SIEM 구현: 계획 수립 및 모범 사례

사이버 보안 관리자로서 오류 로그를 분석하는 것은 번거로운 작업일 수 있습니다. 우선, 수백 건에 달하는 항목을 일일이 검토해야 할 뿐만 아니라 다양한 시스템, 서버, 운영체제 등에서 이 과정을 여러 번 반복해야 합니다. 게다가 각 시스템마다 고유한 방식으로 로그를 작성할 수 있으므로 분석가는 수많은 형식 스타일을 기억해야 합니다. 이 모든 과정을 마친 후에는 새로 해독된 데이터에서 패턴을 찾아야 합니다. 예를 들어, 여러 번의 로그인 실패 시도, 비정상적인 접속 시간, 또는 이상한 위치에서의 접속 등이 있습니다.

이는 때로 번거롭고 매우 시간이 많이 소요될 수 있습니다. 바로 이 때문에 SIEM은 모든 조직의 보안 무기고에서 귀중한 도구입니다. 다양한 출처에서 정보를 수집하여 데이터를 쉽게 처리할 수 있게 해줍니다. 실시간 모니터링의 이점을 누릴 수 있으며, 이상한 보안 사고에 대한 경고를 받을 수 있습니다. 번거로움 없이 즉시 비정상적인 사건을 지적할 수 있습니다.

오늘은 SIEM 솔루션의 배포에 대해 이야기해 보겠습니다. 다음과 같은 질문에 답해 보겠습니다: SIEM이란 무엇인가요? 왜 유용한가요? 그리고 조직 내에서 단계별로 어떻게 구현할 수 있나요? 시작해 보겠습니다.

SIEM이란 무엇이며 어떻게 작동하나요?

SIEM 솔루션은 네트워크 전반의 보안 시스템에서 수집된 서로 다른 로그를 통합 분석하여 시의적절한 보안 경보를 제공하는 강력한 보안 도구입니다. 이를 활용하지 않으면 보안 관리자가 각 시스템을 개별적으로 탐색하고 형식을 파악하며 오류 단서를 찾아 데이터를 샅샅이 뒤져야 하므로 로그 분석이 지루하고 힘든 작업이 될 것입니다. SIEM은 또한 조직 인프라 내 다양한 출처의 보안 관련 데이터를 분석합니다.

적합한 SIEM 솔루션 선택하기

SIEM 솔루션 선택은 주관적이지만 매우 중요하며 모든 기업이 결정해야 합니다. SentinelOne과 같은 선도적인 공급업체는 업계 최고의 옵션을 제공합니다. 중요한 것은 귀사의 고유한 요구 사항에 부합하는 솔루션을 찾는 것입니다. SIEM 솔루션은 기능 세트가 매우 다양하기 때문에, 귀사의 환경과 보안 우선 순위를 평가하는 것이 좋은 출발점입니다.

SIEM 보고서 생성은 시간이 다소 걸리므로, 사고 대응 및 탐지 시간에 부정적인 영향을 미칠 수 있습니다. 따라서 선택한 SIEM 솔루션이 기본적으로 실시간 보고서를 생성하여 전반적인 보안 태세를 개선할 수 있도록 하면서 자동화에 주력해야 합니다.

조직이 성장함에 따라 특히 SIEM 도구의 확장성을 고려해야 합니다. 네트워크에서 생성되는 데이터의 양은 계속해서 증가하고 있으므로, 새로운 데이터 소스의 추가와 변화하는 요구 사항을 수용할 수 있는 솔루션의 확장성이 가장 중요할 것입니다. 장치 또는 데이터 소스를 기반으로 한 라이선싱을 통해 솔루션의 확장성을 투명하게 파악하는 것이 향후 요구 사항을 수용할 수 있는 여지를 확보하는 데 중요합니다.

장기적인 이벤트 저장 및 규정 준수도 필수적입니다. 로그와 보안 이벤트 데이터는 빠르게 유입되므로, 충분하면서도 사용자 정의 가능한 저장 기능을 갖춘 SIEM을 선택하는 것이 중요합니다. 이는 규정 준수에 크게 기여하며, 관련 정보만 저장소에 보관되도록 보장합니다.

