SIEM (Security Information & Event Management)

조성열·2026년 6월 16일

SecOps

목록 보기
1/2

SIEM(Security Information & Event Management)이란

출처: https://www.linkedin.com/pulse/how-siem-security-incident-event-management-works-rana-pratap-singh-l3roc/

SIEM이란 보안 로그 및 이벤트 데이터를 수집하여 시각화, 알림, 검색, 보고 등 다양한 형태로 분석할 수 있도록 지원하는 솔루션을 의미한다. 실시간으로 위협을 탐지하고, 침해사고 대응을 관리하며, 보안 사고에 대한 포렌식 조사와 규정 준수를 할 수 있다. 정리하자면, IT 인프라에서 발생하는 보안 사고이벤트를 중앙집중적으로 관리하는 종합적인 접근 방식을 의미하고, 시스템과 네트워크 전반의 다양한 소스에서 보안 데이터를 수집하고, 이기종 로그 간의 상관관계를 분석 및 해석하여 대응하는 전 과정을 포괄한다.

SIEM 기능

앞서 정의한 내용을 보면 SIEM에는 매우 많은 기능들이 있다. 주요 기능들을 정리하면 다음과 같다.

  • 로그 수집 및 관리(Log Management)
    SIEM 시스템이 동작하는 데 있어 핵심적인 요소이다. IT 인프라 전반에 있는 다양한 구성 요소들이 발생시키는 이벤트 데이터를 수집한다. 이 데이터를 지속적으로 추출하여 중앙 집중식 저장소에 통합하여 이후 로그 검색, 분석, 탐지 등에 활용할 수 있도록 한다.

  • 정규화(Normalization)
    IT 인프라 요소들에 의해 발생하는 로그들의 데이터 포맷은 서로 다를 수 있다. 데이터 포맷이 서로 다를 경우 분석, 검색 등의 과정에서 어려움이 발생할 수 있는데, 이를 방지하기 위해 데이터를 일관된 형태로 표준화하여 관리할 수 있도록 한다.

  • 위협 탐지(Detection)
    SIEM으로 수집된 이벤트 데이터들을 대상으로 위협 행위에 대한 탐지가 가능하다. 대표적으로 Sigma Rule을 활용한 시그니처 기반 탐지가 있다. 시그니처 기반 탐지는 공격 행위에 대한 아티팩트를 정의하여 실시간으로 유입되는 데이터를 이와 비교하여 위협을 탐지하는 방식이다. 이외에도 정상적인 패턴을 정의하여 비정상적인 시스템 활동을 탐지하는 Baseline 기반 이상징후 탐지 방식도 활용할 수 있다.

  • 상관 관계 분석(Correlation Analysis)
    다양한 요소들에 의해 수집된 이벤트들의 로그를 연관시켜 분석하는 것을 상관 관계 분석이라고 한다. 이를 통해 잠재적인 보안 위협을 식별, 심각도와 영향력에 대한 기준을 세우고 우선순위 지정이 가능하다. 예를 들어 서로 다른 IP주소에서 대량의 로그인 시도가 실패하고 성공적으로 로그인한 경우, Brute Force 공격이라고 할 수 있는데, 이 경우 Network 이벤트와 어플리케이션의 로그인 이벤트에 대한 상관 관계 분석이 이루어졌다고 할 수 있다. 이를 통해 보안 사고를 정의할 수 있고 이후 대응 단계로 넘어갈 수 있다.

  • 사고 대응(Incident Response)
    SIEM 시스템은 경보 분류, 조사 및 복구를 위한 워크플로우를 제공하여 보안 사고에 대해 신속한 대응 및 피해 최소화를 지원한다. 보안 이벤트 및 로그 분석 단계에서 보안 사고가 감지되면 다음과 같은 주요 단계로 사고 대응이 이루어진다.

