글로벌 투자 회사

SIEM이 변화하는 방식과 보안 리더가 원하는 것

2025년에 접어들면서 디지털 네이티브가 되기 위해 경쟁했던 많은 조직은 이제 보안을 뒷전으로 미룬 결과를 직시하고 있습니다. 조직은 AI로 가속화된 공격, 분석가를 난처하게 만드는 방대한 클라우드 텔레메트리, 높은 기대치에 비해 줄어드는 예산 등 세 가지 부담스러운 문제를 가지고 있습니다. 방어자가 확인해야 하는 것과 SIEM이 보여주는 것 사이의 격차가 커지면서 경보 피로, 사각지대, 스토리지 비용 급증 등 문제가 발생하고 있습니다. 이 설문조사는 실무자들이 이러한 부담을 느끼는지, 어떤 역량이 이를 해소할 수 있다고 생각하는지를 중점적으로 묻습니다.

동시에 AI의 발전은 위협 환경과 방어자의 업무 방식을 조용히 재편하고 있습니다. 이제 자동화된 도구로 공격자는 설득력있는 피싱 메시지를 생성하고, 대규모로 클라우드 활동 이력을 조사하고, 수동 모니터링보다 더 빠르게 공격 방법을 변경할 수 있습니다. 반면 보안팀은 끊임없이 증가하는 로그 데이터를 분석하고, 일상적인 노이즈를 제거하며, 중요한 신호를 찾아내기 위해 자체 AI 기반 분석에 의존하기 시작했습니다. 이렇게 급변하는 양쪽의 상황으로 인해 풍부한 데이터 수집과 내장된 적응형 분석을 결합하도록 구축된 최신 SIEM 솔루션은 모든 중요한 보안 전략의 중심에 있습니다.

기존 SIEM은 오늘날의 방대한 텔레메트리를 처리할 수 있게 설계되지 않았습니다. 이제 기업에는 보안 데이터 레이크 역할을 하고, 해당 데이터에 고급 탐지 기능을 적용하며, 모든 경보에 내장된 자동화 서비스(SOAR)를 연동하여 조사를 간소화하고 신속하고 일관되게 대응하는 클라우드 규모의 SIEM이 필요합니다.

이 보고서는 보안 리더들이 기술 스택을 재평가하는 이유와 방법, SIEM의 성공 요소, 차세대 보안 환경을 만드는 혁신 기술을 소개합니다.

구매자가 SIEM 및 SOAR의 새로운 솔루션으로 전환하는 이유

설문조사 응답자의 34%는 내년에 가장 우선시해야 할 보안 과제로 위협 탐지 및 대응 강화라고 답했습니다.

이것을 시급한 문제로 보기 때문에 이제 SIEM과 SOAR의 필수 기능이 연동되었습니다. SIEM은 문제를 발견할 수 있는 가시성과 심층 분석 기능을 제공하고, SOAR은 이러한 인사이트를 일관되고 신속한 조치로 전환하는 플레이북을 실행합니다. 팀은 점점 더 이 두 가지를 불가분의 관계로 간주하고 있으며, 한때는 볼트온 플랫폼이었던 것이 핵심 기능이 되고 있습니다. 실제로 응답자의 84%는 향후 까다로운 위협 대응을 자동화하는 데 SIEM에 SOAR을 도입하는 것이 중요하거나 매우 중요하다고 답했습니다.

하지만 확신한다고 해도 고객을 사로잡을 수는 없습니다. 현재 사용중인 SIEM이 향후 3~5년 내에 적응할 수 있다고 ‘매우 확신’하는 리더 중 75%는 여전히 대체 솔루션을 검토하고 있으며, 이는 현재의 탐지 및 대응 요구 조건이 장기적인 충성도를 보장하는 것이 아니라 기준일 뿐이라는 증거입니다.

리더가 다른 솔루션을 찾는 이유와 후보 솔루션을 검토하는 방법을 알아보세요.

SIEM 스택을 재평가해야 하는 4가지 주요 이유

보안 리더가 대체 솔루션을 고려하게 만드는 가장 중요한 요소는 무엇인가요? 응답자들은 SIEM 솔루션 미래에 대한 확신에 가장 큰 영향을 미치는 네 가지 주요 영역을 꼽았습니다.

1. 인공지능(AI)

보안 리더 10명 중 7명은 AI가 현재 사용 중인 SIEM 솔루션에 대한 확신에 영향을 미친다고 답했으며, 이는 30%로 가장 많이 한 응답이었습니다. 이에 따라 SIEM 솔루션 전환을 고려 중인 조직 중 90%가 새로운 보안 솔루션 구매 결정에 있어 AI가 필수 또는 매우 중요하다고 답했습니다.

AI는 더욱 지능적인 알림부터 자동화 대응에 이르기까지 보안을 지원하고 간소화할 수 있는 엄청난 잠재력이 있습니다.

응답자의 70% 이상이 알림 피로와 오탐으로 어려움을 겪고 있으며, 매일 10,000건 이상의 알림을 받는다고 대다수가 답했습니다. 당연히 응답자들에게 알림 노이즈 줄이기는 최우선 과제이며, 따라서 보다 정확한 알림과 효율적인 대응을 위해 AI를 활용해야 할 필요성이 더욱 절실해졌습니다.

