"네트워크 보안의 필수" SIEM 툴 TOP 12 평가 비교

CSO
보안 정보 및 이벤트 관리(Security information and event management, SIEM)은 네트워크 보안 전문가들을 위한 실용적인 툴이다. 이벤트 로그를 관리하고, 리뷰 및 감사하는 작업은 화려하지는 않지만, 안전한 기업 네트워크를 구축함에 있어서 없어서는 안 되는 중요한 부분이다. 
 
ⓒ Getty Images Bank

오늘날 네트워크 보안은 이미 충분히 성숙해 다양한 툴(머신러닝 기반 방화벽, 하드닝 웹 애플리케이션 서버, 클라우드 서비스 등)로 인해 기업 네트워크에 대한 공격이 더욱 어려워지고 있다. 특히 로그 이벤트에 맥락을 제공하기 위해서는 각 계층, 서비스, 그리고 디바이스를 전체적으로 내려다 보며 모니터링할 수 있어야 한다. 로그 이벤트에 자동화된 복원 작업을 실시하는 과정에서 SIEM 툴을 다음 단계로까지 발전시킬 수 있다.
 
이벤트 로그는 그 특성상 공격 경로를 감추고 자신의 활동 내역을 지우고자 하는 공격자들에게 제2의 공격 표면으로 사용되고 있다. SIEM 툴은 이벤트 로그를 전용 서버나 서비스로 오프로딩해 수정과 삭제를 예방하고, 백업 복사본을 생성해줘 이벤트 로그에 대한 부가적인 안전 장치를 마련해 준다.
 
시중에 나와 있는 최고의 SIEM 툴 12가지를 하나씩 살펴 보고 가트너 피어인사이트(Gartner PeerInsights)의 리뷰 평점도 함께 살펴보자. 

 
1. 에일리언볼트 USM

에일리언볼트(AlienVault)에서 내놓은 통합 보안 관리(Unified Security Management, USM) 플랫폼은 넓은 범주의 시스템에 걸쳐 시스템 이벤트를 모니터링, 분석 및 관리할 수 있는 툴이다. 에셋 디스커버리와 인벤토리(asset discovery and inventory) 덕분이 시스템 요소를 추가하고, 새로운 후보군을 발견하는 일이 더욱 쉬워진다. 

에일리언볼트 USM은 단순한 SIEM 솔루션이 아니다. 이벤트 로그의 관리와 모니터링 외에도 취약점 평가와 (네트워크 및 호스트 기반의) 침입 탐지 툴을 제공해 이런 기능을 갖추지 못한 고객들에게 혜택을 제공하고 있다. 

에일리언볼트는 또한 오픈소스 보안 정보 및 사건 관리(Open Source Security Information and Event Management, OSSIM)를 제공한다. 이름에서도 알 수 있듯이, OSSIM은 오픈소스 SIEM 솔루션으로 USM 스위트와 툴들을 함께 제공한다.
 
- 가트너 피어인사이트 평점: 별 4.3개
- 대상 사용자: 다양한 규모의 IT 상점
- 대표적 기능 및 특성: 침입 탐지와 취약점 평가 툴을 포함한 다면적 보안 솔루션
- 가격 책정: 에일리언볼트는 3가지 요금제를 운영하고 있다. 가장 기본적인 서비스만을 모아 놓은 에센셜 솔루션이 월 1,075달러이며 프리미엄 솔루션의 경우 1년치를 선불로 지불할 시 월 2,595달러 선이다. 요금제에 따라 보유 기간, 데이터 볼륨 제약 및 PCI 컴플라이언트 로그 스토리지 지원 등에서 차이가 난다. 


2. 엘라스틱 로그스태시

엘라스틱(Elastic)은 진정한 의미에서의 SIEM 플랫폼을 제공하지는 않지만(PCI 컴플라이언스가 반드시 요구되는 기업이라면 다른 솔루션을 선택하는 것이 더 낫다) 로그스태시(Logstash)는 폭넓은 소스로부터의 로그 이벤트를 엘라스틱 스택(Elastic Stack) 플랫폼을 사용해 분석하고 다룰 수 있다. 엘라스틱은 특히 데이터를 이동할 수 있는 비츠(Beats)같은 툴을 제공하며 다량의 데이터 분석을 용이하게 해주는 엘라스틱서치(Elasticsearch), 시각화 및 분석을 위한 키바나(Kibana) 등도 제공한다. 

