맥킨지, BCG, 베인앤컴퍼니 같은 세계 유수의 컨설팅 기업들이 문제를 분석하고 해결책을 제시하는데 사용하는 접근방식 중에 MECE(Mutually Exclusive Collectively Exhaustive)라는 것이 있다. 이는 문제와 해결책을 찾는 과정에서 주요 항목들이 중복없이 상호 배타적이면서도 모였을 때는 빠짐없이 완전한 전체를 이루는 것을 의미한다. 이 방법론은 비단 컨설팅 업계에서만 필요한 것이 아니라 최고정보보호책임자(CISO)에게도 필수적이다.
'Digital transformation' 'Work From Anywhere' 사물인터넷(IoT), 클라우드 사용 증가 등으로 보안이 책임져야 할 영역이 회사 밖까지 확대되고, 이에 따라 폭발적으로 증가하는 공격 면과 보호해야 할 데이터가 기하급수적으로 증가하는 요즘, CISO들은 이러한 당면 과제의 해결책을 준비하는 것만으로도 버거운 상황이 됐다.
그러나 성공하는 CISO에게는 단편적인 문제 해결을 넘어서 총체적 관점에서 전체의 흐름을 보는 MECE 접근 능력과 타 부서 및 경영진들과 효과적으로 커뮤니케이션할 수 있는 능력이 그 어느 때보다도 필수적으로 요구되고 있다.
예를 들어, 보안 이벤트 발생 시 실무자들은 현재 담당하는 보안 제품으로 각자가 가시성을 확보한 범위 내에서 얻은 정보만을 가지고 조치를 취하게 될 가능성이 높다. 그러한 실무자 여러 명이 각각의 방식으로 보안 이벤트에 대응하는 경우, CISO는 이러한 부분적인 조치간 중복이나 상충은 없는지, 완벽한 문제 해결을 위해 빠진 조치는 없는지, 특정 조치가 부분적인 문제 해결에는 도움이 되나 보안 인프라 전체의 큰 흐름에는 마이너스가 되지는 않는지 등도 다각도로 살펴봐야 한다.
아울러, 보다 장기적인 관점에서 현재 보안 부서가 겪고 있는 어려움이 장비 및 솔루션의 부재로 인한 것인지, 인프라는 충분한데 이를 효과적으로 운용하지 못한데 기인한 것인지, 보안 인력 자체가 부족한 것인지, 인력은 충분하나 스킬이 부족한 것인지 등도 총체적으로 검토해야 한다. 이를 통해 현재 가용한 물적, 인적 자산을 추가로 중복 투자하지 않고 효과적으로 활용해 더욱 체계적으로 미래에 대비할 수 있다.
폭넓은 시각으로 문제를 파악하고 해결책을 찾았다고 해도, 전사적 관점의 보안 정책과 조치는 유관부서 및 경영진으로부터 지지를 얻고 실행에 옮겨져야 한다. 그렇지 않다면 이는 무용지물이 되고 문제는 되풀이될 수밖에 없다. 즉, 그 어느 때보다도 경쟁이 치열한 비즈니스 환경 속에서 보안이 회사의 사업 확장에 걸림돌이 아니라, 보다 탄탄한 사업 확장의 주춧돌이 된다는 점을 사업부서의 임원진뿐만 아니라 CEO에게도 효과적으로 커뮤니케이션하고 지원을 이끌어 내는 능력이 반드시 필요하다.
그러나 이 많은 일을 CISO 개인의 역량에 맡기는 것은 불가능하다. 즉, CISO의 눈과 귀가 될 뿐만 아니라, 효과적인 수행을 위한 손과 발이 될 수 있는 솔루션의 도입이 필수적이다. SOAR는 이런 작업의 실행 및 구축이 가능하고 사례를 통해 검증된 솔루션이다.
SOAR는 단순 반복적인 보안 업무를 자동화해 보안 이벤트 대응 시간을 줄여주고, 보안 인력들이 인적 개입이 필요한 보다 중요한 업무에 집중함으로써 고급 보안인력으로 성장해 나갈 수 있도록 해준다. 자동화를 통해 인적 오류를 줄여주는 것은 물론이고, 숙련된 인력의 이탈 시 충원된 초보 보안인력도 사전에 정의된 정책 기반 플레이북의 흐름에 따라 숙련된 보안인력과 동일한 수준의 업무 성과를 낼 수 있도록 지원한다.
SOAR가 CISO를 위해 제공하는 기능은 다양하다. 먼저 기업이 보유한 전체 보안 인프라를 유기적으로 연동하여 단편적인 정보에 기반한 대처가 아닌 위협의 총체적 맥락에 근거한 최적의 솔루션을 파악할 수 있게 해준다. 이를 기반으로 MECE 관점에서 보안 인프라 전체에서 부족한 것은 무엇인지, 중복되는 것은 없는지, 변화하는 비즈니스 환경에 따라 중장기적으로 어떤 대비를 해야 하는지 등 CISO의 의사결정에 필수적인 가시성과 근거가 될 데이터를 제공해 준다. 뿐만 아니라, 맞춤형 대시보드와 리포트도 제공해 CISO가 유관부서 및 경영진과 데이터에 근거해 보다 활발한 의사소통을 돕는다.
