보안정보
전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.
보안관제센터의 두뇌 ‘SIEM’의 진화와 역사
2025.06.20
247
‘보안 정보 및 이벤트 관리(Security Information and Event Management, SIEM)’ 솔루션을 사람에 비유한다면, 무엇이 될 수 있을까요?
저는 ‘두뇌’라고 생각합니다. 두뇌는 시각, 청각, 후각, 미각, 촉각 등의 감각 정보를 토대로 우리 몸에 위험 신호를 보냅니다. 우리 몸의 항상성 유지를 위한 내장 감각과 균형 감각처럼, 우리가 인지하지 못한 순간에 보내지는 위험 경보도 있죠.
마치 보안관제센터(Security Operation Center, SOC)의 두뇌처럼 SIEM 역시 유사한 역할을 수행합니다. 분산된 정보를 한 곳에 모아 분석해 기업의 보안 환경에 대한 가시성을 확보하기 때문이죠. 이것이 위협인지 아닌지, 어떤 수준의 위협인지, 이 위협에 적합한 대응 방법은 무엇인지, 보안 위협에 대한 진실을 다각도로 모색함으로써, 조직 보안 태세를 균형 잡힌 상태로 유지해 생존하게 하는 것입니다.
때문에, 전 세계 수많은 보안 조직들은 각각의 사업 여건과 사업 환경에 알맞은 SIEM 솔루션을 도입해 보안 체계를 강화하고 있습니다. 그런데 말입니다, 분산된 정보에만 의존했던 과거의 보안 조직을 살린 SIEM은 언제 탄생했을까요, 그리고 어떻게 발전해 왔을까요? 중앙 집중식 정보 수집에 집중했던 탄생기부터 인공지능(AI) 기술이 녹아들어 간 지금까지 SIEM의 진화 과정을 짚어보도록 하겠습니다.
01. SIEM의 선조, 태어나다
1990년 대-2000년 대 초반의 보안 담당자들은 늘 골치가 아팠습니다. 보안 증거 수집 과정이 문제였습니다. 각각의 보안 제품에서 필요한 정보를 개별적으로 수집하고, 이 분산된 데이터를 수작업으로 연결해야 했기 때문입니다. 그리고 이 과정엔 너무나 많은 시간이 필요했습니다. 로그 관리에 너무 많은 시간을 써야 하므로, 막상 분석 작업에 투자할 시간은 너무나 부족했습니다.
중앙 집중식으로 보안 데이터베이스를 통제할 수 있는 도구가 있다면, 불필요한 로그 수집, 로그 내 정보 추출 및 연동 작업을 최소화할 수 있지 않을까요? 이에 보안 정보 관리(SIM)와 보안 이벤트 관리(SEM)가 결합된 제품들이 등장하게 되었습니다. 이 제품들은 당시 SIEM이 아닌 여러 다양한 이름으로 불리고 있었습니다. 여러 기능 보완이 필요한 상태였죠.
02. SIEM이란 이름을 얻다
그리고 2005년이 되었습니다. 당시 가트너 분석가였던 마크 니콜렛(Mark Nicolett)과 암릿 윌리엄즈(Amrit Williams)가 이러한 개념을 지칭하는 용어를 명명합니다. 바로, 보안 정보 및 이벤트 관리(SIEM) 였죠. 이름을 얻은 SIEM에는 크고 작은 기능 보완이 이뤄졌고, 리얼타임 데이터와 더불어 잠재 위협 맥락 파악에 유용한 히스토리컬 데이터 조회 기능도 포함되게 되었습니다.
03. 연계 분석을 통해 공격의 연결 고리를 끊다
중앙집중식 정보 관리를 토대로 분석을 할 수 있는 기반이 마련되었다면, 다음엔 무엇을 해야 할까요? 보안 정보 관리(SIM)와 보안 이벤트 관리(SEM) 데이터 결합에서 더 나아가 여러 보안 솔루션/장비와 연관 분석을 할 차례입니다. 보안 담당자들은 여러 보안 솔루션 정보를 수집 및 연계 분석함으로써, 네트워크 경계는 물론 기업 내부 시스템을 옮겨 다니는 공격자의 흔적을 포착할 수 있게 되었습니다.
즉, 악성코드를 발견하는 것에서 더 나아가, 이 악성코드가 어떤 데이터를 송수신하고 있는지, 이 악성코드에 감염된 다른 시스템은 없는지 등 해당 행위의 중요성을 판별하고 단일 솔루션에서 놓칠 수 있는 위협과 이상 행위를 탐지해 낼 수 있게 되었습니다. 빅데이터 분석을 통해 완전히 새로운 관점에서 보안 데이터를 바라보고 더 많은 가치를 뽑아내게 된 것입니다.
그러나 예상치 못한 어려움이 있었습니다. 수많은 포인트 솔루션에서 수집한 경보 중 일부는 오탐(false positive) 일 가능성이 있었습니다. 위협이 존재하지 않지만 위협이라고 탐지하는 것이죠. 오탐의 증가는 보안 담당자의 업무 부담을 크게 높이고 고위험군 이벤트에 대한 대응을 늦출 수 있는 만큼, 이에 대한 해결책 모색이 필요했습니다.
더불어, 실제로는 위협이 존재하지만, 위협이 없다고 탐지하는 미탐 (false negative) 역시 문제였습니다. 알려지지 않은 위협의 경우, 룰/시그니처로는 탐지하기가 어려웠습니다. 누군가 운이 없는 보안 조직이 첫 번째 희생자가 되거나, 조직 내부 연구를 통해 잠재적 위협을 예측해 이에 대한 탐지 방안을 마련해야 했죠.
