포커스

1 정보통신산업진흥원

빅데이터 환경에서 지능형 로그 관리 플랫폼으로 진화하는 보안 정보/이벤트 관리(SIEM) 동향

김동한*

최근 보안 업계에서는 고도화된 보안 위협에 따른 이상 징후 대응에 빅데이터 기술을 접목

시키기 위해 분주히 노력하고 있다. 특히, 빅데이터의 최적 적용 및 활용 분야로 보안 정보/이

벤트 관리(Security Information & Event Management: SIEM)가 다시금 주목을 받고 있다. 모

든 IT 시스템에서 생성되는 로그와 이벤트를 통합 관리해 외부 위험을 사전에 예측하고, 내부

정보 유출을 방지할 수 있도록 한 차세대 SIEM으로 변모하고 있는 것이다. 이에 본 고에서는

최근의 보안 위협 동향, 로그 관리와 SIEM의 시대적 변화, 차세대 보안 패러다임으로 부각되

고 있는 보안 인텔리전스(Security Intelligence: 지능형 보안)에 대해 살펴본 후에 차세대 보안

의 핵심으로 부각되고 있는 차세대 SIEM의 동향 전반에 대해 살펴보고자 한다.

I. 서 론

최근 가장 많이 회자되고 있는 IT 분야의

키워드를 꼽으라면 ‘빅데이터’, ‘보안(APT,

개인정보보호, 핵티비즘(Hacktivism) 등)’

이 아닐까 싶다. 특히, 보안 업계에서는 ‘빅

데이터’와 연관한 부분에 주목하고 있다. 고

도화된 보안 위협에 따른 이상 징후 대응에

얼마나 신속하게 대응할 수 있느냐가 곧 경

쟁력으로 평가 받는 보안 업계 특성상, 전

통적인 방식으로 급증하는 데이터를 감당할

수 없었던 문제점의 해소와 이전에는 파악

조차 어려웠던 정교한 공격까지 쉽게 탐지

할 수 있는 해결책으로서의 가능성을 빅데

이터 기술에서 엿보았기 때문에 관련 업계

는 빅데이터 기술을 접목시키기 위해 분주

포커스

목 차

* 펜타시스템테크놀러지㈜ 고등기술연구소/소장

Ⅰ. 서론

II. 차세대 보안 핵심으로 재조명,

보안 정보/이벤트 관리

III. 지능형 로그 관리 플랫폼,

보안 정보/이벤트 관리 동향

IV. 결론

주간기술동향 2013. 8. 7.

www.nipa.kr 2

히 노력하고 있다.

빅데이터 환경에서 축적되는 방대한 양의 데이터로 무엇을 할 것인지 아는 것 자체가

거대한 도전 과제로, 보안 분야의 경우 최적의 적용 및 활용 분야로 보안 정보/이벤트 관

리(Security Information & Event Management: SIEM)가 다시금 주목을 받고 있는 것이

다. 얼마 전까지만 해도 ‘옥상옥’으로 전락했었던 SIEM 혹은 전사적 보안 관리(Enterprise

Security Management: ESM)가 상호보완적인 관계로 존재했던 로그 관리(Log Management)

분야와 융합되고, 빅데이터 기술을 받아들이면서 IT 시스템 전반에 대한 안전성을 확보할

수 있는 지능형 로그 관리 플랫폼으로 빠르게 진화하고 있다. 즉, 모든 IT 시스템에서 생

성되는 로그와 이벤트를 통합 관리해 외부 위험을 사전에 예측하고, 내부 정보 유출을 방

지할 수 있도록 한 차세대 SIEM 으로 변모하고 있는 것이다.

이에 본 고에서는 최근의 보안 위협 동향, 로그 관리와 SIEM 의 시대적 변화, 차세대

보안 패러다임으로 부각되고 있는 보안 인텔리전스(Security Intelligence: 지능형 보안)에

대해 살펴본 후에 차세대 보안의 핵심으로 부각되고 있는 차세대 SIEM 의 동향 전반에

대해 살펴보고자 한다.

