* 본 기고문은 업체 관계자가 작성한 것이지만 업체 솔루션이나 시각과 관련한 내용을 직접 포함하지 않도록 네트워크 월드 편집진의 편집을 거쳤다.
보안 자동화(security automation)에 관한 이야기는 많지만 점차 무엇이 무엇인지 불명확해지고 있다. 예를 들어, 지난 해 보안 자동화에 관한 기사는 대부분 위협 감지에 집중됐는데, 가트너의 지능형 및 자동화된 보안 통제에 관한 보고서는 위협 정보 요소에 집중했고, 최근에는 보안 자동화를 단순히 ‘사이버 보안 통제의 자동화’로 보는 견해도 있다.
사실 보안 자동화는 예방과 감지 기술을 넘어 IT 인프라의 다른 중요한 구성요소로 확장해 기업을 더욱 신뢰성 있게 보호한다. 여기서는 보안 자동화의 정의를 논의할 때 주로 거론되는 4가지 최신 동향에 대해 살펴보자.
1. 정책 실행: 네트워크가 점점 복잡해지면서 수동으로 관리 관련 보안 정책을 적용하는 것이 거의 불가능해졌다. 정책 실행 자동화가 등장한 것도 이 때문이다. 이는 IT 보안에 필요한 관리 작업의 자동화를 의미한다. 현재 다양한 업체가 네트워크 보안 정책 관리 자동화 툴을 제공하며, 내부 또는 규제 보안 요건을 더 손쉽게 충족하는 데 도움이 될 수 있다.
일부에서는 사용자 온보딩(Onboarding)/오프보딩(Offboarding)과 사용자 라이프사이클 등의 관리 자동화 서비스를 제공한다. 프로비저닝(Provisioning), 디프로비저닝(Deprovisioning), 사용자 액세스 자동화는 IT팀이 데이터와 비용, 시간을 통제하는 데 도움이 된다.
2. 경보 모니터링 및 우선순위 설정: 일부에서는 자동화를 경보 모니터링과 우선순위 설정의 관점에서 해석한다. 전통적으로 경보 모니터링과 우선순위 설정은 수동으로 처리했고 매우 지루한 작업이었다. 보안 운영 센터의 애널리스트팀은 경보를 취합하고 말 그대로 하루 종일 모니터를 바라보면서 어떤 데이터 포인트(Data Point)가 중요한지 판단해야 했다. 반면 지금은 경보 모니터링 및 우선순위 설정을 자동화할 수 있다. 예를 들어, 규칙 및 한계 설정, 위협 정보에 의존, 더욱 발전된 행동 분석 또는 머신러닝 기술 도입 등이다.
규칙 및 한계 설정은 결국 어떤 경보가 중요한지 여부를 판단하는 것을 자동화한다. 단, 사이버 보안 위협은 지속적으로 변화하고 있고, 때로는 해커가 기업이 주시해야 하는 경보에 관해 정확히 알고 있기 때문에 이런 규칙도 정기적인 유지보수가 필요하다.
위협 정보에 의존하는 것은 더 신뢰성이 있다. 이런 형태의 자동화는 여러 소스로부터의 위협 정보를 수집하는 것에 관한 것이며 기업이 주목해야 할 중요 경보를 파악하는 데 도움이 될 수 있다. 예를 들어, 기업이 여러 정보 소스에 접근할 수 있는 경우 전 세계적으로 특정 유형의 공격이 언제 발생하는지 알 수 있다. 그러면 자동화된 위협 정보는 기업이 너무 늦기 전에 잠재적인 공격을 대비하는 데 도움이 된다.
행동 분석과 머신러닝은 규칙과 한계치 또는 ‘알려진 위협’에 의존하지 않기 때문에 경보 모니터링 및 우선순위 설정을 위한 가장 발전된 형태의 자동화 중 하나이다. 정상적인 네트워크 행동을 학습해 비 정상적인 행동을 즉시 발견할 수 있으며 이후 조사해야 할 잠재 위협의 우선순위를 통계적으로 산출한다.dl-ciokorea@foundryco.com
