SIEM (Security Information and Event Management)이란?

보안 로그를 모으고, 분석하고, 위협을 탐지하는 핵심 보안 관제 시스템

---

1. SIEM이란 무엇인가?

SIEM(Security Information and Event Management) 은
기업의 모든 IT 시스템에서 발생하는 로그와 보안 이벤트를 중앙에서 수집·분석하여
보안 위협을 탐지하고 대응하도록 돕는 통합 보안 관제 솔루션이다.

쉽게 말해,

👉 “각종 서버·네트워크·보안 장비의 로그를 한 곳에 모아
이상 행위를 실시간으로 분석하고 경보를 발생시키는 시스템”

이다.

---

2. 왜 SIEM이 필요한가?

2-1. 보안 로그는 너무 많다

현대 IT 환경에서는 다음과 같은 시스템에서 매초 로그가 발생한다.

• 서버 (Linux, Windows)

• 네트워크 장비 (FW, L4/L7, Router, Switch)

• 보안 장비 (NGFW, WAF, IPS, EDR)

• 클라우드 서비스 (AWS, NCP, Azure)

• 애플리케이션 / DB

• 사용자 인증 시스템 (AD, IAM)

👉 사람이 직접 로그를 확인하는 것은 현실적으로 불가능

---

2-2. 공격은 “흩어진 로그” 속에 숨어 있다

• 단일 로그만 보면 정상처럼 보이지만

• 여러 시스템 로그를 연관 분석(Correlation) 하면 공격이 보인다

예시:

① VPN 로그인 실패 다수 발생
② 특정 IP에서 서버 접근 시도
③ 이후 관리자 권한 상승 로그 발생

👉 이 모든 로그를 연결해서 분석해야 침해 사고를 인지할 수 있다.

---

3. SIEM의 핵심 기능

3-1. 로그 수집(Log Collection)

SIEM은 다양한 소스에서 로그를 수집한다.

수집 대상	예시
서버	syslog, Windows Event
보안 장비	Firewall, WAF, IPS
클라우드	CloudTrail, VPC Flow Log
계정	AD, IAM, SSO
애플리케이션	접근 로그, 에러 로그

---

3-2. 로그 정규화(Normalization)

각 장비마다 로그 형식이 다르기 때문에
SIEM은 이를 공통 포맷으로 변환한다.

[시간] [출발지 IP] [목적지 IP] [행위] [결과]

👉 이 과정이 있어야 연관 분석이 가능하다.

---

3-3. 이벤트 상관 분석(Correlation Analysis)

SIEM의 핵심 기능이다.

• 시간 기반 분석

• 행위 기반 분석

• 사용자 기반 분석

• 자산 중요도 기반 분석

예시 룰:

- 5분 내 로그인 실패 10회 이상
- 정상 근무시간 외 관리자 로그인
- 해외 IP에서 내부 서버 접근

---

3-4. 위협 탐지 및 경보(Alert)

이상 징후 발생 시:

• 실시간 알림

• 대시보드 표시

• 이메일 / SMS / Slack 연동

👉 보안 관제(SOC)의 눈 역할

---

3-5. 포렌식 & 감사 대응

• 로그 장기 보관

• 사고 발생 시 타임라인 분석

• ISMS, CSAP, ISO27001 감사 대응

---

4. SIEM 구성 아키텍처 (기본 구조)

[각종 시스템/장비]
        ↓
   로그 수집 에이전트
        ↓
   SIEM 수집 서버
        ↓
 로그 분석 / 상관 분석
        ↓
   대시보드 / 알림

---

5. 클라우드 환경에서의 SIEM (AWS / NCP)

5-1. AWS 기반 SIEM 예시

구성 요소	역할
CloudTrail	API 호출 로그
VPC Flow Log	네트워크 트래픽
GuardDuty	위협 탐지
OpenSearch / Splunk	로그 분석
Lambda	이벤트 자동 대응

👉 Cloud-native SIEM + 상용 SIEM 혼합 구성이 일반적

---

5-2. NCP 기반 SIEM 예시

구성 요소	역할
Server Log	서버 이벤트
Network Traffic Monitoring	트래픽
Object Storage	로그 저장
SIEM 솔루션	상관 분석

---

6. SIEM vs SOAR 차이

구분	SIEM	SOAR
목적	탐지	대응 자동화
역할	로그 분석	사고 대응
예시	Splunk, QRadar	Palo Alto XSOAR
관계	탐지 담당	SIEM 결과를 받아 대응

👉 최근에는 SIEM + SOAR 연계가 필수 구조

---

7. SIEM 도입 시 고려사항

7-1. 로그 양과 비용

• 로그량 = 비용

• 불필요한 로그 제거 필요

• 장기 보관 정책 중요

---

7-2. 탐지 룰 튜닝

• 초기에는 오탐 다수 발생

• 지속적인 룰 개선 필요

• 운영 인력 숙련도 중요

---

7-3. 관제 조직(SOC) 연계

• SIEM은 도구일 뿐

• 실제 대응은 사람이 수행

• 24x365 관제 체계 필요

---

8. 대표적인 SIEM 솔루션

글로벌

• Splunk Enterprise Security

• IBM QRadar

• Elastic SIEM

• Microsoft Sentinel

국내

• 로그프레소

• 쿼리시스템즈

• 안랩 SIEM

---

9. SIEM이 필요한 조직은?

✅ 다음 중 하나라도 해당되면 SIEM 도입 대상

• ISMS / CSAP / 금융 보안 인증 대상

• 클라우드 + 온프레미스 혼합 환경

• 개인정보·금융·의료 데이터 보유

• 내부자 위협 관리 필요

• 보안 사고 대응 체계 미흡

---

10. 마무리 – SIEM은 “보안의 눈”

SIEM은 단순 로그 수집 도구가 아니다.

“보이지 않던 위협을 보이게 만드는 시스템”

제로트러스트, ZTNA, NGFW, EDR이
보안의 팔과 다리라면,
SIEM은 눈과 두뇌 역할을 한다.