글로벌 투자 회사

새로운 보안 정보 및 이벤트 관리(SIEM) 솔루션이 필요한지 어떻게 알 수 있을까요? 다음은 새로운 SIEM 솔루션을 검토해야 할 가장 일반적인 이유들입니다.

• 최근의 보안 사고와 침투 테스트는 경각심을 일깨워 줍니다. 이들은 더 이상 무시할 수 없는 취약점과 보안 공백을 드러내며, 앞으로 솔루션에 필요하게 될 핵심 역량이 무엇인지 명확히 보여줍니다.
• 규제 요건 및 변경 사항은 단순한 행정 절차가 아니라, 막대한 제재를 피하기 위해 반드시 갖춰야 하는 강력한 보안 조치를 요구하는 중요한 의무입니다.
• 새로운 시장 진출이나 첨단 기술 도입 등의 성장 전략은 확장성과 유연성을 갖춘 보안 솔루션을 필요로 합니다.
• 예산 편성 시기는 노후하거나 불충분한 솔루션을 계속 유지하는 대신, 보안에 현명하게 투자할 수 있는 최적의 기회입니다.
• 업계 인수합병(M&A)은 기존 SIEM이 시장 통합의 충격을 견뎌내면서도 강력한 보호 기능을 제공할 수 있는지를 고민하게 만듭니다.

현재 사용 중인 SIEM은 몇 세대인가?

SIEM 솔루션을 평가하려면 현재 사용 중인 SIEM이 어느 세대에 속하는지 이해해야 합니다.

• 1세대: 기본 로그 관리 및 단순 상관관계 기능 중심. 로그를 수작업으로 분석하는 방법으로 위협을 식별.
• 2세대: 상관관계 엔진 개선, 대시보드, 기본적인 인시던트 대응 워크플로 도입으로 가시성과 대응 시간 향상.
• 3세대: 실시간 모니터링, 외부 위협 인텔리전스 피드와의 통합, 내부 위협 탐지를 위한 사용자 행동 분석(UBA) 기능 탑재.
• 4세대: 4세대: 통합 고급 분석, 머신러닝, SOAR 기능이 통합되고, 클라우드 환경 및 하이브리드 인프라 지원이 강화됨.

최신 세대 SIEM

곧 출시될 5세대 SIEM은 이전 세대를 크게 뛰어넘는 발전을 보여줍니다. 그 핵심 특징은 다음과 같습니다.

• AI 기반 인사이트를 통한 추천 제공 및 예측적 위협 탐지·대응
• 종합적인 보안 관리를 위한 통합 플랫폼 개발
• 개발 라이프사이클 전반에 걸쳐 보안을 내재화하는 DevSecOps 통합 
• 위협을 신속히 억제하고 완화할 수 있도록 자동화된 조치.
• 대규모 언어 모델(LLM)을 활용하여 DevSecOps 팀이 자연어로 솔루션과 소통하고, 필요한 조치를 추천하고 실시간 위협 인텔리전스와 연계하며 다단계 탐지를 지원하고 조직 맞춤형 인사이트를 제공합니다.

SIEM 평가의 다섯 가지 단계

SIEM 평가에서는 위협 탐지, 조사, 대응(TDIR)과 관련된 과제를 해결해야 합니다. 현재 SIEM 솔루션을 평가할 때 반드시 물어야 할 질문 다섯 가지가 있습니다.

1. 올바른 로그를 수집하고 있는가?

로그는 디지털 컴퓨팅의 가장 근본적인 산출물로, 클라우드 및 기업 인프라와 애플리케이션 전반에 대한 강력한 인사이트를 제공합니다. 효과적인 로그 수집은 견고한 SIEM 솔루션의 핵심 기반입니다. 인시던트를 조사할 때는 모든 중요한 로그가 온라인 상태로 확보되어 있어야 하며 분석 과정에 포함되어야 합니다. 

일반적으로 로그 수집의 가장 큰 과제는 서로 다른 다양한 데이터 소스를 정확하고 효율적으로 집계하는 데 있습니다. 확장성과 속도는 클라우드 네이티브 SaaS 솔루션의 핵심 특징으로, SIEM의 로그 수집 기능을 평가할 때 우선적으로 고려해야 할 사항입니다.