로그스태시는 이번에 소개하는 툴 가운데 가장 유연한 툴일지는 모르지만 몇 가지 우려되는 부분도 있다. 엘라스틱의 스택 플랫폼은 무척 강력하지만 주로 데브옵스 위주로 만들어졌기 때문에 이를 염두에 둬야 한다. 그러나 한편으로는, 엘라스틱 스택 플랫폼 전체가 오픈소스 소프트웨어이기 때문에 비용은 엄청나게 저렴한 편이다. 솔루션 설정에 있어 기업 지원이나 보조를 원하는 고객을 위해 엘라스틱에서는 2가지 경우를 모두 지원하고 있다. 

- 가트너 피어인사이트 평점: 별 4.3개
- 대상 사용자층: 특히 데브옵스 역량을 갖춘 다양한 규모의 고객들
- 대표적 기능 및 특성: 오픈소스이며 매우 유연한 플랫폼
- 가격 책정: 오픈소스이며 무료이다. 기업 규모, 사용 패턴에 따라 기업 지원과 유료 구독도 가능하다.

 
3. 엑사빔 시큐리티 매니지먼트 플랫폼

엑사빔(Exabeam)은 이번에 소개하는 12개의 솔루션 가운데 가트너 피어인사이트 평점에서 가장 높은 점수를 받았다. 그리고 조금만 살펴보면 왜 그런지 단번에 알 수 있다. 우선 엑사빔의 시큐리티 매니지먼트 플랫폼(Security Management Platform)은 이벤트 로그를 처리할 수 있는 빅데이터 툴셋을 제공해 성능 및 분석 이점을 모두 제공한다. 

또한 엑사빔 데이터 레이크(Exabeam Data Lake)는 데이터 볼륨이 아닌 사용자 수를 기준으로 가격을 책정함으로써 데이터를 최대한 많이 지원한다. 엑사빔은 또한 머신러닝과 건전한 리포트를 사용해 다양한 분석 전략을 제공한다.

엑사빔은 이벤트 로그의 컴파일, 집계 및 분석을 위한 도구를 제공할 뿐만 아니라 사고 대응을 처리하기 위한 툴셋을 제공한다. 엑사빔 인시던트 리스펀더(Incident Responder)는 담당자에게 사건을 할당하고 상태 업데이트를 추적할 수 있는 옵션을 제공한다. 

사고 대응 담당자는 또한 자동 및 사용자 정의 플레이북을 활용하는데, 이는 다양한 유형의 사고에 대해 취해야 할 대응 단계와 자동화 및 다른 시스템과의 통합 가능성을 정의한다.

- 가트너 피어인사이트 평점: 별 4.7개
- 대상 사용자층: 중간~대규모 기업들
- 대표적 기능 및 특성: 빅데이터 기반 툴과 통합 사고 대응 시스템
- 가격 책정: 요소별로 따로 가격이 책정되며 사용자 수에 따라 년간 가격 정책이 결정된다.


4. 포티넷 포티SIEM

포티넷(Fortinet)은 SIEM 솔루션인 포티SIEM(FortiSIEM)을 다양한 범주의 네트워크 장치에 제공하고 있다. 포티SIEM은 온프레미스 배치 서버나 가상 어플라이언스, 혹은 아마존웹서비스(AWS)에서도 에셋 디스커버리 및 역할 기반 액세스를 제공한다.

포티SIEM은 이벤트를 수집하고 이벤트 대응을 자동화하는 것을 통합하도록 만들어졌다. 포티SIEM 리미디에이션 라이브러리(FortiSIEM Remediation Library)는 스위치 포트 또는 액티브 디렉터리 계정 비활성화와 같은 문제 해결을 위해 다양한 공급업체의 장치와 시스템에 대해 활용할 수 있는 내장 스크립트를 제공한다.

- 가트너 피어인사이트 평점: 별 4.3개
- 대상 사용자층: 소규모~대규모 기업, 특히 온-프레미스 및 클라우드 기반 워크로드를 모두 지원하는 기업
- 대표적 기능 및 특성: 스크립트 기반 문제 해결과 유연한 디플로이먼트 옵션
- 가격 책정: 하드웨어 어플라이언스의 종신 라이선스 시작가는 1만 525달러이며 가상 어플라이언스 시작가는 2만 1,179달러다.

