서비스로서의 보안운영센터(SOCasS)란? 8가지 체크리스트

CSO
보안운영센터(SOC)가 필요한 조직은 많지만, 이 모든 조직에 충분한 장비와 인력을 갖출만한 여력이 있는 것은 아니다. 다행인 점은 SOC를 서비스로 제공하는 업체가 많다는 것이다. 어떤 SOCaaS 업체를 선택할지 결정하기 전 알아야 할 사항을 정리했다. 
 
ⓒGetty Images Bank

현재 자체적인 SOC(Security Operations Center)가 없다면 아마도 처음부터 이를 구축하지 않고 확보하는 방법에 대해 고민하고 있을 것이다. 온프레미스 버전은 비용이 높을 수 있으며, 상시 운영을 위한 인력 비용을 고려하면 더욱더 그렇다. 지난 수년 동안 MSSP(Managed Security Service Provider)들은 네트워크 및 컴퓨팅 인프라를 모니터링하며 패치와 악성코드 해결 등의 광범위한 서비스를 제공하기 위해 사용하는 클라우드 기반 SOC를 출시했다. 이 SOCaaS(SOC-as-a-service) 산업이 어떻게 성장했고 무엇을 제공하며 필요에 따라 적절한 공급자를 선택하는 방법에 대해 살펴보자.

SOCaaS란 무엇인가?
SOCaaS의 정의는 유동적이며 기본적인 상시 네트워크 모니터링을 제공하는 서비스 제공부터 완전한 위협 감지 및 해결까지 다양할 수 있다. 즉, 각 업체는 SOCaaS나 전통적인 MSSP라고 부르는 자체적인 서비스를 보유하고 있다. 안타깝게도 이를 자세히 다루려면 많은 시간이 필요할 것이다. 그중 일부는 각 약어에 대한 정의가 일관적이지 않고 일부는 보호를 중시하며 일부는 제품 및 서비스 제공으로 요약할 수 있으며 일부는 제공자의 출신과 관련이 있다.

이 문제는 각 SOCaaS 업체가 다양한 보안 분야에 초점을 두고 설립된 기업들에서 시작되었다는 점이다. 관리형 보안 이벤트 조달 기업에서 시작한 곳(AL(AlertLogic))도 있고 관리형 감지 업체(NTP(Network Technology Partners))나 관리형 엔드포인트 보안 업체(시만텍(Symantec)과 트러스트웨이브(Trustwave))도 있다. 일부는 자체적인 제품을 관리하기 위해 자체적인 SOC형 콘솔을 개발한 후 광범위한 툴에 연결할 수 있는 좀 더 범용적인 유틸리티로 발전시켰다. 일부는 대형 컴퓨터 제조사(IBM, Dell, HP)의 서비스 사업부에서 파생되었다.

자체적인 관리형 NOC(Network Operations Center)를 운영한 후 보안 부문으로 확장한 기업도 있다(AIT(AccountabilIT)). 관리형 NOC와 관리형 SOC의 차이는 무엇일까? 전자는 주로 파이프를 통해 흐르는 패킷을 보호하는 것과 관련이 있다. 후자는 대부분 적절한 패킷과 적절한 파이프를 사용하도록 하는 것과 관련이 있다. 툴 세트 또한 완전히 다르다(네트워크 지연 속도 vs. CPU를 소모하는 프로세스). 핵심은 그들이 제공하는 실제 서비스, 모니터링 대상, 그들의 제품이 기존의 서버 및 네트워크 인프라와 상호작용하는 방식이다.

여기에서 목표는 해킹 또는 데이터 유출 또는 기타 보안 사고가 발생했을 때 알려 자체적인 SOC를 구축하거나 보호 보안 장비를 운영하기 위해 숙련된 직원을 고용할 필요가 없는 장비를 확보하는 것이다. 업체가 (서비스 수준 계약에 따라) 시의적절하게 사고를 확인하고 필요한 조치를 통해 위협을 상쇄시키는 것이 이상적이다.