II. 차세대 보안 핵심으로 재조명, 보안 정보/이벤트 관리

1. 최근 보안 위협 동향

지난 10 년간 국내외 주요 위협은 금전적 이득을 노린 정보유출(개인정보, 기밀 문서)

형태와 장애유발 및 파괴 등의 서비스 가용성과 관련된 침해사고로 변화되며 이에 대한

다양한 대응기술이 개발되어 왔다. 하지만 지난 3 월 20 일 KBS, MBC, YTN 등의 방송국

과 신한은행, 농협 등 금융기관을 타깃으로 대규모 사이버테러가 감행되어 전산망 마비

사태가 발생하여 온 국민을 충격에 빠뜨렸다. 이 충격이 채 가시기도 전에 6 월25 일에는

청와대를 포함한 11 곳의 웹 사이트가 해커의 공격에 의해 뚫리고 말았다. 이번 6.25 사

이버 테러는 2003 년 1.25 대란, 2009 년 7.7 사이버 테러, 2011 년 3.4 사이버 테러,

2013 년 3.20 사이버 테러에 이은 5 번째 주요 사이버 공격이다.

최근의 사이버 공격을 들여다 보면 공격에 드는 비용이 수비를 위해 드는 비용보다 매

우 작은 비대칭 전력 특성을 이용하고 있다. 대표적인 예가 지능형 지속 위협(Advanced

포커스

3 정보통신산업진흥원

Persistent Threats: APT) 공격이다. APT 공격은 최신 보안 기술로도 탐지가 어렵고 장기

간에 걸쳐서 이루어지기 때문에 보안체계를 잘 갖추고 있던 조직들도 해당 공격 앞에 무력

하게 당하는 사건들을 접하면서 많은 기업 및 조직들이 대응 방안 마련에 고심하고 있다.

이러한 위협 환경의 변화 속에서 선제적 대응을 위해 가장 기본 자료임에도 제대로 이

용되지 못하고 있는 로그 활용의 중요성이 재인식되면서, 기업 환경의 다양한 소스에서

생성되는 방대한 분량의 로그 데이터의 효율적인 축적과 이의 실시간 처리 및 분석 역량

에 대한 필요성이 어느 때 보다 크게 제기되고 있는 상황이다.

2. 통합 로그 관리 동향

로그는 정보 시스템을 통과하는 데이터의 흐름(사용자 및 시스템의 활동 기록, 시스템

공격에 대한 흔적, 장애 흔적 등)을 추적하는 것으로, 다수의 사용자가 이용하는 시스템이

많을수록 방대한 양의 로그 데이터가 생성되고 기록된다. 로그의 원래 목적은 시스템의

가용성 보장, 장애 후 원인 파악이었다. 로그 데이터의 보관과 분석은 IT 시스템 관리에

있어 가장 기본적인 작업이라고 할 수 있으며, 이와 관련하여 국내에서는 로그 관리와

ESM 이라는 시장이 별도로 형성되어 발전해 왔다(KISA 에서는 SIEM 시장을 별도로 구분

하지 않음).

로그 관리는 정보 시스템에서 생성되는 다양한 로그를 수집, 저장해서 필요한 정보를

검색, 보고서를 생성하여 IT 인프라 상태와 사용 현황을 알려주는 역할을 수행한다. 즉 가

장 기초 데이터인 로그의 생성부터 폐기에 이르는 로그 생명주기를 관리하는 것으로 이를

통해 장애나 보안사고 발생시 원인을 추적하고, 각종 규제 및 법규에 대한 감사자료로 활

용할 수 있도록 하는 사후 활용의 성격이 강하다. 실시간 대응력은 없지만, IT 인프라의 모

든 부분을 대상으로 하기 때문에 보다 정확하게 사고원인을 파악할 수 있는 장점이 있다.

ESM 은 로그 관리에서 파생된 분야라고 말할 수 있다. 보안 관제를 위해 실시간으로

발생하는 보안 이벤트를 취합, 분석하는 ESM 이 사용하는 기초 데이터는 바로 로그다. 즉,

구축된 여러 보안 시스템에서 발생하는 로그를 취합, 상호연관성을 분석함으로써 실시간

으로 보안 위협을 파악하고, 대응하게 하는 것이다.

국내 시장 측면에서 살펴보자면 로그 관리 시장은 가장 기초적인 작업임에도 불구하고

생각보다 더딘 발걸음으로 성장해온 것을 부인하기는 어렵다. 넓은 범위에서는 ESM 이

주간기술동향 2013. 8. 7.

www.nipa.kr 4

로그 관리의 범위에 포함된다고 할 수 있지만, ESM 에 비해 로그 관리 시장의 성장은 쉽

게 이루어지지 못했다. IT 인프라의 상태, 사용자의 이용 현황을 살펴볼 수 있는 것이 바

로 로그 관리이지만, 필요성에 대한 체감도가 낮아 확산이 이루어지지 못한 것이다.