2. 클라우드 네이티브

보안 리더들이 SIEM 솔루션에 대한 자신감을 저해하는 두 번째 요소는 클라우드 네이티브 기능(38%)입니다. 응답자들은 확장성과 배포 용이성 등의 장점으로 인해 클라우드 네이티브 플랫폼을 선호합니다. 이러한 장점은 XDR이나 독립형 SOAR과 같은 기존 보안 옵션과 비교했을 때 더욱 두드러지는데, 기존 옵션은 특정 용도에 특화되어 있거나 적용 범위가 제한적일 수 있기 때문입니다.

클라우드 네이티브 솔루션의 주요 장점은 다음과 같습니다.

• 탄력성 및 확장성. 이러한 플랫폼은 조직의 필요에 따라 원활하게 확장 또는 축소하여 성능 저하 없이 다양한 소스의 대용량의 데이터를 처리할 수 있습니다. 이러한 유연성은 더 많은 클라우드 기반 및 분산 아키텍처를 채택하는 데 도움이 됩니다.
• 실시간 분석 및 업데이트. 클라우드 네이티브 SIEM 솔루션은 수동 패치나 업그레이드 없이도 실시간으로 보안 분석 및 업데이트를 제공하여 조직이 진화하는 위협에 한발 앞서 대응할 수 있도록 지원합니다.
• 통합 뷰. 클라우드 네이티브 플랫폼은 여러 클라우드 환경, 온프레미스 인프라, 원격 사용자의 데이터를 한곳에 모아 보안 환경에 대한 종합적인 관점을 제공합니다.
• 원활한 통합 및 자동화. Sumo Logic과 같은 클라우드 네이티브 SIEM 플랫폼은 다양한 클라우드 서비스 및 플랫폼과 연동되므로 조직은 한 플랫폼에서 보안 운영 통합 및 대응을 자동화할 수 있습니다.

연구 결과가 이러한 이점을 뒷받침합니다. 보안 리더 10명 중 거의 4명이 클라우드 네이티브 SIEM이 제공하는 민첩성과 포괄적인 적용 범위 때문에 솔루션 변경을 고려한다고 답했습니다. 솔루션 변경을 고려 중인 응답자 중 대다수가 클라우드 네이티브 플랫폼을 검토 중이라고 답했습니다.

3. 혁신의 속도

이번 조사에서 3분의 1이 넘는 보안 리더들이 빠른 보안 기술 혁신 속도로 인해 현재 운영 중인 SIEM에 대한 신뢰가 이미 줄었다고 답했습니다. 이제 AI는 분기마다 공격 기법을 재구성하고, 거의 같은 속도로 규정 준수 규칙이 강화되며, 클라우드 서비스는 매주 새로운 로그 소스를 생성합니다. 이러한 속도에 맞춰 새로운 분석과 자동화된 플레이북을 받아들지 못하는 SIEM은 빠르게 자산에서 부채로 전락합니다.

이러한 격차의 배경으로 세 가지를 꼽습니다. 정적 규칙보다 빠르게 진화하는 AI 기반 탐지 방법, 즉각적인 차단에 대한 기대를 높이는 자동화 프레임워크, 갑자기 이루어지는 최신 통합 클라우드 스택 업데이트입니다. 공급업체가 이러한 변화에 맞춰 업데이트된 행동 모델, 탐지 콘텐츠, API 후크를 제공하지 못하면 방어자는 옛날 방식으로 최신 위협을 대응하게 됩니다. 이는 현재 SOC로는 막을 수 없습니다.

4. 솔루션 고려 시 공급업체 종속성의 역할

최신 보안의 핵심 요소는 기능 확장이 아니라 유연성입니다. 새로운 SIEM 솔루션 공급업체를 검토 중인 팀의 약 95%가 스택을 재평가하는 주된 이유로 공급업체 종속성을 꼽았습니다. 단일 대규모 제품군으로 수집, 분석, 자동화, 가격 책정을 제어하면 위협, 예산, 아키텍처가 달라질 때마다 피벗할 수 있는 영향력을 잃게 됩니다. 특히 맞춤형 콘텐츠, 데이터 스키마 및 워크플로에 독점 도구를 사용하면 나중에 전환하는 것이 복잡하고 비용이 많이 듭니다. 

이 위험성은 경제적 문제만 발생시키는 게 아닙니다. 획일화된 공급업체는 빠른 혁신보다는 고객 유지를 우선시하는 경향이 있으며, 틈새 공격자가 매일 진화하는 반면 점진적인 업데이트를 제공하는 데 그칩니다. 로그, 메트릭, 추적 수집을 위한 OpenTelemetry와 같은 개방형 표준을 수용하는 포인트 솔루션을 사용하면 전체 스택을 재구성하지 않고도 새로운 데이터 유형이나 탐지를 통합하여 변화에 발맞출 수 있습니다.

SIEM은 타협 대상이 아닙니다. 보안 리더가 최고의 투자 대상으로 대하면 세 가지 영구적인 우위를 점할 수 있습니다.