 
5. IBM 큐레이더 SIEM

IBM은 오랫동안 엔터프라이즈 소프트웨어 분야의 선두주자였으며, 큐레이더(QRadar) SIEM 플랫폼은 기업 이벤트 관리 솔루션에 필요한 대용량 데이터셋과 다양한 기능을 처리할 수 있을 것으로 기대된다. IBM의 소프트웨어 제품답게, 큐레이더는 500개 이상의 통합과 내장 애널리틱스 엔진을 지원한다.

IBM의 큐레이더 어드바이저 위드 왓슨(IBM QRadar Advisor with Watson)을 활용하면 이벤트 로그에 전 세계에서 가장 유명한 AI 솔루션인 왓슨을 사용할 수 있다. 어드바이저는 여러 가지 동향을 수동으로 식별해 낼 필요 없이 보안 팀이 비정상적인 활동에만 집중할 수 있도록 도와준다. 어드바이저는 또한 외부 소스로부터 얻은 새로운 위협에 대한 정보를 통합해 제로데이 공격을 가려낸다.

- 가트너 피어인사이트 평점: 별 4개 
- 대상 사용자층: 중간 규모~대규모 기업 고객
- 대표적 기능 및 특성: 사고 대응 및 자동화를 용이하게 하는 다수의 통합 지점
- 가격 책정: IBM의 온-프레미스 솔루션은 12개월 지원 서비스에 대해 1만 700달러부터 시작한다. IBM의 SaaS 플랫폼인 큐레이더 온 클라우드(QRadar on Cloud)의 시작가는 1년 단위 계약을 전제로 월 800달러부터 시작한다. 


6. 로그포인트

로그포인트(LogPoint)의 사용자들은 쉬운 설정 프로세스를 핵심 장점으로 꼽으며, 라이선스 구조는 비용 예측을 명확하게 한다. 라이선스는 사용자나 처리량이 아닌 SIEM으로 데이터를 전송하는 장치의 수를 기반으로 한다.

로그포인트는 사용자 및 개체 행동 분석(User and Entity Behavior Analytics, UEBA)를 위협 모델링 및 머신러닝 수단으로 사용한다. UEBA는 고객이 광범위한 규칙 집합을 만들거나 수정할 필요없이 빠르게 실행할 수 있도록 해준다.

- 가트너 피어인사이트 평점: 별 4.5개
- 대상 사용자층: 로그포인트는 매니지드 서비스 공급업체를 비롯한 중소기업부터 대규모 기업 환경까지 다양한 고객을 지원한다.
- 대표적 기능 및 특성: 로그포인트의 UEBA는 오탐율(false positive)를 최소화하고, 위협을 우선화해 보안 팀이 필요한 곳에 집중할 수 있도록 한다.
- 가격 책정: 로그포인트는 가격 정보를 공개하지 않고 있다. 하지만 라이선스의 경우 이벤트 데이터를 보고하는 장치 수에 기반한다.


7. 로그리듬

로그리듬(LogRhythm)은 데이터 수집에서 문제 해결까지 위협 관리를 지원하는 포괄적인 SIEM 제품군을 제공한다. 로그리듬은 필요에 따라 다양한 규모의 로그리듬 XM 또는 여러 서버 간의 확장을 지원하는 로그리듬 엔터프라이즈를 제공한다. 둘 다 소프트웨어나 어플라이언스 기반 솔루션에서 사용할 수 있으며, 특히 '엔터프라이즈'는 하이브리드 아키텍처도 지원한다.

코어 로그리듬 솔루션에 몇 가지 애드-온을 사용할 수도 있다. 클라우드AI(CloudAI)는 로그리듬의 UEBA 기반 고급 위협 탐지 솔루션이다. 로그리듬 넷몬(LogRhythm NetMon)은 비정상적인 활동과 잠재적 위협을 식별하기 위해 네트워크 트래픽을 추적한다. 로그리듬은 또한 사용자, 애플리케이션 및 엔드포인트를 모니터링하기 위해 소프트웨어 에이전트 기반 센서인 시스몬(SysMon)을 제공한다.

