보안 정보 및 이벤트 관리(SIEM)란?

보안 정보 및 이벤트 관리(SIEM)는 조직이 보안 문제와 취약점을 해결하여 운영 중단을 방지하도록 지원하는 솔루션을 설명하는 데 사용되는 용어입니다. 

기업은 자동화 덕분에 SIEM 시스템을 사용하여 위협 감지 및 인시던트 대응에 관련된 여러 수동 프로세스를 간소화할 수 있습니다. SIEM 소프트웨어는 보안 기기, 네트워크 인프라, IT 시스템, 애플리케이션에서 생성된 이벤트 데이터를 컴파일하고 집계하므로 이 데이터를 사용하여 자동화된 보안 대응과 수동 보안 대응을 신속하게 생성할 수 있습니다.

SIEM 시스템은 공급업체와 배포에 따라 크게 다르지만 일반적으로 침입 감지 및 방지 시스템(IDPS)과 같은 다른 보안 시스템과 연동됩니다. SIEM 시스템은 기본적으로 다음 4가지 요소로 구성됩니다.

• 로그 관리. 컴퓨터에서 생성된 로그 파일을 수집, 저장, 분석하는 프로세스로, 시스템 활동을 모니터링하고 검토합니다.
• 이벤트 상관 관계 및 분석. 로그 및 이벤트 데이터의 실시간 분석 및 상호 참조를 통해 패턴, 이상 징후, 잠재적 보안 위협을 식별합니다.
• 인시던트 모니터링 및 보안 경보. 무단 활동을 감지하고 관리자에게 보고하는 능동적 프로세스가 단일 대시보드로 통합됩니다.
• 컴플라이언스 관리 및 리포팅. 조직이 지정된 규제 표준을 따를 수 있도록 데이터를 수집 및 분석하고 컴플라이언스를 문서화하기 위해 리포트를 작성하는 체계적 프로세스입니다. 대부분의 조직 데이터가 SIEM 시스템을 통과하므로 최신 컴플라이언스 리포트를 작성하는 데도 적합합니다.

집계에서 경고까지 

SIEM 시스템은 하드웨어 또는 소프트웨어 기기의 이벤트 로그를 모니터링하는 데서 시작됩니다. 이벤트 로그는 기기가 변경 사항을 관찰할 때마다 이벤트를 생성합니다. SIEM 시스템은 스토리지에서 기기의 로그 파일에 액세스하거나 이벤트 스트리밍 프로토콜을 사용하여 네트워크 데이터를 모니터링합니다. 

이 이벤트 데이터가 수집되면 SIEM 시스템은 다음 작업을 수행합니다.

• 로그 흐름 프로세스에서 데이터를 분류 및 집계합니다. 이 프로세스는 SIEM 시스템마다 다르지만, 일반적으로는 예상되는 매개 변수에 따라 작동하는 기기의 리포트와 같은 노이즈를 필터링하는 것으로 시작됩니다. 
• 다양한 이벤트 로그를 색인 처리하여 데이터를 카테고리별로 분류하고 검색과 이벤트 연결을 활성화합니다.
• 수집된 이벤트 데이터를 분석하여 패턴을 찾고 취약점과 의심스러운 이벤트를 식별하는 관계를 설정합니다.
• 관리자가 종종 수동으로 제공하는 룰을 기반으로 분석된 데이터를 보안 위협과 연관시킵니다. 이 프로세스의 각 단계(분류, 색인 처리, 분석)를 통해 SIEM의 핵심 보안 기능인 상관 관계가 설정됩니다. 

예를 들어 SIEM 시스템에서 비밀번호 오류로 인해 로그인 시도가 1,000번 실패하는 것을 확인하면 해당 활동을 보안 위협의 한 유형과 상호 연관시키고 경고를 생성할 수 있습니다. 그러면 전문 인력 또는 자동화된 시스템이 그에 따른 조치를 취할 수 있습니다.

SIEM 호스팅 유형

수집되는 데이터의 민감성으로 인해 SIEM 시스템은 그동안 온프레미스에서 호스팅되었습니다. 그러나 온프레미스 시스템에는 전문 소프트웨어와 보안 담당자의 감독이 요구되므로 온프레미스 시스템을 유지 관리하려면 많은 비용이 듭니다. 