• 협상력 – 핵심 부분을 바꾸지 않고도 모든 레이어를 교체하거나 보강할 수 있습니다.
• 연속적 혁신 – 전문 공급업체는 공격자보다 앞선 탐지 및 대응 기술 유지 기술이 있어야 살아남습니다.
• 운영 적합성 – 팀은 예상 플랫폼 가동 방식을 따르지 않고 환경에 맞게 워크플로를 조정합니다.

요약: 단기적인 편의와 장기적인 제약을 맞바꾸는 ‘적당히 괜찮은’ 플랫폼은 거부하세요. 개방성을 유지하고, 사용자 확장이 가능하며, 공급업체가 아닌 팀에게 보안의 발전 방향에 대한 최종 결정권을 부여하는 SIEM을 선택하세요.

이를 종합해 보면 최신 보안 운영의 다음 단계가 분명해집니다.

데이터는 단순히 수집하는 게 아니라 지능적으로 연결되어 신속한 인사이트 확보, 정보 기반의 의사 결정, 선제적 보안 관리를 할 수 있습니다.

적합한 SIEM 찾기

보안 리더들이 현재 사용 중인 도구와 타사 도구를 비교 검토하는 가운데, SIEM은 여전히 중요한 역할을 하고 있습니다. 조직은 현재 솔루션을 사용한 지 오래되었더라도 적합한 SIEM을 선택만 하면 됩니다. 대체 솔루션을 고려 중이라고 답한 응답자의 약 4분의 3(72%)이 현재 솔루션을 3년 이상 사용 중이라고 답했습니다.

기업은 새로운 SIEM 솔루션에 상당한 예산과 시간을 투자하기 전에 충분한 평가 프로세스를 거쳐 솔루션이 자사의 요구 사항을 충족하는지 확인해야 합니다. 이 5단계 체크리스트를 활용하여 프로세스를 진행하세요.

1. 데이터 수집: 올바른 로그를 수집하고 있는가?

로그 수집의 가장 큰 과제는 서로 다른 다양한 데이터 소스를 정확하고 효율적으로 집계하는 데 있습니다. SIEM 시장에 첫 진입하는 대부분의 기업은 데이터를 자체 엔드포인트 솔루션에서만 가져오기 때문에 더 거시적으로 보지 못합니다.

클라우드 네이티브 SaaS 솔루션은 확장성과 속도를 제공하며, 이는 SIEM 로그 수집의 최우선 조건입니다. 포괄적인 소스 통합, 실시간 데이터 수집, 로그 저장 및 데이터 보존과 같은 기능을 찾아보세요.

2. 데이터 변환: SIEM에서는 데이터가 어떻게 변환되는가? 

데이터를 수집한 후, SIEM에서 분석 및 후속 조치에서 사용 가능한 형식으로 변환됩니다. 데이터는 정규화, 인리치먼트, 상관관계 처리 등의 변환 과정을 거치게 됩니다. SIEM 검토 시, 정규화 효율성, 성능 및 확장성, 컨텍스트 데이터 통합, 정확성 및 관련성, 탐지 및 대응에 미치는 영향 등의 요소를 고려하세요.

3. 고급 분석: SIEM에 고급 분석 기능이 있는가?

좋은 솔루션은 가능한 한 많은 데이터를 검색할 수 있어야 합니다. 대다수 솔루션은 데이터 보존 기간을 30일로 제한하는 반면 공격 체류 기간은 3배 더 길 수 있습니다.

최신 고급 분석 기능의 머신러닝(ML)을 활용해 방대한 데이터를 분석하고 기존 방식으로는 찾을 수 없는 패턴을 식별합니다. 시간이 지남에 따라 새로운 위협 패턴에 대한 대응 방식이 조정되어 모델의 위협 탐지 능력이 강화됩니다.

강력한 UEBA 솔루션은 모든 사용자, 자산 및 서비스의 기준선을 지속적으로 제시하고, 피어 그룹을 통한 비지도 머신 러닝을 활용해 실제 이상 징후를 파악하고, 컨텍스트가 풍부하고 설명 가능한 위험 요소 점수를 첨부하고, 온프레미스, 클라우드 및 SaaS 환경 전반에서 자동화된 플레이북으로 결과를 바로 라우팅합니다. 실시간 스트리밍 분석을 위해 로그를 범용 스키마로 정규화하고, 관련 이상 징후를 MITRE ATT&CK에 매핑된 단일 인사이트에 통합하며, 개방형 API와 샌드박스 규칙 테스트를 지원하고, 모델의 최신 상태로 유지 및 노이즈 감소를 지원하는 AI 조사를 제공하여 분석가가 진정 중요한 위협에 집중할 수 있도록 지원합니다.

4. 조사: SIEM에 효과적인 조사 기능이 있는가?

위협이 감지되면 SIEM은 즉시 조사 모드로 전환되어 모든 알림에 실시간 위협 인텔리전스 컨텍스트가 추가됩니다. STIX/TAXII 또는 공급업체 API로 통합된 피드를 사용하면 플랫폼은 새로운 IOC와 MITRE ATT&CK TTP를 내부 텔레메트리 데이터와 연계되어 분석가는 글로벌 공격 환경에서 이벤트가 어디에 속하는지, 왜 중요한지 확인할 수 있습니다. 응답자의 85%는 미래의 위협에 대비하기 위해 SIEM에 즉시 사용 가능한 위협 인텔리전스 통합이 ‘필수’ 또는 ‘매우’ 중요하다고 답했습니다.