마지막으로, 사용자의 요구 사항을 충족하기 위해 솔루션을 쉽게 배포하고 구현할 수 있는지도 중요합니다. SIEM 솔루션의 배포 프로세스는 종종 여러 부서가 가장 많이 의존하는 프로세스 중 하나입니다. 보다 포괄적인 문서, 사용자 가이드, 그리고 복잡하지 않은 설정을 제공할 수 있는 공급업체를 선택하면 선택한 SIEM 솔루션의 배포 및 구성 전체 프로세스를 크게 가속화할 수 있습니다. 이는 귀사의 팀이 조직을 더 잘 보호할 수 있도록 도구를 최대한 활용하여 가동할 수 있음을 의미합니다.

새로운 SIEM 솔루션을 위한 조직 준비

새로운 SIEM 솔루션 구현에는 신중한 계획과 실행, 그리고 조직의 특수한 보안 및 규정 준수 요구 사항에 대한 철저한 이해가 필요합니다. 이 여정의 첫 번째 단계는 보안 목표를 정의하는 것입니다. 예를 들어, 위협 탐지 능력 향상, 네트워크 전반의 가시성 강화, GDPR, HIPAA 또는 PCI-DSS와 같은 규제 준수 기준 충족을 위해 새로운 SIEM 솔루션을 도입하는 것입니까?

명확히 정의된 목표는 전체 도입 프로세스의 기반이 됩니다. 취하는 모든 조치는 조직의 보안 전반 전략 방향으로 나아가야 합니다.

구현 과정에 들어가기 전에 현재 조직의 보안 상태를 분석하는 것이 절대적으로 중요합니다. 여기에는 잠재적 데이터의 모든 출처 식별, 필요한 통합 유형 파악, 그리고 SIEM 솔루션을 환경에 적용하기 위해 필요한 맞춤화 수준을 확인하는 작업이 포함됩니다. 현실적인 일정과 핵심 마일스톤을 포함한 프로젝트 범위를 수립하면 기대치와 자원을 효과적으로 관리하는 데 도움이 됩니다. 무엇보다도, 솔루션을 성공적으로 구현하고 적용하기 위한 핵심 요소로서 직원들을 대상으로 SIEM 관리, 사고 처리 프로토콜, 보고 및 문제 해결과 관련된 완전한 교육 프로그램을 마련해야 합니다.

도입 시 단계적 구현 또는 롤아웃 방식을 선택할 수 있습니다.

SIEM 설치 및 구성

SIEM 솔루션을 설치하기 위한 첫 번째 단계는 회사 웹사이트에서 소프트웨어를 다운로드하는 것입니다. 그런 다음 SIEM을 설치해야 합니다. 일부 공급업체는 SIEM 소프트웨어가 사전 설치된 전용 하드웨어를 제공하기도 하지만, 해당 공급업체가 그렇지 않은 경우 설치하는 하드웨어가 전체 네트워크를 지속적으로 모니터링할 수 있는 컴퓨팅 성능을 갖추고 있는지 확인하는 것이 중요합니다.

다만 클라우드 기반 솔루션을 선택한 경우, 클라우드 공급자 플랫폼(AWS, Azure, GCP 등)에 새 인스턴스만 설정하면 됩니다. 구체적인 구성 단계는 SIEM 솔루션 공급자에게 문의하십시오.

데이터 소스 통합

설치가 완료되면 사전에 결정한 데이터 소스를 SIEM에 통합하기 시작해야 합니다. 일반적인 데이터 소스에는 네트워크 장치(예: 라우터), 애플리케이션 서버 및 사용자 장치, IPS 및 IDS 시스템, 클라우드 리소스 사용량 및 보안 이벤트에 대한 통찰력을 제공하는 클라우드 플랫폼 등이 포함됩니다. 네트워크의 특정 부분을 모니터링하기 위해 가능한 한 많은 데이터 소스를 포함하거나 소수의 소스만 포함할 수 있습니다. 많은 조직은 애플리케이션 및/또는 클라우드 서비스를 위해 전용 SIEM 시스템을 보유하고 있습니다.

이러한 데이터 소스를 구성하여 로그를 생성하고 SIEM으로 전송해야 합니다. 다양한 운영 체제는 이벤트를 검색하는 데 사용할 수 있는 여러 로깅 프로토콜을 제공합니다. Windows 이벤트 로그와 Syslog는 네트워크를 통해 로그를 전송하는 데 일반적으로 사용되는 프로토콜입니다. 많은 장치와 애플리케이션은 Syslog를 통해 SIEM으로 로그를 전달하도록 구성할 수 있습니다. 그러나 엔드포인트에 에이전트를 설치하여 로그 데이터를 SIEM으로 자동 전송하거나, 서버나 애플리케이션의 특정 로그 파일을 실시간으로 모니터링하도록 SIEM을 구성할 수도 있습니다.

