SIEM(Security Information and Event Management) 이란 무엇인가?

SIEM(Security Information and Event Management) 이란?

SIEM(Security Information and Event Management)은 조직이 비즈니스에 문제를 일으키기 전에 미리 위협을 탐지하도록 도와주는 보안 솔루션입니다. 이는 SIM(Security Information Management)과 SEM(Security Event Management)의 기능을 하나의 보안 관리 시스템으로 통합한 솔루션으로, 여러 원본에서 이벤트 로그 데이터를 수집하고 실시간 분석을 바탕으로 정상 범위를 벗어나는 활동을 식별하여 적절한 조치를 취합니다.

SIEM의 정의

• 정의: SIEM은 조직의 IT 인프라 전반에서 발생하는 보안 관련 이벤트를 모니터링하고 분석하여, 보안 위협과 취약점을 식별하고 대응하기 위한 보안 솔루션입니다.

SIEM의 주요 기능

• 데이터 수집 및 통합: SIEM은 조직의 전체 IT 인프라에서 발생하는 이벤트 데이터를 수집합니다. 이는 온프레미스 시스템과 클라우드 환경을 포함한 다양한 소스에서의 데이터를 말합니다. 수집된 데이터는 통합되어 보안 위협을 식별하는 데 사용됩니다.
• 실시간 모니터링 및 분석: 수집된 데이터는 실시간으로 모니터링되고 분석됩니다. 이 과정에서 비정상적인 행동이나 알려진 위협 패턴을 식별하여 즉각적인 경고를 생성합니다. 이를 통해 조직은 보안 위협에 대해 신속하게 대응할 수 있습니다.
• 로그 관리 및 규정 준수: SIEM은 보안 로그를 관리하고 기록하는 기능을 제공합니다. 이는 규정 준수 보고 및 감사 목적에 필수적입니다. 조직은 SIEM을 통해 금융, 의료 등 특정 산업의 규정 준수 요구사항을 충족할 수 있습니다.
• 위협 탐지 및 사고 대응 자동화: AI와 머신러닝을 활용하여 위협 탐지 및 사고 대응 프로세스를 자동화합니다. 이는 수동 프로세스에 비해 효율성을 크게 향상시키며, 보안 팀이 보안 사고에 더 신속하고 효과적으로 대응할 수 있도록 돕습니다.

SIEM의 장단점

• 장점:
  • 통합 보안 관리: 다양한 보안 도구와 시스템의 데이터를 통합하여 관리할 수 있습니다.
  • 실시간 모니터링 및 분석: 실시간으로 보안 이벤트를 모니터링하고 분석하여 즉각적인 대응이 가능합니다.
  • 규정 준수: 로그 관리 기능을 통해 다양한 규정 준수 요구사항을 충족할 수 있습니다.
• 단점:
  • 고비용: 구축 및 유지 관리 비용이 높을 수 있습니다.
  • 복잡성: 다양한 기능과 대량의 데이터를 관리해야 하므로 운영이 복잡할 수 있습니다.

SIEM의 기능은 조직의 보안 위협을 식별하고 대응하는 데 있어 핵심적인 역할을 합니다. 데이터 수집에서부터 실시간 모니터링, 로그 관리, 위협 탐지 및 사고 대응 자동화에 이르기까지, SIEM은 보안 운영의 효율성을 극대화하고 보안 위협에 대한 신속한 대응을 가능하게 합니다. 따라서, 조직의 보안 전략에 SIEM을 효과적으로 통합하는 것이 중요합니다. 🛡️🔍

SIEM 사용사례

1. 보안 위협 탐지: 네트워크 내에서 비정상적인 트래픽 패턴이나 알려진 공격 시그니처를 식별하여 보안 위협을 탐지합니다.
2. 규정 준수 보고: 금융, 의료 등 특정 산업의 규정 준수 요구사항을 충족하기 위해 필요한 보안 로그를 관리하고 보고합니다.
3. 사고 대응: 보안 사고가 발생했을 때, 사고의 원인을 분석하고 대응 조치를 취하는 데 필요한 정보를 제공합니다.

SIEM은 조직의 보안 운영 센터(SOC)에서 필수적인 요소로 자리 잡고 있으며, 보안 위협에 대한 실시간 모니터링과 대응을 가능하게 합니다. 그러나, SIEM 솔루션을 효과적으로 운영하기 위해서는 전문 지식이 필요하며, 시스템 구축과 유지 관리에 상당한 비용이 들 수 있습니다. 따라서, 조직의 규모와 보안 요구사항을 고려하여 SIEM 솔루션을 선택하고 구현하는 것이 중요합니다.

