CIO / 보안

오래된 SIEM을 좀 더 사용하는 방법 8가지

Maria Korolov | CSO 2020.06.03
기존 SIEM(Security Information and Event Management) 시스템을 비용을 들이지 않고 업데이트해 조금 더 오랫동안 사용할 순 없을까? 
 
ⓒ Getty Images Bank

코로나19 전염병으로 인해 전 세계 경제가 침체함에 따라 기업은 IT 예산을 포함해 전반적으로 허리띠를 졸라매야 한다. 5월 가트너는 전 세계 IT 지출이 지난해와 비교해 2020년에 9% 감소할 것으로 예측했다. 또한 5월에 발표한 바라쿠다(Barracuda) 조사에 따르면, 40%의 기업이 코로나19 위기에 대처하기 위한 비용 절감 방안으로 사이버보안 예산을 삭감했다. 

이는 사이버보안 팀이 SIEM 플랫폼과 같은 핵심 보안 시스템에 대한 업그레이드 계획을 연기할 수 있음을 의미한다. SIEM은 기업 전체에 걸쳐 보안 관련 데이터를 수집하고 보안 분석가가 위협을 식별하는 데 도움을 주는 기업 보안 운영 센터(Security Operations Centers, SOC)의 핵심이다.  

SIEM이 오래됨에 따라 문제점이 드러나기 시작했다. 구형 SIEM 플랫폼은 하이브리드 클라우드 아키텍처와 SaaS와 같은 새로운 소스에서 데이터를 수집, 처리하는 데 어려움을 겪고 있다. 또한 의심스러운 행동을 발견하거나 위협의 우선순위를 지정할 수 있는 최신 분석 도구가 없는 경우도 있다. 

또한 오래된 SIEM은 경제적으로 수집할 수 있는 정보의 양에 제한이 있어 기업의 가시성을 제한할 수 있지만, 위협은 사라지지 않는다. 오히려 공격자는 코로나19를 이용해 활동을 강화하고 있다. 

바라쿠다 조사에 따르면, 원격 근무 태세로 전환한 이후 51%의 기업이 이미 피싱 공격이 증가한 것으로 나타났으며, 응답자의 51%는 직원이 원격 작업과 관련해 사이버 위험에 능숙하지 못하거나 적절한 교육을 받지 못했다고 답했다. 자사의 웹 애플리케이션이 안전하다고 확신이 없으며(46%), 직원들이 회사 업무를 수행하기 위해 개인 이메일 주소와 개인 기기를 사용하도록 허용했다(50%).  

다른 조사 연구들도 이런 암울한 견해를 뒷받침한다. 
  • 위협 정보 공유 업체 아크틱 시큐리티(Arctic Security)의 4월 보고서에 따르면, 해킹당한 기업과 기관의 수는 1월 이후 2배 이상 증가했다. 
  • 보안업체 크라우드스트라이크(Crowdstrike)가 고위 의사결정권자 4,000명 이상을 대상으로 한 설문조사에서 이들 가운데 83%는 현재 원격으로 일하고 있으며, 60%는 업무용으로 개인기기를 사용하고, 절반 이상이 추가적인 사이버보안 교육을 받지 않았다고 응답했다. 
  • 웹 애플리케이션 공격 보안성 평가 업체 비트사이트(BitSight) 보고서에 따르면, 홈 네트워크는 기업 네트워크보다 적어도 하나 이상의 악성코드가 있을 가능성이 3.5배 더 높다. 

비용을 들이지 않고 SIEM을 업그레이드해 기업의 보안 상태를 개선하는 방법은 어떤 것이 있을까? 보안전문가들이 기업이 기존 SIEM 기술을 더 오랫동안 사용할 수 있는 여러가지 방법을 제안했다.
  
1. 데이터가 어디서 오는지 파악한다 
사이버보안 컨설팅 업체 엠버섹(EmberSec) 대표 컨설턴트 켄 젠킨스는 기존 SIEM을 최대한 활용하기 위한 첫 번째 단계는 데이터가 어디에서 오는 지 확인하는 것이라고 말했다. 요즘에는 원격으로 작업하는 직원에게서 많은 보안 위협 데이터가 나온다. 젠킨스는 “직원들이 사무실에 있을 경우, 보안 담당자는 다른 데이터를 수집해야 한다. 특히 엔드포인트에서 동일한 기기를 탐지할 수 없을 것이다. 특히 자신의 기기를 가져오는 직원에게 VPN 및 클라우드 서비스를 사용하는 방법과 같이 원격 사용자에게 적용할 수 있는 사항을 살펴봐야 한다"라고 조언했다.

