가트너, 포레스터가 권유하는, "SIEM 구매 전, 필요한 14가지 질문"

SIEM(Security Information and Event Management) 기술에 대한 수요는 높지만 기업들이 이런 제품과 서비스를 원활하게 운용하고 있지는 않다.

가트너(Gartner) 보고서에 따르면, 대기업들이 부분적이거나 미미하거나 실패한 배치로 인해 SIEM 벤더를 재평가하고 있는 것으로 나타났다. 전문가들은 지난 10년동안 핵심 기술은 크게 바뀌지 않았지만, 그 사용 사례와 기업들이 도입하는 속도 때문에 변화가 촉진되었다고 말했다.

가트너의 리서치 부사장 안톤 추바킨은 "SIEM은 대부분의 자리를 잡고 똑똑한 기업들에게 복잡한 기술이었지만 지금은 덜 성숙한 조직들이 도입하고 있다"고 말했다. 추바킨은 "이로 인해 요즘 목격하고 있는 기술 발전이 이루어졌다. 점차 지적 능력이 높아지고 있다"고 덧붙였다.

대부분 빅데이터 역량의 형태를 띄는 지적 능력 때문에 SIEM은 기업들이 기본적인 컴플라이언스 표준을 준수하기 위해 배치한 장기적인 이벤트 기록 시스템으로써 발전할 수 있었다. 이제는 기업 위협을 방지하기 위해서 도입이 촉진되고 있다.

포레스터(Forrester)의 수석 애널리스트 조셉 블랑켄십은 "지금은 보안 검출, 보안 분석, 포렌식(Foresics), 빅데이터 플랫폼을 위한 컴플라이언스 툴로써 사용되고 있다"고 말했다.

블랑켄십은 "이제 SIEM이 많은 일을 할 수 있을 것이라 생각되지만 기업들은 그 목표를 달성하기까지 많은 문제를 겪고 있으며, 그 가능성을 완전히 발현하지 못했다. 이로 인해 운용 실패와 부분적인 배치가 발생하고 있다"고.

추바킨은 문제의 근원이 벤더와 조직 모두에 있다고 말했다. 일부 레거시 SIEM 제품이 확장 및 효율성 입증에 어려움을 겪은 반면, 일부 기업들은 단순히 시스템을 관리할 준비가 제대로 되어 있지 않다. 추바킨은 "SIEM을 설치하고 기다리기만 한다고 해서 어떤 일이 이뤄지지는 않는다"고 지적했다.

SIEM이 기준을 충족시키지 못하는 경우 우선 환경, 요구사항, 역량을 검토한 후에 적절한 솔루션을 선택한다. 기업들이 구매 전에 스스로에게, 그리고 벤더에게 필요한 14가지 질문 사항은 다음과 같다.

1. 현재의 SIEM이 문제가 되고 있는가?
어떤 솔루션은 다른 것들보다 낫지만 나쁜 SIEM은 드물다. 가트너의 추바킨은 "거기에서 가치를 얻지 못하고 있다면 다른 이유를 생각해 봐야 한다"고 말했다.

- 적절한 자원을 투입하고 있는가?
- 이를 운영할 대역폭이 있는가?

추바킨은 "교육을 받은 전담 직원이 조율 및 운용에 참여한다면 SIEM이 적절히 기능할 것이다"며, "SIEM을 잘 운용할 수 있는 팀이 없다면 다른 것으로 대체한다고 해서 문제가 해결되지는 않을 것이다"고 설명했다.

2. 감당할 수 있는가?
자사의 보안 활동을 면밀히 검토해 실제로 SIEM을 운용할 수 있는지 여부를 판단하라.

- 모니터링을 위해 관리형 서비스 제공자와 계약을 체결해야 하는가?
- 운영할 수 있는 만반의 준비를 갖추었는가?

추바킨은 "이것은 실제로는 나쁘지 않은 '나쁜 SIEM'의 문제로부터 시작되며, 그냥 쉽게 운영할 수 있는 부분이 아니다"고 말했다. 조짐을 알아차릴 수 있는 사람이 없다면 잠재력을 발현할 수도 없을 것이다.

3. 무엇을 모니터링하고 싶은가?
SIEM 제품을 비교하기 전에 해결할 문제를 파악해야 한다. 추바킨은 "벤더에게 무엇을 얻을 수 있는지 묻지 말고 스스로 파악해야 한다"며, "모니터링하려는 대상과 이유부터 파악해야 한다"고 권고했다.

새로운 SIEM이 최선의 선택이라고 판단된다면 다음의 질문을 통해 벤더를 선정한다.

4. SIEM에 무엇을 투입할 것인가?
대형 SIEM 벤더들은 상대적으로 안정적이며 재정적인 배경이 훌륭하다. 포레스터의 블랑켄십은 "하지만 자사가 중소 벤더 또는 SIEM에 전적으로 집중하지 않는 벤더를 선택한다면 해당 업체의 큰 그림에 어떻게 끼워 맞추어지는 지를 파악해야 한다"고 말했다.