하지만 이제 상황은 변화하고 있다. 외부 공격뿐 아니라 내부로부터의 정보유출이 문

제시됨에 따라 로그 관리에 대한 요구가 높아지고 있는 것이다. ESM 의 경우, 보안 솔루

션의 로그를 받아 상호연관관계를 파악하는 것이기에 내부 사용자에 의한 위협에는 한계

가 있을 수밖에 없으며, 이러한 빈틈은 보안 솔루션은 물론 IT 인프라의 모든 서버와 애

플리케이션의 로그를 취합, 저장, 분석하는 로그 관리를 통해 메워져야 하는 것이다. 단순

한 두 분야의 조합이 아닌 융합이 필요한 시기가 온 것이다.

3. SIEM 의 진화

로그 관리의 필요성과 가치에 다시금 눈뜬 것은 비교적 최근의 일이지만 상대적으로

수집한 로그 데이터들을 잘 사용하지 못하는 것으로 나타났다((그림 1) 참조). 일예로

SANS가 2012년 600명 이상의 IT 전문가를 대상으로 한 설문조사 결과를 살펴보면, 22%

의 응답자들은 SIEM 을 이용해서 데이터를 모으고 분석하는 반면, 58%는 로그 관리 시스

템을 이용하고 나머지 응답자는 다른 방법에 의존하고 있는 것으로 나타났다. 대부분의

응답자들은 로그를 모으는 주요 이유로 규제를 준수하기 위함이라고 밝혔고, 거의 모든

응답자들은 의심스러운 행동을 감지하고 추적하는 행위는 매우 중요했다고 답했다[1]. 정

(그림 1) 로그 데이터를 수집하는 이유[1]

Detect/track suspicious behavior(e.g., unauthorized access, insider abuse)

Support forensics analysis and correlation

Prevent incidents

Meet/prove compliance with regulatory requirements

Detect advanced persistent threat style malware

Support IT/network routine maintenance and operations

Monitor and track application and system performance

Monitor services levels/lines of business application performance

Manage/reduce costs for IT/security

Support internal business processes(e.g., reporting, chargeback)

Understand and derive information about customer behavior

Other

Not important

Important

Critical

포커스

5 정보통신산업진흥원

작 수집의 이유에 대한 답변으로 중요하다고 했지만 아이러니하게도 수집 후에도 실제 이

용하기 가장 어려운 장애물로 조사되었다((그림 2) 참조).

국내 상황으로 눈을 돌리면 전자금융거래법 등의 규제로(<표 1> 참고) 웬만한 금융회사

는 이미 로그 관리 시스템을 도입했고, 각종 보안 컴플라이언스를 준수하기 위해 기업들도

로그 관리 시스템 도입을 서두르던 차에 빅데이터라는 새로운 이슈가 등장하 다.

빅데이터 이전의 통합 로그 관리는 앞서 살펴본 것처럼 주로 로그 관리 시스템을 이용

<표 1> 로그 관리 관련 규제

규제 명칭 주요 내용

정보통신기반보호법 (제13조1항)

침해사고의 통지, 원본 로그에 대한 보관 및 사후 보고

정보통신서비스 정보보호 지침 (제3조 5항)

복구 대책, 정보보호 책임자는 주기적으로 주기적 접속 기록을 분석해 침해 사고를 예방

주요 정보통신기반시설 보호 지침 (제4조)

운 자 로그 관리 방안 수립 시 고려 사항(로그 기록 방법, 대상, 보존 기간, 백업 등 정보보호시스템의 로그 기록 시 필수 고려 사항 정의)

정보통신망 이용촉진 및 정보보호에 관한 법률 (제48조 4)

침해 사고의 원인 분석 등(집적정보통신시설 사업자에게 로그 관리 등 침해사고 관련자료 제출을 요구할 수 있도록해 침해사고 원인분석이 가능하도록 함)

금융기관 전자금융업무 감독규정 시행 세칙 (제6조, 제10조)

전산자료 보호대책, IP주소 사용대책(1년 이상 정보시스템 가동기록 보존 및 인터넷 접속내용 기록 보관)

금융감독원 모범 규준 내부통제 강화를 위해 메신저, 이메일 등에 대한 로그 기록 저장 체제 구축

개인정보보호법 개인정보 처리시스템의 권한 및 계정관리기록과 접속 기록에 대한 저장과 위ㆍ변조 방지 등이 규정

(그림 2) 로그 데이터 수집 이유 중 달성하기 어려운 점[1]

Detect advanced persistent threat style malware

Prevent incidents

Support forensics analysis and correlation

Detect/track suspicious behavior(e.g., unauthorized access, insider abuse)

Manage/reduce costs for IT/security

Understand and derive information about customer behavior

Support internal business processes(e.g., reporting, chargeback)

Monitor services levels/lines of business application performance

Meet/prove compliance with regulatory requirements

Monitor and track application and system performance

Support IT/network routine maintenance and operations

3=Difficult 2=Moderate 1=Easy

주간기술동향 2013. 8. 7.

www.nipa.kr 6

하는 방식과 ESM 방식을 활용하는 방법이 있다. 그러나 방대한 데이터가 발생하는 빅데이

터 시대가 열리면서 두 방법은 한계에 직면하게 된다. 로그 관리의 중요성과 활용이 확대되

면서 원본 로그 저장과 실시간 처리의 필요성이 동시에 중요하게 제기되고 있기 때문이다.

