사이버 보안과 관련하여 기업들은 지금처럼 많은 도전에 직면한 적이 없습니다. 사이버 공격의 범위와 빈도는 매년 새로운 기록을 세우고 있습니다.
보안 정보 및 이벤트 관리(SIEM) 솔루션은 일반적인 기업들이 끊임없이 직면하는 보안 위험과 취약점에 조직이 미리 대응할 수 있도록 도와줍니다. SIEM은 보안 위험을 드러낼 만한 데이터를 기업이 수집, 정규화 및 분석하는 데 사용할 수 있는 중앙 집중식 플랫폼을 제공함으로써 위협을 조기 탐지 및 사후 보안 정책 관리를 통해 선제적으로 차단합니다. 보안 정보를 쿼리하면 SIEM 소유자는 태세 관리와 보안 통제의 효과를 파악하고 측정할 수 있습니다.
끊임없이 발생하는 보안 위험과 취약점을 해결하려면 다양한 IT 리소스(IT, IoT, 물리적, 앱 등)의 데이터를 해석한 후 실시간으로 위협을 탐지하고 그에 대응할 수 있어야 합니다. 소프트웨어 공급망 공격과 같은 새로운 위협이 끊임없이 발생하고 있습니다. 그리고 분산된 마이크로서비스 기반 아키텍처로 점점 더 많은 워크로드가 이동함에 따라 기업이 보호할 시스템의 규모와 복잡성은 꾸준히 증가하고 있습니다.
이러한 과제에 직면한 조직들에겐 사이버 위협 관련 정보를 효율적이고 포괄적으로 수집, 정규화 및 분석하고 그에 대응할 수단이 필요합니다.
이 가이드에서는 SIEM의 작동 방식, 현대 비즈니스에 중요한 이유, 그리고 보안 오케스트레이션, 자동화 및 대응(SOAR) 도구와 같은 다른 유형의 사이버 보안 플랫폼과 어떤 연관성을 가지는지에 대해 자세히 설명합니다. 또한 위험을 최소화하면서 효율성과 협업을 극대화하기 위한 최적의 SIEM 솔루션 선택 및 구성 방법에 대한 지침도 제공합니다.
SIEM이란 무엇인가요?
보안 정보 및 이벤트 관리는 기업이 여러 소스의 보안 이벤트 데이터를 수집, 정규화 및 분석할 수 있는 일종의 사이버 보안 플랫폼입니다.
SIEM 시스템의 핵심 기능은 다음과 같습니다.
- 보안 관련 데이터의 중앙 집중식 수집, 분석, 집계 및 표시
- 로그 관리, 감사 및 검토
- 이벤트 상관 분석
- 보안 경고 알림 실시간 생성을 통한 사례 관리
- 위협 탐지
- 내부자 위협 및 이상 징후 탐지
- 규정 준수 보고 생성(PCI DSS, HIPAA 등)
물론 SIEM 기능의 범주는 이러한 필수 기능을 넘어서 더 확장될 수 있습니다. 일례로 최신 SIEM 기술은 위협 탐지만 아니라 담당 팀이 인시던트 대응 프로세스를 조정하는 데 유용한 기능도 제공하는 경우가 많습니다. 또한 사용자 및 엔티티 행동 분석(UEBA)을 포함하고 타사의 위협 인텔리전스 데이터베이스와 통합할 수도 있으므로, 담당 팀은 SIEM 도구가 탐지한 위협에서 컨텍스트 정보를 확보하고 각 위협의 위험 정도를 파악할 수 있습니다.
레거시 도구와 최신 도구 비교해 보기
SIEM은 생소한 기술이 아닙니다. 그 기원은 90년대로 거슬러 올라가며, 그 이후로 10년간 많은 변화가 있었습니다. 당시에는 그 누구도 우리가 최근에 경험하고 있는 위협 벡터의 엄청난 확장을 예상하지 못했을 것입니다. 이제는 표준 SIEM이나 기존 SIEM이라는 말이 시대착오적이라는 공감대가 형성되었고, 따라서 레거시 SIEM이라는 명칭이 쓰이고 있습니다.
레거시 SIEM의 주요 단점은 다음과 같습니다.
