차세대 SIEM: 정의와 모범 사례

보안 정보 및 이벤트 관리(SIEM) 기술은 현재 생태계 전반에 걸친 위협 관리를 위해 고군분투하고 있습니다. 기존 SIEM 솔루션은 속도가 느리고 확장성이 제한적이며 클라우드 환경에서 비효율적입니다. 또한 배포 시간이 오래 걸리고 운영 오버헤드가 높습니다. 확장되는 공격 표면, 급변하는 규정, 데이터 폭발, 증가하는 예산 압박에 대응하기에는 역부족입니다. 따라서 데이터 수집 속도가 빠르고 더 민첩하며 비용 효율적이고 확장 가능하며 배포가 용이한 차세대 SIEM 솔루션으로 초점이 이동하고 있습니다.

본 글에서는 차세대 SIEM의 정의와 구성 요소, 기능을 설명하고 기존 SIEM과의 차이점을 보여드리겠습니다. 또한 도입 시 예상되는 과제들을 살펴보고, 무엇보다도 몇 가지 모범 사례를 제시해 드리겠습니다.

차세대 SIEM이란 무엇인가?

차세대 SIEM 행동 분석 및 자동화를 활용하여 비정상적인 활동 패턴, 규정 미준수 시스템 활동, 보안 문제 및 이상 징후를 탐지하고 신속하게 대응합니다. 이는 현대적인 보안 운영 센터(SOC)의 핵심으로, 팀이 사물인터넷(IoT), 클라우드, 인공지능(AI), 분석에서 생성되는 방대한 양의 데이터를 처리할 수 있도록 합니다.

기존 SIEM의 기능은 주로 통계 분석, 로그 관리, 경고 및 보고입니다.보안 오케스트레이션, 자동화 및 대응(SOAR) 기술로 보완해야 할 때가 많습니다. 차세대 SIEM은 이러한 기능들을 기반으로 구축되며, 여기에 더해 출처에 관계없이 데이터를 수집하고 고급 행동 규칙, 워크플로 자동화, 인공지능으로 이를 강화합니다.

차세대 SIEM의 핵심 구성 요소

차세대 SIEM은 기존 SIEM과 차별화되는 독특한 구성 요소로 이루어져 있습니다.

1. 고급 분석 및 머신 러닝

기계 학습(ML) 및 분석을 통해 차세대 SIEM은 행동 프로파일링을 사용하여 비정상적인 행동을 실시간으로 탐지할 수 있습니다. ML 모델을 사용하여 각 이벤트에 점수를 부여하여 위협인지 여부를 판단합니다. 사전 정의된 임계값을 초과하는 모든 점수는 추가 조사를 위해 분석가에게 전달됩니다.

2. 위협 인텔리전스 통합

차세대 SIEM은 핵심 제공 사항의 일부로 통합된 위협 인텔리전스 플랫폼을 제공합니다. 이들은 보안 데이터를 자동으로 조회하고 취약점 스캔 및 침투 테스트를 실행하여 의심스러운 활동을 탐지합니다. 차세대 SIEM은 내부 이벤트를 타사 위협 인텔리전스 피드와 연계하여 잠재적 위협에 대한 더 포괄적인 이해를 제공합니다.

3. 사용자 및 엔터티 행동 분석(UEBA)

차세대 SIEM은 UEBA를 적용하여 사용자의 학습된 행동을 분석하고, 알려진 시그니처나 규칙에 의존하지 않는 공격을 식별합니다. UEBA는 딥 러닝, 강화 학습, 베이지안 네트워크, 지도 및 비지도 학습을 사용하여 인간의 행동 패턴을 학습합니다. 예를 들어, 마케팅 직원이 근무 시간 외에는 거의 접근하지 않는 재무 데이터베이스에서 토요일 오전 1시에 파일 다운로드를 시작하면 시스템은 이를 의심스러운 활동으로 표시하여 내부자 위협이나 자격 증명 유출 가능성을 알립니다.

4. 자동화 및 오케스트레이션

차세대 SIEM은 플레이북을 활용해 대응을 자동화하며, 각 의심스러운 보안 사건에 대해 사전 정의된 완화 및 격리 조치를 실행합니다. 일반적으로 차세대 SIEM은 영향을 받은 시스템을 격리하고 패치를 적용하며 경보를 발령하는 방식으로 탐지된 위협에 대한 대응을 자동화할 수 있습니다.

5. 확장성 및 클라우드 지원

차세대 SIEM은 퍼블릭 및 프라이빗 클라우드 플랫폼과 통합됩니다. 이를 통해 가상 머신, 컨테이너, SaaS 애플리케이션, 클라우드 네이티브 보안 도구 등의 로그와 같은 클라우드 플랫폼 활동에 대한 가시성을 확보할 수 있습니다. 차세대 SIEM은 IBM Cloud 및 Google Cloud Platform(GCP)과 같은 SaaS 애플리케이션 및 클라우드 인프라의 이벤트와 로그 데이터에 접근할 수 있도록 지원하는 사전 구축된 커넥터를 제공합니다.