04. 인공지능, 분석·탐지의 효율성을 높이다
하지만 보안 담당자들은 언제나 길을 찾는 법! 2015년경 인공지능의 한 분야인 ‘머신 러닝(기계 학습)’이라는 조력자가 등장했습니다. 머신러닝은 컴퓨터가 학습을 통해 인간의 인지, 추론, 학습 능력을 모방하여 코드로 정의되지 않은 동작을 실행하고, 별도의 개입 없이도 스스로 사고 능력을 지속적으로 발전시킬 수 있게 하는 알고리즘 및 기술을 의미합니다.
정보보안 분야에 적용하자면, 기존의 보안 데이터를 학습한 머신러닝 알고리즘이 스스로 판단 기준을 만들어 이것이 정탐인지 아닌지 정탐이라면 얼마나 위험한지 판단하고, 알려지지 않은 혹은 기존의 패턴을 벗어나는 새로운 유형의 위협을 탐지할 수 있게 하는 것이죠. 즉, AI란 조력자를 통해, 나쁜 놈은 신속하게 찾고 (오탐 감소) 이상한 놈은 정확하게 찾는 것입니다 (미탐 발견).
나쁜 놈은 어떻게 신속하게 찾을 수 있을까요? 머신러닝 알고리즘에게 과거 보안 이벤트를 분석해 대응했던 결과를 알려주고, 이 이벤트의 영향도 및 심각도를 기준으로 삼아 위험한, 덜 위험한, 위험하지 않은 순으로 보안 경보를 우선순위화할 수 있게 학습시키는 것입니다. 보안 담당자들은 보안 이벤트를 분석하는 어려움을 해소하고, 고위험군 경보에 대한 대응 속도를 높일 수 있게 되었습니다.
이상한 놈은 어떻게 정확하게 찾을 수 있을까요? 이상 행위와 공격자 특성 등에 대한 비지도 학습을 수행한 머신러닝 알고리즘이 스스로 만든 판단 기준에 따라 정상 범위를 벗어나는 행위를 분류하게 하는 것입니다. 알려지지 않은 보안 위협에 대한 단서를 얻을 수 있죠. 보안 담당자들은 수많은 이벤트 속에 숨겨져 있었던 이상 행위를 심층 분석함으로써, 보안 공백을 최소화할 수 있게 되었습니다.
05. 보안 운영·자동화와 결합하다… 구원 투수 SOAR 등장
AI적용을 통해, 보안 담당자들은 분석 및 탐지의 효율성을 비약적으로 높일 수 있게 되었습니다. 그러나 아직도 경보 대응은 보안 담당자들의 몫이었죠. 경보의 홍수 속에 고립된 고단한 보안 담당자들이 경보에 둔감해지는 경보 피로(alert fatigue) 현상이 심화되면서, 이들이 주의를 기울여야 하는 고위험군 위협 이벤트마저 놓치는 일이 종종 발생하게 되었습니다.
이때 구원 투수가 등장합니다. 보안 운영·위협 대응 자동화 솔루션인 SOAR(Security Orchestration, Automation and Response)가 마운드에 나타났죠. 보안 위협 유형별 최적의 대응 방안을 매뉴얼화한 ‘플레이북’을 토대로 공격에 자동 대응하는 선수였습니다. SOAR가 SIEM에서 발견한 공격을 자동 대응할 수 있게 하는 다리 역할을 수행하면서, SOC의 성숙도가 한 단계 높아지게 되었습니다.
06. 생성형 AI, 보안 담당자의 조력자가 되다
그리고 2023년, 챗GPT로 촉발된 생성형 AI 혁명은 SIEM에도 중대한 영향을 미치게 됩니다. AI와 보안 분석가 간의 소통 격차를 좁히는 생성형 AI 기능이 SIEM에 도입되어 녹아들어 간 것이죠. 이제 보안 담당자들은 AI가 내놓은 예측 결과와 그 판단 근거는 물론 현장에서 발생한 이벤트 및 상황에 대한 대응 제안에 대한 답변을 자연어 형태로 확인할 수 있게 되었습니다.
07. SIEM의 미래는?
앞으로 SIEM은 어떻게 진화하게 될까요? 최근 열린 ‘RSA 콘퍼런스 2025’를 리뷰한 ‘이글루코퍼레이션, RSAC 2025 참관 보고서: Many Voices, One Community’에서 그 단서를 찾아보았습니다. 여러 SIEM 솔루션이 선보여졌으나, SIEM 자체를 강조하기보다는 클라우드 네이티브 SIEM 중심의 차세대 SOC플랫폼 구축 필요성을 강조한 벤더들이 눈에 띄었다는 분석입니다.
AI가 조력자와 같은 ‘AI 보안 어시스턴트’ 역할 수행에서 더 나아가, SOC 내 자율성을 보유한 개체로 활약할 것이라는 전망도 흥미로웠습니다. AI가 조사·대응 제안을 하고 사람은 중요한 판단만 내리는 부분 자율(Partial Autonomy) 단계, 사람이 방향성과 전략만 수립하면 AI가 자율적으로 운영하는 고도 자율(High Autonomy) 단계로 발전하게 될 것이란 예측이죠.
개인적으로는 AI가 조력자가 아닌 ‘실행자’로 진화하는 이 과정 속에서, SOC의 주춧돌 역할을 하는 SIEM의 가치는 변함없이 유지될 것으로 예상합니다. 보안 분석가와 AI의 협업을 토대로, 의사 결정의 정확성을 높이고 자동화된 작업을 수행하며 새로운 보안 도전과제를 풀어나가는 핵심으로 작용하겠지요. 앞으로 SIEM이 어떤 변화를 맞이할지, 함께 지켜볼까요?