이러한 요구 사항과 기술의 발전 방향성이 맞물리면서 등장한 것이 통합 로그 관리 플랫폼

으로서의 차세대 SIEM 이다.

이전까지 용어의 의미 및 세부 요구 기능에는 차이에도 불구하고 ESM/SEM(Security

Enterprise Management), 로그 관리 혹은 SIM(Security Information Management: SIM),

SIEM 은 상호 교환적으로 사용되어 왔다. 보안 관리의 역인 실시간 모니터링, 이벤트의

상관 관계, 알림 및 콘솔 뷰는 일반적으로 SEM 로 잘 알려져 있다. 두 번째 역은 장기

적 스토리지, 분석 및 로그 데이터의 보고를 제공하는 SIM 이다.

그 동안 대량 시스템이 운 되는 데이터 센터뿐 아니라 많은 기업이 매일 발생하는 로

그 데이터를 일정 시간이 지나면 비용 측면의 이유로 폐기해왔다. 이 문제를 최근 주목 받

는 빅데이터 기술이 비용의 효율적 확장성에 대한 고민을 일거에 해결해 줄 수 있을 것으

로 업계는 기대하고 있다.

로그 관리에서 출발한 SIEM 의 기술적 발전 단계는 현재 5 세대로 넘어가고 있는 중이

다((그림 3) 참조).

(그림 3) SIEM 의 발전 단계([2] 참고 재구성)

3 세대

4 세대 5 세대

1, 2 세대

포커스

7 정보통신산업진흥원

III. 지능형 로그 관리 플랫폼, 보안 정보/이벤트 관리 동향

1. 보안의 새로운 패러다임, 지능형 보안

앞에서 살펴본 바와 같이 최근 보안 위협들은 기업의 주요 정보 유출, 천문학적 규모

의 물리적 피해를 야기할 수 있는 산업제어시스템 마비, 전쟁행위 등의 사이버 공격으로

이어져 사회ㆍ국가적 위협으로 대두되고 있다. 이러한 발전된 보안 위협에 대한 새로운

방어 패러다임으로 지능형 보안이 최대의 이슈로 등장하고 있다.

지능형 보안의 개념은 APT 공격과 같은 알려지지 않은 치명적인 공격에 대응하기 위

해, 주요 IT 기반 시설의 네트워크, 시스템, 응용 서비스 등으로부터 발생하는 데이터 및

보안 이벤트 간의 연관성을 분석하여 보안 지능을 향상시키는 차세대 보안 정보 분석 패

러다임으로 해석되고 있다.

가트너 그룹이 정의하는 지능형 보안은 다양한 보안 기술의 상호작용을 가능하게 하는

개념과 방법론으로써 다양한 소스로부터 정보를 통합하고 상호연관성을 갖는 콘텍스트 기

반의 분석 기술로 해석하고 있으며((그림 4) 참조), 단기적으로는 Context aware security

형태로 표현되어 향후 5 년에서 10 년간 지속될 보안 기술로 평가하고 있다[3].

또한, IDC 도 사이버 위협 방어 기술의 변화는 통합되고 중앙 집중화된 보안관리 기술

을 바탕으로 잠재적 위협을 예측할 수 있는 예측형 보안 기술이 요구되고 있으며, 지능형

보안 서비스가 최대의 이슈로 등장할 것으로 예측하고 있다[5].

(그림 4) 보안 패러다임의 변화와 지능형 보안의 개념[3],[4]

주간기술동향 2013. 8. 7.

www.nipa.kr 8

따라서, 기존의 보안 제품들이 활용하고 있는 패턴 기반의 공격 제어 기법의 한계를

넘어서 내부 네트워크의 다양한 특성 인자들(시스템 프로세스, 활동성, 네트워크 트랜잭션

등)의 연관성 분석을 통해 알려지지 않은 새로운 공격을 탐지하는 기술로 발전할 것으로

예측하고 있다.

