제품의 효과가 92%라는 말을 들으면 의도한 대로 작동하고 있다고 생각하게 됩니다. 성공적인 사례인 것 같습니다. 하지만 좀 더 자세히 살펴보면 상황이 달라집니다. 보안 정보 및 이벤트 관리(SIEM)이(가) 매우 효과적이라고 응답한 사람은 51%에 불과합니다. 보안의 대부분이 작동은 하지만 충분히 효과적이지 않은 도구에 의존한다는 것은 무엇을 의미할까요? 고장 난 것도 아니고, 탁월한 것도 아닙니다. 중간쯤에 있습니다.
로그가 유입되고, 경고가 발생하고, 규정 준수 체크 박스에 체크가 표시되는 과정 사이 어딘가에, 도구가 제대로 작동하는 것과 위협을 조기에 성공적으로 식별하는 것 사이의 간극이 존재합니다.
이러한 마찰은 보안 리더가 자신의 도구에 대해 논의하는 방식에 반영됩니다. Sumo Logic의 2026 보안 운영 인사이트 보고서에 따르면 응답자의 대다수가 SIEM을 효과적이라고 평가했지만, 이에 대한 확신을 표현한 응답자는 더 적었습니다. 이 논의는 ‘작동한다’와 ‘충분히 잘 작동한다’ 사이의 간극에 초점을 맞추고 있습니다.
효과 구역의 위험한 위치
SIEM은 로그를 수집하고, 이벤트를 사전 정의된 규칙과 일치시키고, 경고를 생성하고, 규정 준수 요구 사항을 충족하도록 설계되었습니다. 대부분의 SIEM은 설계된 목적대로 정확히 작동하고 있지만, 그 기본 설계는 수십 년 전에 만들어진 것입니다. 클라우드 네이티브 아키텍처가 등장하기 전, ID가 주요 공격 표면이 되기 전, 그리고 AI 기반 위협이 시그니처 기반 탐지를 앞지르기 전에 구축되었습니다.
실제 위험은 시스템이 기술적으로 작동하고 있다는 이유로 해결되지 않은 채 점진적으로 누적되는 사각지대이며, 이를 변경해야 할 긴급성이 결코 현실화되지 않는다는 것입니다. 마찰은 예측 가능한 네 가지 패턴으로 나타납니다.
- 반응형 탐지: SIEM은 이미 어떻게 식별해야 하는지 알고 있는 위협을 식별하도록 설계되었습니다. 기존 시그니처와 일치하지 않는 위협은 탐지되지 않습니다. 이는 도구가 실패해서가 아니라, 이전에 접하지 못한 것을 포착하도록 설계되지 않았기 때문입니다.
- 지능형 분류 없이 경고량 증가: SIEM은 기능의 일부로 경고를 생성하지만, 지능형 우선순위 지정이 부족하여 경고 대기열이 과부하되고 노이즈가 발생해 응답 시간이 느려집니다.
- 수동 컨텍스트 구축: 다양한 데이터 소스의 이벤트를 상호 연관시키고, 타임라인을 구성하며, 관련 컨텍스트를 드러내는 데에는 종종 수동 작업이 필요하며, 이로 인해 대부분의 환경에서 비효율성이 발생합니다.
- 운영 부담: 상관관계 규칙 조정, 파서 관리, 새로운 로그 소스 온보딩, 위협 환경 변화에 따른 콘텐츠 업데이트에 소요되는 과도한 시간 팀의 대부분은 위협 헌팅, 탐지 기능 개선 또는 더욱 강력한 보안 태세 구축과 같은 사전 예방적 보안 조치에 집중하기보다는 SIEM을 최신 상태로 유지하는 데 시간을 소비합니다.
이러한 요소들이 결합되어 문제가 발생합니다. 실무자들은 이를 확대하지 않고 매일 마찰을 경험하고, 리더십은 변화를 우선시할 만큼 충분한 신호를 보지 못합니다. 환경이 점점 더 복잡해짐에 따라 격차는 계속해서 벌어지고 있습니다.
팀이 효과적인 영역에 머무르는 이유
기업 조직의 93%가 최소 3개의 보안 운영 도구를 사용하고 있으며, 45%는 6개 이상의 도구를 사용합니다. 절반 이상인 55%가 이미 너무 많은 포인트 솔루션이 있다고 말합니다. 각각의 도구는 특정 공백을 해소하기 위해 도입되었지만, 함께 사용되면서 또 다른 문제가 발생합니다. 데이터 사일로, 단절된 워크플로, 과도한 경고 노이즈로 인해 환경 전반에서 어떤 일이 일어나는지 파악하기가 더 어려워지는 것입니다. 파편화된 보안 스택으로 인해 아무리 뛰어난 SIEM이라도 불완전한 정보로 작동하게 됩니다.
또한 대부분의 조직은 보안 공급업체를 연 2회만 검토 및 통합하며, 4분의 1은 연 1회만 검토 및 통합합니다. AI 기능, 클라우드 네이티브 아키텍처, 공격 전술이 모두 빠르게 진화하는 환경에서 스택을 1년에 한 번만 검토한다는 것은 이미 뒤처진 관행에 의존한다는 의미입니다.
