SOAR이란 무엇인가?

보안 자동화 완전 가이드

SOAR이란 무엇인가?
개념부터 실전 플레이북까지

Security Orchestration, Automation and Response — 현대 SOC의 핵심 기술을 처음부터 제대로 이해합니다

📅 2025년 최신 기준 ⏱ 약 15분 분량 🎯 보안 공부 / 취준생 / SOC 분석가

📋 목차 (Table of Contents)

1. SOAR이란 무엇인가? — 핵심 정의
2. 3대 핵심 구성 요소: Orchestration / Automation / Response
3. SOAR vs SIEM — 무엇이 다른가?
4. SOAR 동작 흐름 — Alert에서 해결까지
5. 대표 플레이북 5가지 (실전 예시)
6. 주요 SOAR 플랫폼 비교
7. SOAR 공부 로드맵 — 어떻게 시작할까?
8. 정리 및 결론

#SOAR #보안자동화 #SOC #SIEM #플레이북 #보안공부 #사이버보안 #인시던트대응

01 SOAR이란 무엇인가?

보안 업계에서 일하거나 공부하다 보면 반드시 마주치는 용어가 SOAR입니다. Security Orchestration, Automation and Response의 약자로, 직역하면 "보안 오케스트레이션·자동화·대응" 플랫폼입니다.

Gartner가 2015년에 처음 정의한 이 개념은, 흩어진 보안 도구들을 하나로 연결하고 반복적인 분석·대응 작업을 자동화하여 보안팀이 정말 중요한 위협에 집중할 수 있도록 돕는 기술 범주입니다.

💡

왜 SOAR이 등장했나? 현대 기업의 SOC(Security Operations Center)는 하루에 수천~수만 건의 Alert를 받습니다. 이를 사람이 하나하나 처리하면 MTTD(탐지 평균 시간)와 MTTR(대응 평균 시간)이 길어질 수밖에 없습니다. SOAR은 이 반복 작업을 자동화해 분석가가 진짜 위협에만 집중하게 해줍니다.

02 3대 핵심 구성 요소

SOAR은 이름 그대로 세 가지 핵심 기능으로 이루어져 있습니다.

🎼

Orchestration
오케스트레이션

SIEM, EDR, 방화벽, 티켓팅 시스템 등 수십 개의 보안 도구를 하나의 워크플로우로 통합·연결합니다. 마치 오케스트라 지휘자처럼 각 도구를 적절한 타이밍에 활용합니다.

⚙️

Automation
자동화

사람이 반복적으로 수행하던 작업 — IP 평판 조회, IOC 추출, 티켓 생성, 이메일 격리 등 — 을 플레이북(Playbook) 형태로 자동화합니다.

🛡️

Response
대응

탐지된 위협에 대해 사람의 승인 또는 완전 자동으로 차단·격리·알림·복구 등 대응 행동을 수행합니다. MTTD/MTTR를 획기적으로 줄입니다.

✅

핵심 개념: 플레이북(Playbook) SOAR의 심장은 플레이북입니다. "피싱 이메일이 탐지되면 → 첨부파일을 샌드박스 분석 → 악성이면 → 발신자 차단 → 수신자에게 알림 → 티켓 생성" 과 같이, 대응 절차를 코드/비주얼로 정의한 자동화 시나리오입니다.

03 SOAR vs SIEM — 무엇이 다른가?

SOAR과 SIEM은 자주 함께 언급되지만 역할이 다릅니다. SIEM이 "탐지 엔진"이라면, SOAR은 "대응 엔진"입니다.

