Q11. 이미 한계에 도달한 SOAR는 왜 아직도 현장에서 사용되고 있을까요?

By PLURA

A. 기술 때문이 아니라, ‘기대·제도·책임 구조’ 때문입니다.

SOAR(Security Orchestration, Automation and Response)는
등장 당시 “사람 없는 자동 대응 보안”을 약속했습니다.

하지만 실제 SOC 현장에서는
자동 차단이 거의 사용되지 않고,
대부분 조사 보조 도구로만 운영되고 있습니다.

그럼에도 SOAR가 여전히 도입·유지되는 이유는
효과 때문이 아니라, 버리지 못하는 구조에 있습니다.

1️⃣ “자동 대응”이라는 기대가 만든 관성

SOAR는 이름부터가 문제였습니다.

  • Orchestration
  • Automation
  • Response

이 세 단어는
마치 사람의 판단을 대체할 것처럼 들립니다.

하지만 현실은 다릅니다.

  • SOAR에는 자체 판단 능력이 없습니다
  • 위협의 진위 여부를 결정하지 못합니다
  • 사람이 만든 Playbook을 그대로 실행할 뿐입니다

그럼에도 SOAR는
“이미 도입한 자동화 플랫폼”이라는 이유로
계속 유지됩니다.

“우리는 이미 자동화 체계를 갖췄다”
라는 조직적 자기 합리화가 작동하기 때문입니다.

2️⃣ ISMS·감사 대응용 ‘자동화 증빙’

SOAR가 현장에서 가장 많이 쓰이는 이유 중 하나는
감사 대응입니다.

  • “자동 대응 체계가 있습니까?”
  • “침해 사고 시 절차는 자동화돼 있습니까?”

이 질문에 대해
SOAR는 아주 좋은 답변이 됩니다.

실제로 대응을 자동으로 하느냐와 무관하게,
SOAR를 운영 중”이라는 문장은
보고서에 쓰기 좋은 문구이기 때문입니다.

Q9에서 IPS·NDR이
‘보험 장비’로 남는 것과
정확히 같은 구조입니다.

3️⃣ 자동 차단은 위험해서 쓰지 못합니다

SOAR가 한계에 도달한 결정적 이유는
자동 차단(Active Response)을 감당할 수 없기 때문입니다.

  • 탐지의 출발점은 대부분 확률적 알림
  • 오탐 가능성이 항상 존재
  • 자동 차단은 곧 가용성 침해

그래서 실제 SOC에서는:

  • 계정 잠금 ❌
  • 서버 격리 ❌
  • 네트워크 차단 ❌

대신:

  • 로그 수집
  • 사용자·자산 정보 조회
  • 평판 조회

같은 조사 자동화(Enrichment)만 사용됩니다.

즉, SOAR는
‘Response’가 아니라
자동 심부름 도구’로 축소됩니다.

4️⃣ SOAR는 문제를 해결하지 못하고 구조를 복잡하게 만듭니다

SOAR 자체에는 데이터가 없습니다.

그래서 SOAR가 의미를 가지려면 반드시:

  • SIEM (로그 집합소)
  • TI (위협 인텔리전스)
  • EDR / AD / CMDB

같은 외부 시스템이 필요합니다.

그 결과 구조는 다음과 같이 확장됩니다.

NDR/보안 장비 도입 → 오탐 증가 →
SIEM 도입 → SOAR 도입 →
여전히 사람 판단 필요

SOAR는 문제를 줄이기보다
운영 복잡성과 비용을 증폭시키는 역할을 하게 됩니다.

이것이 많은 조직에서
SOAR가 “도입은 했지만, 적극 사용하지 않는 이유”입니다.

5️⃣ Gartner 하이프 사이클이 보여준 결론

Gartner 하이프 사이클에서
SOAR는 이미 기대의 정점(Peak)을 지나
현실 조정 국면에 들어섰습니다.

이는 기술이 나쁘다는 의미가 아니라,
약속했던 역할을 수행하지 못했다는 의미입니다.

  • 사람 없는 자동 대응 ❌
  • 완전한 자율 SOC ❌

이제 SOAR는
“없어도 안 되고, 있어도 해결되지 않는”
애매한 위치에 놓여 있습니다.

정리하면

SOAR가 아직도 사용되는 이유는
효과적이어서가 아니라,
버리지 못하는 기대와 구조 때문입니다.

  • 자동화를 기대했고
  • 감사에 필요했고
  • 대안이 마땅치 않았으며
  • 이미 돈을 썼기 때문입니다.

하지만 보안에서 가장 위험한 상태는
잘 작동하지 않는 자동화”입니다.

사람을 대체하기 위해 존재하는 것이 아니라,
사람이 판단할 수 있는 시간을 벌기 위해 존재해야 합니다.

자동 대응을 못 하는 자동화라면,
그 역할과 위치를 다시 정의해야 할 시점입니다.

함께 읽을 글

SOAR와 SIEM이 왜 기대만큼 작동하지 못하는지에 대한
보다 구조적인 분석은 아래 글에서 확인할 수 있습니다.

📚 Gartner 하이프 사이클로 본 SIEM과 SOAR – 왜 둘 다 한계가 있는가?
https://blog.plura.io/ko/column/hypecycle_siem_soar/

📚 SOAR 도입하면 뭐하나요? 자동 대응도 못하는데
https://blog.plura.io/ko/column/why_soar_always_fails/

Tags