- 분류 전체보기 (152)
- Web (4)
- Crawling (2)
- ICT멘토링 (2)
- Algorithm (3)
- NetWork (1)
- Cloud (13)
- Database (10)
- Open Source Software (14)
- PowerShell (5)
- Docker (2)
- Git, GitHub (6)
- Discrete Mathematics (1)
- 인터넷의 이해 (3)
- Python (1)
- vulnerability (6)
- Arduino (1)
- kakao (2)
- Spring (3)
- 2024 Tourism Data Utilizati.. (13)
- AI (12)
- Linux (2)
- C (4)
- Suricata (4)
- Embedded System (2)
- Software Engineering (5)
- Design Thinking (2)
- Flutter (2)
- SDP 보안 프레임워크 (3)
- STEP 특화교육 (16)
- Compiler (1)
- SIEM + SOAR (1)
- 인플랩 (2)
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | |||||
| 3 | 4 | 5 | 6 | 7 | 8 | 9 |
| 10 | 11 | 12 | 13 | 14 | 15 | 16 |
| 17 | 18 | 19 | 20 | 21 | 22 | 23 |
| 24 | 25 | 26 | 27 | 28 | 29 | 30 |
| 31 |
- Database
- GoogleDrive
- Web
- LINUX MASTER
- 인터넷의이해
- 코딩도장
- C언어
- 국가과제
- Machine Learning
- Spring
- 고등학생 대상
- Resnet
- colab
- suricata
- cloud
- Github
- ChatGPT
- git
- Python
- VSCode
- KAKAO
- OSS
- ICT멘토링
- Rocky Linux
- API
- rnn
- 크롤링 개발
- Spring Boot
- Docker
- Powershell
- Today
- Total
코딩두의 포트폴리오
SOAR 자료 조사 및 구축 본문
SOAR 오픈소스 조사 및 보완 자료
SOAR 기술의 필요성
"절대 신뢰하지 않고 항상 검증한다"라는 키워드를 가진 제로트러스트 환경은 모든 접근 요청을 검증하며, 지속적인 모니터링이 필요하다. 다양한 보안 솔루션으로 인해 보안 이벤트 발생 빈도가 높아지는 상황에서, SOAR(Security Orchestration, Automation, and Response)는 다양한 보안 솔루션(IDS/IPS, SIEM, EDR, IAM 등)과 연동하여 위협 탐지 및 대응을 자동화한다. 이를 통해 보안팀의 업무 부담을 줄이고, 중요한 정보를 선별하여 신속한 대응을 가능하게 만든다.
또한, 과기정통부와 KISA에서 발간한 제로트러스트 가이드 2.0 성숙도 모델을 보면 향상(Advanced), 최적화(Optimal) 부분에서 자동화를 통한 통합 보안을 제시하고 있다. 즉, SOAR는 제로트러스트를 구성하는 중요한 요소 중 하나이다.
- SOAR 관련 오픈소스 소개
SOAR를 실제로 구현하기 위한 오픈소스를 소개한다. 각 오픈소스는 오픈소스 명, 사용 언어, Github Star 개수, 마지막 업데이트 날짜, 오픈소스에 대한 정보 순서로 설명한다.
