2019.05.02

서비스로서의 보안운영센터(SOCasS)란? 8가지 체크리스트

David Strom | CSO
보안운영센터(SOC)가 필요한 조직은 많지만, 이 모든 조직에 충분한 장비와 인력을 갖출만한 여력이 있는 것은 아니다. 다행인 점은 SOC를 서비스로 제공하는 업체가 많다는 것이다. 어떤 SOCaaS 업체를 선택할지 결정하기 전 알아야 할 사항을 정리했다. 
 
ⓒGetty Images Bank

현재 자체적인 SOC(Security Operations Center)가 없다면 아마도 처음부터 이를 구축하지 않고 확보하는 방법에 대해 고민하고 있을 것이다. 온프레미스 버전은 비용이 높을 수 있으며, 상시 운영을 위한 인력 비용을 고려하면 더욱더 그렇다. 지난 수년 동안 MSSP(Managed Security Service Provider)들은 네트워크 및 컴퓨팅 인프라를 모니터링하며 패치와 악성코드 해결 등의 광범위한 서비스를 제공하기 위해 사용하는 클라우드 기반 SOC를 출시했다. 이 SOCaaS(SOC-as-a-service) 산업이 어떻게 성장했고 무엇을 제공하며 필요에 따라 적절한 공급자를 선택하는 방법에 대해 살펴보자.

SOCaaS란 무엇인가?
SOCaaS의 정의는 유동적이며 기본적인 상시 네트워크 모니터링을 제공하는 서비스 제공부터 완전한 위협 감지 및 해결까지 다양할 수 있다. 즉, 각 업체는 SOCaaS나 전통적인 MSSP라고 부르는 자체적인 서비스를 보유하고 있다. 안타깝게도 이를 자세히 다루려면 많은 시간이 필요할 것이다. 그중 일부는 각 약어에 대한 정의가 일관적이지 않고 일부는 보호를 중시하며 일부는 제품 및 서비스 제공으로 요약할 수 있으며 일부는 제공자의 출신과 관련이 있다.

이 문제는 각 SOCaaS 업체가 다양한 보안 분야에 초점을 두고 설립된 기업들에서 시작되었다는 점이다. 관리형 보안 이벤트 조달 기업에서 시작한 곳(AL(AlertLogic))도 있고 관리형 감지 업체(NTP(Network Technology Partners))나 관리형 엔드포인트 보안 업체(시만텍(Symantec)과 트러스트웨이브(Trustwave))도 있다. 일부는 자체적인 제품을 관리하기 위해 자체적인 SOC형 콘솔을 개발한 후 광범위한 툴에 연결할 수 있는 좀 더 범용적인 유틸리티로 발전시켰다. 일부는 대형 컴퓨터 제조사(IBM, Dell, HP)의 서비스 사업부에서 파생되었다.

자체적인 관리형 NOC(Network Operations Center)를 운영한 후 보안 부문으로 확장한 기업도 있다(AIT(AccountabilIT)). 관리형 NOC와 관리형 SOC의 차이는 무엇일까? 전자는 주로 파이프를 통해 흐르는 패킷을 보호하는 것과 관련이 있다. 후자는 대부분 적절한 패킷과 적절한 파이프를 사용하도록 하는 것과 관련이 있다. 툴 세트 또한 완전히 다르다(네트워크 지연 속도 vs. CPU를 소모하는 프로세스). 핵심은 그들이 제공하는 실제 서비스, 모니터링 대상, 그들의 제품이 기존의 서버 및 네트워크 인프라와 상호작용하는 방식이다.

여기에서 목표는 해킹 또는 데이터 유출 또는 기타 보안 사고가 발생했을 때 알려 자체적인 SOC를 구축하거나 보호 보안 장비를 운영하기 위해 숙련된 직원을 고용할 필요가 없는 장비를 확보하는 것이다. 업체가 (서비스 수준 계약에 따라) 시의적절하게 사고를 확인하고 필요한 조치를 통해 위협을 상쇄시키는 것이 이상적이다.

가트너의 2018년 2월 관리형 보안 서비스 보고서에는 SOCaaS를 위한 보안 이벤트 모니터링, 네트워크 계층 위협 모니터링 및 감지, 로그 분석, 취약성 스캔 및 사고 대응 등이 포함되어 있으며, 이 모든 것들은 중앙의 SOC형 독립체가 관리형 서비스로 제공한다. 이것이 최소한이지만 이미 많은 툴을 취급해야 한다. 해당 보고서에서는 AT&T/AV(AlienVault), BT, 센추리링크, NTT 등의 17개 글로벌 제공자를 나열했다. 이 기업들은 모두 통신사로 시작했기 때문에 세계에서 가장 큰 네트워크 인프라를 설치하여 상시로 운영하는 가장 좋은 방법에 대해 잘 알고 있다.

