차세대 SIEM 기술 동향

차세대 SIEM 기술 동향.pdf

0.48MB

1. 개요

• SIEM(Security Information and Event Management): 다양한 시스템/네트워크 로그를 중앙에서 수집·분석하여 위협 식별·대응하는 보안 기술
• SIEM 한계:
  • 데이터 처리·저장 한계 (로그 누락/지연, 필터링 문제)
  • 확장성 부족 (대규모·분산 환경 대응 어려움)
  • 탐지 정확도 문제 (거짓 양성·거짓 음성, 경보 과부하)

---

2. 제로트러스트 모델과 SIEM 연계

• 제로트러스트 원칙: “절대 신뢰하지 말고, 항상 검증(Never Trust, Always Verify)”
• 모든 사용자·디바이스·앱을 검증하고 모든 이벤트를 수집·분석
• SIEM 역할: 데이터 허브, 이상행위 탐지, 정책결정 지원, SOAR와 연계한 자동 대응.

---

3. SIEM 로그 필터링 및 지연 문제 해결 위한 기술

• 데이터 레이크(Security Data Lake):
  • 원시 로그를 무제한 저장 (HDFS, Amazon S3 등 활용)
  • SIEM 분석과 보완적 관계
• 클라우드 기반 플랫폼:
  • Google Security Operations SIEM, Microsoft Azure Sentinel
• 실시간 스트리밍 처리:
  • Kafka, Flink, Spark Streaming → 로그 수집~탐지 지연 최소화
  • Elastic Stack + Kafka, 인메모리 CEP 엔진 활용

---

4. 차세대 SIEM 주요 기술 요소

• AI/ML: 이상행위 탐지, 경보 자동 분류, 자율 학습 모델.
• UEBA: 사용자·엔티티 행위 프로파일링, 내부자 위협 탐지.
• SOAR: 보안 대응 자동화(플레이북 기반), MTTR 단축.
• XDR: 엔드포인트·네트워크·클라우드 전반 확장 탐지/대응.
• TIP 연계: 글로벌 위협 인텔리전스와 이벤트 교차분석.

---

5. 결론 및 전망

• 차세대 SIEM은 빅데이터 + AI + 자동화 기반 지능형 보안 플랫폼.
• 기대 효과:
  • MTTD/MTTR 개선
  • 보안 인력·예산 효율성 향상
• 미래 방향:
  • 완전 자동화 SOC
  • 멀티클라우드, OT, 컨테이너까지 확장
  • 글로벌 표준(STIX/TAXII, MITRE ATT&CK) 연계
  • 산·학·연 협력 통한 내재화 필요

출처: ITFIND (https://www.itfind.or.kr/publication/regular/weeklytrend/weekly/list.do?selectedId=1368)