2.1) StackStorm(st2)
사용 언어: Python(94.2%), Jinja(2.5%), Shell(1.2%)
GitHub Star 개수: 6.2k
마지막 업데이트 날짜: 2025/01/10 (활성화 상태)
📌 주요 특징
✅ 이벤트 기반 자동화 플랫폼으로 보안 이벤트 대응 가능
✅ 100개 이상의 다양한 시스템 및 서비스와 통합 지원
✅ Python 기반으로 확장성이 뛰어나며 커뮤니티 지원 활발
⚠ 단점
❌ UI가 직관적이지 않음 (CLI 중심)
2.2) Shuffle
사용 언어: Shell(55.7%), JavaScript(37.7%), Go(5.8%)
GitHub Star 개수: 1.8k
마지막 업데이트 날짜: 2025/01/28 (활성화 상태)
📌 주요 특징
✅ GUI 기반으로 쉬운 워크플로우 구성 가능 (노코드 지원)
✅ 200개 이상의 플러그 앤 플레이 앱을 통해 다양한 SOAR 기능 제공
✅ 설치가 간단하여 빠르게 구축 가능
⚠ 단점
❌ StackStorm에 비해 기능이 제한적이며 복잡한 자동화가 어려울 수 있음
2.3) TheHive + Cortex
사용 언어: Scala(55.1%), JavaScript(22.3%), HTML(20.2%)
GitHub Star 개수: TheHive: 3.5k | Cortex: 1.4k
마지막 업데이트 날짜: TheHive: 2022/09/13 | Cortex 2024/06/24 (비활성화 상태)
📌 주요 특징
✅ 사건 중심의 보안 사고 대응 플랫폼 (SOC, CERT 등에서 활용 가능)
✅ Cortex와 연계하여 위협 인텔리전스 자동 분석 가능
✅ 협업 기능 제공 (여러 사용자가 동시에 조사 가능)
⚠ 단점
❌ TheHive와 Cortex를 함께 구성해야 하므로 복잡성이 증가함
2.4) n8n
사용 언어: TypeScript(90.2%), Vue(7.9%), SCSS(1.2%)
GitHub Star 개수: n8n: 63.5k
마지막 업데이트 날짜: n8n 2025/02/27 (활성화 상태)
📌 주요 특징
✅ 다양한 애플리케이션 및 서비스와의 통합
✅ 유연한(조건 분기, 반복, 오류 처리 등 복잡한) 워크플로우 구축
✅ 노드 기반의 시각적 인터페이스
⚠ 단점
❌ 서버 성능에 따라 성능이 결정됨
3 . SOAR 실무 적용 사례
🔹 금융권: StackStorm을 활용하여 계정 탈취 시도를 탐지하고, 자동으로 계정 잠금 및
관리자 알림 조치
🔹 클라우드 보안: Shuffle을 통해 AWS 보안 로그를 분석하여 비정상적인 접근을 자동
차단
🔹 정부 기관: TheHive + Cortex를 활용하여 사이버 위협 분석 및 대응 자동화 구축
- SOAR 성능 테스트 및 벤치마크 비교
오픈소스/성능 초당 이벤트 처리량 CPU 처리량 확장성
| StackStorm | 10,000+ | 중간 | 높음 (Python 기반 확장 가능) |
| Shuffle | 7,500 | 낮음 | 중간 (GUI 기반으로 확장성 제한) |
| TheHive | 5,000 | 높음 | 낮음 (Scala 기반으로 확장 어려움) |
| n8n | 서버 성능에 따라 다름 | 중간 | 높음 (Docker, Kubernetes 기반으로 확장 가능) |
- 보안성 평가
항목 StackStorm Shuffle TheHive + Cortex n8n
| 취약점 분석 | 보안 패치 자주 업데이트 | 상대적으로 보안 취약 | 최신 업데이트 | |
| 중단 위협 | 보안 패치 자주 업데이트 | |||
| 인증 밑 권한 관리 | RBAC 지원 | 기본 인증 제공 | 강력한 권한 관리 | |
| 기능 제공 | RBAC 지원 | |||
| 데이터 암호화 | API 기반 암호화 가능 | 기본 암호화 지원 | 위협 인텔리전스 | |
| 암호화 가능 | 크리덴셜 암호화 |
- 최신 업데이트 및 개발 로드맵
✅ StackStorm: 2025년 초 최신 버전 출시 예정, Kubernetes 연동 강화
✅ Shuffle: 보안 기능 확장 중, REST API 개선 예정
✅ TheHive + Cortex: 업데이트 지원 중단 위험 있음, 대체 프로젝트 고려 필요
✅ n8n: 자체 커뮤니티로 실시간 피드백을 통한 개선 중
- SOAR 오픈소스 간 연동 방법
🔹 StackStorm + TheHive → 보안 이벤트 발생 시 자동으로 사고 분석 및 티켓 생성
🔹 Shuffle + SIEM (Splunk, ELK 등) → 로그 기반으로 자동화된 보안 경고 대응 구축
🔹 StackStorm + Shuffle → 복잡한 자동화 워크플로우 구현 가능 (예: 피싱 이메일 대응 자동화)
- SOAR 오픈소스 최종 선정
✅ 완벽한 자동화 성능이 필요하면: StackStorm 추천
✅ 쉽고 빠른 SOAR 구축이 필요하면: Shuffle 추천
✅ 보안 사고 분석 및 협업 기능이 필요하면: TheHive + Cortex 추천
✅ 지금 가장 인기가 많고 많은 오픈소스 등과 연동이 필요하면: n8n추천
- SOAR를 구축하기 위한 오픈소스 비교
1) 설계의 복잡도
유지보수 측면에서 하나의 오픈소스를 쓰는 것이 두 개의 오픈소스를 쓰는 것보다 복잡도가 더 낮은 것은 명확한 사실이기에 st2를 사용하는 것이 좋다.