엔터프라이즈 전체의 모든 로그를 효과적으로 저장하고 분석할 수 있도록 라이선스와 사용량 기반 요금 모델을 제공하는 솔루션은 분석과 인사이트 도출 전에 데이터를 준비·가공·정리해야 하는 시간을 줄여 조사에 소요되는 시간을 수시간에서 수일까지 단축할 수 있습니다. 

견고한 SIEM 솔루션은 다양한 데이터 소스와 원활하게 통합되고, 실시간 데이터 수집을 지원해야 합니다. 또한 오픈 텔레메트리와 같이 벤더에 구애받지 않는 오픈소스 기반의 수집 기술을 비롯한 여러 데이터 포맷을 처리하여 포괄적이고 통합된 보안 관점을 제공해야 합니다. 

중요한 데이터를 놓치지 않고 보안 팀이 위협을 신속하고 효과적으로 탐지·대응하기 위해 필요한 정보를 확보하려면 포괄적인 데이터 수집이 반드시 필요합니다.

로그 수집 평가 기준

• 포괄적인 소스 통합: SIEM이 온프레미스, 클라우드, 하이브리드 환경을 포함한 모든 관련 소스에서 데이터를 수집할 수 있는지 확인해야 합니다. 여기에는 로그, 네트워크 플로우, 엔드포인트 데이터, 다양한 SaaS 애플리케이션의 데이터가 포함됩니다.
• 실시간 데이터 수집: SIEM이 실시간으로 데이터를 수집하여 새로운 위협을 신속하게 탐지하고 대응할 수 있는지 확인해야 합니다.
• 다양한 데이터 유형 지원: SIEM은 로그, 이벤트, 메트릭 등 조직의 보안 태세를 총체적으로 파악하는 데 필요한 광범위한 데이터 유형을 지원해야 합니다.
• 로그 저장 및 데이터 보존: 보안 로그 데이터가 저장 시 AES-256으로 암호화되고 전송 시 TLS로 암호화되어 보호되며, 최대 7년 또는 산업별 규제 기관이 요구하는 기간 동안 보존되는지 확인해야 합니다.
• 로그 경제성: 중요한 데이터 흐름을 유지하면서도 과도하게 비용이 초과되지 않도록 SIEM에 로그의 경제성과 보안 데이터의 유연한 가격 모델이 제공되는지 확인해야 합니다. 가능하면 인제스트 기반 모델 대신 스캔당 가격 모델을 포함하는 것이 바람직합니다.

2. SIEM에서는 데이터가 어떻게 변환되는가?

데이터가 수집되면, SIEM은 분석에 활용하고 실행 가능한 후속 조치를 도출할 수 있도록 데이터를 사용 가능한 형식으로 변환합니다. 데이터는 정규화, 인리치먼트, 상관관계 처리 등의 변환 과정을 거치게 됩니다. 이를 통해 원시 데이터가 비로소 의미 있는 인사이트로 전환됩니다. 정보 보안 분야의 분석 담당자는 다양한 소스로부터 들어오는 방대한 데이터의 의미를 파악해야 하는 막중한 과제에 직면합니다. 적절한 데이터 변환이 이루어지면 이러한 데이터가 더 일관되고 분석하기 쉬운 형태로 전환됩니다. 

정규화 과정은 네트워크 활동을 이해하는 데 핵심적입니다. 정규화는 여러 출처에서 들어오는 서로 다른 데이터를 단일 형식 또는 스키마로 변환하여 분석을 단순화합니다. 많은 솔루션이 정규화 기능을 제공한다고 주장하지만, 실제 구현 시 효과성과 사용 편의성 측면에서 기대에 미치지 못하는 경우가 많습니다. 정규화는 탐지 엔지니어링, 위협 헌팅, 보안 운영의 중심축으로, 원시 메시지를 표준화된 레코드로 변환하여 원활한 쿼리와 분석을 가능하게 합니다. 

