[SOAR] stackstorm 정리 및 설치

보안 직군 채용 공고에 보면 SOAR 엔지니어라는 채용이 있다.

근데 SOAR라는게 검색만 하면 뭔가 정의는 내려져 있는데 실제로 머릿속에는 삐-잉 하고 오는 느낌이 없어서 

정리해보고 직접 솔루션을 찾아서 설치해보면 그래도 정리되지 않을까 싶어서 

개념 정리랑 설치를 해보기로 했다. 

 

근데 구글에 SOAR 솔루션 이라고 검색해버리면 "SOAR란?" 글과 함께 자사 유료 솔루션을 홍보하는 글만 나와버린다..

그래서  오픈소스 솔루션은 없을까 찾고 또 찾은 결과 

 

스택 스톰이라는 솔루션을 발견했다. (SOAR 솔루션에 대해 글로 정리해주신 분 감사합니다. 😆)

Installation — StackStorm 3.8.0 documentation

 

 

그래서 오늘은 일단 stackstorm의 설치 그리고 SOAR가 뭔지 글로 정리해보려고 한다. 

 

SOAR 솔루션이라 검색했을때 각 회사(Microsoft,IBM,Paloaltonetworks...)에서는 다음과 같이 정의한다.

SOAR(Security Orchestration, Automation and Response) : 사이버 공격 방지 및 대응을 자동화하는 서비스와 도구

 

보안관제 업무를 하다보면 인시던트 티켓이 발생하면 이미 과거에 확인한 정탐 일 수도, 오탐일 수 도 있는 반복 티켓이 자주 발생한다.

하지만 우리는 위협에 대응하는게 일이기 때문에, 반복해서 대응을 위해 수 많은 도구를 사용하거나, 수동 조사를 반복해서 수행하는 경우가 많다. (실제로 이런 부분을 찾아서 개선하고 자동화하는게 관제 직군의 하나의 주 업무이고 성과라고 할 부분이 아닐까 싶다.)

이 과정에서 시간을 들여서 정작 분석해야할 위협에 대해 집중하지 못하거나 시간이 부족할 수 있다. 

 

그래서 아무튼 요약하면 저런 반복작업을 자동화 시켜 대응해주는 솔루션이라는 것 이다. 

SIEM같은 경우에는 단순히 로그를 보기 좋게 통합해서 관리해줬다면, SOAR라는 놈은 한발짝 더 나아가 탐지된 위협에 대해 어떻게 대응할지 까지 실행하는 상위 솔루션이라고 볼 수 있겠다

  

예시 표로 한번 비교해보면 어떤게 효율적인지 머릿속에 들어온다. 

 

단계	수동 대응 (Manual)	플레이북 자동화 (SOAR)
정보 확인	담당자가 로그인 국가, IP 정보 검색	(0초) 발생 즉시 IP 지오로케이션 자동 조회
위협 판별	평판 사이트(VirusTotal 등) 일일이 검색	(2초) 여러 API를 동시 호출하여 점수 합산
사용자 확인	해당 임직원에게 메신저/전화로 확인	(5초) 사용자에게 자동으로 확인 슬랙/메일 발송
조치	내부 시스템 접속 차단 정책 설정	(1초) 위험 판명 시 AD 계정 자동 잠금 및 세션 만료
시간 소요	약 30분 ~ 1시간	약 1분 내외

 

그렇다면 어떻게 대응까지 자동화 시킬 수 있을까?

그건 플레이북(Playbook) 이라는 형태로 누가,무엇을,어떻게 분석하고 차단할 것이라는 사고 대응 흐름을 코드로 작성하여 만든다. 

 

플레이북 주요 단계는 다음과 같다. 

 

• 트리거 (Trigger): SIEM이나 EDR로부터 특정 보안 이벤트(예: 악성 코드 탐지) 수신.
• 데이터 수집 및 풍성화 (Enrichment): 외부 위협 인텔리전스(VirusTotal, Whois 등)에서 해당 IP나 파일의 평판 정보를 자동으로 조회.
• 판단 및 분류 (Decision): 수집된 정보가 '위험' 수준 이상인지 조건문(if-then)을 통해 판단.
• 대응 조치 (Action): 방화벽에서 IP 차단, 사용자 계정 잠금, EDR을 통한 파일 격리 수행.
• 종결 및 보고 (Reporting): 분석 결과를 티켓 시스템에 기록하고 담당자에게 알림 발송.

 

 

그렇다면 SOAR의 역할에 대해서도 정리했으니 주요 기능에 대해 정리해보면 다음과 같다. 

 

• 보안 오케스트레이션 (Orchestration): 서로 다른 보안 솔루션(방화벽, EDR, SIEM 등)을 하나로 연결하여 유기적으로 동작하게 합니다.
• 보안 자동화 (Automation): 위협 IP 차단, 파일 분석, 사용자 계정 정지 등 반복적인 태스크를 사람의 개입 없이 자동으로 처리합니다.
• 사고 대응 (Response): 발생한 사건의 타임라인을 기록하고, 보고서를 생성하며, 팀원 간의 협업을 지원하는 케이스 관리(Case Management)를 수행합니다.

 

이제 그럼 한번 진짜 설치를 해보자! 

설치를 하기 앞서 centos 또는 ubuntu 같은 서버로 사용할 리눅스 VM 생성이 필요하다.

설치에 관해서는 생략하겠다. 

 

터미널 설치 명령어 

curl -sSL https://stackstorm.com/packages/install.sh | bash -s -- --user=사용할계정명 --password='사용할패스워드'

 

설치가 완료되면 정상적으로 설치되었는지 다음 명령어로 확인한다. 

# StackStorm 로그인 (위에서 설정한 계정 정보 입력)
st2 login 내계정 -p '내패스워드'

# 설치된 액션 목록 확인 (정상 작동 테스트)
st2 action list

 

설치를 하면서 몇가지 오류가 있었다. 

1. mongodb에서 사용자 정보랑 stackstorm의 정보가 달라서 로그인 문제 발생

-> 동일정보로 수정하여 해결 

2. 브라우저를 통해 GUI 화면으로 접속하려고 하니깐 nginx의 기본페이지로 연결됐다는 점 

->nginx의 기본 페이지를 삭제하고, StackStorm의 설정파일이 default server 역할을 하게하여 해결 

 

정상적으로 설치가 끝나면 VM의 IP주소로 웹브라우저를 통해 접속 후 로그인이 성공하면 다음화면처럼 나온다.

 

 

참고한 글 

Stackstorm 공식

SOAR 자료조사 블로그 

MS SOAR 정의 글