여러 대륙에 인력과 서버를 두고 글로벌 기업을 운영하는 경우 후자의 기업들은 이미 알고 있을 것이다. 그렇게 크지 않은 소규모 기업을 보유한 경우 악틱울프(ArcticWolf), 레이더서비스(RadarServices), 디지털핸즈(DigitalHands) 등 SOCaaS에 특화된 수십 개의 업체를 고려할 수 있다.

SOCaaS 평가하는 방법
SOCaaS 평가 중 가장 불만족스러운 부분은 아마도 최종 비용을 파악하는 일일 것이다. 클라우드 서비스의 속성을 고려할 때 처음에는 가격 모델이 복잡하며 이해하기 어렵다.

AL은 실제로 월 550~-4,500달러의 3가지 요금 체계를 보여주는 유의미하고 공개된 가격 페이지가 있는 몇 안 되는 업체 중 하나다. 안타깝게도 그 외에는 준비된 것이 없으며 필자는 이 정보를 얻기 위해 많은 경쟁사들에게 캐물어야 했다.

NTP와 AIT는 모두 저렴하게 시작하며(가장 기본적인 서비스의 경우 각각 월 1,500달러와 1,600달러) 고객이 모니터링되는 자산을 추가하고 네트워크 트래픽 용량을 높이면 비용이 증가한다. 대부분 다른 업체들도 가격을 쉽게 공개하지 않고 있다. 누군가 말했듯이 "가격은 매우 민감한 사안이다." 많은 업체가 비밀 유지 계약서에 서명할 의향이 있는 잠재적인 고객에게만 가격을 제공한다. 분명 이 부분은 투명성을 높일 필요가 있다.
 

 
자신이 얼마나 많은 서버, 엔드포인트, 앱 등을 보호, 모니터링, SOCaaS 업체의 관리하에 둘지를 모른다는 점이 문제다. 많은 기업이 도입을 확대하기 전에 프로그램의 효과와 SOC가 포착하는 트래픽을 확인하기 위해 몇 개의 엔드포인트로 소규모 개념 증명을 시작한다. 




2019.05.02

서비스로서의 보안운영센터(SOCasS)란? 8가지 체크리스트

David Strom | CSO
보안운영센터(SOC)가 필요한 조직은 많지만, 이 모든 조직에 충분한 장비와 인력을 갖출만한 여력이 있는 것은 아니다. 다행인 점은 SOC를 서비스로 제공하는 업체가 많다는 것이다. 어떤 SOCaaS 업체를 선택할지 결정하기 전 알아야 할 사항을 정리했다. 
 
ⓒGetty Images Bank

현재 자체적인 SOC(Security Operations Center)가 없다면 아마도 처음부터 이를 구축하지 않고 확보하는 방법에 대해 고민하고 있을 것이다. 온프레미스 버전은 비용이 높을 수 있으며, 상시 운영을 위한 인력 비용을 고려하면 더욱더 그렇다. 지난 수년 동안 MSSP(Managed Security Service Provider)들은 네트워크 및 컴퓨팅 인프라를 모니터링하며 패치와 악성코드 해결 등의 광범위한 서비스를 제공하기 위해 사용하는 클라우드 기반 SOC를 출시했다. 이 SOCaaS(SOC-as-a-service) 산업이 어떻게 성장했고 무엇을 제공하며 필요에 따라 적절한 공급자를 선택하는 방법에 대해 살펴보자.

SOCaaS란 무엇인가?
SOCaaS의 정의는 유동적이며 기본적인 상시 네트워크 모니터링을 제공하는 서비스 제공부터 완전한 위협 감지 및 해결까지 다양할 수 있다. 즉, 각 업체는 SOCaaS나 전통적인 MSSP라고 부르는 자체적인 서비스를 보유하고 있다. 안타깝게도 이를 자세히 다루려면 많은 시간이 필요할 것이다. 그중 일부는 각 약어에 대한 정의가 일관적이지 않고 일부는 보호를 중시하며 일부는 제품 및 서비스 제공으로 요약할 수 있으며 일부는 제공자의 출신과 관련이 있다.