- 해당 플랫폼에 어느 정도의 엄격함을 적용했는가?
- SIEM은 회사에서 중요한 부분인가? 아니면 중요하지 않은 부분인가?

5. 어떤 비용이 발생할까?
일부 SEIM 라이선스는 SIEM을 이용해 처리하는 로그 데이터의 양에 따라 사용자에게 비용이 발생한다. 블랑켄십은 "더 많은 로그와 경보를 발생시키는 기기를 추가하면 가격이 증가할 수 있다"고 말했다.

6. 자사의 로드맵에서 보안 분석은 어디에 해당하는가?
SIEM은 수년에 한 번씩 교체하는 것이 아니기 때문에 새로운 SIEM 벤더를 선택하면 장기적인 관계로 귀결될 가능성이 높다. 따라서 현재 보안 분석 부문에서 해당 벤더의 위치와 향후 로드맵에서 어디에 해당하는지 파악해야 한다. 블랑켄십은 "매우 엄격한 규칙 기반 SIEM에서 미래의 보안 분석 플랫폼으로 발전하는 방식을 파악해야 한다"고 설명했다.

7. 클라우드 환경을 어떻게 지원하는가?
마찬가지로 자사가 더 많은 데이터와 인프라를 클라우드로 이행하는 경우 자체 인프라를 이용할 때와 마찬가지로 클라우드 환경을 더욱 잘 파악할 수 있어야 한다.

8. 미래에는 자동화를 어떻게 활성화할까?
보안 전문가들은 전통적인 역할을 방해받고 싶지 않을 수 있지만 미래를 주시하고 자동화를 포용하는 것이 중요하다. 블랑켄십은 "이제 벤더들은 프로세스 가운데 일부를 자동화하는 방법을 찾고 있다. 우리가 점차 익숙해지면서 앞으로 겪게 될 현실이다"고 말했다. 벤더에게 추가적인 자동화를 어떻게 도입할 수 있는지 질문해야 한다.

- 자사의 업무 흐름에 자동화를 도입하기 위해 어떻게 구성할 것인가?

9. 파트너는 누구인가?
벤더의 파트너는 통합의 난이도 여부를 나타내는 지표다. 또한 사용 가능해지는 다른 기술과 기능을 결부시키기 위해 존재하는 API에 대해서도 질문해야 한다.

10. SIEM을 어떻게 발전시킬 것인가?
SIEM에 대한 벤더의 헌신만큼이나 추구하는 발전 방향도 중요하다. 추바킨은 "SIEM 벤더는 지적 능력, 분석, 알고리즘을 강화해 단순히 잘 교육된 인간 두뇌의 확장판이 아니라 실질적인 두뇌가 되려 하고 있다"고 말했다.

11. 자사가 SIEM를 직접 설치, 제어하고 싶다면 어떤 도움을 받을 수 있는가?
보안 전문가들은 SIEM 관리와 관련해 두 가지 생각을 하고 있다. 다른 누구보다 보안에 대해 잘 알고 있기 때문에 직접 소유하고 제어하려 하거나, 아웃소싱을 원하기도 한다. 하지만 전자의 경우라도 여전히 지원을 요청하는 경우가 있다.
블랑켄십은 "SIEM을 이용해 프로토콜을 작성하고 교육을 제공해 모두가 최신 상태를 유지하도록 하기 위해서는 외부 관리를 활용하는 사례가 있다"고 말했다. 관리에 대한 부담 없이 지원을 받을 수 있는 방법이 있다.

12. 아웃소싱을 원한다면 어떻게 지원을 제공할 것인가?
실패한 부분적인 배치의 경우, 더 이상 SIEM 직접 설치를 지원할 수 없다고 말하는 사람들이 있다.
블랑켄십은 "이런 경우 SIEM 관리를 아웃소싱할 수 있는지 여부를 알아야 한다"며, "여기에는 받을 수 있는 컨설팅 서비스 그리고 계약에 포함시킬 수 있는지에 대한 문의가 포함된다"고 조언했다.

13. 자사의 팀에 어떤 교육을 제공할 수 있는가?
보안팀이 SIEM에 능숙해지고 새로 입사하는 직원을 교육할 수 있는 직접적인 또는 온라인 교육 지원에 대해 질문해야 한다.

- 사람들이 질문을 할 수 있는 사용자 커뮤니티가 있는가?

14. 자사의 구체적인 사용 사례를 해결할 수 있는가?
벤더가 자사의 문제를 해결할 수 있는지 여부와 자사와 같은 문제를 해결했던 방법에 따라 다른 답변을 이끌어낼 수 있다.

추바킨은 "벤더가 자사와 유사한 환경에서 해결할 수 있었거나 해결했던 문제의 증거를 요구하라"고 말했다. 벤더에 자사의 요건을 해결할 수 있다는 증거를 요구해야 한다. 다른 고객들에게 그들의 경험에 대해 질문할 수 있는 기회를 확보하라. editor@itworld.co.kr