- 지능형 위협 조기경고 시스템, SIEM의 개요
가. SIEM(Security Information & Event Management)의 정의
- 빅데이터의 방대한 정보 속에서 단순한 로그 수집 및 분석이 아닌 사후에 추적 등이 가능하도록 상관분석과 포렌식 기능을 제공해주는 지능적 위협에 대한 조기 경고 모니터링 체계
- 기존의 ESM(Enterprise Security Management)의 역할을 보안 영역에서 기업 전반으로 확대시키고, 기업 컴플라이언스 대응 기능을 추가한 것
- 기업 내 정보시스템의 보안 정보 및 이벤트 관리를 통해 내부 및 외부 위협을 모니터링 함으로써 외부의 공격은 물론, 내부 정보유출 또한 방지하는 것
나. SIEM의 등장 배경
- 기업의 보안정책 중 외부 해킹 공격에 대한 효과적인 차단과 탐지, 모니터링 등의 전체 운영관리, 심층분석, 대규모 확장성, 통합 뷰의 니즈 증대
- 매일 생성되는 빅데이터급의 로그 증가로 인한 효율적인 로그 관리 및 분석 필요
- 최근 외부 해킹으로 대량의 개인정보 유출 및 대규모 시스템 장애 사고가 빈번히 발생하고, ESM과 같은 보안 체계는 APT(Advanced Persistent Threat) 공격 같은 장기적이고 지속적인 특정 표적대상 공격에는 대책 없이 피해가 발생하며 사회공학적 해킹(Social Engineering Hacking)도 함께 동원하기 때문에 사전 탐지가 어려운 상황
II. SEIM의 구성도와 주요기능
가. SIEM의 구성도
나. SIEM의 주요기능
| 구 분 | 내 용 | 설 명 |
| 로그관리 | 이벤트수집 | - 보안 시스템, 취약점 관리 시스템, 서버 시스템, 네트워크 시스템으로부터 이벤트를 수신 |
| 무결성관리 | - 수집된 로그의 무결성 보장 | |
| 로그분석 | 상관분석 | - 규칙기반 상관분석을 통한 보안 분석 |
| 포렌식지원 | - 포렌식 및 워크플로우 툴 제공 | |
| 보안 | 외부공격탐지 | - 외부로부터의 보안 위협 탐지 - 서버 시스템, 데이터베이스 리소스 모니터링 |
| 내부위협탐지 | - 내부 사용자 행위 모니터링 및 감시 |
- 다. SIEM의 상관분석 개념도
- 해킹 공격 탐지를 위한 시나리오를 룰셋으로 구성하고 각 시나리오에 따라 이벤트들을 구성하고 그 이벤트를 발생시킨 개별 로그를 정밀하게 분석하는 Top-Down형식의 포렌식 지원
IV. SIEM 솔루션
가. 국산 SIEM 솔루션
- 국내 SIEM관련 시장은 ESM, 보안 관제 프로젝트를 통해 해당 솔루션을 도입, 자체적으로 구축하거나, 전문 보안 컨설팅 기업이 제공하는 서비스 형태(ASP)로 제공 받음
- 국산 솔루션 발전 특징은 로그관리에서 출발해 빅데이터 기술을 적용한 SIEM 솔루션으로 발전했고 무결성, 압축, 대용량 처리 및 속도, 검색에 기술적 강점 보유
나. 외산 SIEM 솔루션
- 리더그룹은 IBM, McAfee(Intel), HP, Splunk, LogRhythm
- 전약적 인수합병을 통해 이전에 보유하던 자체 SIEM 솔루션에 핵심기술을 보강 또는 완전 대체하는 방식으로 새로운 솔루션 출시하는 형태
V. ESM과 SIEM 비교
VI. SIEM의 활용방법
1) 빅데이터 급 보안 데이터를 수집하는 분산 데이터 아키텍처를 제공하며, 대용량의 데이터 세트를 정규화하고 분석
2) NW 트래픽 캡쳐를 통해 공격자의 침투방법 및 수행작업 탐지, 조사
3) 고급 보안 분석 플랫폼을 이용한 보안 위협 인텔리전스 자동 수집 및 기업 외부 보안 위협 환경 정보제공
4) 보안 중심 프로그램의 결과 규정 준수 입증 자료 제공 가능
5) 통합 플랫폼의 운영 환경 제공 외에 정상적인 동작과 공격자의 의심되는 행동을 비교하여 탐지가능
6) 알려진 서명 없는 활성화된 위협을 식별하는 시간 단축
댓글