혼돈 세계에 오신 것을 환영합니다. SIEM이 필요할 거라고 누군가 말했습니다. 아마도 CISO였을 겁니다. 아니면 감사관일 수도 있습니다. SOC도 덕트 테이프와 Python 스크립트로 로그를 이어 붙이는 일에 지쳤는지도 모릅니다. 이제 SIEM 구매하기로 했으니 괜찮습니다. 축하와 동시에 위로의 말씀을 전합니다.
예산을 초과하지 않고 팀의 사기도 저하시키지 않으면서 실제로 첫 SIEM을 구매하는 방법을 살펴보겠습니다.
1단계: SIEM의 역할 이해하기
SIEM은 보안 정보 및 이벤트 관리를 의미합니다. 시스템에서 로그를 수집, 분석 및 정규화하여 검색되도록 합니다. 그런 다음 이벤트의 상관 관계를 분석하고 악성 코드를 감지합니다.
이론적으로는 훌륭한 솔루션입니다. 실제로는 어떨까요? 공급업체의 절반은 2000년대 초반에 제작된 구식 대기업 제품을 판매하고 있으며, 현재는 옆면에 ‘클라우드’ 덕트 테이프가 부착되어 있습니다. 중요한 건, 구식 기술을 클라우드에 밀어 넣는다고 해서 클라우드 네이티브가 되는 것은 아닙니다. 나머지 절반 업체는 세 마디를 말할 때마다 ‘AI’를 외치지만 소규모 컨설턴트 그룹 없이는 고객 맞춤형 앱 로그를 분석할 수 없습니다.
2단계: 실제 사용 사례 파악하기
이것이 가장 중요한 단계이며, SIEM 구매자의 90%가 실수하는 부분이기도 합니다. 스스로에게 다음 질문을 해보세요.
- 규정 준수(PCI, HIPAA, SOC 2)가 필요한가?
- 하이브리드 환경에 대한 위협을 탐지할 것인가?
- SOC가 있는가? 아니면 나와 커피 중독자만 있는가?
- 로그를 검색해야 하거나 엔티티와 폭발 반경의 상관관계를 분석해야 하는가?
사용 사례에 따라 적절한 검색 기능을 갖춘 로그 버킷이 필요한지 아니면 완전한 위협 탐지 플랫폼이 필요한지 결정됩니다. PCI 조건 충족이 목적이라면 식료품점에 가는 데 페라리가 필요하지 않습니다. 또한 팀 규모에 맞는 적절한 도구도 필요합니다.
3단계: 경고 피로 함정에 빠지지 않기
공급업체는 “실시간으로 위협을 탐지합니다!”라고 외칩니다. 당연히 그렇게 합니다. 하지만 사내 프린터의 포트 스캔 및 DNS 조회에 대한 알림을 하루에 500개씩 받는다는 사실은 말하지 않습니다.
고객은 노이즈가 아닌 경고 시그널을 받길 원합니다. 실제로 실행되는 기본 탐지 콘텐츠를 찾아보고 정규식 박사 학위 없이도 직접 수정할 수 있는지 문의해 보세요. 간편한 GUI 기반 튜닝 및 규칙 생성 기능을 알아보세요. 탐지 엔지니어가 아니더라도 자신이 보고 있는 것을 이해할 수 있어야 합니다. 그렇지 않으면 다른 사람들도 이해하지 못합니다.
전문가 팁: 특정 위협(예: Okta 남용, AWS 키 도용 또는 측면 이동)에 대한 탐지 내용을 확인해보세요. 공급업체가 의심스럽다면 다른 공급업체를 찾으세요.
4단계: 가격 확인 및 약관 읽기
대부분의 SIEM은 GB/일, EPS 또는 스캔 기반 시스템을 기준으로 사용료를 청구합니다.
해야 할 일은 다음과 같습니다.
- 현재 로그 볼륨 계산(클라우드 서비스 포함)
- 30% 성장 버퍼 추가
- 실제로 도움이 될 수 있는 다른 로그에 대한 사용 사례가 있는지 살펴보고, 있다면 추가하세요.
- 서면으로 견적을 받은 다음 초과 수수료를 다시 한번 확인하세요. 스토리지, 검색, 탐지 및 통합이 포함된 가격인지 문의해 보세요. 일부 공급업체는 ‘기본 상관관계’를 플래티넘 등급의 추가 판매 상품처럼 취급합니다.
- “핫” 데이터인지 “콜드” 데이터인지 물어보세요.
- 보존, 분할 및 수집을 관리할 수 있는지 물어보세요.
- 어떤 가격 보호 조치를 시행할 수 있는지 물어보세요.
5단계: 샌드박스가 아닌 데이터로 테스트하기
데모는 훌륭하지만 정제되고 선별된 판타지일 뿐입니다. 알고 싶은 건 Kubernetes 로그, Okta 이벤트, EDR 알림 같은 악성 알림입니다.
괜찮은 공급업체라면 실제 데이터를 사용해 평가판 또는 POC를 제공해야 합니다. 14~30일 기간을 설정합니다. 유효성 검사
- 팀에서 검색어를 작성할 수 있나요?
- 탐지가 즉시 작동하나요?
- 전 직원을 교육하지 않아도 사용할 수 있나요?
- 대시보드를 쉽게 만들 수 있나요?
- 이 도구로 SOAR, 옵저버빌리티, 인프라 등 다른 영역의 비용도 절감할 수 있나요?
팀에서 이 기능을 사용하기 싫어한다면 내년에 이 작업을 반복하게 될 것입니다. 가장 좋은 방법은 미리 점수표를 작성하여 잘 만든 데모에 동요되지 않는 것입니다. POV 중에 실제로 사용할 시간이 있는지 확인하지 않으면 모두의 시간을 낭비하게 됩니다.
6단계: 아무도 대답하고 싶어 하지 않는 질문하기
적절한 예시 질문은 다음과 같습니다.
- 라이선스 한도를 초과하면 어떻게 되나요?
- 온보딩은 보통 얼마나 걸리나요?
- 직원을 더 채용하지 않고도 이 작업을 수행할 수 있나요?
- 계약을 종료하면 어떻게 되나요?
답변이 스캔들 상황을 회피하는 정치인처럼 들린다면 위험 신호라고 생각하세요.
7단계: 과대광고에 속지 않기
조심해야 할 것
- 큰 폭의 선불 할인 = 비싼 갱신 가격.
- 모든 것을 해결해준다는 AI. 제대로 설계되지 않은 SIEM에 에이전트를 적용해도 문제는 해결되지는 않습니다.
- 대규모로 비정형 데이터 처리 불가
- 전부 할 수 있다고 광고해도 전부 잘하는 게 아닙니다.
마지막 의견: SIEM만 구매하지 말고 파트너십을 구매하세요.
최고의 공급업체는 열쇠만 던져주고 사라지지 않습니다. 알림 수정, 대시보드 구축, 새로운 로그 소스 온보딩, 규정 준수에 문제가 발생해도 이성을 잃지 않도록 지원합니다.
처음 SIEM을 구입하는 경우, 지원 포털이 있는 블랙박스가 아니라 팀의 연장선으로 느껴지는 공급업체를 원할 것입니다. Sumo Logic은 이러한 공급업체가 되고자 노력합니다.
