
출처: https://www.linkedin.com/pulse/how-siem-security-incident-event-management-works-rana-pratap-singh-l3roc/
SIEM이란 보안 로그 및 이벤트 데이터를 수집하여 시각화, 알림, 검색, 보고 등 다양한 형태로 분석할 수 있도록 지원하는 솔루션을 의미한다. 실시간으로 위협을 탐지하고, 침해사고 대응을 관리하며, 보안 사고에 대한 포렌식 조사와 규정 준수를 할 수 있다. 정리하자면, IT 인프라에서 발생하는 보안 사고와 이벤트를 중앙집중적으로 관리하는 종합적인 접근 방식을 의미하고, 시스템과 네트워크 전반의 다양한 소스에서 보안 데이터를 수집하고, 이기종 로그 간의 상관관계를 분석 및 해석하여 대응하는 전 과정을 포괄한다.
앞서 정의한 내용을 보면 SIEM에는 매우 많은 기능들이 있다. 주요 기능들을 정리하면 다음과 같다.
로그 수집 및 관리(Log Management)
SIEM 시스템이 동작하는 데 있어 핵심적인 요소이다. IT 인프라 전반에 있는 다양한 구성 요소들이 발생시키는 이벤트 데이터를 수집한다. 이 데이터를 지속적으로 추출하여 중앙 집중식 저장소에 통합하여 이후 로그 검색, 분석, 탐지 등에 활용할 수 있도록 한다.
정규화(Normalization)
IT 인프라 요소들에 의해 발생하는 로그들의 데이터 포맷은 서로 다를 수 있다. 데이터 포맷이 서로 다를 경우 분석, 검색 등의 과정에서 어려움이 발생할 수 있는데, 이를 방지하기 위해 데이터를 일관된 형태로 표준화하여 관리할 수 있도록 한다.
위협 탐지(Detection)
SIEM으로 수집된 이벤트 데이터들을 대상으로 위협 행위에 대한 탐지가 가능하다. 대표적으로 Sigma Rule을 활용한 시그니처 기반 탐지가 있다. 시그니처 기반 탐지는 공격 행위에 대한 아티팩트를 정의하여 실시간으로 유입되는 데이터를 이와 비교하여 위협을 탐지하는 방식이다. 이외에도 정상적인 패턴을 정의하여 비정상적인 시스템 활동을 탐지하는 Baseline 기반 이상징후 탐지 방식도 활용할 수 있다.
상관 관계 분석(Correlation Analysis)
다양한 요소들에 의해 수집된 이벤트들의 로그를 연관시켜 분석하는 것을 상관 관계 분석이라고 한다. 이를 통해 잠재적인 보안 위협을 식별, 심각도와 영향력에 대한 기준을 세우고 우선순위 지정이 가능하다. 예를 들어 서로 다른 IP주소에서 대량의 로그인 시도가 실패하고 성공적으로 로그인한 경우, Brute Force 공격이라고 할 수 있는데, 이 경우 Network 이벤트와 어플리케이션의 로그인 이벤트에 대한 상관 관계 분석이 이루어졌다고 할 수 있다. 이를 통해 보안 사고를 정의할 수 있고 이후 대응 단계로 넘어갈 수 있다.
사고 대응(Incident Response)
SIEM 시스템은 경보 분류, 조사 및 복구를 위한 워크플로우를 제공하여 보안 사고에 대해 신속한 대응 및 피해 최소화를 지원한다. 보안 이벤트 및 로그 분석 단계에서 보안 사고가 감지되면 다음과 같은 주요 단계로 사고 대응이 이루어진다.
규정 준수
SIEM은 보안 규제 조건을 충족하고 업계 표준을 준수함을 입증할 수 있도록 지원한다. 보안 이벤트와 사고에 대한 추적, 대응뿐만 아니라 문서화하여 제공함으로써 규정 준수에 있어 중요한 역할을 한다. 이는 활용 조직에 있어 고객 자산 보호에 대한 의지와 규제 위반에 대한 위험도 줄일 수 있다.
앞서 설명한 기능을 수행하기 위한 SIEM의 구성 요소는 크게 데이터 수집기, 로그 저장소, 분석 엔진, UI로 나눌 수 있다.
이러한 SOC(Security Operation Center) 역할을 하는 SIEM 시스템을 구현하는 과정에서 몇 가지 문제가 있다.
파편화 된 보안 이벤트를 중앙집중적으로 관리할 수 있는 SIEM 운영은 기업에서 필수적이다. 체계적인 SIEM 구축 및 실행 방식을 통해 보안을 강화하고 사이버 위협 영향을 완화하여 진화하는 위협에도 대응할 수 있도록 해야한다.
이번 포스트에선 SIEM의 개요와 SIEM 시스템이 갖는 문제점에 대해서도 간단히 다뤄봤다. 이후 포스트에선 SIEM에 AI를 어떻게 접목하여 사용하고 있는지, SIEM과 유사한 SOAR(Security Ochestration Automation Response) 등에 대한 내용을 다뤄보도록 하겠다.