최근 참석한 Elastic의 2025 Future of Elastic Security 컨퍼런스에서 SIEM(Security Information and Event Management)이란 개념에 대해 접하게 되었습니다.
SIEM이란 ‘보안 정보 및 이벤트를 관리’하는 시스템을 일컫는 용어인데요. 시스템 보안은 너무나 중요하고, DevOps 엔지니어로서 보안에도 관심이 있기 때문에 SIEM이란 컨셉에 대해 조사하게 되었습니다.
이번 아티클에서 SIEM에 대해 조사한 내용을 이해하기 쉽게 풀어서 공유해드리니, 시스템 보안에 관심이 있으시다면 읽어주세요.
SIEM(Security Information and Event Management, 보안 정보 및 이벤트 관리)은 보안과 관련된 로그와 이벤트를 관리하고 모니터링, 분석하는 시스템을 일컫습니다.
로그 관리 시스템이라고 하면 우리가 ELK 스택이나 Grafana로 익숙하죠. 하지만 SIEM에서는 조직 내에서 사용하는 애플리케이션, 장치, 서버 등에서 발생하는 보안 관련 로그와 이벤트를 수집하고 보안 위협과의 상관성을 분석한다는 점에서 로그 관리 시스템과 차이가 있습니다.
사실 SIEM은 이미 오래 전부터 존재했었다고 합니다. 첫 SIEM 솔루션이 2000년대 초반에 등장했다고 하니, 20년 이상은 된 개념이죠.
초기 SIEM은 조직 내 보안 관련 경고를 한 곳에 모아주는 역할만 수행했다고 합니다. 여전히 보안 팀은 이 정보들이 보안 위협과 어떤 상관성이 있는지 직접 분석해야 했죠.
시간이 지나면서 보안 위협은 더욱 정교해졌고, SIEM 솔루션도 그에 맞춰 진화했습니다. 실시간 모니터링부터 고급 분석, 머신러닝을 활용한 자동화까지 갖추면서, 조직이 보안 이상 현상을 감지하고 위협에 대응하는 시간을 대폭 줄여준 것입니다.
그렇다면 조직이 SIEM을 도입하는 이유는 무엇일까요? SIEM이 필요한 이유 4가지를 정리했습니다.
SIEM이 필요한 이유
(출처: https://securio.hashnode.dev/introduction-to-siem-a-tryhackme-writeups)
1. 조직 전체의 보안 관련 정보를 손쉽게 파악 가능
오늘날 클라우드와 모바일 환경에서 업무를 수행하는 사람들이 많아지면서, 조직 시스템에 침투할 수 있는 경로도 많아졌습니다. 이런 상황에서 보안 팀은 가능한 모든 침입 경로를 체크해야 하지만, 이를 수동으로 수행하기란 불가능에 가깝습니다.
이때 SIEM이 있다면 조직 차원의 모든 보안 관련 데이터와 이벤트를 한 곳에 모아주기 때문에, 보안 관련 정보를 파악하기 용이해집니다. 보안 정보의 가시성이 높아지는 것이죠.
2. 보안 위협을 효과적으로 감지 가능
조직으로 향하는 보안 위협은 조직 내에서 사용하는 애플리케이션부터 디바이스까지 다양한 경로를 악용하기 때문에 감지하기 쉽지 않습니다.
SIEM은 조직 차원으로 수집한 보안 관련 데이터가 보안 위협과 어떤 상관성이 있는지까지 파악 가능합니다. 그래서 보안 팀이 다양한 경로에서 들어오는 위협을 빠르게 인지하고 대응할 수 있습니다.
3. 보안 조사를 한 곳에서 수행 가능
보안 팀이 보안 사고에 신속하게 대응하기 위해서는 효율적인 협업과 포괄적인 조사가 병행되어야 합니다.
SIEM을 활용하면 협업과 조사를 하나의 플랫폼에서 효율적으로 진행할 수 있는데요. 게다가 많은 SIEM 솔루션이 미리 규정된 룰에 부합하는 보안 이상 현상을 빠르게 감지하고 알려주는 자동화 기능도 제공하고 있습니다.
4. 보안 관련 규정 준수에 용이함
SIEM은 실시간 감사(Audit)와 관련 보고서 생성 기능도 제공합니다. 조직이 보안 관련 규정을 준수할 수 있도록 도와주는 것인데요.
규정 미준수로 인해 조직이 제재를 받거나, 조직의 대외 이미지가 악화되는 위험을 줄여주게 됩니다.
지금까지 조직에서 SIEM을 구축하는 이유에 대해 알아봤습니다. 그렇다면 SIEM은 기능 측면에서 어떻게 조직의 보안 관련 활동을 도와주는 걸까요? 그래서 SIEM의 주요 기능 4가지를 알아봤습니다.