이렇게 강화된 기능을 통해 모범 사례 조사 기준은 최초 침해 지점 파악, 다양한 계층에 컨텍스트 인텔리전스 및 신뢰 점수 활용, 경보 알람 우선 순위 지정, SOAR 기반 자동 분류 실행, 현저한 오탐 감소 등으로 확장되는 동시에 사냥꾼에게 환경 전반에서 심층 검색에 필요한 TTP 수준의 세부 정보를 제공합니다.

5. 대응 능력 강화

맞춤 대시보드, 역할 기반 액세스 제어, 자동 보고서, 규정 준수 추적, 인시던트 대응 워크플로, 반복 작업 자동화 및 오케스트레이션(SOAR), 인시던트 사후 검토 등의 SIEM 대응 기능을 검토해 보세요.

최우선 사이버 보안 과제

(향후 12개월)

34%

위협 탐지 및 대응 강화

19%

인프라 현대화

18%

규정 준수 달성

17%

새로운 기술로 보안 강화

12%

보안을 유지하면서 비용 최적화

디지털 가속화와 SIEM의 미래

앞서 살펴본 바와 같이 대부분의 엔터프라이즈 보안 리더는 새로운 SIEM 솔루션을 고려하거나 적극적으로 추진하고 있으며, 디지털 혁신이 이러한 전환을 가속화하고 있습니다. 이제 SIEM이 어떻게 변하고 있으며 앞으로 조직이 성공하기 위해 무엇이 필요한지 살펴보겠습니다.

최신 보안 운영 센터의 다양한 텔레메트리

다양한 환경의 위협 및 보안 데이터 수집은 디지털 전환의 핵심 요소입니다. 따라서 응답자의 90%가 디지털 혁신을 위해 멀티 클라우드 및 하이브리드 클라우드 환경의 데이터 소스를 지원하는 것이 SIEM에 ‘필수’ 또는 ‘매우 중요하다’고 답한 것은 놀라운 일이 아닙니다.

이러한 유연성은 최신 지능형 보안 운영의 기본 요소입니다. 조직은 크게 두 가지 방법으로 다양한 소스의 텔레메트리를 수집하고 관리해야 늘어나는 요구 사항을 해결할 수 있습니다:

데이터 수집을 위한 개방형 표준 활용
조직은 데이터 수집을 위한 최신 개방형 표준(예: OTel)과 호환되는 SIEM 솔루션에 최우선으로 고려해야 합니다. OTel은 공급업체의 구애를 받지 않는 에이전트로 사실상 새로운 표준이 되었으며 다양한 환경에서 로그, 메트릭 및 추적을 수집합니다. 이 표준으로 여러 클라우드 플랫폼의 데이터 통합이 간소해졌고 필요에 따라 유연하게 데이터를 여러 대상으로 변환하고 라우팅할 수 있습니다.

앞으로 독점 수집 방식으로는 최신 클라우드 기반 인프라의 요구 사항에 맞추기 힘들 것입니다. 개방형 표준으로 조직은 특정 벤더에 종속되지 않고 텔레메트리를 수집할 수 있어 인프라 발전에 맞춰 유연성과 확장성을 유지할 수 있습니다.

데이터 정규화를 통한 미래 보장형 보안 운영
데이터 구문 분석, 정규화, 공통 스키마 또는 데이터 모델에 매핑에 탁월한 SIEM 솔루션은 다양한 소스의 텔레메트리에 대한 기업의 요구를 지원합니다. 다양한 보안 도구로 수집한 원시 로그에 직접 탐지 코드를 작성하는 것은 취약하고 유지 관리에 많은 노동력이 소요됩니다. 한 보안 솔루션을 다른 보안 솔루션으로 교체하려면 새 공급업체의 로그 형식으로 규칙을 다시 작성해야 하므로 운영 병목 현상이 발생하고, 공급업체 별로 다른 로그 형식으로 인해 상호 관계 분석이 복잡해집니다.

조직에서 데이터를 일관된 스키마로 정규화하면 기본 보안 도구나 클라우드 제공업체 변경과 무관하게 탐지 기능을 유지하고 향상시킬 수 있습니다. 또한 이 접근 방식으로 공급업체의 로그 형식에 관계없이 정규화된 데이터를 일관되게 처리할 수 있기 때문에 서로 다른 데이터 소스의 강력한 상관관계를 유지할 수 있습니다. 조직은 사내 보안팀의 업무 부담을 줄이고 진화하는 데이터 형식과 보안 문제에 대한 최신 정보를 유지하기 위해 이러한 작업을 기본 지원하는 SaaS 기반 SIEM 플랫폼을 선택해야 합니다.

응답자들은 고급 SIEM 기능을 완전히 활용하는 데 교육 및 기술 격차를 장애물로 꼽았습니다.