구분	🔵 SIEM	🟢 SOAR
주요 목적	로그 수집·상관분석·탐지	대응 자동화·워크플로우 실행
주요 산출물	Alert, 보안 이벤트, 대시보드	자동 대응 결과, 케이스 관리
사람 개입	분석가가 Alert를 직접 분류	단순 작업은 자동, 복잡한 건만 사람
통합 범위	로그 소스 중심	전체 보안 스택 (SIEM 포함)
핵심 기능	탐지 규칙, 쿼리, 상관분석	플레이북, 자동화, 케이스 관리
대표 제품	Splunk SIEM, Microsoft Sentinel, QRadar	Splunk SOAR, Palo Alto XSOAR, Chronicle SOAR

⚠️

최신 트렌드: SIEM + SOAR 통합 Microsoft Sentinel, Google Chronicle SOAR, Splunk SOAR 등 최신 플랫폼은 SIEM과 SOAR 기능을 하나로 통합하고 있습니다. 면접이나 자격증 시험에서도 "통합 플랫폼" 개념이 자주 출제됩니다.

04 SOAR 동작 흐름

실제 보안 이벤트가 발생했을 때 SOAR이 어떻게 동작하는지 단계별로 살펴봅니다.

🚨

STEP 1
Alert 발생
(SIEM/EDR)

→

🔍

STEP 2
Alert 수집
컨텍스트 보강

→

📋

STEP 3
플레이북
자동 실행

→

⚡

STEP 4
자동 대응
(차단/격리)

→

📝

STEP 5
케이스 생성
보고서 자동화

각 단계 상세 설명

① Alert 발생: SIEM, EDR, IDS/IPS, 클라우드 보안 도구 등에서 이상 징후가 탐지되면 SOAR로 Alert가 전달됩니다. API나 웹훅을 통해 실시간으로 수신합니다.

② 컨텍스트 보강 (Enrichment): Alert에 포함된 IP, 도메인, 해시값, 사용자 정보 등을 자동으로 조회합니다. VirusTotal, Shodan, Active Directory, CMDB 등과 연동해 "이 IP가 정말 위험한가?"를 판단하는 데 필요한 정보를 모읍니다.

③ 플레이북 실행: Alert 유형에 맞는 플레이북이 자동으로 선택·실행됩니다. 분기 조건에 따라 자동 처리하거나 분석가에게 승인 요청을 보낼 수 있습니다.

④ 자동 대응: 악성 판정된 경우, 방화벽 차단 규칙 추가 / 엔드포인트 격리 / 계정 비활성화 / 피싱 메일 삭제 등의 대응을 자동으로 수행합니다.

⑤ 케이스 관리 및 보고: 모든 과정을 자동으로 기록하고 Jira, ServiceNow 등 티켓팅 시스템에 케이스를 생성합니다. 사후 분석 보고서도 자동화할 수 있습니다.

05 대표 플레이북 5가지

실제 현장에서 가장 많이 사용하는 SOAR 플레이북 패턴을 소개합니다. 이 패턴들은 Splunk SOAR, XSOAR, Chronicle SOAR 등 어느 플랫폼에서든 유사하게 구현됩니다.

• PB-01

  🎣 피싱 이메일 대응 (Phishing Response)

  이메일 보안 솔루션에서 의심 메일 탐지 → 헤더·첨부파일·URL 자동 분석 → 악성 판정 시 전체 수신자 메일 삭제 + 발신 도메인 차단 + 사용자 알림 → 케이스 생성. 가장 많이 구현되는 플레이북 중 하나.

• PB-02

  🌐 악성 IP/도메인 차단 (IOC Blocking)

  위협 인텔리전스 피드(MISP, ThreatConnect, VirusTotal 등)에서 신규 IOC 수신 → 내부 로그에서 해당 IOC 접속 이력 조회 → 방화벽/프록시에 자동 차단 규칙 등록 → 접속 이력 있는 엔드포인트 EDR 스캔 자동 트리거.

• PB-03

  👤 계정 침해 의심 (Compromised Account)

  불가능 이동(Impossible Travel), 다중 실패 로그인 등 이상 인증 탐지 → 해당 계정 최근 활동 자동 조회 → 위험도 HIGH 판정 시 계정 임시 잠금 + Slack/이메일로 담당자 알림 → 사용자에게 비밀번호 재설정 요청 → 분석가 검토 후 복구.