이러한 복잡성 때문에 많은 조직이 다른 옵션을 찾게 되었습니다. 오늘날 하이브리드 클라우드 환경에 있는 대부분의 시스템처럼 SIEM은 온프레미스에 설치된 소프트웨어를 통해, 클라우드에서 자체 관리형 프로세스로, 또는 클라우드 공급업체나 관리형 보안 서비스 공급업체를 통해 관리형 서비스(SIEM-as-a-Service)로도 제공될 수 있습니다. 또한 많은 SIEM 솔루션을 하이브리드 모델로 분리할 수 있으며, 이때 일부 데이터(예: 더 민감한 정보)는 온프레미스에 존재하고 기타 데이터는 클라우드에 저장됩니다.

예를 들어 조직은 온프레미스 서비스를 사용하여 보안 데이터를 수집 및 집계하고, 클라우드 호스팅된 서비스로서의 SIEM(SIEM-as-a-Service)을 사용하여 상관 관계 설정 프로세스를 수행할 수 있습니다. 

SIEM 솔루션을 호스팅하는 정해진 하나의 방법은 없습니다. 전략을 결정할 때 조직은 다음과 같은 질문을 고려해야 합니다.

• 조직에 기존 SIEM 인프라가 있는가? 있다면 호스팅된 서비스와 호환되는가?
• 조직에 데이터를 온프레미스에서 클라우드 환경으로 이동하지 못하게 하는 보안 문제나 규정이 있는가? 
• SIEM 전문가이거나 SIEM 전문가가 되기 위한 교육을 받을 수 있는 보안 인력이 있는가? 아니면 서비스형(as-a-Service) SIEM 기능을 대여하는 것이 더 실행 가능한 방법인가?
• 하이브리드 클라우드 환경 전체에서, 온프레미스 데이터센터에서, 클라우드 전체에서, 그리고 엣지 위치에서 기본적으로 작동하는 자동화 솔루션이 있는가?

위협 감지

SIEM은 지속적으로 로그와 이벤트 데이터를 분석하여 경고를 생성함으로써 비정상적인 활동이나 악성 가능성이 있는 활동을 식별하는 데 도움이 됩니다. 이러한 방식을 통해 보안 팀은 위협(예: 무단 액세스, 데이터 침해, 맬웨어 공격)을 감지하고 신속하게 대응하여 문제를 완화할 수 있습니다.

데이터 중앙화

SIEM은 다양한 시스템과 애플리케이션에서 제공되는 데이터를 중앙집중화하여 조직의 IT 환경에 대한 통합 뷰를 제공합니다. 이러한 중앙집중화로 시스템 감사, 네트워크 최적화, 트러블슈팅이 간소화됩니다. 또한 기술 자산의 성능과 상태에 대한 인사이트를 제공하여 합리적인 의사 결정과 장기 계획을 지원하며, 이때 주로 단일 대시보드가 사용됩니다.

컴플라이언스 관리

규제 요건상 민감한 데이터의 엄격한 로깅과 리포팅이 요구되는 경우가 많습니다. SIEM 시스템은 데이터 수집을 자동화하고 통합 컴플라이언스 리포트를 생성하므로 조직이 법적 기준과 규제 기준을 충족하는 데 도움이 됩니다.

대응 품질

SIEM은 인시던트 대응의 속도와 품질을 개선합니다. 보안 인시던트가 발생하면 상황을 이해하는 것이 효과적인 해결에 매우 중요합니다. SIEM 시스템은 이벤트 전후와 이벤트 과정에서 무엇이 발생했는지와 같은 상세 정보를 제공하므로 인시던트 대응 팀이 해당 정보를 사용하여 더욱 선별된 조치를 통해 문제를 더 효율적으로 해결할 수 있습니다.

SIEM 솔루션이 관리하고 집계하는 대용량 데이터로 인해 보안 팀이 업무 부담을 느낄 때가 있습니다. 오탐으로 판명되는 인시던트를 조사하느라 시간을 허비한다고 생각될 때 특히 그렇습니다. SIEM 시스템을 최대한 활용하려면 SIEM 시스템에서 생성되는 경고를 효과적으로 검증하고 신속하게 해결해야 합니다.

