SIEM이란
SIEM(Security Information and Event Management)은 기업 내 다양한 시스템에서 발생하는 보안 이벤트를 중앙에서 수집·분석·대응하는 플랫폼입니다.
SIEM vs SOAR vs XDR
| 솔루션 | 주요 기능 | 차이점 |
|---|---|---|
| SIEM | 로그 수집, 상관 분석, 경보 | 데이터 분석 중심 |
| SOAR | 사고 대응 자동화, 플레이북 | 자동화/오케스트레이션 중심 |
| XDR | 엔드포인트+네트워크+클라우드 통합 탐지 | 탐지·대응 통합 |
주요 솔루션 비교
- Splunk: 업계 표준. 강력한 SPL. 라이선스 비용이 매우 높음.
- Microsoft Sentinel: Azure 네이티브. ML 기반 탐지. Pay-as-you-go.
- IBM QRadar: 온프레미스 강세. 국내 금융·공공 레퍼런스 다수.
- 이글루코퍼레이션 SPiDER TM: 국내 시장 1위 SIEM.
- Wazuh: 오픈소스. OSSEC 기반. 엔드포인트 에이전트 통합.
탐지 규칙 작성 예시
Splunk SPL - 브루트포스 탐지
index=authentication action=failure
| stats count by src_ip, user
| where count > 10
| eval alert="Brute Force Attempt"
| table _time, src_ip, user, count, alertMicrosoft Sentinel KQL - 불가능한 여행 탐지
SigninLogs
| where ResultType == 0
| project TimeGenerated, UserPrincipalName, IPAddress, Location
| summarize Locations=make_set(Location)
by UserPrincipalName, bin(TimeGenerated, 1h)
| where array_length(Locations) > 2운영 노하우
False Positive 관리가 핵심 초기 SIEM 도입 시 하루 수천 건의 경보가 발생합니다. 6개월 튜닝 없이는 경보 피로(Alert Fatigue)로 실제 위협을 놓칩니다.
MTTR(평균 대응 시간) 목표
- High 경보: 15분 이내 초기 대응
- Medium 경보: 4시간 이내
- Low 경보: 24시간 이내
도입 전 필수 체크리스트
□ 일일 로그 수집량 예측 (GB/day)
□ 보존 기간 요건 (보통 1~3년)
□ 온프레미스 vs 클라우드 vs 하이브리드
□ 전담 운영 인력 확보 가능 여부
□ 기존 보안 솔루션 연동 목록SIEM 도입은 제품 구매가 아닌 운영 역량 구축입니다. 전담 인력과 프로세스 없이는 투자 대비 효과를 기대하기 어렵습니다.
로그 소스 온보딩 우선순위
SIEM은 "모든 로그를 다 넣는다"가 아니라 탐지 가치가 높은 순서로 연동해야 비용과 노이즈를 잡습니다.
| 우선순위 | 로그 소스 | 탐지 가치 |
|---|---|---|
| 1 | 인증/계정 (AD, IAM, VPN) | 계정 탈취·권한 상승 |
| 2 | 엔드포인트 (EDR) | 악성 실행·횡적 이동 |
| 3 | 방화벽·프록시 | C2 통신·데이터 유출 |
| 4 | 클라우드 감사 로그 (CloudTrail 등) | 설정 변경·키 오남용 |
| 5 | 애플리케이션·DB | 비정상 쿼리·대량 조회 |
Sigma — 벤더 독립 탐지 룰
특정 SIEM 문법(SPL/KQL)에 종속되지 않으려면 Sigma 룰로 작성해 각 SIEM 포맷으로 변환하는 방식이 유지보수에 유리합니다.
title: 단시간 다수 로그인 실패 후 성공
logsource:
product: windows
service: security
detection:
failed:
EventID: 4625
success:
EventID: 4624
timeframe: 5m
condition: failed | count() > 10 and success
level: high자체 구축 vs 매니지드(MSSP)
| 구분 | 자체 구축(In-house SOC) | 매니지드(MSSP) |
|---|---|---|
| 초기 비용 | 높음 | 낮음(구독형) |
| 24/365 대응 | 인력 3교대 필요 | 포함 |
| 내부 맥락 이해 | 높음 | 낮음(튜닝 필요) |
| 적합 규모 | 대기업·금융 | 중견기업, 인력 부족 조직 |
전담 분석 인력을 3교대로 확보하기 어렵다면 MSSP로 시작해 핵심 역량만 내재화하는 단계적 접근이 현실적입니다.
비용 폭증 막기
클라우드 SIEM은 수집량(GB) 또는 EPS 기반 과금이라 데이터 거버넌스가 곧 비용입니다.
- 수집 단계에서 불필요 필드 드롭(예: 디버그 로그, 헬스체크).
- 핫(분석)/콜드(보존) 티어 분리 — 오래된 로그는 저비용 스토리지로.
- ISMS-P·전자금융감독규정 등 로그 보존 기간 요건을 먼저 확인하고 티어링을 설계하세요.
자주 묻는 질문 (FAQ)
Q. SIEM만 도입하면 탐지가 자동으로 되나요? 아니요. SIEM은 "기반"이고, 실제 탐지율은 상관분석 룰의 품질과 지속적 튜닝에 좌우됩니다. 룰 없이는 비싼 로그 저장소일 뿐입니다.
Q. 오픈소스(Wazuh)로 시작해도 되나요? PoC와 중소 규모에는 충분합니다. 다만 대규모 수집 시 운영·확장 부담이 커지므로 성장 곡선을 보고 상용 전환을 검토하세요.
이 글은 AI 에이전트가 1차 초안을 작성한 뒤, 사람 편집자가 사실관계·출처·톤과 맥락을 검토하여 발행했습니다. 오류나 부정확한 내용이 확인되면 24시간 이내에 정정합니다.
댓글
불러오는 중...