가트너(Gartner) 보고서에 따르면, 대기업들이 부분적이거나 미미하거나 실패한 배치로 인해 SIEM 벤더를 재평가하고 있는 것으로 나타났다. 전문가들은 지난 10년동안 핵심 기술은 크게 바뀌지 않았지만, 그 사용 사례와 기업들이 도입하는 속도 때문에 변화가 촉진되었다고 말했다.
가트너의 리서치 부사장 안톤 추바킨은 "SIEM은 대부분의 자리를 잡고 똑똑한 기업들에게 복잡한 기술이었지만 지금은 덜 성숙한 조직들이 도입하고 있다"고 말했다. 추바킨은 "이로 인해 요즘 목격하고 있는 기술 발전이 이루어졌다. 점차 지적 능력이 높아지고 있다"고 덧붙였다.
대부분 빅데이터 역량의 형태를 띄는 지적 능력 때문에 SIEM은 기업들이 기본적인 컴플라이언스 표준을 준수하기 위해 배치한 장기적인 이벤트 기록 시스템으로써 발전할 수 있었다. 이제는 기업 위협을 방지하기 위해서 도입이 촉진되고 있다.
포레스터(Forrester)의 수석 애널리스트 조셉 블랑켄십은 "지금은 보안 검출, 보안 분석, 포렌식(Foresics), 빅데이터 플랫폼을 위한 컴플라이언스 툴로써 사용되고 있다"고 말했다.
블랑켄십은 "이제 SIEM이 많은 일을 할 수 있을 것이라 생각되지만 기업들은 그 목표를 달성하기까지 많은 문제를 겪고 있으며, 그 가능성을 완전히 발현하지 못했다. 이로 인해 운용 실패와 부분적인 배치가 발생하고 있다"고.
추바킨은 문제의 근원이 벤더와 조직 모두에 있다고 말했다. 일부 레거시 SIEM 제품이 확장 및 효율성 입증에 어려움을 겪은 반면, 일부 기업들은 단순히 시스템을 관리할 준비가 제대로 되어 있지 않다. 추바킨은 "SIEM을 설치하고 기다리기만 한다고 해서 어떤 일이 이뤄지지는 않는다"고 지적했다.
SIEM이 기준을 충족시키지 못하는 경우 우선 환경, 요구사항, 역량을 검토한 후에 적절한 솔루션을 선택한다. 기업들이 구매 전에 스스로에게, 그리고 벤더에게 필요한 14가지 질문 사항은 다음과 같다.
1. 현재의 SIEM이 문제가 되고 있는가?
어떤 솔루션은 다른 것들보다 낫지만 나쁜 SIEM은 드물다. 가트너의 추바킨은 "거기에서 가치를 얻지 못하고 있다면 다른 이유를 생각해 봐야 한다"고 말했다.
- 적절한 자원을 투입하고 있는가?
- 이를 운영할 대역폭이 있는가?
추바킨은 "교육을 받은 전담 직원이 조율 및 운용에 참여한다면 SIEM이 적절히 기능할 것이다"며, "SIEM을 잘 운용할 수 있는 팀이 없다면 다른 것으로 대체한다고 해서 문제가 해결되지는 않을 것이다"고 설명했다.
2. 감당할 수 있는가?
자사의 보안 활동을 면밀히 검토해 실제로 SIEM을 운용할 수 있는지 여부를 판단하라.
- 모니터링을 위해 관리형 서비스 제공자와 계약을 체결해야 하는가?
- 운영할 수 있는 만반의 준비를 갖추었는가?
추바킨은 "이것은 실제로는 나쁘지 않은 '나쁜 SIEM'의 문제로부터 시작되며, 그냥 쉽게 운영할 수 있는 부분이 아니다"고 말했다. 조짐을 알아차릴 수 있는 사람이 없다면 잠재력을 발현할 수도 없을 것이다.
3. 무엇을 모니터링하고 싶은가?