늘어나는 보안 요구 사항을 수용할 수 있는 확장성

조직이 발전하고 바뀌면 데이터 및 보안 요구 사항도 바뀝니다. 조사 결과는 당연하게도 규모가 큰 조직일수록 확장성 문제가 자주 발생하는 것으로 나타났습니다. 응답자들은 다른 SIEM 기능에 비해 SIEM 확장성도 전반적으로 불만족스럽다고 답했습니다. 이 조사 결과는 유연한 데이터 처리 기능의 필요성을 반영하며, 차세대 SIEM을 구현하기 위한 확장성의 중요하다는 것을 보여줍니다. 데이터는 계속 증가하고 있으며, 이는 확장성의 중요성도 계속 커질 것임을 의미합니다.

응답자들의 로그 수집 및 검색 속도에 대한 만족도는 높은 반면, 통합 및 확장성에 대한 만족도는 낮았습니다.

확장성은 Sumo Logic의 클라우드 네이티브 플랫폼의 핵심입니다. 조직이 성장함에 따라 탄력적인 아키텍처는 성능에 영향을 주지 않으면서 확장되는 로그 데이터, 보안 이벤트, 분석을 수용하도록 확장됩니다. 자동 확장 기능은 데이터 볼륨과 상관없이 일관되고 안정적으로 작동합니다.

또한 Sumo Logic의 종량제 모델을 사용하면 이러한 유연성을 합리적인 비용으로도 누릴 수 있습니다. 데이터 규모와 요구 사항이 변동해 조직은 필요한 용량에 대해서만 비용을 지불하면 됩니다.

고급 분석

최신 SIEM 솔루션의 고급 분석은 선제적 위협 탐지에 꼭 필요한 기능입니다. 응답자의 4분의 3은 향후 보안 이상 징후를 사전에 식별하기 위해 SIEM에 UEBA를 도입하는 것이 필수 또는 매우 중요하다고 답했습니다. 이러한 추세는 업종과 회사 규모를 막론하고 나타나고 있습니다.

Sumo Logic은 UEBA를 중요한 보안 계층으로 활용합니다. 플랫폼은 환경 내 사용자, 디바이스, 애플리케이션의 동작을 지속적으로 모니터링하고 분석합니다. 그런 다음 Sumo Logic UEBA는 정상 동작에서 내부자 공격, 손상된 계정 또는 지능형 지속 위협(APT) 등 잠재적인 보안 위협을 시사하는 미묘한 편차를 탐지합니다.

ML 알고리즘으로 정상적인 사용자 활동의 기준을 설정하고 예외 시간대에 민감한 파일에 액세스하거나 보안 프로토콜 우회 시도와 같은 비정상적인 패턴을 감지할 수 있습니다. Sumo Logic 고객은 심각한 침해로 확대되기 전에 서명 기반 또는 규칙 기반 탐지 방법으로는 놓칠 수 있는 이상 징후에 대한 조기 경고를 받을 수 있습니다.

이것이 바로 SIEM의 미래이며 이러한 기능을 사용하면 조직은 자신있게 보안 전략을 추진할 수 있습니다.

SIEM에 대한 새로운 기술 혁신 및 투자

사이버 위협이 더욱 정교해짐에 따라 대응 기술도 발전하는 등 보안 환경이 좋은 쪽으로든 나쁜 쪽으로든 변화하고 있습니다. 이제 SIEM에 대한 두 가지 주요 혁신과 접근 방식이 기업 투자의 방향을 어떻게 바꾸고 있는지, 그리고 Sumo Logic으로 어떻게 이 두 가지를 실현할 수 있는지 설명하겠습니다.

AI와 자동화가 SIEM 투자에 미치는 영향

차세대 SIEM을 적극적으로 찾고 있는 기업은 보안 분야의 최신 인공지능 기술을 보유하고 있을 가능성이 높습니다.

알림 피로로 인해 구매자들은 단순한 로그 수집기가 아닌 AI 공동 분석가처럼 작동하는 플랫폼으로 이동하고 있습니다. 설문조사를 통해 명백하게 드러난 것은 응답자들이 향후 복잡한 위협을 처리하기 위해서는 SIEM 내부의 통합 자동화 계층(SOAR)이 필수라고 답했다는 점입니다. 즉, 실시간으로 이벤트를 상호 연관시키고, 그 이벤트가 중요한 이유를 설명하고, 자동으로 초기 대응 조치가 시작되는 시스템을 갖춰야 인간 분석가는 조사 단계를 줄일 수 있습니다.

신흥 기술, 특히 LLM과 AI는 차세대 SIEM의 완전한 대체재가 아니라 보완적인 역할을 합니다. LLM은 전례 없는 규모의 텍스트 데이터를 분석할 수 있으므로 AI 기반 SIEM은 방대한 양의 보안 데이터를 효율적으로 처리하고 더욱 정확하게 위협을 탐지할 수 있습니다.

결과는 무엇일까요?
보안팀은 팀에 부담이 되지 않으면서도 정교한 위협 탐지, 패턴 인식, 이상 징후 탐지가 가능해졌습니다. 응답자들이 위협 탐지 정확성과 실시간 대응 능력을 최우선 과제라고 답한 만큼, 이는 매우 시의적절한 발전으로 볼 수 있습니다.