• PB-04

  🦠 랜섬웨어 감염 대응 (Ransomware Response)

  EDR에서 랜섬웨어 행위 탐지 → 해당 엔드포인트 즉시 네트워크 격리 (EDR 격리 API 호출) → 관련 계정 비활성화 → IR팀 긴급 알림 → 이벤트 타임라인 자동 구성 → 복구 프로세스 가이드 제공. MTTR을 수시간에서 분 단위로 단축.

• PB-05

  ☁️ 클라우드 설정 오류 대응 (Cloud Misconfiguration)

  CSPM(Cloud Security Posture Management)에서 S3 퍼블릭 오픈, 보안 그룹 0.0.0.0/0 허용 등 탐지 → 자산 소유자 자동 식별 → 위험도 분류 → CRITICAL이면 자동 수정 (Terraform/SDK 호출) → MEDIUM이면 소유자에게 수정 요청 티켓 생성.

playbook_phishing.py — 플레이북 의사 코드 예시

# 피싱 대응 플레이북 흐름 (의사 코드)
def phishing_response_playbook(alert):
    
    # STEP 1: 이메일 메타데이터 추출
    email_data = extract_email_metadata(alert)
    urls       = email_data['urls']
    attachments = email_data['attachments']
    
    # STEP 2: IOC 분석 (VirusTotal, URLScan 연동)
    vt_result  = virustotal.scan_urls(urls)
    sandbox    = cuckoo.analyze(attachments)
    
    # STEP 3: 위험도 판정
    if vt_result.malicious_count > 3 or sandbox.verdict == 'malicious':
        
        # STEP 4: 자동 대응
        mail_gateway.delete_from_all_inboxes(email_data['message_id'])
        firewall.block_domain(email_data['sender_domain'])
        notify.slack('#soc-alerts', '🚨 피싱 메일 차단 완료')
        
        # STEP 5: 케이스 생성
        jira.create_ticket(
            title    = f"피싱 메일 - {email_data['sender']}",
            severity = 'HIGH',
            evidence = [vt_result, sandbox.report]
        )
    else:
        # 낮은 위험도 → 분석가 검토 요청
        analyst.request_review(alert, evidence=[vt_result])

06 주요 SOAR 플랫폼 비교

현재 시장에서 검증된 주요 SOAR 플랫폼들을 유형별로 정리했습니다.

Enterprise

Splunk SOAR
(구 Phantom)

국내외 대형 SOC에서 가장 많이 사용. 900개 이상 통합 앱, 강력한 플레이북 시각화.

Enterprise

Palo Alto
XSOAR

Demisto 인수 후 성장. 코드 기반 플레이북, 위협 인텔리전스 통합 우수.

Enterprise

Microsoft Sentinel
(SOAR 내장)

Azure 환경에서 SIEM+SOAR 통합. Logic Apps 기반 자동화. M365 연동 강점.

Enterprise

Google Chronicle
SOAR

Siemplify 인수 통합. 구글 클라우드 네이티브. 위협 인텔리전스 내장.

Enterprise

IBM QRadar
SOAR

구 Resilient. 케이스 관리와 대응 자동화 강점. 컴플라이언스 특화.

Open Source

TheHive +
Cortex

오픈소스 IR 플랫폼. 예산이 없는 팀이나 공부 목적으로 실습하기에 최적. MISP 연동 강력.

Open Source

Shuffle
SOAR

Docker 기반 오픈소스. n8n과 유사한 시각적 워크플로우. 학습/소규모 SOC용.

Cloud

Tines

코드 없는(No-code) SOAR. 스토리 기반 워크플로우. 스타트업/중소 보안팀에 인기.