클라우드 서비스를 모니터링하는 경우 기존 로깅 기능이 제공되지 않을 수 있습니다. 클라우드 네이티브 로깅 서비스를 사용해야 할 수도 있습니다. 하지만 대부분의 클라우드 로깅 서비스는 상세한 로그 항목을 생성하며, 이를 SIEM으로 전송할 수 있습니다.

SIEM 맞춤 설정 및 세부 조정

SIEM을 가동한 후에는 원하는 대로 작동하도록 구성해야 합니다.

이를 위한 첫 번째 단계는 일반적으로 정상적인 네트워크 활동의 양상을 정의하는 것입니다. 이는 갭 분석 과정에서 발견한 기존 공격 벡터에 대한 과거 데이터를 활용하는 것이 가장 효과적입니다. 이 데이터를 통해 정상적인 활동 수준과 네트워크 트래픽의 양상을 파악할 수 있습니다. 그런 다음 상관관계 규칙을 설정할 수 있습니다. 상관관계 규칙은 특정 쌍 또는 일련의 이벤트가 특정 순서로 발생하면 알림을 발생시켜야 한다고 SIEM에 지시합니다.

루미니스(Luminis)의 블로그 이 점을 잘 보여주는 사례를 제시했습니다. 그들에 따르면, 상관관계 규칙을 설정하여 “동일 IP에서 15분 이내에 동일한 시스템에 서로 다른 사용자명으로 5회 로그인 실패 시 관리자 경고("x"), [그리고] 해당 이벤트 이후 동일 IP에서 네트워크 내 임의 시스템에 성공적 로그인 발생 시("y")”

물론 이는 단순한 인적 오류일 수 있습니다. 그러나 시스템에 무차별 대입 공격을 시도하는 공격자일 수도 있습니다.

팀의 특정 워크플로우에 맞게 경보 메커니즘을 맞춤 설정할 수도 있습니다. 이메일 알림, SMS 알림 등을 설정하는 것을 고려해 볼 수 있습니다.

SIEM 구현의 과제와 모범 사례

#1. 복잡성

SIEM 구현의 가장 큰 과제는 그 복잡성일 수 있습니다. 보시다시피 쉬운 과정이 아닙니다!

사이버 보안 기술자가 아닌 경우, 상관 규칙을 설정하고 통합할 데이터 소스를 결정하며 팀의 요구에 맞게 경보를 맞춤 설정할 수 있도록 네트워크를 평가할 수 있는 숙련된 팀에 투자하는 것이 중요합니다. 그렇지 않으면 위협을 놓치거나 오탐이 발생하여 회사에 영향을 미칠 수 있습니다.

#2. 확장성

확장성은 조직이 대비해야 할 또 다른 잠재적 과제입니다. 조직이 성장함에 따라 네트워크를 통해 전송되는 트래픽의 증가량을 처리할 수 있는 SIEM 솔루션이 필요합니다. 이를 수행하지 못하면 위협을 놓치거나 성능 문제가 발생할 수 있습니다.

조직은 확장성을 고려하여 SIEM을 선택하고 자신에게 적합한 배포 모드를 선택해야 합니다.

#3. 숨겨진 비용

많은 SIEM 솔루션은 연간 구독료와 별도로 숨겨진 비용이 발생할 수 있습니다. 특히 네트워크 사용량과 데이터 용량과 관련된 공급업체의 서비스 약관을 철저히 이해해야 합니다.

적합한 SIEM 선택의 중요성

조직에 적합한 SIEM 솔루션을 선택하는 것은 길고 어려운 과정일 수 있습니다. 인프라를 정확히 평가하고, 조직에 맞는 서비스를 선택한 후 효과적으로 작동하도록 올바르게 설정해야 합니다. 하지만 이 과정이 항상 어렵지만은 않습니다. SentinelOne와 같은 솔루션은 유연한 패키지와 최상의 지원으로 적합한 솔루션 선택을 쉽게 만들어 줍니다.