SIEM 제품을 비교하기 전에 해결할 문제를 파악해야 한다. 추바킨은 "벤더에게 무엇을 얻을 수 있는지 묻지 말고 스스로 파악해야 한다"며, "모니터링하려는 대상과 이유부터 파악해야 한다"고 권고했다.
새로운 SIEM이 최선의 선택이라고 판단된다면 다음의 질문을 통해 벤더를 선정한다.
4. SIEM에 무엇을 투입할 것인가?
대형 SIEM 벤더들은 상대적으로 안정적이며 재정적인 배경이 훌륭하다. 포레스터의 블랑켄십은 "하지만 자사가 중소 벤더 또는 SIEM에 전적으로 집중하지 않는 벤더를 선택한다면 해당 업체의 큰 그림에 어떻게 끼워 맞추어지는 지를 파악해야 한다"고 말했다.
- 해당 플랫폼에 어느 정도의 엄격함을 적용했는가?
- SIEM은 회사에서 중요한 부분인가? 아니면 중요하지 않은 부분인가?
5. 어떤 비용이 발생할까?
일부 SEIM 라이선스는 SIEM을 이용해 처리하는 로그 데이터의 양에 따라 사용자에게 비용이 발생한다. 블랑켄십은 "더 많은 로그와 경보를 발생시키는 기기를 추가하면 가격이 증가할 수 있다"고 말했다.
6. 자사의 로드맵에서 보안 분석은 어디에 해당하는가?
SIEM은 수년에 한 번씩 교체하는 것이 아니기 때문에 새로운 SIEM 벤더를 선택하면 장기적인 관계로 귀결될 가능성이 높다. 따라서 현재 보안 분석 부문에서 해당 벤더의 위치와 향후 로드맵에서 어디에 해당하는지 파악해야 한다. 블랑켄십은 "매우 엄격한 규칙 기반 SIEM에서 미래의 보안 분석 플랫폼으로 발전하는 방식을 파악해야 한다"고 설명했다.
7. 클라우드 환경을 어떻게 지원하는가?
마찬가지로 자사가 더 많은 데이터와 인프라를 클라우드로 이행하는 경우 자체 인프라를 이용할 때와 마찬가지로 클라우드 환경을 더욱 잘 파악할 수 있어야 한다.
8. 미래에는 자동화를 어떻게 활성화할까?
보안 전문가들은 전통적인 역할을 방해받고 싶지 않을 수 있지만 미래를 주시하고 자동화를 포용하는 것이 중요하다. 블랑켄십은 "이제 벤더들은 프로세스 가운데 일부를 자동화하는 방법을 찾고 있다. 우리가 점차 익숙해지면서 앞으로 겪게 될 현실이다"고 말했다. 벤더에게 추가적인 자동화를 어떻게 도입할 수 있는지 질문해야 한다.
- 자사의 업무 흐름에 자동화를 도입하기 위해 어떻게 구성할 것인가?
9. 파트너는 누구인가?
벤더의 파트너는 통합의 난이도 여부를 나타내는 지표다. 또한 사용 가능해지는 다른 기술과 기능을 결부시키기 위해 존재하는 API에 대해서도 질문해야 한다.
10. SIEM을 어떻게 발전시킬 것인가?
SIEM에 대한 벤더의 헌신만큼이나 추구하는 발전 방향도 중요하다. 추바킨은 "SIEM 벤더는 지적 능력, 분석, 알고리즘을 강화해 단순히 잘 교육된 인간 두뇌의 확장판이 아니라 실질적인 두뇌가 되려 하고 있다"고 말했다.
11. 자사가 SIEM를 직접 설치, 제어하고 싶다면 어떤 도움을 받을 수 있는가?
보안 전문가들은 SIEM 관리와 관련해 두 가지 생각을 하고 있다. 다른 누구보다 보안에 대해 잘 알고 있기 때문에 직접 소유하고 제어하려 하거나, 아웃소싱을 원하기도 한다. 하지만 전자의 경우라도 여전히 지원을 요청하는 경우가 있다.