가트너의 2018년 2월 관리형 보안 서비스 보고서에는 SOCaaS를 위한 보안 이벤트 모니터링, 네트워크 계층 위협 모니터링 및 감지, 로그 분석, 취약성 스캔 및 사고 대응 등이 포함되어 있으며, 이 모든 것들은 중앙의 SOC형 독립체가 관리형 서비스로 제공한다. 이것이 최소한이지만 이미 많은 툴을 취급해야 한다. 해당 보고서에서는 AT&T/AV(AlienVault), BT, 센추리링크, NTT 등의 17개 글로벌 제공자를 나열했다. 이 기업들은 모두 통신사로 시작했기 때문에 세계에서 가장 큰 네트워크 인프라를 설치하여 상시로 운영하는 가장 좋은 방법에 대해 잘 알고 있다.

여러 대륙에 인력과 서버를 두고 글로벌 기업을 운영하는 경우 후자의 기업들은 이미 알고 있을 것이다. 그렇게 크지 않은 소규모 기업을 보유한 경우 악틱울프(ArcticWolf), 레이더서비스(RadarServices), 디지털핸즈(DigitalHands) 등 SOCaaS에 특화된 수십 개의 업체를 고려할 수 있다.

SOCaaS 평가하는 방법
SOCaaS 평가 중 가장 불만족스러운 부분은 아마도 최종 비용을 파악하는 일일 것이다. 클라우드 서비스의 속성을 고려할 때 처음에는 가격 모델이 복잡하며 이해하기 어렵다.

AL은 실제로 월 550~-4,500달러의 3가지 요금 체계를 보여주는 유의미하고 공개된 가격 페이지가 있는 몇 안 되는 업체 중 하나다. 안타깝게도 그 외에는 준비된 것이 없으며 필자는 이 정보를 얻기 위해 많은 경쟁사들에게 캐물어야 했다.

NTP와 AIT는 모두 저렴하게 시작하며(가장 기본적인 서비스의 경우 각각 월 1,500달러와 1,600달러) 고객이 모니터링되는 자산을 추가하고 네트워크 트래픽 용량을 높이면 비용이 증가한다. 대부분 다른 업체들도 가격을 쉽게 공개하지 않고 있다. 누군가 말했듯이 "가격은 매우 민감한 사안이다." 많은 업체가 비밀 유지 계약서에 서명할 의향이 있는 잠재적인 고객에게만 가격을 제공한다. 분명 이 부분은 투명성을 높일 필요가 있다.
 

 
자신이 얼마나 많은 서버, 엔드포인트, 앱 등을 보호, 모니터링, SOCaaS 업체의 관리하에 둘지를 모른다는 점이 문제다. 많은 기업이 도입을 확대하기 전에 프로그램의 효과와 SOC가 포착하는 트래픽을 확인하기 위해 몇 개의 엔드포인트로 소규모 개념 증명을 시작한다. 


다음으로 실제 SOC 위치에 대한 지리적 분산이 얼마나 중요할까? 일부 업체는 단일 SOC에 집중한다. 태양의 움직임을 따르거나 더 나은 인터넷 연결성을 위해 다른 대륙에 배치하는 곳도 있다. NTP는 필요한 기술을 가진 인력을 좀 더 쉽게 구할 수 있으므로 세인트루이스에 있는 본사에서 몇 시간 떨어진 곳에 두 번째 SOC를 보유하고 있다. 볼튼 랩스(Bolton Labs)는 아시아 시장에 집중하고 있어 SOC 3곳 중 2곳이 아시아에 있다.

업체의 비결은 무엇일까? 각 업체의 다양한 배경을 고려하는 것은 고장 정지 또는 유출 발생 시 그들이 모니터링, 해결, 알림을 위해 사용하는 전매특허 기술이 무엇인지 파악하는 데 도움이 된다. 일부는 오픈소스 툴을 엮어서 만들지만 성능 및 보안 현황을 확인할 수 있는 전매특허 대시보드를 개발했다. 위협 사냥 또는 기타 작업을 위해 자체적인 패키지를 개발한 곳들도 있다. AIT는 AV의 기술을 재판매하는 곳이며, 이는 또 다른 모델이다.