모든 스키마가 동일하게 만들어지는 것은 아닙니다. 정규화의 강점은 정형 데이터와 비정형 데이터를 모두 처리할 수 있는 파서(parser)와 매퍼(mapper)의 활용에 있습니다. 파서는 원시 데이터를 디코딩하고 핵심 정보를 추출하여 읽을 수 있도록 구조화된 형식으로 변환합니다. 그다음 매퍼는 이 데이터를 사전에 정의된 스키마에 따라 정렬하여 서로 다른 데이터 소스 간에 일관성을 확보합니다. 이 과정은 특히 형식과 내용이 매우 다양하지만 중요한 사용자 정의 애플리케이션 인사이트를 포함하는 경우가 많은 비정형 데이터를 처리할 때 더욱 중요합니다.

인리치먼트는 정규화된 데이터에 위협 인텔리전스 피드, 자산 데이터 등의 컨텍스트 정보를 추가하여 분석 담당자가 데이터의 의미를 이해하고 위협을 더 쉽게 탐지하고 대응할 수 있도록 합니다. 가치 있는 컨텍스트를 레코드에 추가하면 데이터는 더 풍부해지고 실행 가능한 정보가 됩니다. 예를 들어, 명령줄(command-line) 데이터에 위협 인텔리전스를 결합하면 이미 알려진 악의적 명령을 식별할 수 있어 탐지의 정확도와 조사 품질을 향상시킬 수 있습니다.

데이터 변환 평가 기준

• 정규화의 효과: SIEM이 공통 스키마를 일관되고 정확하게 적용하며 필드 이름을 정확히 매핑하는지 확인해야 합니다.
• 파서 및 매퍼 품질: 파서의 정확성, 매퍼의 효율성, 파서 업데이트의 용이성을 확인해야 합니다.
• 성능 및 확장성: 처리 속도, 대량 데이터 처리 능력, 비정형 데이터 처리 능력, 리소스 사용 효율성을 평가해야 합니다.
• 통합 역량: 다양한 데이터 소스와의 호환성, API 및 플러그인 지원, 기존 시스템과의 상호운용성을 평가해야 합니다.
• 컨텍스트 데이터 통합: SIEM은 위협 인텔리전스 피드와 자산 데이터를 안정적으로 통합할 수 있어야 합니다.
• 정확성과 관련성: SIEM 데이터 변환 과정에서 추가되는 컨텍스트 정보가 얼마나 정확하고 관련성이 높은지 확인해야 합니다.
• 사용 편의성: 사용자 인터페이스가 직관적인지, 설정이 단순하고 유연한지, 자동화 및 조사 트리거 기능을 제공하는지, 지원이 충분한지를 검토해야 합니다.
• 탐지 및 대응에 미치는 영향: SIEM이 탐지 정확도와 조사 효율성을 향상시킬 수 있는 기능을 제공하는지 확인해야 합니다.
• 성능 및 확장성: SIEM이 데이터 증가에 따라 탄력적으로 확장되고 대량 데이터를 효율적으로 처리할 수 있어야 합니다.

3. SIEM은 고급 분석 기능을 제공하는가?

데이터 분석은 SIEM 솔루션에서 정교한 사이버 위협을 탐지하는 핵심 동력입니다. AI 기반 위협 탐지 및 인사이트 관리 등 고급 분석 기능은 머신러닝을 활용해 방대한 데이터를 분석하고 기존 방식으로는 놓칠 수 있는 패턴을 식별합니다. 머신러닝 모델을 통합한 SIEM 솔루션은 새로운 위협 패턴에 적응하면서 시간이 지날수록 탐지 능력을 향상시켜 위협 탐지를 강화합니다.

사용자 및 엔터티 행동 분석(UEBA)은 현대적인 SIEM 솔루션에서 매우 중요한 요소로, 사용자 및 엔터티 활동에 대한 심층적 인사이트를 제공합니다. UEBA는 정상 행동에 대한 상세한 프로파일을 생성하고 편차를 탐지하여 기존 모니터링 방식으로는 놓칠 수 있는 보안 위협을 더 정확하게 식별할 수 있도록 합니다. 특히 엔터티 중심의 탐지 상관관계와 패턴 인식은 효과적인 위협 탐지의 핵심 구성 요소입니다. SIEM 솔루션은 다양한 소스에서 수집된 데이터를 연결하여 개별 데이터만으로는 드러나지 않는 복잡한 공격 패턴을 식별할 수 있습니다.