SIEM의 주요 기능 4가지
1. 로그 관리
SIEM은 온프레미스와 클라우드 환경을 포함한 조직 IT 인프라에 대해 다양한 출처로부터 이벤트 데이터를 수집합니다.
직원들이 업무에 사용하는 디바이스부터 애플리케이션, 네트워크처럼 하드웨어와 소프트웨어를 가리지 않고 보안과 관련된 데이터라면 모두 실시간으로 수집하죠.
2. 이벤트 상관성 분석
복잡한 데이터 패턴을 자동으로 식별하고 파악하는 보안 이벤트 상관성 분석은 SIEM의 핵심 기능인데요. 비즈니스와 관련된 보안에 대한 잠재 위협을 신속하게 찾아내고 대응할 수 있는 인사이트도 제공할 수 있기 때문입니다.
3. 보안 모니터링 및 경고
SIEM은 보안 관련 데이터를 단일 중앙 대시보드에서 시각화하기 때문에, 보안 팀이 모니터링과 경고 분류, 위협 식별, 사고 대응을 한 곳에서 수행 가능합니다.
대부분의 SIEM 솔루션에서는 미리 정의한 상관성 규칙을 활용하여 자동으로 보안 경고를 보내는 기능도 제공하고 있습니다.
4. 보안 관련 규정 준수 및 보고
SIEM이 제공하는 데이터 수집 및 분석 자동화 기능을 통해 조직 인프라 전반에 걸쳐 규정 준수 데이터를 수집하고 검증할 수 있습니다.
또한 데이터 분석이나 보안 규정과 관련된 보고서도 자동으로 생성해주기 때문에, 관련 규정을 준수하는 데 SIEM의 도움을 받을 수 있습니다.
이렇게 SIEM은 보안 위협 대비와 보안 운영에 중요한 기능들을 제공하고 있는데요. 이제 막 SIEM을 도입하려는 기업은 어떻게 SIEM을 구축해야 할까요? SIEM을 잘 구축하기 위한 방법을 조사해서 3단계로 정리해봤습니다.
SIEM을 잘 구축하려면 어떻게 해야 할까?
1. 조직에게 필요한 요구사항 정의하기
SIEM을 도입하기 전에 무엇보다 먼저 해야 할 일은 SIEM으로 달성하고 싶은 것이 무엇인지 명확히 정의하는 것입니다.
규정 준수 보고서 생성이나 위협 감지, 보안 사고 대응처럼 조직에게 최우선으로 필요한 사항을 먼저 파악한 다음 SIEM을 도입해나가면 도입을 시작한 이후에도 방향을 잃지 않고 효율적으로 SIEM을 구축하고 운영해나갈 수 있을 것입니다.
2. 조직에 맞는 SIEM 솔루션 찾아보기
다음으로, 현재 다양한 SIEM 솔루션이 있기 때문에 조직에 맞는 솔루션을 찾아야 합니다. 아래 3가지 기준을 토대로 SIEM 솔루션을 선정할 수 있을 텐데요.
- 확장성
- 예산
- 조직에서 이미 사용 중인 기존 도구와의 호환성
특히 예산에 민감한 팀이나 조직이라면, 오픈소스 SIEM 솔루션인 Wazuh를 고려해보는 것도 좋은 선택입니다.
(오픈소스 SIEM 솔루션 Wazuh의 대시보드. 출처: https://wazuh.com/)
3. 어떤 소스의 데이터를 수집할지 파악하기
SIEM 솔루션을 선정했다면, 앞으로 모니터링하고 분석할 데이터의 출처(소스)를 정의하고, 그에 필요한 접근 권한을 설정하는 것이 중요합니다.
SIEM 구축 초반에는 데이터 소스를 폭넓게 가져갔다가, 보안과 직결되지 않은 소스는 점차 제외시키는 방식으로 차근차근 조정해나가는 것이 좋습니다.
SIEM의 미래
오늘날 데이터는 끊임없이 증가하고 있기 때문에 보안 팀 인력이 SIEM 플랫폼에서 모든 보안 의심 사례나 로그, 이벤트를 직접 분석하는 게 점점 어려워지고 있습니다.
그래서 많은 SIEM 솔루션이 AI를 활용한 자동 분석 기능을 함께 제공하고 있는데요. 보안 사고로 발생할 수 있는 예상 피해 손실과 보안 관리 비용을 고려해보면, SIEM의 AI 도입은 자연스러운 흐름으로 보입니다.
마무리
이번 아티클을 읽으시고 SIEM이란 컨셉에 대해 이해가 되셨을 것 같은데요. 혹시 SIEM이나 다른 보안 기술에 대해 더 궁금하시다면 피드백 보내주세요.
그럼 다음 아티클에서 더 흥미로운 주제로 찾아오겠습니다. 감사합니다.