2. SIEM 기술 및 시장 동향

가. SIEM 기술 동향

가트너의 관련 분야 예측에서도 보

듯이 현존하는 IDS/IPS 와 같은 플랫폼

기반 분석 기술로는 APT 공격을 대응

하기는 역부족이기 때문에 다양한 소스

의 대용량 데이터를 분석할 수 있는 전

용 보안 분석 기술이 필요한 상황에서

공교롭게도 SIEM 발전 방향이 이와 정

확히 일치하고 있다((그림 5) 참조).

이 시점에서 왜 지능형 보안의 핵심

으로 예상되는 SIEM과 빅데이터와는 어 (그림 7) 보안에서의 SIEM 의 발전 방향[3]

(그림 6) 빅데이터와 보안 빅데이터[2]

포커스

9 정보통신산업진흥원

떤 관련이 있는지 짚어보도록 하자. 빅데이터와 비교하여 보안 부문이 과연 빅데이터에

적용될 수 있는지 살펴보면, 보안 빅데이터는 다양한 보안 데이터와 연관분석을 위해 처

리속도가 더욱 중요해짐을 알 수 있다((그림 6) 참조).

빅데이터의 주요 기술에 대응한 보안 부문의 기술을 대응하여 살펴보면, 빅데이터를

위한 주요 기술인 인프라기술(저장, 처리), 분석기술, 표현기술 유형으로 분리할 수 있으며,

이를 관리하는 모듈과 데이터 수집 모듈 등으로 구성이 가능하다. 이 구성 요소들이

SIEM 구성 요소와 딱 들어맞게 대응된다((그림 7) 참조).

이런 연유로 표적공격 방어를 위해 네트워크 및 시스템 보안 제품군을 통합한 보안 이

벤트 정보 관리기술을 제공하는 SIEM 관련 기술을 바탕으로, 빅데이터 처리 기술을 접목

한 지능형 보안 기술에 대한 연구가 본격화되고 있는 것이다.

나. SIEM 시장 동향

(1) 세계 시장: IDC 에 따르면 SIEM 이 포함된 보안 관리 및 취약점 관리(Security &

Vulnerability Management: SVM) 소프트웨어 분야의 2011 년도 시장은 전년대비

13.9%의 성장세로 38.3 억 달러 규모를 형성하고 있으며, 소수 회사가 시장을 과

점하고 있는 타 보안 시장과는 달리 상대적으로 경쟁이 치열한 상황인 것으로 조사

(그림 7) 빅 데이터 기술 스택과 SIEM 구성요소[2]

주간기술동향 2013. 8. 7.

www.nipa.kr 10

되었다. 또 SVM 분야는 2016 년까지 연평균성장률(CAGR)이 10.2%로 62 억 달러

까지 지속적으로 성장할 것으로 예상되며, 특히 SIEM 시장의 경우 CAGR 11.3%

로 23 억 달러까지 성장할 것으로 예측하 다[6].

(2) 국내 시장: IDC 는 SVM 소프트웨어 분야의 2011 년도 국내 시장 규모를 약 376

억 원 규모의 시장을 형성하고 있다고 보고하 고[7], 한국인터넷진흥원(KISA)이

발표한 ‘2012 년 지식정보보호산업 실태조사’에서는 2012 년 국내 ESM 시장은

556억 원 규모, 로그 관리 시장은 이보다 적은 285 억 원 규모로 조사되었다. SIEM

과 관련된 두 시장의 합산 시 시장 규모만도 약 841 억 원(2011 년, 752 억 원)에

이른다(<표 2> 참고).

<표 2> 국내 보안 관리 시장 전망[8]

구분 2011년 2012년

(E) 2013년

(E) 2014년

(E) 2015년

(E) 2016년

(E) CAGR

(2001~2016)

기업보안관리(ESM) 515 556 601 642 688 739 7.5%

위협관리시스템(TMS) 143 154 169 184 200 218 8.8%

패치관리시스템(PMS) 125 151 163 178 192 214 11.4%

자산관리시스템(RMS) 128 169 206 245 281 343 21.8%

로그 관리/분석 툴 245 285 317 350 385 431 12.0%

취약점 분석 툴 99 115 132 150 165 188 13.7%

합계 1,255 1,430 1,588 1,749 1,911 2,133 11.2%

수요자 측면에서의 시장의 움직임을 살펴보면 기업의 IT 인프라 복잡성, 대형화되는

추세로 인해 로그의 양도 폭발적으로 증가하고 있고, 데이터로서의 로그의 가치도 상승되

고 있는 추세다. 또한 각종 법규 등에서 로그 수집과 저장, 보관 등을 의무화하고 있는 것

도 시장 확장의 요인이다.