- 가트너 피어인사이트 평점: 별 4.4개
- 대상 사용자층: 매니지드 서비스 공급업체를 포함한 모든 규모의 기업
- 대표적 기능 및 특성: 애드-온 클라우드AI, 넷몬 및 시스몬이 주요 기능을 추가
- 가격 책정: 로그리듬의 시작가는 2만 8,000달러이며, 구독 옵션도 가능하다.


8. 맥아피 엔터프라이즈 시큐리티 매니저

맥아피 ESM(Enterprise Security Manager)은 분류 및 사고 대응 프로세스를 시작하는 데 있어 매우 중요한 분석 정보를 제공하는 역할을 한다. 이벤트를 관련 로그 항목의 맥락에 비춰 평가하는 ESM은 실행 가능한 경고를 통해 사용자를 예비 조사 단계로 안내한다.

아키텍처 및 통합 측면에서의 유연성이야말로 맥아피 ESM의 핵심 장점이다. ESM은 다양한 규모의 물리적, 가상 어플라이언스에서 사용할 수 있으며, 가상 어플라이언스는 다양한 하이퍼바이저 및 클라우드 플랫폼을 지원한다. 맥아피는 특정 사용례 또는 파트너 플랫폼에 대한 모니터링 및 경고가 가능한 컨텐츠 팩을 제공하며, 12개 이상의 서드파티 공급업체와의 통합 파트너십을 통해 ESM의 확장성을 극대화한다.

- 가트너 피어인사이트 평점: 별 4.2개
- 대상 사용자층: 직원 500인 이상의 중견~대규모 기업 고객
- 대표적 기능 및 특성: 파트너십을 통해 서드파티 시스템과 긴밀하게 통합되므로 단일 인터페이스를 통해 신속한 분류 및 문제 해결이 가능하다.
- 가격 책정: 엔트리 레벨 가상 어플라이언스는 4만~5만 달러 범위에서 이용할 수 있다. 


9. 마이크로포커스 아크사이트 ESM   

아크사이트 ESM(ArcSight ESM)은 엔터프라이즈 SIEM의 모든 요건을 만족하는, 다양한 기능을 고루 갖춘 솔루션이다. 아크사이트 ESM은 다양한 통합 및 사용자 지정 옵션을 지원하므로 보안 분석가가 단일 창에서 사고 대응을 수행할 수 있다. 아크사이트의 마켓플레이스를 사용하면 최소한의 수고만으로 새로운 대시보드, 보고서 또는 상관관계 룰을 활용할 수 있다.

아크사이트 ESM은 워크플로우 기반 자동화를 지원하므로 분석가가 이벤트를 신속하게 상호 연관시키고, 경우에 따라서는 이를 참조하며, 필요에 따라 대응하거나 보고할 수 있게 해준다. 

취해진 각 조치는 SLA 준수 상태를 유지하고 대응 시간을 추적할 목적에서 감사 및 보고의 대상이 될 수 있다. 사용자는 서드파티 시스템과의 통합을 통해 포트 또는 계정 비활성화와 같은 문제를 해결할 수 있으며, 이런 단계를 자동화하기 위해 룰 셋을 만들 수도 있다.

- 가트너 피어인사이트 평점: 별 3.9개
- 대상 사용자층: 중견~대규모 기업 고객 
- 대표적 기능 및 특성: 아크사이트 마켓플레이스를 통한 확장된 기능, 시스템 통합을 통한 실행 가능한 알림
- 가격 책정: 마이크로포커스는 가격 정책에 대한 자세한 정보를 제공하지 않음. 


10. RSA 넷위트니스

RSA의 SIEM 솔루션인 RSA 넷위트니스(RSA NetWitness)는 UEBA, 자동화 툴, 아키텍처 탄력성(하드웨어 및 가상 어플라이언스, 소프트웨어 기반 옵션, 클라우드 배치 모두를 지원)을 포함해 대기업 수준에서 필요로 하는 SIEM을 통합적으로 지원한다. 

RSA 아처(RSA Archer)와 시큐ID(SecurID) 간의 통합 과정에서 영향을 받는 사용자나 자원 정보를 기반으로 사고에 대한 맥락을 추가할 수 있는 기능 역시 RSA 넷위트니스의 주요 기능이다.
 
