
보안팀은 여러 보안 도구들에 의해 발생하는 수많은 경보에 의한 피로와 공격 표면의 복잡도가 높아져 이에 대응하는데 어려움을 느낀다. 따라서 반복적인 작업을 자동화 하고, 수많은 보안 도구들을 일괄적으로 중앙에서 관리할 필요가 있는데, 이러한 니즈를 충족시킬 수 있는 솔루션이 SOAR다.
SOAR는 여러 보안 도구를 통합하고, 반복적인 작업을 자동화하여 워크플로우를 오케스트레이션하는 솔루션을 말한다. 이를 통해 보안 팀은 침해사고 발생시 효율적으로 관리하고 대응하여 전반적인 보안 운영을 간소화하여 본연의 업무에 집중할 수 있도록 한다. 이러한 목적을 달성하기 위해 SOAR는 다음 세 가지를 지원한다.
SOAR 체계에서 자동화(Automation)와 오케스트레이션(Orchestration)의 차이를 명확히 구분하는 것은 보안 운영을 위해 필수적이다.
먼저 보안 자동화는 특정 도구나 단일 프로세스의 동작을 규칙화하여, 조건이 충족되었을 때 사람의 개입 없이 기계적으로 임무를 수행하도록 만드는 기술이다. 반면, 보안 오케스트레이션은 파편화된 보안 인프라 요소들을 하나로 통합하고, 여러 자동화된 작업들을 유기적으로 조율 및 통제하는 운영적 관점의 개념이다. 즉, 단일 도구의 반복 업무 처리를 넘어, 이기종 보안 솔루션 간의 데이터 연동과 전체 대응 프로세스(Playbook)의 흐름을 중앙에서 지휘하는 것을 의미합니다.
정리하자면, 보안 자동화는 특정 단일 태스크의 실행에 집중하는 미시적 개념이고, 보안 오케스트레이션은 이러한 자동화 요소들을 결합하여 보안 운영 전반의 복합적인 워크플로우를 최적화하는 거시적 개념이다.
SIEM(Security Information & Event Management)
https://velog.io/@_sychoii/SIEM-Security-Information-Event-Management
SIEM에 대한 개념은 위 포스트를 참고하자.

출처: https://www.devo.com/threat-hunting-guide/soar-vs-siem/
이전 포스트에서 다뤘던 SIEM과는 어떤 차이가 있을까? SIEM은 본질적으로 보안 이벤트 수집, 분석, 상관관계 분석을 통한 실시간 위협 탐지에 중점을 둔다. SOAR는 사고 대응 워크플로우를 자동화하고 오케스트레이션하여 더 빠르고 효율적인 위협 완화를 가능하게 한다. 즉, 위협 대응에 중점을 둔다.
| 항목 | SIEM | SOAR |
|---|---|---|
| 목적 | 이기종 로그 데이터의 중앙 집중화 및 상관관계 분석을 통한 실시간 위협 탐지 | 탐지된 위협에 대한 사고 대응 워크플로우 자동화 및 SOC 케이스 관리 체계화 |
| 기능 | 데이터 수집, 정규화, 인덱싱, 상관관계 규칙 기반 경보 생성 | SIEM, EDR, XDR 등의 경보 취합, 플레이북 기반 자동 대응 연동, 티켓팅 및 사례 관리 |
| 사고대응 | 감지된 패턴에 대한 경보(Alert) 제공에 국한. | 표준화된 플레이북에 따라 이기종 장비 제어 및 완전/반자동 대응 메커니즘 제공 |
| 제한 사항 | 대량의 경보 발생으로 인한 경보 피로 유발, 수동 대응으로 인한 시간 지연 | 보안 프로세스의 표준화(Playbook 개발) 및 조직 내 R&R 정의 필수, 초기 구축 및 유지보수 비용 높음 |
그렇다면 왜 SIEM만으로 충분하지 않은걸까? SIEM은 강력한 탐지 기능을 제공하지만, 인프라가 확잠됨에 따라 방대한 양의 경보를 발생시킨다. 수많은 알람을 일일이 수동으로 분석하고 대응하는 것은 대응 지연과 보안 공백으로 이어진다. 즉, SIEM의 본질적 한계는 탐지 이후의 수동 대응 병목 현상에 있으며, 이를 자동화하여 극복하기 위해 필요한 것이 SOAR인 것이다.
이번 포스트에서는 SOAR의 정의와 필요성, SIEM과의 비교를 다뤄봤다. 앞으로의 포스트에서는 AI를 SIEM과 SOAR와 같은 SOC에 어떻게 접목하고 활용하는지에 대한 내용, 대표적인 SIEM, SOAR 플랫폼을 직접 설치해서 실습 해보도록 하겠다.