보안 자동화는 SIEM 솔루션의 작동과 유지 관리를 간소화할 수 있습니다. 태스크를 자동화하면 수작업 오버헤드가 줄어들기 때문에 SIEM 시스템 오류를 줄여 더 효율적으로 실행할 수 있습니다. 또한 감지된 위협에 대한 대응 시간이 짧아지고 보안 프로세스의 일관성이 향상됩니다. 자동화로 사람에 의한 변수가 제거되므로 보안 프로토콜을 더 엄격하게 준수하여 SIEM 시스템의 전체적인 신뢰성이 향상됩니다.

자동화는 보안 운영(SecOps)과 보안 분석가 간의 협업을 간소화합니다. 능동적인 로깅과 정보를 단일 위치로 수집하여 분석 팀이 데이터에 직접 액세스하거나 문제를 해결할 수 있어 보안 인시던트 대응 시간이 단축됩니다.

Red Hat® Ansible® Automation Platform은 전사적으로 자동화를 이용할 수 있도록 지원하는 에이전트리스 툴입니다. Ansible Automation Platform은 플레이북, 로컬 디렉터리 서비스, 통합 로그, 외부 애플리케이션을 사용하여 IT 팀이 보안 솔루션을 자동화할 수 있도록 지원합니다. Ansible Automation Platform을 통해 팀은 유기적으로 통합된 방식으로 위협을 조사하고 대응할 수 있는 다양한 툴을 갖게 됩니다.

그 결과 조직은 SIEM 시스템으로 다음과 같은 여러 장점을 경험할 수 있습니다.

• 문제 해결. Ansible Automation Platform을 통해 조직은 SIEM의 조사 및 문제 해결 태스크를 자동화할 수 있습니다.
• 상호 운용성. Ansible Automation Platform은 SIEM 시스템의 여러 부분을 결합하는 연결 요소입니다. 보안 기능을 자동화하면 다수의 이기종 보안 솔루션을 조정하여 사이버 공격에 대한 대응을 더욱 신속하게 통합할 수 있습니다.  
• 로그 통합과 중앙화. 제3사 외부 로그 집계 서비스와 통합하면 보안 팀은 동향을 파악하고, 인프라 이벤트를 분석하고, 이상 징후를 모니터링하고, 서로 다른 이벤트의 상관 관계를 파악할 수 있습니다.
• 간소화. Ansible Automation Platform은 사람이 읽을 수 있는 간단한 언어를 사용하므로 태스크를 올바른 순서로 실행하기 위한 전문 코딩 기술이 필요하지 않습니다. 이러한 방식을 통해 보안 전문가는 전문 교육을 받지 않아도 SIEM 시스템과 상호작용할 수 있습니다.
• 효율성 증대. 에이전트리스 아키텍처를 사용하면 에이전트의 취약점을 악용하거나 업데이트하는 위험 없이 솔루션을 더 빠르게 배포할 수 있습니다. 이러한 방식은 SIEM 시스템의 보안 노출을 줄여줍니다.
• 현대화. Ansible Automation Platform을 통해 조직은 DevSecOps 워크플로우에서 SIEM을 통합할 수 있습니다.

Event-Driven Ansible

SIEM 시스템은 분석을 대량으로 생성하므로 해당 데이터를 대량으로 처리할 수 있는 솔루션이 필요합니다. Event-Driven Ansible은 엔터프라이즈 이벤트 기반 자동화 솔루션으로, 다음과 같이 SIEM 시스템과 직접 관련된 기능을 포함합니다.

• Event-Driven Ansible 컨트롤러는 여러 Ansible Rulebook의 오케스트레이션을 지원하고 SIEM 시스템과 같은 모든 이벤트 소스 전반에서 모든 대응을 관리하고 감사하는 단일 인터페이스를 제공합니다.
• Ansible Automation Platform에서 오토메이션 컨트롤러를 통합하면 조직은 이미 구축한 기존 워크플로우를 사용할 수 있으므로 기존의 신뢰할 수 있는 자동화를 이벤트 기반 자동화 시나리오로 확장할 수 있습니다.
• 이벤트 스로틀링을 통해 조직은 반응형 접근 방식이나 수동적 접근 방식을 사용하여 '이벤트 스톰'을 처리할 수 있습니다. 이러한 방식을 사용하면 다수의 이벤트(예: 보안 인시던트가 발생하는 동안 SIEM 시스템에서 다수의 이벤트 생성)에 대응하여 작업을 실행하는 시기와 방법을 더 효과적으로 제어할 수 있습니다.