2) 확장성
st2는 Python으로 개발되어 확장성과 유연성이 돋보이고, TheHive+Cortex는 Scala와 JavaScript를 주요 언어로 사용하여 Python에 비해 개발 커뮤니티의 관심이 적다. 따라서 확장성 측면에서는 st2가 더 유리하다고 볼 수 있다.
3) 통합 용이성
st2는 100개 이상의 다양한 시스템 및 서비스와의 통합을 지원하고 API, 웹훅, 메시지 큐 등 다양한 연동 방식을 제공하여 유연한 통합 환경 구축 가능하다.
TheHive+Cortex는 다양한 보안 도구 및 위협 인텔리전스 플랫폼과의 연동을 지원, Cortex를 통해 분석 기능을 통합, TheHive를 통해 사건 정보를 통합 관리한다.
4) 자동화 기능
st2는 이벤트 기반 자동화에 특화되어 있어 실시간 대응이 필요한 상황에서 강력한 성능 발휘 워크플로우를 통해 복잡한 자동화 시나리오 구현이 가능하다.
TheHive+Cortex는 Cortex를 통해 분석 작업 자동화, TheHive를 통해 대응 작업을 자동화한다.
범위를 봤을 때 st2가 TheHive+Cortex보다 다양한 자동화 옵션을 제공한다.
5) 사건 관리 기능
st2는 사건 관리 기능을 제공하지 않고, TheHive+Cortex는 보안 사고를 사건으로 통합하여 관리하고 추적하는데 특화, 다양한 정보를 기록하고 공유하며, 협업을 위한 기능을 제공한다.
6) 위협 인텔리전스 연동
st2는 위협 인텔리전스 플랫폼과의 연동을 지원하지만, TheHive+Cortex만큼 다양한 플랫폼과의 연동을 제공하지 않는다.
7) UI/UX
st2는 웹 UI가 직관적이지 않고, CLI를 통해 대부분의 작업을 수행할 수 있고, 필요에 따라 사용자 정의 UI를 개발할 수 있다.
TheHive+Cortex는 비교적 직관적인 인터페이스를 제공하여 사용자가 쉽게 사용할 수 있다.
8) 커뮤니티 및 지원
st2가 TheHive+Cortex에 비해 커뮤니티 규모가 크고 다양한 정보와 지원을 얻을 수 있다.
9) 성능
st2는 대량의 이벤트를 빠르게 처리하고 분석할 수 있는 성능을 제공하고, TheHive+Cortex는 두 오픈소스의 성능을 고려해야 한다.
결론
SOAR는 보안 자동화 및 대응에 필수적인 기술로, 각 오픈소스는 사용 목적에 따라 장단점이 존재한다. 가장 중요한 점은 보안 환경과 요구 사항에 맞는 SOAR 솔루션을 선택하는 것이다. 또한 플레이북을 제공하여 보안오케스트레이션에 대한 파악을 쉽게 할 수 있도록 해야 한다.
현재 가장 완성도가 높은 SOAR 솔루션은 Stack Storm, 초보자가 쉽게 사용할 수 있는 솔루션은 Shuffle, 보안 분석 및 협업이 필요한 환경에서는 The Hive + Cortex가 적합하다. 다양한 어플리케이션 등과 연동이 필요하면 n8n이 유용해 보임 n8n은 현재 자체 사이트를 통한 피드백을 받고 있다. 프로젝트 환경에 맞는 오픈소스는 Stack Storm을 선택하여 보안 자동화를 구축하는 것이 바람직하다. 하지만 개발 실력이 모자라면 확장이 편한 n8n을 추천한다
따라서 앞으로 미래를 본다면 현재 가장 활발한 n8n을 사용하는 것이 우리 프로젝트에 알맞아 보인다
SOAR 구축(n8n) (~04/07)
1. Docker 설치
1-1) 도커 이용