블랑켄십은 "SIEM을 이용해 프로토콜을 작성하고 교육을 제공해 모두가 최신 상태를 유지하도록 하기 위해서는 외부 관리를 활용하는 사례가 있다"고 말했다. 관리에 대한 부담 없이 지원을 받을 수 있는 방법이 있다.
12. 아웃소싱을 원한다면 어떻게 지원을 제공할 것인가?
실패한 부분적인 배치의 경우, 더 이상 SIEM 직접 설치를 지원할 수 없다고 말하는 사람들이 있다.
블랑켄십은 "이런 경우 SIEM 관리를 아웃소싱할 수 있는지 여부를 알아야 한다"며, "여기에는 받을 수 있는 컨설팅 서비스 그리고 계약에 포함시킬 수 있는지에 대한 문의가 포함된다"고 조언했다.
13. 자사의 팀에 어떤 교육을 제공할 수 있는가?
보안팀이 SIEM에 능숙해지고 새로 입사하는 직원을 교육할 수 있는 직접적인 또는 온라인 교육 지원에 대해 질문해야 한다.
- 사람들이 질문을 할 수 있는 사용자 커뮤니티가 있는가?
14. 자사의 구체적인 사용 사례를 해결할 수 있는가?
벤더가 자사의 문제를 해결할 수 있는지 여부와 자사와 같은 문제를 해결했던 방법에 따라 다른 답변을 이끌어낼 수 있다.
추바킨은 "벤더가 자사와 유사한 환경에서 해결할 수 있었거나 해결했던 문제의 증거를 요구하라"고 말했다. 벤더에 자사의 요건을 해결할 수 있다는 증거를 요구해야 한다. 다른 고객들에게 그들의 경험에 대해 질문할 수 있는 기회를 확보하라. editor@itworld.co.kr
함께 보면 좋은 콘텐츠
Sponsored
Surfshark
“유료 VPN, 분명한 가치 있다” VPN 선택 가이드
ⓒ Surfshark VPN(가상 사설 네트워크, Virtual Private Network)은 인터넷 사용자에게 개인 정보 보호와 보안을 제공하는 중요한 도구로 널리 인정받고 있다. VPN은 공공 와이파이 환경에서도 데이터를 안전하게 전송할 수 있고, 개인 정보를 보호하는 데 도움을 준다. VPN 서비스의 수요가 증가하는 것도 같은 이유에서다. 동시에 유료와 무료 중 어떤 VPN을 선택해야 할지 많은 관심을 가지고 살펴보는 사용자가 많다. 가장 먼저 사용자의 관심을 끄는 것은 별도의 예산 부담이 없는 무료 VPN이지만, 그만큼의 한계도 있다. 무료 VPN, 정말 괜찮을까? 무료 VPN 서비스는 편리하고 경제적 부담도 없지만 고려할 점이 아예 없는 것은 아니다. 보안 우려 대부분의 무료 VPN 서비스는 유료 서비스에 비해 보안 수준이 낮을 수 있다. 일부 무료 VPN은 사용자 데이터를 수집해 광고주나 서드파티 업체에 판매하는 경우도 있다. 이러한 상황에서 개인 정보가 유출될 우려가 있다. 속도와 대역폭 제한 무료 VPN 서비스는 종종 속도와 대역폭에 제한을 생긴다. 따라서 사용자는 느린 인터넷 속도를 경험할 수 있으며, 높은 대역폭이 필요한 작업을 수행하는 데 제약을 받을 수 있다. 서비스 제한 무료 VPN 서비스는 종종 서버 위치가 적거나 특정 서비스 또는 웹사이트에 액세스하지 못하는 경우가 생긴다. 또한 사용자 수가 늘어나 서버 부하가 증가하면 서비스의 안정성이 저하될 수 있다. 광고 및 추적 위험 일부 무료 VPN은 광고를 삽입하거나 사용자의 온라인 활동을 추적하여 광고주에게 판매할 수 있다. 