AI 기반 SIEM 발전 과정

1단계: 운영 자동화(현재 기준)

대부분의 완벽한 SOC는 이미 로그 정규화, 상관 관계, 인리치먼트, 티켓 생성, 심지어 계정 비활성화나 호스트 격리 같은 기본적인 격리 조치까지 탐지 및 대응의 상당 부분을 자동화했습니다. 비즈니스 사례는 간단명료합니다. 오탐을 줄이고, 평균 대응 시간을 시간 단위가 아닌 분 단위로 단축하며, 분석가들을 반복 작업에서 해방시켜 주는 것입니다. 2025년 예산은 규칙 기반 로직과 경량 머신러닝 모델을 결합하여 중복 경고를 억제하고, 이벤트를 MITRE ATT&CK에 매핑하며, 임베디드 자동화 서비스(SOAR)를 통해 플레이북을 트리거하는 기술에 계속해서 투입될 전망입니다. 이 단계의 팀은 알림 양을 줄이고, 인시던트당 실제 분석 작업 시간을 줄이며, 에스컬레이션 없이 더 많은 인시던트를 해결하는 데 주력합니다.

2단계: 분석 보조 AI(단기적 이점)
다음 단계에서는 정적인 플레이북을 실시간으로 조사를 안내하는 심화된 AI로 대체합니다. 자연어 요약, 비지도 이상 징후 탐색, 피어 그룹 분석, 상황별 위험 점수를 융합하여 분석가에게 순수 이벤트 스트림 대신 ‘이것이 중요한 이유’에 대한 내러티브를 제공합니다. 이 모델은 로그와 위협 인텔리전스 피드를 자동으로 피벗하여 킬체인 진행 상황을 강조하고 차선책 쿼리를 제안합니다. AI로 복잡한 패턴을 쉬운 언어로 바꾸고 원클릭 헌팅 서비스를 제공하기 때문에 인지 부하는 경감되고 신속하게 분류되며 1차 분석가들은 고위급 전문 지식이 필요했던 사례를 효과적으로 처리할 수 있습니다. 이를 통해 조직은 조사 소요 시간 단축, 분석 생산성 향상, 오탐률 감소에 따른 인시던트 정확도 향상에 중점을 두고 있습니다.

3단계: 조직 맞춤형 인텔리전스(전략적 차별화 요소)
궁극적인 성숙도는 보안 팀이 자체 텔레메트리, 비즈니스 로직 및 과거 인시던트 데이터에 대해 도메인별 언어 및 행동 모델을 학습할 때 이루어집니다. 이 맞춤형 모델은 조직의 고유한 공격 표면(맞춤형 SaaS 앱, 업계 규정, 내부자 위험 프로필)을 학습하여 침입 경로를 예측하고, 비즈니스 임펙트에 대한 이상 징후를 평가하고, 내부 워크플로에 맞는 대응책을 추천합니다. 신규 데이터에 대한 지속적인 미세 조정을 통해 피드백 루프를 완성하면 나머지 예외적인 사례를 자동화하고 미묘한 측면 이동을 포착하며 완전히 맞춤화된 대응 시퀀스를 조율할 수 있습니다. 이 단계에서는 피해가 발생하기 전에 신종 기법을 차단하고 방어자에게 공격자 정보를 반영한 지속적인 보안 우위를 제공하여 사전에 위험을 차단할 수 있는 이점이 있습니다.

Sumo Logic의 지원 방식 및 투자 대상
응답자 10명 중 8명은 현재 사용중인 SIEM 솔루션이 AI 기반 분석을 효과적으로 활용하여 미래의 위협을 예측하고 완화한다는 데 동의합니다. 하지만 솔루션이 더 크게 발전할 중요한 기회도 있습니다. 

조직이 주목해야 할 AI 기반 분석 기술은 무엇인가요? 우선 엔티티 중심의 탐지 기능을 살펴봐야 합니다. 주목할 만한 이벤트가 사용자 계정, 비인간 서비스 계정, 시스템 등 어디에서 발생하든, 공격 주기 또는 킬체인 전반에서 이러한 이벤트를 엔티티와 연관시켜야 효과적으로 대응할 수 있습니다. 그러면 분석가는 언제 어떤 이벤트가 발생했는지 파악할 수 있습니다. 레거시 솔루션에는 이러한 기능이 없지만, 정확도 높은 경보 알림과 낮은 오탐률을 위해 AI로 이상 징후 탐지 기술을 계속 발전시켜 나갈 것입니다.

보안 리더는 예측 위협 모델링, 자동화된 사고 대응, 오탐 감소 및 위협 인텔리전스 통합에 이르기까지 이미 논의한 AI 기반 기능 및 성과도 살펴봐야 합니다.

탐지 엔지니어링으로 사후 대응에서 사전 예방 보안으로 전환

탐지 엔지니어링은 위협 탐지 및 대응에 대한 정확성, 자동화, 적응성을 중심으로 이루어집니다. 진화하는 위협 환경을 바탕으로 Sumo Logic은 탐지 엔지니어링을 보안팀이 탐지 기능을 세밀하게 다루고 노이즈를 줄이며 상황 인식을 향상시키는 체계적인 반복 프로세스로 인식하고 있습니다.

Sumo Logic의 접근 방식은 다음과 같습니다.