이에 더해서 새로 들어선 정부의 빅데이터 분야에 대한 강한 드라이브도 시장 확산에

한 몫을 할 것으로 보고 있다. 최근 미디어를 통해 보도된 정부 기관의 움직임도 이를 뒷

받침하고 있다.

- 정부 IT 시스템의 중추인 정부통합전산센터가 빅데이터 기술을 활용한 사이버침해대

응시스템을 구축할 예정이라는 보도가 있다. 해당 시스템은 대규모 보안 로그 데이

터를 분석해 사이버테러 이상 징후를 미리 발견하고, 사건 발생 시 원인 등을 신속

하게 분석할 목적으로 향후 3 년간 구축할 예정이다.

포커스

11 정보통신산업진흥원

- 한국인터넷진흥원(KISA)에서 주관하는 “악성코드 프로파일링 및 대용량 보안이벤트

분석을 통한 공격징후 탐지기술 개발” 국책과제를 업체가 수주했다는 소식도 전해졌

다. 이 사업은 APT 공격을 탐지 및 추적하는데 빅데이터 기반의 보안로그 분석 기

법을 활용하는 것이 가장 핵심이다.

3. SIEM 솔루션

전형적인 SIEM 의 구조는 방화벽, IDS/IPS, 안티바이러스 등의 보안 솔루션과 서버, 네

트워크 장비 등으로부터 통계 정보, 보안 이벤트 정보를 함께 가져와서 이들 정보들 간의

연관성 분석을 통해 보안 상황 인지, 신속한 사건 대응과 로그 관리를 수행하는 기능을 제

공한다. 시장에서 보인 수많은 SIEM 솔루션들의 구조도 이와 크게 다르지 않으며, 각 구

성 요소의 기능부분에 자신들만의 차별화된 기술을 적용하여 시장을 공략하고 있다.

가. 국산 SIEM 솔루션

국내 SIEM 관련 시장은 ESM, 보안 관제 프로젝트를 통해 해당 솔루션을 도입, 자체적

<표 3> 국산 SIEM 솔루션([9], [10] 참고 재구성)

기업 솔루션 특징 제공 형태

디에스앤텍 로그세이버 (LogSaver)

- 원격 접속을 통한 작업내역 로그까지 저장하는 TIOR(Terminal Input Output Recorder)

- 무결성 저장 기능 강점(원시 로그 데이터 생성 즉시 Blu-ray, WORM Storage로 실시간 저장)

어플라이언스

이너버스 로그센터 HXC

(LogCenter HXC)

- 고속 검색과 대용량 분석을 위한 HXC(Hybrid eXtension Cloud) 로그 관리 엔진 탑재

- HICF(Hyper Index Compression File)의 100% Full Text Indexing

- 높은 개방성(타사 엔진 쉽게 연동)

어플라이언스

유넷시스템 애니몬 플러스

(AnyMon PLUS)

- 수집 정보에 대한 암호화 및 무결성 보장 - 관리주기에 따른 데이터 자동 삭제 - ‘동적 필드 추출’ 기능(로그 종류에 상관없이 분석에

필요한 필드만 자동 추출)

어플라이언스

나일소프트 로그캅스

(LogCops) - 자체 개발 DBMS엔진 메모리 큐(Memory Queue)

탑재(로그수집, 색인 과정 동시 처리) 어플라이언스

넷크루즈 넷크루즈SIEM - 신개념 포렌식 기법, 고속 압축 아카이빙 기술 - 실시간 통합 로그 관리(nLM LogSee) 보안 정보 및

이벤트 관리(nLM SIEM) 모듈로 구성 SW

이글루시큐리티 아이에스로거 (IS-Logger)

- 대용량 로그 DB이중화 및 분산파일 시스템(MDFS) 통한 로그 데이터 처리ㆍ분석

- IS-ESM(통합 보안 관리)과 연계 SW

주간기술동향 2013. 8. 7.

www.nipa.kr 12

(그림 8) Magic Quadrant for SIEM[11]

으로 구축하기도 하고, 전문 보안 컨설팅 기업이 제공하는 서비스 형태(ASP)로 제공받고

있다. 앞서 국내 관련 시장의 규모에서 엿볼 수 있듯이 대다수의 국산 솔루션의 발전 특징

은 로그 관리에서 출발하여 빅데이터 기술을 적용한 SIEM 솔루션으로 발전하고 있다는

것이다(<표 3> 참고). 이런 솔루션 태생의 배경으로 인해 무결성, 압축, 대용량 처리 및

속도, 검색에 기술적 강점을 가지고 있다.