이 경우 사용자가 광고를 보아야 하거나 개인 정보를 노출해야 할 수도 있다. 제한된 기능 무료 VPN은 유료 버전에 비해 기능이 제한될 수 있다. 예를 들어, 특정 프로토콜이나 고급 보안 기능을 지원하지 않는 경우가 그렇다. 유료 VPN의 필요성 최근 유행하는 로맨스 스캠은 인터넷 사기의 일종으로, 온라인 데이트나 소셜 미디어를 통해 가짜 프로필을 만들어 상대를 속이는 행위다. 이러한 상황에서 VPN은 사용자가 안전한 연결을 유지하고 사기 행위를 방지하는 데 도움이 된다. VPN을 통해 사용자는 상대방의 신원을 확인하고 의심스러운 활동을 감지할 수 있다. 서프샤크 VPN은 구독 요금제 가입 후 7일간의 무료 체험을 제공하고 있다. ⓒ Surfshark 그 외에도 유료 VPN만의 강점을 적극 이용해야 하는 이유는 다음 3가지로 요약할 수 있다. 보안 강화 해외 여행객이 증가함에 따라 공공 와이파이를 사용하는 경우가 늘어나고 있다. 그러나 공공 와이파이는 보안이 취약해 개인 정보를 노출할 위험이 있다. 따라서 VPN을 사용하여 데이터를 암호화하고 개인 정보를 보호하는 것이 중요하다. 서프샤크 VPN은 사용자의 개인 정보를 안전하게 유지하고 해킹을 방지하는 데 유용하다. 개인정보 보호 인터넷 사용자의 검색 기록과 콘텐츠 소비 패턴은 플랫폼에 의해 추적될 수 있다. VPN을 사용하면 사용자의 IP 주소와 로그를 숨길 수 있으며, 개인 정보를 보호할 수 있다. 또한 VPN은 사용자의 위치를 숨기고 인터넷 활동을 익명으로 유지하는 데 도움이 된다. 지역 제한 해제 해외 여행 중에도 한국에서 송금이 필요한 경우가 생길 수 있다. 그러나 IP가 해외 주소이므로 은행 앱에 접근하는 것이 제한될 수 있다. VPN을 사용하면 지역 제한을 해제해 해외에서도 한국 인터넷 서비스를 이용할 수 있다. 따라서 해외에서도 안전하고 편리하게 인터넷을 이용할 수 있다. 빠르고 안전한 유료 VPN, 서프샤크 VPN ⓒ Surfshark 뛰어난 보안 서프샤크 VPN은 강력한 암호화 기술을 사용하여 사용자의 인터넷 연결을 안전하게 보호한다. 이는 사용자의 개인 정보와 데이터를 보호하고 외부 공격으로부터 사용자를 보호하는 데 도움이 된다. 다양한 서버 위치 서프샤크 VPN은 전 세계 곳곳에 여러 서버가 위치하고 있어, 사용자가 지역 제한된 콘텐츠에 액세스할 수 있다. 해외에서도 로컬 콘텐츠에 손쉽게 접근할 수 있음은 물론이다. 속도와 대역폭 서프샤크 VPN은 빠른 속도와 무제한 대역폭을 제공하여 사용자가 원활한 인터넷 경험을 누릴 수 있도록 지원한다. 온라인 게임, 스트리밍, 다운로드 등 대역폭이 필요한 활동에 이상적이다. 다양한 플랫폼 지원 서프샤크 VPN은 다양한 플랫폼 및 디바이스에서 사용할 수 있다. 윈도우, 맥OS, iOS, 안드로이드 등 다양한 운영체제 및 디바이스에서 호환되어 사용자가 어디서나 안전한 인터넷을 즐길 수 있다. 디바이스 무제한 연결 서프샤크 VPN은 무제한 연결을 제공하여 사용자가 필요할 때 언제든지 디바이스의 갯수에 상관없이 VPN을 사용할 수 있다.