대표적인 제조사 및 시장 현황

반응형

국내 제조사

• Logpresso: 클라우드 보안 모니터링 서비스인 'Logpresso Cloud'를 출시한 클라우드 SIEM 회사입니다. 
• Brains Company: 차세대 통합 보안 관리 솔루션 'Zenius SIEM v2.0'에 대해 국내 CC(Common Criteria) 인증 EAL(Evaluation Assurance Level) 2를 획득했습니다. 
• SPiDER TM : 이글루 코퍼레이션의 통합 보안 관리 솔루션으로, 보안 관리의 민첩성과 효율성을 제공하며, 탐지, 로그, 네트워크 패킷 분석을 통합하여 인프라 전반에 걸쳐 가시성을 보장합니다. 스파이더 티엠 온 클라우드(SPiDER TM on Cloud)'는 서비스형 소프트웨어(SaaS) 방식 통합보안관제(SIEM) 솔루션입니다.

해외 제조사

• Elastic: SIEM 제공 업체 중 5번째로 큰 시장 점유율을 달성했습니다. GARTNER와 Magic Quadrant에 기반을 둔 미국 회사입니다. 
• Sumo Logic: 클라우드 네이티브 SIEM을 제공하는 회사로, 첫 번째 또는 대체 SIEM, 클라우드 호스팅 SIEM 및 보안 분석을 고객에게 제공합니다. 
• Stellar Cyber: NG-SIEM, SOAR, 네트워크 탐지, 침입 탐지, 악성 코드 분석, 인텔 위협을 단일 라이선스로 제공하는 오픈 XDR 제품을 가진 회사입니다. 
• Splunk Enterprise Security : 업계를 선도하는 SIEM 솔루션으로, 포괄적인 가시성, 정확한 탐지 및 맥락 제공, 운영 효율성을 제공합니다. 또한, 어떤 출처에서든 데이터를 쉽게 수집, 정규화, 분석할 수 있는 보조 AI 기능을 제공하며, 위험 기반 경고를 통해 거짓 긍정을 줄일 수 있습니다. Splunk는 빅데이터 솔루션을 구축하고 컨설팅 서비스를 제공하는 데 특화되어 있으며, SIEM 분야에서도 중요한 역할을 하고 있습니다

 

가트너 SIEM 분야 MQ(2022년도)

 

글로벌 마켓쉐어 (2022년도)

 

국내외에서 활동하는 이 대표적인 SIEM 제조사들은 각각의 독특한 기능과 서비스를 제공하며, 조직의 보안 위협 관리에 중요한 역할을 하고 있습니다. 보안 요구 사항에 맞는 최적의 SIEM 솔루션을 선택하는 것이 중요합니다. 

 

SIEM과 SOAR 비교

SIEM(Security Information and Event Management)과 SOAR(Security Orchestration, Automation, and Response)는 보안 운영의 중요한 부분을 담당하지만, 그 역할과 기능에는 차이가 있습니다. 아래 표는 SIEM과 SOAR의 주요 차이점을 요약한 것입니다.

기능/목적	SIEM	SOAR
주요 목적	보안 관련 데이터와 이벤트의 실시간 분석 및 모니터링	보안 위협에 대한 대응 조치의 자동화 및 조정
데이터 수집 및 분석	다양한 소스에서 보안 데이터를 수집하고 통합하여 위협을 식별	SIEM 및 기타 도구에서 수집된 데이터를 활용하여 대응 조치를 자동화
위협 탐지 및 대응	보안 이벤트 및 로그 데이터를 분석하여 위협을 탐지	탐지된 위협에 대한 대응 조치를 자동화하고 조정
자동화 및 통합	제한적	다양한 보안 도구와 시스템을 통합하고 자동화된 워크플로우를 제공
사용 사례	보안 모니터링, 이벤트 로깅 및 컴플라이언스 관리	위협 인텔리전스 관리, 사고 대응 및 보안 프로세스 자동화

 

SIEM은 주로 보안 이벤트의 실시간 분석과 모니터링에 초점을 맞추며, SOAR은 보안 위협에 대한 대응 조치를 자동화하고 조정하는 데 중점을 둡니다. 두 시스템은 서로 보완적인 역할을 하며, 함께 사용될 때 보안 운영의 효율성을 크게 향상시킬 수 있습니다. 

보안 환경이 점점 복잡해지고 위협이 다양해지면서, SIEM과 SOAR의 통합 사용은 기업의 보안 운영을 강화하는 데 필수적인 요소가 되고 있습니다