이 문제는 각 SOCaaS 업체가 다양한 보안 분야에 초점을 두고 설립된 기업들에서 시작되었다는 점이다. 관리형 보안 이벤트 조달 기업에서 시작한 곳(AL(AlertLogic))도 있고 관리형 감지 업체(NTP(Network Technology Partners))나 관리형 엔드포인트 보안 업체(시만텍(Symantec)과 트러스트웨이브(Trustwave))도 있다. 일부는 자체적인 제품을 관리하기 위해 자체적인 SOC형 콘솔을 개발한 후 광범위한 툴에 연결할 수 있는 좀 더 범용적인 유틸리티로 발전시켰다. 일부는 대형 컴퓨터 제조사(IBM, Dell, HP)의 서비스 사업부에서 파생되었다.

자체적인 관리형 NOC(Network Operations Center)를 운영한 후 보안 부문으로 확장한 기업도 있다(AIT(AccountabilIT)). 관리형 NOC와 관리형 SOC의 차이는 무엇일까? 전자는 주로 파이프를 통해 흐르는 패킷을 보호하는 것과 관련이 있다. 후자는 대부분 적절한 패킷과 적절한 파이프를 사용하도록 하는 것과 관련이 있다. 툴 세트 또한 완전히 다르다(네트워크 지연 속도 vs. CPU를 소모하는 프로세스). 핵심은 그들이 제공하는 실제 서비스, 모니터링 대상, 그들의 제품이 기존의 서버 및 네트워크 인프라와 상호작용하는 방식이다.

여기에서 목표는 해킹 또는 데이터 유출 또는 기타 보안 사고가 발생했을 때 알려 자체적인 SOC를 구축하거나 보호 보안 장비를 운영하기 위해 숙련된 직원을 고용할 필요가 없는 장비를 확보하는 것이다. 업체가 (서비스 수준 계약에 따라) 시의적절하게 사고를 확인하고 필요한 조치를 통해 위협을 상쇄시키는 것이 이상적이다.

가트너의 2018년 2월 관리형 보안 서비스 보고서에는 SOCaaS를 위한 보안 이벤트 모니터링, 네트워크 계층 위협 모니터링 및 감지, 로그 분석, 취약성 스캔 및 사고 대응 등이 포함되어 있으며, 이 모든 것들은 중앙의 SOC형 독립체가 관리형 서비스로 제공한다. 이것이 최소한이지만 이미 많은 툴을 취급해야 한다. 해당 보고서에서는 AT&T/AV(AlienVault), BT, 센추리링크, NTT 등의 17개 글로벌 제공자를 나열했다. 이 기업들은 모두 통신사로 시작했기 때문에 세계에서 가장 큰 네트워크 인프라를 설치하여 상시로 운영하는 가장 좋은 방법에 대해 잘 알고 있다.

여러 대륙에 인력과 서버를 두고 글로벌 기업을 운영하는 경우 후자의 기업들은 이미 알고 있을 것이다. 그렇게 크지 않은 소규모 기업을 보유한 경우 악틱울프(ArcticWolf), 레이더서비스(RadarServices), 디지털핸즈(DigitalHands) 등 SOCaaS에 특화된 수십 개의 업체를 고려할 수 있다.

SOCaaS 평가하는 방법
SOCaaS 평가 중 가장 불만족스러운 부분은 아마도 최종 비용을 파악하는 일일 것이다. 클라우드 서비스의 속성을 고려할 때 처음에는 가격 모델이 복잡하며 이해하기 어렵다.

AL은 실제로 월 550~-4,500달러의 3가지 요금 체계를 보여주는 유의미하고 공개된 가격 페이지가 있는 몇 안 되는 업체 중 하나다. 안타깝게도 그 외에는 준비된 것이 없으며 필자는 이 정보를 얻기 위해 많은 경쟁사들에게 캐물어야 했다.

NTP와 AIT는 모두 저렴하게 시작하며(가장 기본적인 서비스의 경우 각각 월 1,500달러와 1,600달러) 고객이 모니터링되는 자산을 추가하고 네트워크 트래픽 용량을 높이면 비용이 증가한다. 대부분 다른 업체들도 가격을 쉽게 공개하지 않고 있다. 누군가 말했듯이 "가격은 매우 민감한 사안이다." 많은 업체가 비밀 유지 계약서에 서명할 의향이 있는 잠재적인 고객에게만 가격을 제공한다. 분명 이 부분은 투명성을 높일 필요가 있다.
 

 
자신이 얼마나 많은 서버, 엔드포인트, 앱 등을 보호, 모니터링, SOCaaS 업체의 관리하에 둘지를 모른다는 점이 문제다. 많은 기업이 도입을 확대하기 전에 프로그램의 효과와 SOC가 포착하는 트래픽을 확인하기 위해 몇 개의 엔드포인트로 소규모 개념 증명을 시작한다. 


X