SaaS 기반 SIEM 솔루션은 조정할 수 있는 사용자 지정 규칙 엔진 등 유지관리, 업데이트, 탐지 규칙 생성 측면에서 큰 이점을 제공합니다. SaaS 제공 모델의 또 다른 핵심 요소는 전문 위협 연구팀이 큐레이션한 새로운 탐지 규칙과 업데이트된 규칙을 즉시 반영해 보안 콘텐츠를 최신 상태로 유지하고 새로운 공격에 대비할 수 있다는 점입니다.

이러한 AI 기반 기능을 통합하면 SIEM 솔루션이 조직을 보호하기 위해 필요한 도구를 보안 팀에 제공할 수 있습니다. SaaS 제공 모델은 최신 위협 탐지 및 분석 기술로 SIEM을 지속적으로 업데이트하여 신종 위협에 대한 지속적인 보호를 보장한다는 점에서 이러한 역량을 더욱 강화합니다.

고급 분석 평가 기준

• 이상 징후 탐지: SIEM이 사용자 및 시스템의 정상 행동에서 벗어난 편차를 강조 표시하는지 확인해야 합니다. 이는 잠재적 보안 사고 식별에 매우 중요합니다.
• 행동 분석: SIEM이 사용자 및 엔터티 활동을 얼마나 잘 모니터링해 비정상 행동을 탐지하는지 평가해야 합니다. 이는 알려지지 않은 위협과 내부자 위협을 식별하는 데 도움이 됩니다.
• 총체적 관점: UEBA 기능이 사용자 및 엔터티 전반의 활동을 포괄적으로 파악해 단일 지점 모니터링으로는 놓칠 수 있는 상관관계를 식별하는지 확인해야 합니다.
• 향상된 컨텍스트 분석 및 상황 인식: SIEM이 다양한 데이터 소스를 통합해 더 정확한 위협 탐지를 수행하는지, 그리고 위험 평가, 알림 우선순위 지정, 오탐 감소를 위해 컨텍스트 정보를 활용하는지 검토해야 합니다.
• 엔터티 프로파일링 및 행동 기준선: SIEM이 각 엔터티에 대한 종합적인 프로파일을 구축하고 행동 기준선을 설정해 이상 징후 탐지를 향상시키는지 확인해야 합니다.
• 지속적인 업데이트 및 유지관리 부담 감소: SIEM이 진정한 SaaS 솔루션인지 확인하여 최신 위협 인텔리전스로 탐지 규칙과 모델이 지속적으로 업데이트되고 유지관리 부담을 줄이는지 검증해야 합니다.
• AI 내재 기능: SIEM이 AI 기반 로그 클러스터링 및 노이즈 감소와 같은 기능을 갖추어 계절성(seasonality) 변화를 자동으로 조정하고 알림 피로(alert fatigue)를 줄일 수 있는지 확인해야 합니다.
• 확장성과 유연성: 최적의 성능과 비용 효율성을 위해 수요에 따라 리소스를 얼마나 잘 확장하고 조정할 수 있는지 평가해야 합니다.
• 투명성 및 사용자 지정 용이성: SIEM이 사용자 친화적인 인터페이스를 기반으로 규칙을 쉽게 구성하고 운영의 가시성을 확보하며, 커스터마이징을 수월하게 수행할 수 있는지 확인해야 합니다.
• 사전 정의된 규칙 및 템플릿: 맞춤형 탐지 전략에 활용할 수 있는 사용자 지정 가능 사전 정의 규칙과 템플릿 라이브러리를 검토해야 합니다.
• 규칙 테스트 및 시뮬레이션: 규칙을 배포하기 전에 성능과 정확성 보장을 위한 테스트와 시뮬레이션 기능을 제공하는지 확인해야 합니다.

4. SIEM은 효과적인 조사를 제공하는가?

잠재적 위협을 식별하는 것은 시작에 불과합니다. 효과적인 위협 조사는 보안 사고의 전체 범위와 영향을 파악하는 데 매우 중요합니다. 이 과정에는 세부 분석, 근본 원인 식별, 실제 위협을 처리하면서 오탐을 신속히 최소화하는 효율적인 알림 관리가 포함됩니다.