- 배포가 복잡함 – 온프레미스 또는 클라우드 네이티브 배포가 흔하므로 확장과 유지 관리가 어려움
- 인제스천 기능이 제한적이고 아키텍처가 복잡하며 타사 도구와 통합하기 어려움(자체 개발 필요)
- 취약하고 유연하지 않은 데이터 상관 분석, 성능 문제, 관리 중단에 따라 불편이 가중됨
- 분석가의 업무 수행을 위해 많은 노력과 전문 지식이 필요함
이 모든 문제는 경고 알림 피로, 위협(특히 내부자 위협) 탐지 실패, 효과적이지 못한 위협 조사로 이어질 수 있습니다.
이와 대조적으로 차세대 또는 최신 SIEM 솔루션의 특징은 다음과 같습니다.
- 간단하고 사용이 비교적 편리하며 확장 가능하고 유연함
- 실시간 또는 준실시간 조사 기능이 포함됨
- 온프레미스, 클라우드, 멀티 클라우드 또는 하이브리드 등 다양한 환경에서 작업 가능
- 자동화된 위협 인텔리전스, 데이터 보강, 위협 탐지, 인시던트 우선순위 지정, 경우에 따라서는 대응 기능까지도 통합 가능
- 사용자 행동 및 활동 추적 기능 포함
- 거의 모든 소스와 어플라이언스에서 로그, 네트워크, 클라우드 등 다양한 데이터를 인제스트하므로 데이터 소스와 공급업체에 구애받지 않음
- 기본 제공 커넥터 스택을 뛰어넘는 통합 가능성 제공
- 기본 제공 상관관계 분석 규칙에 더하여 사용자 지정 규칙도 만들 수 있는 기능 제공
- 기본적인 자동 인시던트 대응 지원
최신 SIEM은 레거시 SIEM과 달리 일반적으로 머신러닝 및 빅 데이터 분석 모델을 구현하므로 고도의 적응형 동작이 가능해집니다. 머신러닝(ML) 엔진은 방대한 양의 데이터를 지속적으로 학습하여 보안 팀이 이전에는 볼 수 없었던 위협 시나리오에 대응할 수 있도록 지원합니다.
이러한 발전에 힘입어 수많은 데이터를 의미 있는 몇 가지 인사이트로 압축할 수 있으며, 그에 따라 이미 과중한 업무에 시달리는 보안 분석가의 업무 부담을 덜 수 있습니다.
기업에게 SIEM이 필요한 이유는 무엇인가요?
“SIEM”이라는 용어는 2005년 Gartner 분석가들이 처음으로 만들었습니다. 그러나 SIEM 소프트웨어를 설계하여 해결하려던 문제가 아직도 사라지지 않았으므로 SIEM은 20년 전과 마찬가지로 오늘날에도 여전히 시의성이 큰 용어입니다. 사실 그 이름을 부르는 목소리는 사이버 위험의 범위와 복잡성이 꾸준히 증가함에 따라 오히려 더 커지고 있습니다.
조직에 SIEM이 필요한 주된 이유는 위협 탐지를 위해 수많은 데이터 세트의 분석 작업이 필요하고 이러한 분석을 효율적이고 중앙 집중화된 방식으로 수행할 수 있는 방안은 SIEM뿐이기 때문입니다. SIEM이 없다면 사이버 보안 및 IT 팀은 각각의 로그 파일과 이벤트 스트림을 수작업으로 파싱하여 보안 문제를 암시할 만한 이상 징후나 패턴을 찾아야 합니다.
이러한 보안 운영 방식은 시간이 많이 걸리고 지루할 뿐만 아니라 담당 팀이 여러 데이터 소스의 상관관계를 분석하여 잠재적 위험에 대한 최대한의 컨텍스트를 확보하는 데 걸림돌을 놓을 수도 있습니다.
예를 들어, 엔지니어가 애플리케이션 이벤트 로그만 살펴본다면 애플리케이션에 대한 요청 급증이 DDoS 공격의 징후인지 자연스러운 트래픽 증가 때문인지 판단하기 어려울 수 있습니다. 하지만 애플리케이션 로그와 트래픽의 출처를 보여주는 네트워크 로그의 상관관계를 파악할 수 있다면 해당 요청이 합법적인 엔드포인트에서 발생했는지 봇넷과 관련되었는지를 더 쉽게 확인할 수 있습니다.