기업에게 현재 가장 중요한 피드(feeds)의 우선순위를 정하고, 데이터가 충분하지 않은 영역을 보강하는 것부터 시작해야 한다. 젠킨스는 "구독 및 라이선스가 있는 피드를 우선 제거하라. 여기에 3가지 피드와 동일한 통찰력을 제공하는 하나의 피드가 있다면 다른 피드들은 차단할 수 있다"라고 제안했다. 

2. 피드에 컨텍스트를 추가한다 
SIEM의 목적이 들어오는 위협을 더 잘 탐지하는 것이라면, 기업은 데이터에 더 많은 의미를 부여해 자신이 보유한 피드로부터 더 많은 가치를 얻을 수 있다. 젠킨스는 더 많은 기능 강화에 중점을 둬 결정을 내릴 수 있는 컨텍스트를 얻을 수 있다고 말했다. 

일부 서드파티 도구는 외부 소스로부터 정보를 가져올 수 있으므로 보안 담당자가 기본 조사를 하는 시간을 아낄 수 있다. 애널리스트들은 더 많은 시간을 사냥하는 데 사용하길 원한다.
 
미국 매니지드 보안 제공업체 폰듀런스(Pondurance) CEO 랜던 루이스는 오픈소스 또는 커뮤니티 기반의 위협 정보 검색 도구도 있다고 말했다. 기존 SIEM이 API를 활용하는 기능을 지원한다면 이를 사용해 도메인(domains) 또는 해시(hashes)와 같은 나쁜 지표를 조회할 수 있다. 

기존 피드에서 더 많은 정보를 얻는 또 다른 방법은 예를 들어, 데이터를 통합하거나 정규화해 데이터가 SIEM에 들어가기 전에 일부 처리를 수행하는 것이다. 이를 통해 사람들은 더 나은 데이터를 가지면서 분석이 더 빨리 이뤄질뿐만 아니라 일부 기업은 SIEM 자체로 비용을 절약할 수 있다. 루이스는 “데이터 볼륨에 따라 요금을 부과하는 기존 SIEM은 매우 비쌀 수 있다”라고 덧붙였다. 

3. SIEM 프로세스를 검토한다 
주니퍼네트웍스의 주니퍼 위협 연구소 책임자 무니르 하드는 “SIEM이 시간이 지남에 따라 개선되어야 하는 도구라 생각하겠지만, 항상 그렇지는 않다. SIEM은 첫날에는 작동하지만, 보안을 강화할수록 로그 볼륨이 증가하고 경고와 오탐지를 분리하기가 더 어려워진다”라고 지적했다.
 
비용이 많이 드는 업그레이드 대신 기존 프로세스를 검토하는 것이 더 나은 방법이다. 예를 들어, 사용자 로그인 프로세스가 매일 오탐지를 생성한다고 가정하자. 처음에는 사람들이 인증하는 데 시간이 너무 오래 걸리는 것처럼 보일 수 있지만, 이는 다중 인증 프로세스에 오류가 발생하는 것일 수 있다. 이 새로운 프로세스 데이터를 SIEM 흐름에 추가하면 이런 경고 플래그를 제거할 수 있다. 

이렇게 하면 애널리스트는 관련없는 잡음을 덜 겪게 되고, 집중해야 할 진짜 인증 문제만 다루게 된다. 하드는 "때로는 프로세스 검토와 약간의 변경으로 기존 SIEM에서 수개월, 심지어 수년의 수명을 얻는데 도움이 될 수 있다"라고 말했다.
  
4. 기준을 확인한다 
SIEM이 갑자기 해야 할 일을 중단하면 아마도 SIEM의 문제가 아닐 수 있다. 특정 기준 패턴에서 그렇게 작동하도록 설계됐을 수 있다. 

코로나19가 발생한 후 직원과 고객의 행동은 기존과 크게 다를 수 있다. 미국 터프츠대학교(Tufts University) 대학원 공학 학장 카렌 파네타는 “임계 값이 변경될 것이다. 오늘의 행동을 코로나19 이전과 비교한다면, 그 데이터는 더 이상 의미가 없다”라고 설명했다. 분석 엔진에 의존하는 SIEM은 새로운 기준에 따라 재교육을 받아야 한다. 