SOCaaS 제공자에게 질문할 사항
RFP 또는 질문서를 작성하면서 다음의 잠재적인 질문을 고려하자.

1. 제공 서비스가 순수 모니터링 서비스 접근방식과 어떻게 다른가? 이에 대한 답변은 업체들의 미묘한 차이와 차별점을 파악하는 데 도움이 될 것이다. AL은 SIEM으로 시작한 후 자체적인 글로벌 원격 측정 및 위협 모니터링 프로그램에 기초하여 다른 보호 기술을 추가했다. SOCaaS의 본격적인 도입 여부를 결정하기 전에 순수한 MSSP로 시작하고 자신의 경험을 확인하는 것이 좋을 수 있다.

2. 얼마나 많은 구형 SIEM과 서비스 데스크 시스템을 지원하나? 일부 업체는 고객이 자사의 자체 개발 솔루션으로 전환하기를 원한다. (DigitalHands.com 등은) 두 기술 모드에서 구형 시스템에 대한 광범위한 지원을 제공하지만 (NTP 등은) 자체적으로 또는 고객이 활용하기 위해 프로그램을 작성해야 하는 자체적인 API 세트가 있다.

3. 고객은 온프레미스 환경에 어떤 에이전트와 서버를 설치해야 하는가? 대부분의 업체는 인프라를 모니터링하기 위해 에이전트 그리고 트래픽을 수집하여 업체의 전매특허 앱을 구동하는 사용자 정의 서버가 필요하다. 일부는 순수한 모니터링과 해결 등 특정 작업을 위한 여러 에이전트가 필요하다.

4. 업체가 인프라를 얼마나 자주 재평가/스캔하는가? 모니터링은 연속 스캔부터 분기 스캔까지 다양하며 클라우드 vs. 온프레미스 장비에 따라 다를 수 있다.

5. 준법 감사 보고서를 어떻게 작성하는가? 일부 업체는 가격에 감사 보고서에 포함되어 있으며 추가 요금을 과금하는 곳도 있고 그들의 활동에 대해 완전히 독립적인 시각을 확보할 수 있도록 제3자를 소개하는 곳도 있다. 볼튼 랩스 등은 규제 준수 서비스를 전혀 제공하지 않는다. 접근방식마다 장점이 있으니 요금제에 무엇이 포함되어 있는지 파악하도록 하자.

6. 업체는 재판매업자 또는 직접 판매 모델이 있는가? 일부는 건전한 파트너 네트워크를 보유하고 있다. 접근성을 위해 잉그램마이크로(Ingram Micro) 등의 대형 유통사를 이용하거나 직접 대응하는 곳도 있다. 일부 SOCaaS 제공자는 자체 서비스를 다른 MSSP에 재판매하며, 이는 흥미로운 비즈니스 모델이다. 자신이 이용하는 접근방식을 파악하도록 하자.

7. 그들의 목표 고객 규모는 무엇인가? 일부 업체는 중간 시장 또는 소규모 기업에 더 집중한다. 여러 대륙에서 성장하여 매우 큰 네트워크로 확장할 수 있는 곳도 있다. 다시 한번 말하지만 그들의 장점을 파악하고 언제 자신의 규모가 너무 커져서 맞지 않게 될지 파악하도록 하자.

8. SOC의 인력은 어떠한가? 자신의 네트워크를 모니터링하는 사람들이 어떤 교육, 자격, 기타 기술을 보유하고 있는지 알고 싶을 것이다. 실제 장비보다 사람이 중요한 경우가 더 많다. 어쨌든, 자체 인력을 보유하지 않기 위해 SOCaaS를 도입하는 것이다.

*David Strom은 보안, 네트워킹, 커뮤니케이션을 주제로 CSO 온라인, 네트워크월드, 컴퓨터월드 등에 기고문을 쓰면서 연사로도 활동하고 있다. ciokr@idg.co.kr