따라서 SIEM을 활용하는 조직은 보안 위협을 더 빠르고 정확하게 탐지하고 그에 대응할 수 있으며, 이는 사이버 위협이 어디에나 존재하는 세상에서 매우 중요한 이점이 됩니다. 공격자가 기업의 사이버 방어 체계를 뚫고 나면 불과 몇 분 만에도 데이터를 유출하거나 중요한 서비스를 중단시킬 수 있습니다.
SIEM의 기타 이점
SIEM은 신속한 위협 탐지와 대응이 가능하다는 핵심적인 이점에 더하여 다음과 같은 추가적 이점도 제공합니다.
- 보안 관련 데이터의 중앙 집중식 관리
- 보안 데이터를 보안 팀, 개발자, IT 엔지니어와 같은 여러 이해관계자와 간편히 공유 가능
- 시간 경과에 따라 보안 이벤트와 위험을 추적하여 관련 추세 파악 가능
- 보안 경고 알림을 효율적으로 관리하여 오탐을 최소화하고 경고 알림 피로 예방(이 문제는 보안 전문가의 88%가 도전 과제로 인식하고 있음)
- 복잡한 보안 프로세스를 자동화하여 기업이 제한된 사이버 보안 팀으로 더 많은 업무를 수행하도록 지원 가능 – 사이버 보안 “두뇌 유출”이 계속되는 상황에서 숙련된 보안 전문가 고용이 어려운 점을 고려할 때 중요한 이점으로 대두됨
따라서 SIEM은 사이버 보안 운영을 향상시킬 뿐만 아니라 기업이 보안 문제를 관리할 때 협업을 극대화하고 리소스를 가장 효율적으로 활용할 수 있도록 도울 수도 있습니다.
SIEM과 SOAR 및 기타 보안 도구 비교해 보기
SIEM은 사이버 보안 데이터와 위협을 관리하기 위한 기본 허브 역할을 맡는 경우가 흔하지만, 일반적으로 기업이 의존하는 유일한 사이버 보안 도구는 아닙니다.
SIEM은 소프트웨어 소스 코드 내의 취약점 탐지나 위험한 컨테이너 이미지 찾기와 같은 문제를 해결하지 못합니다. 담당 팀마다 서로 다른 특정 도구(예: 소스 구성 분석 및 컨테이너 이미지 스캐너)가 필요합니다. 또한 SIEM이 수행하지 않는 작업에는 소프트웨어 환경의 구성을 감사하여 클라우드 리소스의 안전하지 않은 ID 및 액세스 관리(IAM) 설정과 같은 위험을 탐지하는 일도 포함됩니다. 이 경우에도 클라우드 보안 태세 관리 솔루션과 같은 다양한 범주의 도구가 필요합니다.
그러나 SIEM은 다른 여러 보안 도구에서 생성된 데이터를 수집하고 분석하며, 따라서 보안 위협과 위험에 대해서 중앙 집중화되고 일원화된 가시성을 제공하는 정보원으로 활용할 수 있습니다. 다시 말해서 SIEM은 나머지 사이버 보안 툴체인을 하나로 묶어주는 접착제 역할을 함으로써 효율적이고 종합적인 위험 관리를 실현합니다.
이 작업에서 SIEM은 보안 오케스트레이션, 자동화 및 대응 플랫폼, 즉 SOAR 플랫폼으로 보완할 수도 있을 것입니다. SOAR 플랫폼은 SIEM에서 사이버 위협이 탐지된 후에 기업이 대응 방안을 관리할 수 있도록 지원하는 데 탁월합니다. 몇몇 SIEM 제품도 보안 인시던트 관리 기능을 제공하지만, 이 부면에서 SOAR은 인시던트 대응 관리를 핵심으로 삼고 한 걸음 더 나아갑니다.
그렇긴 하지만 SOAR이 SIEM을 대체할 수 있다는 것은 아닙니다. 두 유형의 도구는 모두가 서로 다른 영역에서 뛰어난 역량을 발휘하죠. SIEM은 서로 다른 소스에서 대량의 데이터를 인제스트하고 이를 기반으로 위협을 탐지하는 데 이상적인 반면, SOAR의 주된 용도는 SIEM(또는 다른 소스)이 위협을 탐지한 후에 대응 프로세스를 관리하는 것입니다.