나. 외산 SIEM 솔루션

가트너에서 평가한 글로벌 SIEM 솔루션의 포

지셔닝 자료에 따르면 리더 그룹에 IBM, McAfee

(Intel), HP, Splunk, LogRhythm이 위치하고 있

다((그림 8) 참조). 해당 분야를 리드하고 있는

업체들의 움직임의 특징을 살펴보면, 전략적 인

수합병을 통해 이전에 보유하고 있던 자체 SIEM

솔루션에 핵심 기술을 보강 또는 완전 대체하는

<표 4> 외산 SIEM 솔루션([7], [12], [13] 참고 재구성)

기업 솔루션 특징 제공 형태

IBM (Q1Labs)

QRadar Security

Intelligence Platform

- 기업 시스템 전체를 조감하는 방식의 가시화, 새로운 공격에 대응 가능한 새로운 기법 제공

- 네트워크상 전송되는 정보 실시간 관측 기능 - 모니터 소스로부터 로그 데이터와 함께 NetFlow 및 로

그 이벤트 행동 분석 - 원시 로그 검색 성능이 검색 기반 솔루션에 비해 미흡

어플라이언스

HP (ArcSight)

ArcSight Information Security

- 데이터 수집기와 로그 수집기 매칭 가능한 유연한 구조 - 모든 계정, 애플리케이션, 시스템에 관한 사용자 활동

모니터링 및 연관성 분석 - 기업 망에서 차별화된 기능 부족(이전 SIEM시장 1위,

신기술 대응이 늦어 기술적으로 뒤쳐진 상황)

SW, 어플라이언스

McAfee (NitroSecurity)

ESM (Enterprise Security Manager)

- 위험 기반 활동 프로파일, 규칙 기반의 상관 관계 분석을 강화하는 Advanced Correlation Engine 탑재

- 로그 관리에 최적화된 DBMS인 EDB 탑재 - 타 제품 이벤트 소스 통합 위한 인터페이스 제공 미흡

어플라이언스

Splunk Splunk

- 스플렁크 엔터프라이즈와 보안용 스플렁크 앱의 조합 - 대부분 가용성 중심의 로그 관리 및 분석에 적용 - 대용량 데이터에 대한 매우 유연한 분석 - 스플렁크 앱은 customization 필요(전문 인력 필요)

SW

LogRhythm LogRhythm

- 다양한 장비의 로그 포맷 인식 엔진 MPE(Message Processing Engine) 탑재

- 단위 위협 시도의 상관 분석 엔진 AIE(Advanced Int-elligence Engine) 탑재

- 포렌식 기반의 로그 관리 및 다양한 권한 분산 기능

어플라이언스

포커스

13 정보통신산업진흥원

방식으로 새로운 솔루션을 시장에 선보이며 경쟁 우위를 꾀하고 있다(<표 4>참고).

IV. 결 론

현재까지 보안 시장에서는 하루가 멀다 하고 각종 보안 관련 솔루션이 출시되고 있지

만, 기업은 보다 가시성 있는 보안 정보와 분석 욕구에 목마른 상황이다. 이는 각종 보안

사고를 데이터화해 미래 보안 사고를 사전에 대비할 수 있는 기회를 제공해 주기를 바라

기 때문이며, 이런 맥락에서 볼 때 빠른 검색, 실시간 상관 분석, 타 분석 엔진 연동이 가

능한 분석 엔진 등을 탑재하고 있는 차세대 SIEM 시장의 폭발적 수요가 예상되고 있는

건 당연할 것이다.

차세대 SIEM 솔루션은 최근 이슈가 되는 빅데이터 분석 기술과 통합되어 보다 지능화

된 보안 분석이 가능하게 발전함으로써 차세대 보안 솔루션의 핵심기술로 자리할 것으로

예상된다. 즉, 향후에는 애플리케이션 레벨의 이상 징후 탐지가 기본 기능으로 만들어질

것으로 예상되면서, 사후 방어적인 탐지 대응에서 사전 예방적인 구성 감사, 위협 모델링

등을 이용하여 적극적으로 보안 이슈에 대해 대응하는 방식으로 발전할 것이다.

이 같은 상황에서 차세대 SIEM 솔루션을 도입하려는 기업이나 기관들이 신중히 고려

해야 할 사항들을 살펴보자면 먼저 적용하려는 산업군별로 도입 접근 방법도 다르게 이루

어져야 한다는 것이다.

