📊 SIEM이란? — 로그를 모아도 사고가 안 보이는 이유
EDR, XDR까지 공부하다 보면 이런 생각이 듭니다.
“이렇게 로그가 많은데, 왜 사고는 항상 늦게 발견될까?”
그 이유의 중심에 있는 개념이 바로 SIEM입니다.
SIEM은 단순히 로그를 모으는 시스템이 아니라,
보안 이벤트를 ‘의미 있는 사고’로 해석하는 도구입니다.
1️⃣ SIEM이란?
SIEM (Security Information and Event Management)은
조직 내에서 발생하는 모든 보안 로그를 수집·분석·상관분석하는 시스템입니다.
즉,
- 서버 로그
- 네트워크 장비 로그
- 보안 솔루션 로그
- 계정 접근 기록
을 한 곳에 모아 “이게 공격인지 아닌지” 판단합니다.
2️⃣ 왜 SIEM이 필요한가?
❌ 로그만 많은 상태
- 방화벽 로그 수천 줄
- 서버 로그인 기록 수만 건
- EDR 이벤트 수백 개
👉 사람이 직접 보기엔 너무 많음
✅ SIEM의 역할
- 로그를 표준화해서 수집
- 서로 다른 로그를 연결(상관분석)
- 공격 패턴으로 판단되면 알림(Alert) 생성
3️⃣ SIEM의 핵심 기능
📥 로그 수집 (Collection)
- 서버, DB, 방화벽, EDR, 클라우드 로그 등 통합 수집
🔄 정규화 (Normalization)
- 서로 다른 포맷의 로그를 공통 형식으로 변환
🔗 상관 분석 (Correlation)
- 단일 이벤트가 아닌 연속된 행위를 공격으로 인식
- 예:
- 로그인 실패 반복 →
- 성공 →
- 관리자 권한 상승 →
- 대량 데이터 접근
🚨 경고 및 시각화
- 대시보드, 알림, 리포트 제공
4️⃣ SIEM이 탐지하는 대표 공격 예시
- 계정 탈취 (Brute force, Credential stuffing)
- 내부자 위협
- 랜섬웨어 초기 행위
- 비정상 시간대 관리자 로그인
- 데이터 유출 징후
5️⃣ SIEM vs EDR / XDR 차이
| 구분 | EDR/XDR | SIEM |
|---|---|---|
| 초점 | 공격 탐지·대응 | 로그 분석·상관관계 |
| 범위 | 보안 이벤트 중심 | 전체 IT 로그 |
| 분석 | 실시간 행위 | 패턴·이력 분석 |
| 활용 | 즉각 대응 | 사고 판단 및 추적 |
👉 EDR/XDR은 감각,
👉 SIEM은 두뇌에 가깝습니다.
6️⃣ SIEM의 한계와 현실
❌ 로그가 너무 많으면 오탐 증가
❌ 룰 설계가 없으면 “로그 저장소”에 불과
❌ 운영 인력(SOC) 없으면 효과 반감
그래서 SIEM은 혼자 쓰기보다 SOC와 함께 운영됩니다.
7️⃣ SIEM + SOC 구조
- SIEM: 로그 수집·분석·알림
- SOC(Security Operation Center):
- 알림 분석
- 실제 공격 여부 판단
- 사고 대응(IR) 진행
👉 SIEM은 도구,
👉 SOC는 사람과 프로세스입니다.
🧠 정리
- SIEM은 “로그를 모으는 시스템”이 아니다
- 로그를 연결해 공격을 이해하는 시스템이다
- EDR/XDR + SIEM + SOC가 함께 있어야
실제 보안 대응이 가능하다
열심히 살기