🎓

공부·실습 추천: TheHive + Cortex + MISP 스택 무료이고 도커로 10분 안에 올라갑니다. 실제 피싱 샘플이나 CTF 문제를 가져다가 플레이북을 직접 만들어 보면 면접에서 확실한 차별화가 됩니다. Shuffle SOAR도 같은 이유로 추천합니다.

07 SOAR 공부 로드맵

SOAR을 처음 공부하는 분들을 위한 단계별 학습 경로입니다.

PHASE 1 · 기초 (1~2개월)

보안 운영 기초 이해

SOC 운영 방식, SIEM 기초(Splunk/Elastic), 로그 분석, 인시던트 대응 개념 (NIST CSF, SANS IR 6단계) 학습. CompTIA Security+ 또는 CySA+ 취득 고려.

PHASE 2 · 실습 환경 구축 (2~3개월)

오픈소스 SOAR 실습

Docker로 TheHive + Cortex + MISP 구축. Shuffle SOAR 설치 후 VirusTotal API 연동, 샘플 플레이북 작성. Home Lab에서 실제 피싱 샘플 분석 자동화 구현.

PHASE 3 · 심화 (3~6개월)

상용 플랫폼 학습 + 자격증

Splunk SOAR Community Edition 또는 Microsoft Sentinel (Azure 무료 계정) 실습. Splunk Core Certified User / Microsoft SC-200 자격증 취득. GitHub에 직접 만든 플레이북 공개.

PHASE 4 · 실전 (6개월+)

CTF + 포트폴리오 + 취업

BlueTeamLabs, CyberDefenders, LetsDefend 등에서 SOAR 관련 시나리오 실습. SANS FOR508, GSOAR(Splunk SOAR 자격증) 도전. 플레이북 포트폴리오로 SOC 애널리스트, IR 엔지니어 지원.

알아두면 유용한 관련 개념

🔗

MITRE ATT&CK

공격자 전술·기술 프레임워크. SOAR 플레이북의 대응 트리거를 ATT&CK TTP에 매핑하면 탐지율이 올라갑니다.

🧩

위협 인텔리전스
(TI / CTI)

SOAR의 Enrichment 단계에서 핵심. MISP, OpenCTI, ThreatConnect와의 연동 방법을 이해해야 합니다.

📡

API / 웹훅

SOAR의 모든 연동은 API 기반. REST API, JSON, OAuth 이해는 필수. Python requests 라이브러리 기본은 꼭 익혀두세요.

08 정리 및 결론

SOAR은 단순히 "자동화 도구"가 아닙니다. 흩어진 보안 도구를 연결하고, 반복 작업을 없애고, 분석가가 진짜 위협에 집중할 수 있게 만드는 보안 운영의 두뇌입니다.

MTTD/MTTR 단축, Alert Fatigue 해소, 일관된 대응 품질 유지 — 이 세 가지 가치는 기업 규모에 관계없이 보안 운영의 핵심 과제이며, SOAR이 해결하는 문제입니다.

공부하는 입장에서는 개념 → 오픈소스 실습 (TheHive/Shuffle) → 상용 플랫폼 학습 → 포트폴리오 순서로 접근하는 것이 가장 효율적입니다. 특히 GitHub에 직접 만든 플레이북을 공개해두면 SOC 애널리스트 면접에서 강력한 무기가 됩니다.

📌

핵심 요약 (시험·면접 대비) SOAR = 보안 오케스트레이션 + 자동화 + 대응 | 핵심 산출물 = 플레이북 | SIEM과의 차이 = SIEM은 탐지, SOAR은 대응 | 오픈소스 시작 = TheHive + Cortex / Shuffle | 핵심 지표 = MTTD / MTTR 단축

🚀 다음 단계로

이 글이 도움이 됐다면 SIEM 완전 가이드, MITRE ATT&CK 프레임워크, 위협 인텔리전스 기초도 확인해 보세요.
궁금한 내용은 댓글로 남겨주세요. 같이 공부합시다 💪