1. 로그 우선 접근 방식
탐지 엔지니어링은 클라우드 환경, 온프레미스 인프라, SaaS 애플리케이션에서 포괄적인 로그 수집으로 시작됩니다.

보안팀은 로그를 정규화하고 보강하여 원시 데이터에서 실행 가능한 신호를 추출할 수 있습니다.

2. AI 기반 분석 및 상관관계
Sumo Logic은 머신 러닝을 사용하여 패턴, 이상 징후 및 잠재적 위협을 탐지합니다. 

행동 분석 및 UEBA로 정상 활동과 의심스러운 활동을 구분할 수 있습니다.

3. 클라우드 네이티브 SIEM으로 민첩한 규칙 개발
보안팀은 사용자 지정 규칙을 생성하여 특정 위협 모델에 맞는 탐지 규칙을 정의할 수 있습니다.

보안팀은 실제 공격 데이터를 기반으로 탐지 로직을 반복적으로 개선할 수 있습니다. 

클라우드 네이티브 아키텍처는 운영 오버헤드 없이 신속한 규칙 배포 및 업데이트를 보장합니다.

4. 자동화를 통한 노이즈 감소
상관 관계 분석 및 억제 기능을 통해 오탐을 줄이고 정확도가 높은 알림을 표시합니다.

엔티티 중심 탐지는 사용자, 엔드포인트 및 애플리케이션에서 신호를 집계하여 컨텍스트 인식 탐지를 수행합니다.

AI 지원 조사를 통해 분석가는 경고를 빠르게 이해하고 대응할 수 있습니다.

5. 위협 인텔리전스 통합
Sumo Logic은 여러 위협 인텔리전스 피드를 수집하여 최신 IOC(침해 지표)로 탐지 범위를 확장합니다.

탐지 정보에 상황별 위협 인텔리전스를 추가하여 대응 노력의 우선 순위를 지정할 수 있습니다.

이러한 단계를 수행하면 조직은 탐지 엔지니어링을 순환 구조로 설정할 수 있습니다. 분석가는 피드를 테스트하고 검증하여 더 나은 규칙과 신호를 개발할 수 있습니다.

Sumo Logic으로 신흥 지능형 보안 운영을 지원하는 방법

지능형 보안 운영에 투자하면 기업은 위협이 발생할 때뿐만 아니라 개발 프로세스 전반에도 사이버 보안을 고려할 수 있습니다. 속도와 민첩성이 보안과 결합되어 구형 보안 모델의 병목 현상을 줄입니다.

Sumo Logic의 클라우드 SIEM은 기존 사일로를 허무는 통합 플랫폼을 제공하여 이 세 팀의 협업을 촉진합니다. 플랫폼은 클라우드 및 온프레미스 환경에 실시간으로 가시성을 제공하므로 모든 팀이 동일한 보안 인사이트에 액세스할 수 있습니다.

Sumo Logic은 다음을 통해 협업을 촉진합니다.

사용자 지정이 가능한 통합 대시보드 모든 팀은 동일한 데이터 소스에서 원하는 확실한 인사이트를 얻습니다. 설문조사 응답자들은 이러한 기능의 중요성을 강조하면서 SIEM에서 더 많은 사용자 지정 가능한 대시보드 및 보고 기능의 필요성을 강조했습니다.

지속적인 모니터링 및 로깅. 팀은 동일한 플랫폼에서 보안 이벤트 및 애플리케이션 성능 로그를 모니터링하고 개발 중 그리고 배포 후 애플리케이션을 보호하기 위해 협업할 수 있습니다.

워크플로 및 플레이북 자동화 Sumo Logic으로 개발 파이프라인에 보안 검사를 통합하는 자동화된 워크플로우를 만들 수 있습니다. 이를 통해 보안 설계 접근 방식을 구현하여 취약점이 제품에 영향을 미치기 전에 DevSecOps가 해결할 수 있도록 지원합니다.

인텔리전트 보안운영으로 사전 예방적이고 고급화된 보안 접근 방식의 기반을 만들 수 있습니다. Sumo Logic으로 로그, 메트릭 및 보안 분석을 통합하여 DevSecOps 협업을 지원하고 최신 클라우드 네이티브 환경을 보호할 수 있습니다.

SIEM의 ROI를 현 상태에서 탁월한 수준으로 끌어올리세요.

응답자의 절반만이 SIEM 솔루션의 ROI가 좋다고 평가했습니다. 보안팀은 업무 능률을 높일 수 있는 기능이 필요합니다.

넘쳐나는 경고 알림 속에서 실제 인시던트만 선별해내는 강력한 상관 관계 분석.

자동화를 통해 반복 작업을 제거하면 분석가는 중요한 프로젝트에 집중할 수 있는 여유를 확보할 수 있게 됩니다.

이러한 기능을 갖춘 SIEM을 사용하면 번아웃을 방지하고 인재를 유치하며 보안팀은 영웅이 될 것입니다. 팀의 역량을 강화하고 비즈니스를 보호하여 투자 가치를 입증하세요.

클라우드 네이티브 플랫폼으로 확장성 및 적응성을 갖춘 사이버 보안에 투자하세요. 데모를 예약하여 당사의 사전 예방 모니터링 제품이 어떻게 조직을 보호하는지 알아보세요.

