심 사항이죠.
“Splunk SOAR(Security Orchestration, Automation, and Response)와 연동하면 보안 이벤트의 연관성을 자동으로 분석하고 대응할 수 있습니다. 단순한 로그 분석이 아니라, AI 기반으로 위협을 자동 탐지하고 대응하는 체계를 구축하는 것이 TDIR 기반의 차세대 SOC의 목표라고 볼 수 있을 거라 생각해요”
#Cisco의 XDR 전략은 무엇인가요?
이제 Cisco의 제안으로 들어가 보겠습니다. 현재 많은 기업들이 개별적인 보안 솔루션들의 사일로된 환경에 곤혹스러워한다고 Cisco Korea 강성묵 프로는 지적하고 있습니다.
“현재 보안의 가장 큰 문제는 각각의 솔루션이 분리되어 있다는 점이에요. 기업들이 각 포인트별 다양한 솔루션들을 구축해 놓고 있지만 서로 연동되지 않으면 대응 속도가 늦어질 수 밖에 없습니다. 실제로 기존 시스템에서 대응하는 데 32분이 걸리던 작업을 Splunk와 Cisco XDR을 활용하면 5분 이내로 단축했다는 데이터도 있습니다. 그래서 핵심은 이겁니다. 하나로 묶는 플랫폼 전략!”
#Cisco의 XDR에 대해 살펴보겠습니다.
먼저 XDR의 Extended Context 라는 측면에서 볼까요? 제품과 솔루션들이 온프레미스, 퍼블릭 클리우드, 프라이빗 클라우드 어디에 있던 쉽게 연동하여 종합적인 분석이 가능하다는 점입니다. 하나로 모인 전체 데이터를 컨텍스트 기반의 분석을 통해 무엇이 진짜 중요한 경고인지를 분석하여 알려주는 것이 핵심적인 특징입니다. 또한 흥미로운 기능 중 하나가 MITRE ATT&CK 커버리지 맵이었는데요. 기존의 보안 솔루션들로 어떤 공격을 막을 수 있고, 반면에 어떤 부분의 보안 홀이 발생하는지를 직관적으로 파악할 수 있는 기능도 제공하고 있다고 하네요.
“사실 적용한 솔루션들이 혹시 너무 과다 투자한 부분이 있는 것은 아닌지 혹은 어떤 미흡한 점들이 있는 건 아닌 지 등의 사항들을 확인하는 것도 차세대 SOC 측면에서 매우 중요한 체크 포인트라고 생각합니다.”
Detection과 Response 부분도 아주 흥미로운데, 지면상 다 설명하기는 어렵고, 관련 내용은 아래 쪽에 링크된 하이라이트 영상에서 확인해서도 좋겠습니다.
#완벽한 방어전략을 위한 Cisco와 Splunk의 시너지는 무엇인가요?
“Cisco XDR + Splunk SIEM 의 조합을 제안드려요. 각각 개별으로도 잘 동작합니다. 그런데 함께 하면 훨씬 좋습니다.”
Cisco Korea 강성묵 프로의 이야기입니다. Splunk의 앱스토어에 있는 Cisco Security Cloud 라고 하는 앱을 깔면 Cisco XDR과 연동된 다양한 Cisco의 보안 솔루션들이 자동으로 연동됩니다. 그러면 Splunk의 화면에서 Cisco XDR의 모든 텔레메트리를 확인하고 바로 액션까지 처리할 수 있는 아주 효율적인 SOC가 구축되는 거죠.
또 Cisco에서는 아주 괜찮은 TI (Threat Intelligence) 솔루션인 Talos가 있습니다. 이 Talos를 Splunk의 SIEM 그리고 SOAR에서 쉽게 호출하고 연동해서 수집된 정보를 훨씬 더 풍부하게 만들 수 있는 연동성을 제공할 수도 있구요.
“쉽게 빌트인 할 수 있는 Cisco XDR의 사용자 편의성과 유연성과 확장성으로 대표되는 Splunk의 ES 가 함께 있으면 TDIR 관점의 차세대 SOC의 완성이라고 감히 말씀 드릴 수 있을 것 같아요”
Splunk Korea 임예슬 부장이 라이브 웨비나 마지막 멘트가 인상적입니다.
”저에게도 대부분의 보안 담당자분들에게도 차세대 SOC 구축은 새로운 도전의 영역이라고 봐요. 새로운 솔루션을 써야하고 또 운영의 방법들을 새롭게 고민하고 체계화해야하는 과제들이 산적해 있기 때문이죠. 그럼에도 불구하고 저희 Cisco 그리고 Splunk와 함께 한다면 훨씬 쉽고 원하는 결과를 만들어낼 수 있지 않을까 생각합니다. 언제든 연락 주세요.”