    1. 경보 분류
      SIEM 시스템에서 경보가 발생하면 분석가는 초기 분류를 통해 경보의 심각도와 신뢰도를 평가한다. 이를 바탕으로 추가 조사와 우선순위를 정한다.
    2. 조사
      우선순위가 정해지면 보안 사고에 대한 추가 정보를 수집한다. 로그 데이터 조회, 트래픽 분석, 시스템 구성 검토 등을 포함하여 사고의 원인을 파악한다.
    3. 복구
      피해를 최소화하고 추가적인 위험 완화를 위한 복구 조치를 수행한다. 이 단계에서 영향을 받은 시스템을 격리하거나, 악성 파일 또는 프로세스 제거, 보안 업데이트 등의 작업이 수행된다.
    4. 문서화
      사고 대응 과정 전반에 걸쳐 사고 조사 및 해결을 위해 취한 조치, 모범 사례 등 활동에 대한 문서를 작성한다. 이 문서는 향후 사고 대응에 활용되는 중요한 자료가 된다.
  • 규정 준수
    SIEM은 보안 규제 조건을 충족하고 업계 표준을 준수함을 입증할 수 있도록 지원한다. 보안 이벤트와 사고에 대한 추적, 대응뿐만 아니라 문서화하여 제공함으로써 규정 준수에 있어 중요한 역할을 한다. 이는 활용 조직에 있어 고객 자산 보호에 대한 의지와 규제 위반에 대한 위험도 줄일 수 있다.

구성 요소

앞서 설명한 기능을 수행하기 위한 SIEM의 구성 요소는 크게 데이터 수집기, 로그 저장소, 분석 엔진, UI로 나눌 수 있다.

  • 데이터 수집기 및 전처리기
    해당 인프라 내에 위치한 탐지 도구들이 발생시키는 이벤트를 종합적으로 수집하여 로그 저장소로 전달하는 역할을 한다. 로그 전달 과정에서의 데이터 유실을 방지하기 위해 버퍼링 및 큐잉(Queuing) 메커니즘을 갖추어야 하며, 데이터의 무결성과 기밀성을 보장하기 위해 mTLS와 같은 상호 인증 및 암호화 통신을 지원해야 한다. 또한, 수집된 이기종 로그를 표준 포맷으로 변환하는 Normalization 과정이 이 단계 또는 Ingest Layer에서 수행된다.
  • 로그 저장소
    수집 및 정규화가 완료된 데이터를 중앙집중식으로 저장 및 관리하는 역할을 한다. 대용량 데이터를 효율적으로 처리하기 위해 압축, 암호화, 인덱싱 기능을 제공하며, 검색 성능과 비용 최적화를 위해 데이터 계층화(Hot/Warm/Cold Storage Tiering) 아키텍처를 활용한다. 이를 통해 구조화된 형태로 데이터를 유지하여 사후 분석 및 상관관계 파악을 용이하게 한다.
  • 분석 엔진
    수집된 로그 데이터를 분석하여 보안 위협을 식별한다. 시그니처 기반 탐지, 이상징후 탐지, 상관 분석 등 다양한 기술과 알고리즘을 활용한다.
  • UI
    보안 담당자의 편의성을 위해 보안 이벤트들에 대한 대시보드, 보고서 및 시각화를 지원한다. 이를 통해 분석 및 의사 결정을 용이하게 한다.

문제

이러한 SOC(Security Operation Center) 역할을 하는 SIEM 시스템을 구현하는 과정에서 몇 가지 문제가 있다.

  1. 데이터 과부화
    다양한 소스에서 방대한 양의 데이터를 저장 및 처리하기 때문에 데이터 과부화를 초래할 수 있다.
  2. 오탐 및 미탐
    SIEM은 정상적인 활동을 보안 위협으로 잘못 판단하는 오탐을 발생시켜 보안 담당자의 피로를 가중시킬 수 있고, 정의한 패턴과 다르게 위협 행위가 발생할 경우 이를 탐지하지 못할 수 있다.
  3. 자원 제약
    SIEM을 효과적으로 운영하기 위해서는 HW, SW, 인력 등 상당한 자원이 필요로 한다. 실제로 조사 결과 기업에서 보안을 위해 가장 많은 자원을 투입하는 요소가 SIEM 운영이다.

정리

파편화 된 보안 이벤트를 중앙집중적으로 관리할 수 있는 SIEM 운영은 기업에서 필수적이다. 체계적인 SIEM 구축 및 실행 방식을 통해 보안을 강화하고 사이버 위협 영향을 완화하여 진화하는 위협에도 대응할 수 있도록 해야한다.
이번 포스트에선 SIEM의 개요와 SIEM 시스템이 갖는 문제점에 대해서도 간단히 다뤄봤다. 이후 포스트에선 SIEMAI를 어떻게 접목하여 사용하고 있는지, SIEM과 유사한 SOAR(Security Ochestration Automation Response) 등에 대한 내용을 다뤄보도록 하겠다.

profile
Blue Team

0개의 댓글