5. 공격면을 축소한다
파네타는 "새로운 기기, 연결 및 모니터할 애플리케이션의 새로운 세상이 도래하는 것에 저항할 수는 없을 것이다. 시계를 되돌릴 수 없듯이 1990년 대로 돌아갈 수는 없다. 하지만 1990년 대 제한된 환경에서 일했을 당시의 보안은 훌륭했다"라고 토로했다. 
  
모든 사람이 사용하는 플랫폼 주변의 보안을 강화하는 대신, 모든 플랫폼 내에서 안전한 환경을 조성하는 편이 좋을 수 있다. 가상화된 데스크톱, 모바일 기기 관리 도구, 또는 온라인 포털은 다양한 연결 방법과 원격 작업 설정 전반에 걸쳐 액세스와 인증을 단순화할 수 있다. 

파네타는 "모든 사람이 하나의 보안 사이트에 연결하는 것이 더 나을 수 있다. 모바일 기기는 멍청한 기기가 됐다. 보안을 보장할 수 없으면 안전성이 검증된 기술을 사용해야 한다"라고 충고했다.
 
6. 분석 추가 기능 확인하기 
엠버섹의 젠킨스는 "규모가 큰 기존 SIEM 공급업체는 SIEM에서 실행할 수 있는 애플리케이션 생태계를 갖추고 있다"라고 말했다. AI, 머신러닝, 또는 고급 분석을 전문으로 하는 사이버보안 공급업체는 처음부터 자체 SIEM을 구축하는 대신 앱을 만드는 경우가 많다. 

젠킨스는 "이런 추가 기능의 능력은 매우 다양하다. 하지만 쓰레기를 넣으면 쓰레기만 나온다. 올바른 섭취가 없으면, SIEM에 연결할 수 있는 아무리 좋은 고급 애플리케이션이라도 효과가 없다”라고 경고했다.
 
7. 자동화를 고려한다
플랫폼에 따라 일부 기업은 기존 SIEM에 자동화 도구를 추가할 수 있다. 젠킨스는 “일부 도구는 비용이 많이 들 수 있지만, 현재 몇 개의 공급업체가 자동화를 위해 노력하고 있다. 특히 가장 낮은 수준의 일상적인 업무에서 인력 부족을 완화하는 데 도움을 줄 수 있다”라고 설명했다.
 
또한 많은 직원이 재택근무를 하면서 기업의 물리적 공간이 줄어들면 예산에 조금의 여유가 있을 수 있다. 

8. 클라우드 추가 기능에 투자한다  
많은 기업 프로세스가 클라우드로 이동하고 코로나19로 인해 공격 표면이 급격하게 변했다. 클라우드 기반 SIEM은 기존 온프레미스 플랫폼에서 수행하던 일부 작업을 오프로드하고 일부 작업 공백을 메우는 데 도움이 될 수 있다. 젠킨스는 "완벽한 세상에서 모든 원격 사용자를 클라우드 기반 SIEM으로 전환하고 싶다. 우리는 대역폭 문제를 완전히 배제하고 이런 피드를 받을 수 있는 클라우드의 견고함을 확보한다"라고 말했다.
 
오피스 365 또는 온라인 협업 도구와 같이 가장 많이 사용하는 호스팅 서비스의 경우, 클라우드 SIEM에 로그를 보내는 것은 매우 간단할 수 있다. 실제로 많은 클라우드 기반 플랫폼에는 API 기반의 통합 기능이 있다.
 
IT 컨설팅 업체 ESG(Enterprise Strategy Group) 수석 애널리스트 존 올트식은 “클라우드는 기업과 기관이 더 많은 데이터를 수집할뿐만 아니라 분석과 보존에 도움을 줄 수 있다. 우리는 클라우드에서 또는 클라우드 백엔드를 통해 대부분의 배포를 보고 있다"라고 설명했다. 예를 들어, 클라우드 플랫폼은 다양한 데이터 파이프라인과 용량을 제공하거나 매니지드 서비스에 좀 더 긴밀하게 연결할 수 있다.

 
영구적 전환을 위한 기반 구축하기 

단기적인 해결책이 무엇이든 결국에는 좀 더 영구적인 것으로 진화해야 한다. 젠킨스는 "전염병은 수개월 혹은 수년동안 지속될 수 있지만, 그렇지 않다고 해도, 오늘날 우리가 겪고 있는 많은 변화는 영구적일 것이다. 이후에는 훨씬 더 많은 원격 직원이 있을 것이라고 생각한다. 이제 예전과는 결코 같지 않을 것이다"라고 덧붙였다. editor@itworld.co.kr 
 Tags SIEM

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.