SIEM 솔루션의 보안 조사 기능은 이벤트를 심층적으로 탐색하고, 상세 타임라인을 확인하며, 서로 다른 데이터 소스에 걸친 관련 이벤트를 상관 분석할 수 있도록 지원해야 합니다. 근본 원인 분석은 보안 사고의 기저 원인을 파악하고, 사고의 발생 지점과 확산 경로를 이해하며, 향후 재발을 방지하는 데 필수적입니다. 효과적인 알림 트리아지와 오탐 감소 기능은 보안 팀이 실제 위협에 집중할 수 있도록 돕습니다.

조사 기능 평가 기준

• 초기 침해 지점 식별: SIEM이 사고를 최초 침해 지점까지 추적하여 처음 영향을 받은 시스템 또는 사용자, 위협이 환경에 진입한 경위를 파악하도록 지원하는지 확인해야 합니다.
• 위협 확산 추적: 위협의 네트워크 수평 이동(lateral movement)을 추적할 수 있는 도구를 평가하고, 이를 통해 영향을 받은 시스템과 공격자의 기법을 이해할 수 있어야 합니다.
• 영향 범위 산정: SIEM이 데이터 유출, 시스템 중단, 규제 준수와 관련된 잠재적 문제 등 사고로 인한 전체 영향을 정량화하도록 지원하는지 검증해야 합니다.
• 알림 우선순위 지정: SIEM이 심각도와 잠재적 영향을 기반으로 알림을 우선순위화하여 분석 담당자가 중요한 위협부터 처리할 수 있도록 하는지 확인해야 합니다.
• 컨텍스트 정보: 알림에 관련 자산, 사용자, 연관된 위협 인텔리전스 등이 포함되어 있어 분석 담당자가 긴급성과 적합성을 빠르게 판단할 수 있는지 평가해야 합니다.
• 자동화된 트리아지: 머신러닝과 사전 정의된 규칙을 결합한 자동 트리아지 기능이 제공되어 초기 알림 평가에 소요되는 분석 담당자의 시간을 줄이고 알림을 자동으로 분류·우선순위화할 수 있는지 확인해야 합니다.
• 오탐 감소: SIEM이 탐지 규칙을 정교화하고 분석 담당자의 피드백을 반영하여 오탐을 최소화하고 알림의 신뢰성과 실행 가능성을 높이며, 알림에 따른 피로를 줄여 효율성을 향상시키는지 검증해야 합니다.
• 신속한 근본 원인 파악: SIEM이 내장형 쿼리 엔진을 통한 사용자 지정 검색, 반복 로그를 줄이고 중복 제거하는 머신러닝 기능 등을 활용하여 방대한 데이터를 신속히 선별하고 온프레미스 및 클라우드 환경 전반에서 완전한 가시성을 제공하고 신속하게 근본 원인을 식별할 수 있도록 유연한 사례 관리 워크플로를 갖추고 있는지 확인해야 합니다.

5. SIEM은 어떻게 대응을 촉진하는가?

협업은 사이버 보안 사고를 효과적으로 관리하고 대응하는데 반드시 필요합니다. 특히 애플리케이션 수준에서 사고나 침해가 발생할 수 있는 현대 환경에서는 더욱 그렇습니다. Kubernetes 컨테이너, GitHub 리포지토리, 보안이 취약한 클라우드 인프라 구성 요소 등이 모두 공격 시 악용될 수 있지만, 보안팀이 이를 일상적으로 모니터링하거나 유지 관리하지는 않습니다. 또한 DevSecOps팀 모두 인력이 제한적인 상황에서, 강력한 자동화 기능을 활용하는 것이 속도와 효율성을 높이는 데 매우 중요합니다.

협업과 커뮤니케이션을 촉진하는 SIEM 솔루션은 사용자 정의 대시보드, 자동화된 보고, 규정 준수 추적, 간소화된 대응 절차와 같은 기능을 통해 보안팀의 효율성과 효과성을 크게 향상시킬 수 있습니다. 또한 SIEM의 대응 기능은 사고를 신속하고 효과적으로 관리하는 데 필수적입니다. 여기에는 사전 정의되거나 사용자 정의 가능한 사고 대응 워크플로, 반복 작업의 자동화 및 오케스트레이션, 그리고 보안 태세를 지속적으로 개선하기 위한 사후 리뷰 검토가 포함됩니다.