그렇다면 어떤 SOAR를 선택하는 것이 합리적일까?
크게 세 가지 핵심 역량을 살펴봐야 한다. 첫째, 우리 회사의 보안 철학과 정책을 맞춤형으로 구현하고 편리하게 운영 및 수정 보완할 수 있는 유연성을 제공하는지 검토해야 한다. 둘째, 구축 후 추가될 수 있는 보안 인프라를 빠르게 통합 운영할 수 있는 확장성이 있는지 확인해야 한다. 마지막으로, 이 모든 과정에서 벤더와 파트너사의 전문화된 지원체계가 갖추어져 있는지를 봐야 한다.
CISO의 입장에서 많은 투자비용을 들여 솔루션을 도입할 때, 우리 회사 업무를 솔루션에 맞추고 싶어하는 이는 없을 것이다. 하지만 대부분의 SOAR가 구축 단계부터 고객의 환경을 원하는 그대로 담을 수 없는 딱딱한 구조와 기능을 가지고 있고, 전문 개발자가 아니면 구축 후에도 간단한 수정조차 하기 어렵게 되어 있다. 따라서, SOAR를 선택할 때 가장 중요한 기준은 얼마나 쉽고 유연하게 구축하고 보안 환경의 변화에 따라 용이하게 수정해 나갈 수 있느냐 하는 것이다.
이를 충족하는 SOAR는 플레이북 예제 제공은 기본이고, 무엇보다 플레이북의 구성 단위인 플레이 스텝이 풍부해야 한다. 플레이 스텝이란 사람의 관절과 같은 것으로 고객의 보안 업무별로 각종 분기, 액션 지정 등 얼마든지 고객이 원하는 방식으로 업무를 세분화하여 단계별 기능을 구현할 수 있도록 되어 있다. 이를 바탕으로 구축 당시뿐만 아니라 구축 후에도 변화된 보안 환경을 솔루션 내에 즉시 반영할 수 있어야 한다. 또한, 클릭, 드래그 앤 드롭 등의 사용자 친화적인 UI를 갖추어 개발자가 아니어도 쉽게 사용할 수 있도록 해야 하며, 전통적인 SI개발 프로젝트보다 빠르고 유연하게 맞춤형 솔루션을 구현하고 운용할 수 있어야 한다. 대표 메뉴의 한글화뿐만 아니라, 고객 상황에 따라 특별히 요구되는 메뉴 및 데이터 필드까지 추가할 수 있다면 진정한 고객 맞춤형 SOAR라고 할 수 있다.
SOAR를 구축한 후에도, 심지어 구축 과정에서도 보안 환경은 변화하고 이에 따라 SOAR와 통합해야 할 추가 인프라가 생길 수 있다. 이를 위해, 우수한 SOAR는 타 장비와의 빠른 연동을 위해 사전에 수 백여개에 달하는 커넥터를 기본으로 제공하여 필요한 추가 인프라를 즉시 SOAR에 통합 운영할 수 있도록 신속한 확장성도 갖춰야 한다.
관련기사
- 이글루코퍼레이션 SOAR, GS인증 1등급 획득2022.05.26
- 포티넷, 9년 연속 '보안 어플라이언스' 출하량 1위2022.04.22
- 포티넷, SKT 양자암호 통신 장비에 IPsec 게이트웨이 구축2022.04.07
- 포티넷, 글로벌 MSSP 5곳과 신규 파트너십2022.04.04
마지막으로, SOAR는 보안 부서의 ERP와 같은 상위 개념의 솔루션으로 구축 과정뿐만 아니라 구축 후에도 보안 환경의 변화를 지속적으로 반영하며 고도화시켜 나가야 한다. 이를 위해서는 벤더 및 파트너사의 적극적인 지원이 필수적이다. 따라서, SOAR를 선정할 떼 제안사가 전문화된 역량을 갖춘 파트너사인지 여부도 중요하지만, 제조사가 직접 다수의 SOAR 전담 엔지니어를 보유하고 있는지 여부도 중요한 판단 기준이 될 수 있다. 특히, 구축 후 장애 발생 시에도 신속하고 편리한 지원을 위해 한국인으로 구성된 사후 지원조직까지 운영하여, 필요시AS(Advanced Service) 및 TAM(Technical Account Manager)과 같은 프리미엄 서비스까지 이용 가능하다면 해당 제조사에 대한 신뢰도는 더욱 높아질 것이다.
보안 위협에 대한 신속한 대응, 효과적인 관리 리소스를 고민하고 있는 기업들이라면 MECE 관점에서 SOAR 구축에 대해 깊이 있게 고민해 볼 시점이다.
*본 칼럼 내용은 본지 편집방향과 다를 수 있습니다.