기존 SIEM과 차세대 SIEM 비교

기존 SIEM의 한계점

• 기존 SIEM은 온프레미스 환경을 위해 설계되었습니다. 따라서 확장성은 온프레미스 하드웨어가 제공할 수 있는 컴퓨팅, 스토리지 및 메모리 리소스에 의해 제한됩니다. 클라우드로 이동할 경우, 기존 SIEM은 비효율적인 아키텍처로 인해 높은 클라우드 인프라 비용과 느린 성능을 보입니다.
• 기존 SIEM은 컴퓨팅 파워와 스토리지 용량이 부족하여 오늘날 생성되는 대량의 핫 데이터를 처리할 수 없습니다. 데이터는 콜드 스토리지에 저장되어 검색이 느리고 번거로워 과거에 발생한 위협을 조사하기 어렵습니다.
• 기존 SIEM은 폐쇄적인 생태계를 가지고 있어 동일 벤더의 다른 보안 플랫폼과는 잘 통합되지만, 다른 벤더의 플랫폼과는 통합되지 않습니다.

기존 SIEM 대비 차세대 SIEM의 장점

• 차세대 SIEM은 SaaS 모델로 제공되며, 클라우드의 탄력성을 활용하여 무제한 컴퓨팅 파워, 스토리지 및 메모리 리소스를 제공합니다.
• 수요에 따라 자원을 즉시 활용할 수 있으므로 대용량 데이터를 수집하고 더 오래 저장하며, 더 많은 사용자가 더 자주 접근할 수 있습니다. 이를 통해 더 많은 데이터 소스에 대한 가시성을 확보하여 보안 태세를 강화할 수 있습니다. 다양한 소스의 데이터를 수집하여 오픈 API를 통해 전송합니다.
• 차세대 SIEM은 프라이빗 클라우드, 온프레미스, 퍼블릭 클라우드에 호스팅된 보안, 네트워크, 서버, 애플리케이션, 엔드포인트 등 다양한 출처의 데이터를 상관관계 분석합니다.
• 차세대 SIEM의 아키텍처는 개방형 API를 사용하여 다양한 벤더의 솔루션과 통합할 수 있으며, 보안 포트폴리오를 변경할 때 최소한의 영향만 받습니다.

차세대 SIEM 솔루션의 핵심 기능

1. 실시간 위협 탐지 및 대응

차세대 SIEM은 행동 분석을 사용하여 익숙한 공격 시그니처, 상관관계 및 패턴을 실시간으로 탐지합니다. IDS, 바이러스 백신 및 인증 시스템과 같은 소스의 데이터를 통합하여 개별 도구로는 식별할 수 없는 보안 위협 및 사고를 신속하게 감지할 수 있습니다. 위협이 발생하면 즉시 대응하여 대응 시간을 단축할 수 있습니다.

2. 포괄적인 데이터 수집 및 정규화

차세대 SIEM을 사용하면 여러 소스에서 이벤트 로그, 네트워크 흐름 및 Syslog 데이터와 관련된 데이터를 수집하고 분석 시스템을 통해 구문 분석할 수 있습니다. 데이터를 상호 연관화하고 규정 미준수 활동, 정책 위반 또는 잠재적 위협을 감지하면 경보를 발령합니다. 또한 Apache Spark, Hadoop, Elastic과 같은 확장 가능한 NOSQL 데이터베이스를 활용하여 병렬 처리를 가능하게 하고 데이터 수집 분석을 가속화합니다. 저비용 분산 저장소 덕분에 과거 데이터를 저렴하게 저장할 수 있습니다.

3. 향상된 사건 가시성 및 조사

차세대 SIEM은 보안 이벤트에 대한 지속적인 실시간 가시성을 제공합니다. 공격 경로 시각화 기능은 공격자의 관점에서 사고하도록 도와주며, 공격자가 취약점을 악용하기 위해 취할 수 있는 경로를 이해하는 데 기여합니다.

4. 유연하고 확장 가능한 배포 옵션

비즈니스 요구사항과 기존 인프라 구성에 따라 차세대 SIEM을 위한 다양한 배포 옵션을 선택할 수 있습니다.

• 완전 관리형 SIEM(MSSP): 모든 보안 서비스를 제공하는 제3자 공급업체입니다.
• SaaS SIEM: 클라우드 전용으로 설계되어 클라우드 네이티브 인프라를 지원합니다.
• 공동 관리형 SIEM: 일부 위험 관리 업무는 SIEM 서비스 제공업체에 아웃소싱하고, 기존 IT 보안 팀이 나머지를 처리합니다.
• 하이브리드 배포: 인프라의 일부는 온프레미스에, 일부는 클라우드에 배치되는 온프레미스와 클라우드 배포를 결합한 방식입니다.

5. 규정 준수 및 보안 보고

차세대 SIEM 솔루션은 AI 기반 규정 준수 보고를 지원합니다. GDPR, SOX, HIPAA, PCI DSS 등의규정 준수를 자동으로 검증하고, 감사 보고서를 생성하며, 데이터 거버넌스와 프라이버시를 관리합니다. 과거 및 현재 데이터를 분석하여 규정 준수 유지에 도움을 줍니다. 또한 사용자 정의 가능한 규정 준수 보고 워크플로를 제공합니다.