암호화된 데이터나 웹 트래픽을 SIEM에 통합하는 것은 쉽지 않은 일이다. RSA 위트니스는 복호화, 압축해제, 엔트로피 측정 등 다양한 암호화 툴을 이용해 이 정보들을 확인하고 사용자의 SIEM 워크플로우에 가져올 수 있다. 이와 같은 암호화 트래픽에 대한 시각 제공은 트래픽의 적절성, 문제 여부를 확인하는 차별화된 방법으로 평가받고 있다.
 
- 가트너 피어인사이트 평점: 별 4.2개
- 대상 사용자층: 대기업 고객
- 대표적 기능 및 특성: 단순한 기술, 시스템 맥락에 비즈니스 관점을 더해주는 기능. 암호화 데이터에 대한 가시성 확보를 통한 공격 대응 지원
- 가격 책정: 넷위트니스는 월별 또는 영구 옵션의 가격 책정을 모두 처리량에 기반하고 있다. 월별 라이선스의 소매 가격은 월 857달러부터 시작한다.


11. 솔라윈드 로그 & 이벤트 매니저

솔라윈드(SolarWinds)의 이름은 IT 전문가들에게는 친숙할 것이다. 이 업체는 오랜 기간 각종 무료 툴을 선보이고 공격적인 마케팅을 진행하며 중소 IT 기업들을 고객으로 확보해왔다. 솔라윈드의 SIEM 솔루션인 로그 & 이벤트 매니저(Log & Event Manager)는 위협 탐지 및 조사, 사건 분석 및 감사, 사고 해결 단계 자동화 등의 기능을 제공한다.
 
다만 이번에 소개된 기업용 툴들과 같은 수준의 서드파티 시스템과의 통합, 머신러닝 기반 애널리틱스까지는 기대하지 않는게 좋겠다. USB 플래시 드라이브를 통해 네트워크에 전해지는 리스크를 억제해 줄 USB 드라이브 모니터링은 지원된다. 

- 가트너 피어인사이트 평점: 별 4.2개
- 대상 사용자층: 중소 기업
- 대표적 기능 및 특성: 문제 해결 자동화, USB 기기 모니터링
- 가격 책정: 솔라윈드 로그 & 이벤트 매니저의 영구 라이선스는 최저 4,585달러로 이용할 수 있다. 기본 요금제로는 최대 30노드가 지원되며 보증 기간은 1년이다.


12. 스플렁크

스플렁크(Splunk)는 이번에 소개된 솔루션 가운데 가장 널리 알려진 엔트리급이자 SIEM 플랫폼을 평가하는 표준이다. 가트너 피어인사이트에서는 4.4점의 평점을 받았고 리뷰 수도 500개가 넘는 등 다른 솔루션들을 압도한다. 

스플렁크 플랫폼은 두 가지 버전으로 제공된다. 스플렁크 엔터프라이즈(Splunk Enterprise)는 각종 유닉스나 윈도우 운영체제에 온프레미스 서버 애플리케이션으로, 또는 도커 컨테이너 애플리케이션으로 설치 가능하며, 스플렁크 클라우드(Splunk Cloud)는 SaaS 환경에서 스플렁크를 활용할 수 있어 인프라스트럭처 및 유지 비용 부담이 적다는 장점이 있다. 양 플랫폼 버전 모두 커스텀 가능한 대시보드, 리포팅, 이상 탐지, 고급 접근 통제 기능을 지원한다.

하지만 스플렁크의 최대 장점은 플랫폼의 자체 앱스토어인 스플렁크베이스(Splunkbase)일 것이다. 스플렁크베이스 기반 애플리케이션들은 스플렁크 엔터프라이즈 및 스플렁크 클라우드 모두에서 구동 가능하며, 서드파티 통합, 애널리틱스, 자동화 기능 추가 역시 가능하다.
 
- 가트너 피어인사이트 평점: 별 4.4개
- 대상 사용자층: 모든 규모의 기업 고객
- 대표적 기능 및 특성: 스플렁크베이스 앱 스토어, 체계적인 지원 시스템 및 활성화된 사용자 커뮤니티
- 가격 책정: 스플렁크 엔터프라이즈의 경우, 데이터 1Gb 당 월 150달러. 스플렁크 클라우드는 기본 요금제로 월 810달러(또는 연 8,100달러) 기준으로 하루에 5Gb를 사용할 수 있다. editor@itworld.co.kr