SOAR과 SIEM의 차이점에 대해 자세히 알아보세요.
SIEM 도입 증가
위에서 언급한 바와 같이 SIEM이라는 카테고리 자체는 2000년대 중반부터 존재해 왔지만, SIEM의 도입은 통합 플랫폼으로 보안 정보 관리와 관리형 탐지를 중앙 집중화하는 일이 매우 중요하다는 사실을 점점 더 많은 기업이 인식하면서 계속 증가하고 있습니다.
Gartner가 강조한 바에 따르면 이 시장은 2020년 34억 1천만 달러에서 2021년 41억 달러 규모로 성장했으며, 전년도에 3.9% 감소한 것과 대조적으로 20%나 증가한 것을 알 수 있습니다. Gartner는 다음과 같이 설명합니다.
“SIEM 시장은 빠른 속도로 성장 중이며 경쟁도 극도로 치열해져 가고 있습니다. 불과 5년 전 SIEM이 처했던 상황과 오늘날의 SIEM이 선보이는 모습은 완전히 달라지기 시작했습니다.”
이와 같은 성장은 451 Research가 보고한 바와 같이 2021년 기준으로 90%의 기업이 날마다 수신하는 보안 경고 알림을 여전히 모두 관리할 수는 없다고 응답한 사실이 일부분 계기로 작용했습니다.
또한 SIEM을 활용하는 기업도 더 새롭고 우수한 보안 솔루션을 찾고 있는 경우가 많습니다. 이러한 실정의 이유 중 하나를 꼽아 보자면 보안 데이터를 애플리케이션 성능 관련 로그와 메트릭 같은 다른 유형의 데이터와 통합하는 기능(기존 SIEM 도구에서는 설계되지 않음)이 보안 위험에 대한 컨텍스트를 최대한 확보하는 데 매우 중요해졌기 때문입니다.
또한 점점 더 많은 조직들은 OpenTelemetry와 같은 개방형 기술과 프레임워크를 수용하는 SIEM 솔루션을 활용함으로써 유연하고 확장 가능한 프레임워크의 도움으로 가급적 많은 데이터를 수집하고 분석할 수 있기를 바라고 있습니다.
SIEM 시장은 기업들이 확장성과 유연성, 사용 편의성에서 기존 솔루션보다 우수한 최신 SIEM 솔루션을 도입함에 따라 계속 확장될 것입니다.
SIEM을 최대한 활용하기 위한 모범 사례
SIEM을 배포만 해서는 기업이 위협으로부터 상당히 안전해졌다고 보장할 수 없습니다. SIEM의 가치를 최대한 끌어내기 위해선 기존 SIEM 솔루션의 기능을 뛰어넘는 최신 SIEM 플랫폼을 선택하고 이러한 기능을 최대한 활용해야 합니다.
데이터 인제스천 극대화
분석을 위해 SIEM에 인제스트하는 데이터가 늘어나면 위협을 적시에 발견하고 이해하여 격리하는 역량도 그만큼 향상됩니다. 하지만 안타깝게도 많은 기업은 제한된 수준의 데이터 인제스천에 만족하고 있습니다.
모든 유형의 데이터 소스나 형식을 지원할 수 있는 SIEM 솔루션을 선택하고 가급적 많은 데이터를 수집하고 분석하도록 구성할 수 있다면 그러한 빈틈을 메울 수 있습니다. 때로는 위협을 탐지해야 할 때, 또는 위험을 평가하는 시점에 신호와 노이즈를 구분하는 데 꼭 필요한 컨텍스트를 확보해야 할 때 단독 로그 파일이 유일한 소스일 수 있습니다. 최신 SIEM 솔루션은 비용을 최소한으로 유지하면서도 늘어나는 데이터 인제스천을 지원하는 유연한 가격 정책을 제공합니다.