한때 별도 솔루션으로 분리되었던 보안 오케스트레이션, 자동화 및 대응(SOAR)은 이제 SIEM 기능의 사실상 기본 요소로 자리 잡고 있습니다.

SIEM 대시보드는 조직의 보안 태세를 효율적으로 모니터링할 수 있도록 보안 데이터를 실시간으로 시각화해 제공합니다. 보고 기능은 조직 내·외부 이해관계자에게 조사 결과, 진행 상황, 대응 결과를 전달하는 데 핵심적입니다.SIEM의 규정 준수 기능은 규제 요구사항 및 산업 표준을 준수하도록 지원하며, 이는 벌금을 방지하고 신뢰를 유지하는 데 매우 중요합니다. 견고한 대응 기능은 보안 사고를 효과적으로 관리하고 완화하는 데 필수적입니다.

대응 평가 기준

• 사용자 정의 대시보드: 사용자가 자신의 역할에 맞는 핵심 지표, 트렌드, 경고 등을 표시하는 대시보드를 생성하고, 실시간 업데이트를 통해 위협에 신속히 대응할 수 있어야 합니다.
• 단일 진실 공급원(Single source of truth): SIEM이 모든 핵심 데이터를 한곳에 모아 DevSecOps 실행을 가능하게 하고 팀 간 협업을 강화할 수 있는지 확인합니다. 또한 모든 관련 팀이 솔루션을 활용할 수 있도록 사용자 수 제한이 없는 가격 및 소비 모델을 고려해야 합니다.
• 역할 기반 접근 제어 및 뷰: 각 팀 구성원에게 관련 정보가 제공되도록 역할별로 권한을 부여할 수 있어야 합니다. 이는 데이터의 유의성과 사용성을 높여줍니다.
• 자동 및 사용자 정의 보고: 자동 보고서 생성 기능이 일관성을 보장하고 시간을 절약하는지 확인해야 하며, 특정 요구(예: 규정 준수 감사, 경영진 보고)를 충족할 수 있는 사용자 정의 보고 기능도 필요합니다.
• 규정 준수: 투명성을 위한 포괄적인 감사 추적을 통해 SIEM이 GDPR, HIPAA, PCI-DSS와 같은 규정에 대한 데이터 수집, 보존 및 보고를 얼마나 잘 지원하는지 평가해야 합니다.
• 규정 준수 대시보드 및 보고: 규제 준수 상태를 모니터링하고 증빙할 수 있는 전문 도구를 평가해야 합니다.
• 사고 대응 워크플로: 사전에 정의되었거나 사용자 정의 가능한 워크플로가 분석 담당자가 보안 사고를 처리하는 전 과정을 안내하는지 확인해야 합니다.
• 자동화 및 오케스트레이션: SIEM이 로그 분석 플랫폼 및 외부 SOAR 도구와 얼마나 잘 통합되어 대응 작업을 자동화하고 효율성을 향상시키며, 사람 중심 워크플로 설계를 지원하는 오케스트레이션 기능을 제공하는지 확인해야 합니다.
• 협업 도구: SIEM이 사고 대응 중 공유 워크스페이스와 실시간 채팅을 통해 효과적인 커뮤니케이션과 조율이 이루어질 수 있도록 지원하는지 검증합니다.
• 사후 리뷰: 솔루션이 대응 효과 분석, 개선 영역 식별, 대응 계획 업데이트를 지원하여 지속적인 보안 향상을 가능하게 하는지 확인해야 합니다.

면책 조항:

Gartner, 보안 정보 및 이벤트 관리 매직 쿼드런트(Security Information and Event Management Magic Quadrant), 저자: Andrew Davies, Mitchell Schneider, Rustam Malik, Eric Ahlm, 2024년 5월 8일.

GARTNER는 Gartner, Inc. 및/또는 그 계열사의 미국 및 기타 국가에서의 등록된 상표이자 서비스 마크이며, MAGIC QUADRANT는 Gartner, Inc. 및/또는 그 계열사의 등록된 상표로서 본 문서에서는 허가를 받아 사용되었습니다. 모든 권리 보유.