방법론

Sumo Logic은 독립 시장 조사 기관인 UserEvidence에 의뢰하여 2025 보안 운영 인사이트 설문조사를 실시했습니다.

설문조사 참여자는 누구인가요?

기업 조직의 500명 이상의 IT 보안 리더를 대상으로 설문조사를 실시했습니다.

참여 조직 10곳 중 4곳은 직원 수가 1,000명 이하이고, 10곳 중 3곳은 직원 수가 1,001~5,000명 사이이며, 10곳 중 3곳은 직원 수가 5,000명 이상입니다.

응답자의 4분의 3은 IT 섹터 조직에 속해 있으며, 7%는 제조업, 5%는 금융 서비스, 4%는 소매업에 종사하고 있습니다.

설문조사 응답자의 절반 이상이 IT 이사 또는 보안 관리자(33%), 정보 보안 관리자(21%)였으며 주로 보안 책임 업무를 담당하고 있습니다. 기타 주요 직책으로는 보안 엔지니어(8%), 최고 보안 책임자(7%), 최고 보안 설계자(4%) 등이 있습니다.

디지털 변환 과정에서 절반은 하이브리드(SaaS) 접근 방식을 취하고 있으며(49%), 24%는 클라우드 마이그레이션을 진행하고 있고, 11%는 레거시 아키텍처를 사용하여 클라우드로 이전한 것으로 나타났습니다.

UserEvidence

UserEvidence는 B2B 기술 기업이 업계 실무자의 독창적인 연구 콘텐츠를 제작할 수 있도록 지원하는 소프트웨어 회사이자 독립 리서치 업체입니다. UserEvidence가 진행한 모든 조사는 조사 원칙(신원 확인, 유의성 및 대표성, 품질 및 독립성, 투명성)에 따라 검증되고 신뢰성이 보장됩니다. UserEvidence가 주관한 모든 조사는 의뢰 기업의 간섭, 편견, 왜곡 없이 실제 사용자 피드백을 기반으로 합니다.

UserEvidence 조사 원칙

UserEvidence는 고객 증거를 제공하기 위해 공급업체 사용자와의 협력, 연구 콘텐츠 서비스를 위해 특정 분야의 업계 실무자와의 협력 등 모든 조사 활동에 조사 원칙을 적용합니다. 조사 원칙의 목표는 공급업체의 간섭, 편견, 왜곡 없이 실제 사용자 피드백을 기반으로 한 검증된 진정성 있는 조사 결과를 구매자가 보고 있다는 신뢰와 확신을 주는 것입니다.

원칙 1 – 신원 확인.
UserEvidence는 조사를 실시할 때 조사 참여자가 공급업체의 실제 사용자(고객 증거 사례)인지, 업계 종사자(연구 콘텐츠 사례)인지 확인합니다. UserEvidence는 기업 이메일 도메인 검증을 포함하여 다양한 인적 및 알고리즘 검증 메커니즘을 사용합니다(예: 공급업체가 모두 긍정적 리뷰만 남기는 Gmail 이메일 주소 17개를 만드는 것을 방지하기 위함).

원칙 2 – 유의성 및 대표성
UserEvidence는 사용자의 성공(또는 실패)을 정직하고 완전하게 보여줌으로써 신뢰가 쌓인다고 믿습니다. UserEvidence는 조사에서 통계적 유의성을 추구하며, 대규모 표본 사용자의 응답으로 조사 결과를 입증하여 분석에 대한 신뢰도를 높입니다. 우리의 조사 목적은 산업, 직급, 사용자 유형을 아우르는 다양한 사용자 표본을 수집하여 전체 사용 현황을 파악하고, 구매자에게 공급업체가 선별한 소수의 만족 고객 사례뿐만 아니라 같은 고객층의 관련 데이터까지 제공하는 것입니다.

원칙 3 – 품질과 독립성
UserEvidence는 항상 양질의 독자적인 조사를 실시하기 위해 최선을 다하고 있습니다. 이는 설문조사 및 설문지 설계로 조사 과정을 시작하여 정확하고 실질적인 응답을 이끌어냅니다. 조사 설계에서 편견을 줄이기 위해 가능한 대규모 응답자 표본을 사용하는 것을 목표로 합니다. UserEvidence는 조사 수행에 대한 대가를 공급업체로부터 받지만, 신뢰는 당사의 사업의 핵심이자 최우선 과제이며, 당사는 공급업체가 어떠한 경우(불리한 결과일지라도)에도 조사 결과 변경, 영향력 행사, 왜곡을 허용하지 않습니다.

원칙 4 – 투명성
UserEvidence는 조사가 블랙박스 안에서 이루어져서는 안 된다고 생각합니다. 투명성을 위해 UserEvidence한 조사에는 통계 N(표본 응답자 수)을 표시하며, 구매자는 통계, 차트, 조사와 관련있는 기본 익명 처리된(비식별화된) 원시 데이터 및 응답을 살펴볼 수 있습니다. UserEvidence는 연구 방법론 및 표본 크기 공유에 대한 가이드라인이 포함된 조사를 활용할 때 고객에게 명확한 인용 가이드라인을 제공합니다.