스마트 경고 알림 관리
더 많은 데이터를 분석한다는 것은 SIEM에서 경고 알림을 더 많이 생성함을 의미하는데, 모든 관련 위협을 탐지할 수 있다는 건 바람직하지만 컨텍스트 정보가 결여된 경고 알림을 끝없이 관리해야 한다면 좋지 않은 현상입니다.
따라서 분석가가 우선순위에 놓아야 할 경고 알림을 자동으로 분류할 수 있는 SIEM 제품을 활용하는 것이 현명합니다. 경고 알림의 총량을 줄이기 위해 오탐을 근절할 수 있느냐도 중요하게 볼 부분입니다.
위협 컨텍스트 확보
각각의 잠재적 보안 위협에 대한 정보가 많아지면 우선순위를 정할 경고 알림과 각 경고 알림에 대응할 방법도 그만큼 더 잘 파악할 수 있습니다.
이러한 컨텍스트는 Sumo Logic 클라우드 SIEM의 패턴 및 위협 인텔리전스 매칭과 같은 SIEM 기능을 활용하여 확보할 수 있는데, 이러한 기능들은 SIEM이 탐지한 각각의 위험이나 취약점을 공격자가 실제로 악용할 가능성을 보안 분석가가 판단할 수 있도록 돕습니다. 그와 같은 기법은 SIEM이 단순한 이상 징후 탐지 도구 이상의 기능을 수행하는 데 매우 유용하며, 각 이상 징후의 잠재적 의미와 최선의 대응 방안에 대해 실행 가능한 인텔리전스를 제공합니다.
담당 팀 간의 협업
오늘날 대부분의 기업에서 보안은 보안 운영 센터(SOC)만의 책임이라 할 수 없습니다. 소프트웨어의 취약점을 수정할 수 있는 개발자, 그리고 취약한 애플리케이션을 업데이트하거나 손상된 리소스를 격리하여 위험을 완화할 수 있는 IT 팀도 참여해야 합니다. 기술 전문가가 아닌 사용자도 활용도가 큰 시스템에 영향을 미치는 위협과 관련하여 정보에 입각한 결정을 내릴 수 있도록 보안 경고 알림과 워크플로를 숙지해야 할 수 있습니다.
보안 팀과 다른 비즈니스 부서 간에 이러한 형식의 협업이 실현되려면 조직이 SIEM을 협업 촉진을 위한 공통 플랫폼이자 도구로 활용해야 합니다. 보안 데이터를 사일로에만 보관하기보다 SIEM을 활용하여 모든 이해관계자가 사용할 수 있도록 지원하여 그 목표를 달성해 보세요. 이 도구를 다른 모니터링 및 옵저버빌리티 도구와 통합하여 조직 전반에서 통합된 데이터 가시성을 확보하면 협업이 훨씬 더 원활해집니다.
결론
보안 위험과 취약점을 탐지하는 중앙 집중식 솔루션인 SIEM은 현대 비즈니스에서 보안 운영의 기반 역할을 합니다. 사이버 보안 툴체인의 한 가지 구성 요소에 불과할 수도 있지만, IT 리소스가 생성하는 데이터를 위협과 관련된 실행 가능한 인사이트로 전환하는 데 있어서 가장 중요한 요소라 할 수 있습니다.
사이버 보안 문제의 규모와 복잡성이 계속 증가함에 따라 SIEM의 역할은 더욱 중요해질 것이며, 기업들은 SIEM만이 제공할 수 있는 중앙 집중화, 협업 및 강화 기능을 통해 대응해야 합니다.
Sumo Logic 클라우드 SIEM
Sumo Logic 클라우드 SIEM은 온프레미스 및 퍼블릭 클라우드부터 하이브리드 및 멀티 클라우드 아키텍처에 이르기까지 모든 유형의 환경에 걸쳐 통합된 가시성을 제공하는 최신 SaaS 플랫폼에서 제공됩니다. Sumo Logic 클라우드 SIEM은 기본 제공되는 경고 알림 분류와 관리, 위협 헌팅 기능, 자동화된 위협 인텔리전스, 비즈니스 전반에서 보안을 공동으로 책임지도록 설계된 협업 기능으로 기업이 어떤 유형의 IT 리소스를 운영하거나 어디에 배포하든 관계없이 위협에 한발 앞서 대응할 수 있도록 지원합니다.