- 일반기업의 경우, 구축 경험과 BMT, POC 를 통해 입증된 제품을 기반으로 대용량

로그의 완벽한 처리와 실시간 분석, 검색 성능을 주요 요구사항으로 검토해야 한다.

- 금융권의 경우, 거래 로그 등 주요 로그가 포함되어 있기 때문에 무결성과 안전성,

처리성능이 검증된 제품 및 고객환경에 안정적으로 적응한지 여부를 살펴봐야 한다.

- 공공기관의 경우는 관리 편의성, 운 비용 절감, 관리자 환경을 고려한 자동화, 부가

기능 등 제공에 최적화된 제품을 선택해야 한다.

- 또한 인증 획득 및 법규 준수 등 컴플라이언스에 대응하고 안정적 운 능력을 주요

요구사항으로 검토해야 할 필요가 있다.

둘째로는 대부분의 보안 솔루션들의 기술 기반인 ‘패턴 매치’ 룰은 태생적인 한계점인

‘오탐(공격 표절)’의 가능성을 안고 있다. SIEM 솔루션도 역시 같은 문제점을 내재하고 있

주간기술동향 2013. 8. 7.

www.nipa.kr 14

는데, 이 부분이 얼마나 혁신적으로 개선했는지 여부와 제공되는 룰의 정교성 및 룰 변경

용이성을 점검해 볼 필요가 있다, 또 다른 한가지로 SIEM 벤더들이 솔루션 제작 시 공격

원리 및 특성을 충실하게 반 하고 있지만, 안타깝게도 해당 솔루션이 설치되는 네트워크

환경의 특성은 반 하지 못하고 있어, 적용되는 네트워크 환경의 특성을 자동적으로 반

할 수 있는 지능적인 학습 기능과 같은 적응적 기능을 지원하는지도 살펴 볼 필요가 있다.

마지막 고려 요소는 비용과 관련된 부분으로써 솔루션 도입과 실제 운 에 있어 초기

및 유지비용에 대한 예측도 중요 요소이다. 선택하는 솔루션은 초기 요건을 최소의 비용

으로 충족시킬 수 있어야 하며, 초기 투자비용 이외에 추가로 발생하는 요구사항에 대한

추가 지출이 없도록 주의해야 한다. 한편 해당 솔루션을 전사적 차원에서 확장 도입할 때

소요되는 비용이 합리적인지에 대해서도 파악이 이루어져야 한다.

<참 고 문 헌>

[1] Jerry Shenk, “Learning from Logs: SANS Eighth Annual 2012 Log and Event Management

Survey Results”, SANS, 2012. 5.

[2] 최대수, “빅데이터 환경에서 차세대 통합보안 기술”, Software Convergence Symposium 2013,

2013. 1. 17.

[3] M. Nicolett, K.M. Kavanagh, “Magic Quadrant for Security Information and Event Management”,

Gartner Group, 2012. 5.

[4] 나병준, “시큐리티 인텔리전스의 활용을 통한 효과적인 통합 모니터링 방안”, IBM, 2013. 3. 20.

[5] IDC, “Korea Security Software 2012-2016 Forecast Update 2011 Review,” 2012. 5.

[6] Charles J. Kolodgy, “Worldwide Security and Vulnerability Management 2012-2016 Forecast

and 2011 Vendor Shares”, IDC, 2012. 7.

[7] 노병규, 김도우, 김경신, 김익균, “지능형 사이버보안 기술 동향 및 이슈”, KCA, PM Issue Report

2013-제1권, 2013. 2. 25.

[8] KISA, “2012 국내 지식정보보안산업 실태조사”, KISA, 2012. 11.

[9] 이지혜, “Market Insight: 통합 로그 관리”, CIOCISO, 2012. 11. 1.

[10] 김선애, “빅데이터·보안관리, 밀접하게 연계되며 기술 발전 견인”, DATANET, 2013. 3. 11.

[11] http://blog.q1labs.com/2013/06/10/gartner-publishes-2013-magic-quadrant-for-siem/

[12] 김종현, 임선희, 김익균, 조현숙, 노병규, “빅데이터를 활용한 사이버 보안 기술 동향”, ETRI, 전자통신

동향분석 제28권, 제3호, 2013. 6.

[13] 김선애, “빅데이터 기술 얹은 보안관리, IT 시스템 안전성 확보”, DATANET, 2013. 2. 5.

* 본 내용은 필자의 주관적인 의견이며 NIPA의 공식적인 입장이 아님을 밝힙니다. * 본 내용은 필자의 주관적인 의견이며 NIPA의 공식적인 입장이 아님을 밝힙니다.