㈜클라우드네트웍스는 최근 국내 e커머스 기업 'A'사에 'Splunk Phantom' 솔루션을 도입하는 프로젝트를 성공적으로 마무리했다고 밝혔다.
Splunk Phantom은 SOAR(Security Orchestration, Automation & Response) 플랫폼으로써, 다양한 소스로부터 취득한 보안 데이터를 활용하여 보안 관제 및 대응 프로세스를 자동화해주는 솔루션이다.
정의된 워크플로우에 따라 이벤트의 분석과 분류 및 대응을 자동으로 수행하며, 팀·프로세스 및 툴을 하나로 통합과 자동화를 실현시켜 보안 전문가들이 보다 주요한 작업에 집중할 수 있는 스마트한 운영 환경을 구현해준다.
이를 통해 신속한 대응을 가능케 함으로써 공격자의 체류시간(dwell time)을 줄여준다. SOC(Security Operation Center) 프로세스 표준화로 보안 관제 업무 능력 향상을 기대할 수 있으며, 신규 장비 도입 및 변경에 따른 유연한 대처가 가능하다. 또한 자동화된 업무 처리를 통해 사용자 오류를 방지하며 업무 효율성을 높여준다.
'A'사 관계자는 그간 보안 이벤트에 대한 적절한 분석과 대처가 어려워 문제 해결의 필요성을 느껴온 것으로 전해졌다. 예를 들어 동일한 이벤트가 있더라도 SOC팀 분석가마다 분석 방법이 제각각 달라 그 해석과 해결에 어려움을 겪었다고 한다.
신규 인력은 신규 인력대로 로직 숙달에 많은 시간과 노력이 소요 되었으며, 숙달된 인력은 필요한 프로세스임에도 불필요하다고 임의 판단해 건너뛰는 경우가 발생하기도 했다고 한다. 솔루션을 통해 SOC팀에서 정의한 분석 시나리오를 기반으로 분석 플로우가 가시화되어 있어야, 누구든 정해진 플로우의 준수가 가능하다.
Splunk Phantom 솔루션의 경우 'Playbook'을 이용한 시나리오 가시화, 외부 보안 솔루션과의 연동이 쉽다는 게 가장 큰 장점이다. 20개가 넘는 해외 보안 제품의 앱 제작 경험을 보유한 데다, 간단한 Python 코드를 사용해 'Custom app'의 직접 제작도 가능하다.
특히 Playbook은 개발을 전혀 모르는 사람도 간단한 클릭만으로 SOC팀의 시나리오를 적용할 수 있으며, Playbook 역시 Python 코드 작성이 가능하다면 보다 다양한 기능을 구현할 수 있다. 이러한 장점이 'A사'의 문제점 해결에 도움이 될 것으로 판단돼 Splunk Phantom 솔루션을 도입하게 됐다.
그 결과 기존에 경고 Alert은 메일이나 SMS를 주로 사용했지만 Splunk Phantom의 APP을 이용해서 JIRA/Slack을 손쉽게 연동해 보안 담당자 및 각 장비의 담당자에게 다양한 방법으로 전달할 수 있게 되었다.
한편 ㈜클라우드네트웍스는 "Your success, Our Dream" 이라는 고객 중심 가치관을 모토로 2012년 설립되어 Big data, Security, Infra 분야의 솔루션 구축과 서비스를 제공하는 IT기업이다. Big data 분야에서는 SOAR(Security Orchestration, Automation & Response)플랫폼인 Splunk Phantom 솔루션을 제공하고 '통합 빅데이터 운영관리'인 CTC 관제시스템을 자체 개발하여 여러 고객사에 성공적으로 납품했다.
Security 분야에서는 SAORS(실시간 위협동향 분석 및 위험관리 솔루션)를 자체 개발을 완료했다. 이를 통해 CVE 취약점 및 위협IP, SNS&RNS 상 위협정보 등 여러 보안 위협에 대한 신속하고 정확한 해결 방안을 제시함으로써 다수의 고객사 측에 SAORS를 구축했고 통합 위협관리 솔루션으로 운영하고 있다. 특히, Infra 분야 중 Citrix 제품은 10여년간 풍부한 경험과 국내 최고 수준의 기술로 1위 파트너 자리를 지키고 있으며, Cloud Infrastructure 자동화를 지원하는 Hashicorp 솔루션을 통해 클라우드 운영관리에도 힘쓰고 있다.