SIEM은 머신러닝 기술을 이용하여 IT 시스템에서 발생하는 대량의 로그를 통합관리 및 분석하여 사전에 위협에 대응하는 보안 솔루션입니다. 기업 내에 발생하는 모든 자원 정보를 중앙에서 통합 관리할 수 있는 대시보드와 Report 기능을 통해 심층분석 기능을 제공할 수 있습니다.
이전에도 장애 처리를 위해 여러 IT 장비의 로그를 통합저장 및 모니터링하는 보안 솔루션은 존재하였습니다. 가령 ESM의 경우 Log 및 Event 데이터를 수개월 분량을 저장할 수 있지만 다양한 조건으로 검색은 불가능하다는 한계점이 있습니다.
SIEM
개념
아래 그림은 SIEM 솔루션의 개념을 간단히 그림으로 표현한 것입니다. 아래의 로그 항목은 IPS/IDS, 방화벽, UTM 같은 다양한 보안 솔루션의 로그를 의미하며 이를 SIEM 도구로 저장 및 색인하여 분석하는 과정을 나타냅니다.
SIEM (Security Information and Event Management) 용어는 2015년 Gartner에 의해 처음으로 소개되었습니다. SIEM이 기존의 EMS 같은 솔루션과 차이점은 이기종 간 네트워크 장비의 로그를 통합하여 더욱 장시간 데이터 수집 및 분석이 가능하다는 점입니다. 두 솔루션의 개념상의 차이점을 간단히 표로 정리하면 다음과 같습니다.
ESM, SEM 솔루션 | SIEM 솔루션 |
각 보안장치의 Log를 수집하여 상호 관계를 파악할 수 있는 솔루션으로, 장애 발생 상황을 단순히 모니터링하며 로그를 저장, 관리하는 기능을 가진다. | 서로 다른 기종의 보안솔루션 로그 및 이벤트를 중앙에서 통합 수집하여 분석할 수 있다. 또한 네트워크 상태의 monitoring 및 이상징후를 미리 감지할 수 있다. |
> ESM 개념 및 SIEM 차이점 비교 (특징, 장단점)
필요성
최근의 지능형 지속위협(APT) 공격 사례가 증가하고 있습니다. APT 공격은 장기간 지속해서 기업이나 조직의 취약점을 분석하여 공격하는 방식으로 최신 보안기술로도 탐지가 매우 어렵습니다. SIEM 솔루션 기업 내 모든 IT 장비의 로그를 통해 사용자의 시스템 활동기록, 공격기록, 장애의 흔적을 추적하여 방대한 양의 데이터를 분석하여 APT 공격에 대응할 수 있습니다.
특징
SIEM 솔루션도 초기 제품은 주로 보안에만 포커스를 두어 로그 및 이벤트 데이터 분석 기능은 취약하였습니다. 하지만 최신 SIEM 솔루션은 Network 성능을 모니터링하거나 행위기반으로 이상징후를 분석하는 기능들이 추가되었습니다. 최신 SIEM 솔루션의 기능 및 특징을 정리해보면 다음과 같습니다.
- 네트워크 이기종 장비 간 로그의 상관관계 분석
- 이상징후의 행위 기반 및 문맥 기반 분석 기능
- 모든 IT 로그 및 Event 정보가 무결성 저장되어 E-discovery 자료로 활용 가능함 (법정증거자료)
- 각 로그의 상관관계를 조건식에 따라 검색하여 분석이 가능함
- 이벤트 및 로그의 이상패턴을 인식해 잠재적 위협이 발생시 알림 기능이 있음
SIEM 솔루션 참고사항
대표적인 SIEM 솔루션으로는 HP의 ArcSight, IBM Qrader, 스플링크의 제품을 많이 사용하며 국내 제품으로는 주니퍼 네트워크 솔루션 등이 있습니다. SIEM 솔루션을 선택할 때 다음을 참고하시면 도움이 될 것입니다.
1. 분석기능
최근의 제품들은 머신러닝 기반의 분석기능이 포함되어 실시간으로 이상징후를 탐색하여 조기에 알림을 주는 기능을 포함합니다. 분석 대상이 되는 IT 솔루션의 모델, 종류 및 분석기술(머신러닝, 패턴분석, 행위기반 분석)을 비교해보는 것이 좋습니다.
2. 통합모니터링 및 알림기능
현재 네트워크의 상태나 분석상황 등을 대시보드나 웹 기반의 통합관리시스템을 통해 Report 되는지 확인합니다. 또한 실시간 모니터링을 수행하면서 보안수준에 따라 알림회수, 알림주기, 알림방법 (SMS, EMAIL) 등을 정교하게 설정할 수 있는 솔루션인지 확인합니다.
3. 자동수정기능
특이사항 발생시 바로 조치가 불가능한 경우 다음과 같은 방법으로 즉시 대응할 수 있도록 기능설정이 가능한지 확인합니다.
- 이상징후 계정의 자동잠금
- 특정 IP, 포트 등의 블랙리스트 추가
4. 접근제어기능
모든 IT 시스템의 로그가 중앙집중형으로 관리되므로 각 로그나 이벤트에 민감정보가 존재할 수 있습니다. 예를들어 고객정보나 사내 기밀정보가 로그에 남아 있을 가능성이 있다면 권한에 따라 접근을 제어해야 합니다.
5. 유지비용
설치형 제품은 처음 셋업시 비용을 지불한 후 유지보수 비용이 많이 들지 않지만, 클라우드 기반의 SIEM 서비스는 구독형태의 요금제인 경우가 있습니다. 가격정책은 모니터링하는 장비의 대수나 로그나 이벤트의 수에 따라서도 과금되는 경우가 있으니 참고 바랍니다.
이상으로 SIEM 솔루션 특징 및 도입시 참고할 사항들을 정리해보았습니다.