그리고 환경이 더 복잡해지는 바로 그 시점에 보안팀의 인력과 조직은 오히려 슬림해지고 있습니다. 보안 책임자 중 현재 사용 중인 도구가 효율적인 팀 구조를 지원한다고 믿는 비율은 48%에 불과합니다. 이러한 맥락에서 새로운 플랫폼을 평가하고 마이그레이션하는 데 필요한 역량과 자원은, 장기적으로는 현 상태 유지를 택하는 편이 더 큰 비용임에도 불구하고, 현재 누구도 감당할 수 없는 비용처럼 느껴집니다.
고성과 팀은 무엇이 다른가
데이터는 효과적인 영역에 머무른 팀에게 서로를 증폭시키는 두 가지 문제가 있음을 보여주며, 고성과 팀은 이 두 가지를 모두 해결하기 위한 조치를 취했습니다.
첫 번째는 SIEM 아키텍처 자체입니다. 보안 책임자 중 AI 기능, 통합 텔레메트리 및 확장성을 갖춘 클라우드 네이티브 SIEM을 보유한 비율은 37%에 불과합니다. 대부분은 여전히 현대 클라우드 환경의 데이터 볼륨, 애플리케이션 복잡성 및 공격 표면이 등장하기 이전, 다른 시대를 위해 설계된 하이브리드 또는 레거시 시스템을 사용하고 있습니다. 이러한 시스템은 겉으로 드러나는 심각한 실패가 없을 수 있지만, 오늘날 보안 팀이 직면한 현실을 고려해 설계된 것은 아닙니다.
의도된 기능과 현재 요구 사항 사이의 차이는 구성 문제가 아니라 구조적인 문제입니다. 그리고 이는 AI에 직접적인 영향을 미칩니다. 기본 데이터가 파편화되어 있거나 불완전하거나, 소스 간 정규화가 일관되지 않으면 AI는 안정적으로 동작할 수 없습니다. 탐지 로직의 신뢰성은 그 로직에 입력되는 텔레메트리의 신뢰성에 달려 있습니다.
둘째, SecOps 팀과 DevOps 팀 간의 정렬은 전반적인 성능에 매우 큰 역할을 합니다. 이러한 영역 간에 협업하고, 도구·워크플로·맥락을 공유하는 조직은 모든 만족도 지표 전반에서 더 우수한 성과를 내는 경향이 있습니다. 실제로 잘 정렬된 팀의 82%가 자사 SIEM이 매우 효과적이라고 보고했습니다.
또한 SecOps와 DevOps가 동일한 데이터 기반 위에서 작업하는지, 그리고 그 기반이 지금 운영 중인 환경에 맞게 설계되어 있는지는, 효과적인 SIEM을 탁월한 SIEM으로 끌어올리는 데 매우 중요합니다.
효과적인 것에서 탁월한 것으로
효과적인 수준에서 탁월한 수준으로 전환하기 위해 보안 도구를 더 많이 추가할 필요는 없습니다. 개별 솔루션이 늘어나면 더 나은 커버리지나 더 빠른 대응을 제공하지 못한 채, 오히려 노이즈와 통합 작업, 예산 압박만 증가시킵니다.
데이터는 통합 플랫폼으로의 통합이 필요하다는 점을 시사합니다. 보안 책임자의 87%는 통합된 보안 및 모니터링 도구가 팀 효율성을 향상시킬 것이라고 동의했으며, 100%는 SecOps 및 DevOps 팀 모두에 대해 로그, 메트릭, 트레이스를 통합적으로 다루는 접근 방식의 가치를 인정했습니다. 이는 기존의 파편화된 보안 모델이 지속 가능하지 않다는 점에 대해 공감대가 형성되어 있음을 보여줍니다.
하지만 통합 플랫폼은 방정식의 절반에 불과합니다. AI-ready SIEM은 단순히 AI 통합 기능만으로는 부족하며, 그 아래에서 이를 뒷받침하는 신뢰할 수 있는 데이터가 필요합니다. 신뢰할 수 있는 데이터가 있다면 AI는 알려진 위협에 대한 패턴 매칭을 넘어설 수 있습니다. AI는 이상 징후를 더 빨리 포착하고, 조사 맥락을 구축하는 데 필요한 노력을 줄이며, 분석가의 부담을 늘리기보다 줄여 줄 수 있을 만큼의 신뢰성으로 동작할 수 있습니다. 이는 AI를 하나의 단순 기능으로 보는 것과, 효과를 배가시키는 힘으로 보는 것의 차이입니다.
탁월한 수준으로 나아가는 팀들은 긴급성이 저절로 생기기를 기다리지 않습니다. 그들은 보안 운영의 중심에 있는 도구에 대한 신뢰도가 51%에 그친다면, 이는 기반이 아니라 위험 요소라는 점을 인식하고 있습니다. 그리고 더 어려운 질문을 던집니다. 그들의 SIEM은 실제로 보호해야 할 환경에 맞게 설계되었습니까?
대부분의 팀에게 솔직한 대답은 “그렇지는 않다”입니다. 하지만 그 격차는 줄일 수 있습니다.
AI 활용이 가능한 SOC 플랫폼이 어떤 모습인지 확인해 보세요. 데모를 요청하세요.
