보안 정보 관리와 보안 이벤트 관리의 만남... 로그 분석 넘어 데이터 플랫폼으로 발전
[설문조사] SIEM 운용을 위한 연간 운용비용 ‘1000~3000만원’이 가장 많아
SIEM 솔루션 전문기업 집중분석: 로그프레소, 쿼리시스템즈
[보안뉴스 원병철 기자] 최근 국내·외에서 발생한 주요 보안 사고에서 공통으로 꼽히는 보안 솔루션이 있다. 바로 SIEM(Security Information & Event Management)이다. 실시간으로 이상 징후를 탐지하고, 로그를 조합해 복합적인 위협을 식별하며, 연계된 자동화 솔루션으로 즉각적인 대응을 할 수 있는 SIEM만 있었다면 피해를 줄일 수 있었다는 평가 때문이다. 국내외에서 발생한 여러 사건·사고로 인해 관심이 더욱 높아지고 있다.
[출처: gettyimagesbank]
2025년 7월 미국 CISA의 SIEM(Security Information & Event Management)이 ‘민감 데이터의 외부 전송’을 확인하고 이에 대한 알람 및 로그를 남겼다. 다만 이 외부 전송을 시도한 것이 ‘예외 처리’(Exception)된 마두 고투무칼라(Madhu Gottumukkala) CISA 국장 대행이었기에 차단은 되지 않고, 알람만 일어난 것으로 알려졌다.
이번 사건은 마두 국장 대행이 챗GPT에 정부의 민감한 계약 관련 문서를 업로드하면서 벌어진 일이다. 당시 데이터 유출 우려로 일반 직원들의 챗GPT 접속이 차단된 상황이었지만, 국장 대행은 특별 예외 권한으로 계속 사용하면서 민감 문서까지 업로드하다 적발된 것이었다.
이번 사건으로 AI 도입 시 편의성과 보안 사이의 통제 체계의 중요성이 부각됐으며, 민감 문서의 전송을 탐지한 SIEM에 대한 관심이 높아지게 됐다.
2005년, SIM과 SEM의 결합으로 처음 등장
그렇다면 SIEM은 어떤 솔루션일까? SIEM은 이름 그대로 보안 정보(로그) 관리(SIM)와 보안 이벤트 관리(SEM)가 합쳐진 제품이다. 2005년 가트너의 애널리스트 마크 니콜렛(Mark Nicolett)과 아미트 윌리엄스(Amrit Williams)가 처음 제시한 용어로, 당시 다양한 보안 솔루션이 각기 다른 형식의 로그를 생성하면서 이를 일일이 확인하는 것이 불가능한 상황이 되자 이를 통합·관리하기 위해 시작됐다.
2010년대에 들어서면서 단순히 로그를 수집하는 것을 넘어 로그 간의 ‘상관관계’를 분석하기 시작했다. 빅데이터 기술을 접목하면서 외부 공격의 흔적을 파악할 수 있게 되고, 이를 바탕으로 시나리오 기반의 탐지가 가능해졌다.
AI와 머신러닝을 도입한 SIEM은 행동 분석을 통해 문제를 감지하고, SOAR와의 결합을 통해 미리 저장된 플레이북에 따라 자동으로 대응하기까지 이르렀다.
이제 SIEM은 단순한 로그 분석을 넘어 데이터 플랫폼으로 진화하고 있다. 클라우드를 통해 대규모 데이터를 실시간으로 처리하고, AI를 통해 직접 쿼리를 짜지 않아도 자연어로 결과를 찾아내 보여준다. 자동화를 넘어 선제 대응까지 가능하게 된 것이다.
그렇다면 보안 기업들은 SIEM을 어떻게 정의할까? 먼저 쿼리시스템즈는 전통적인 의미에서 SIM과 SEM이 통합된 솔루션으로, 각종 보안 로그와 시스템 로그를 통합 수집·저장 관리하는 기능(SIM)과 이를 기반으로 실시간 상관분석과 위협 탐지, 그리고 대응 지원을 수행하는 기능(SEM)을 함께 제공하는 플랫폼이라고 설명했다.
로그프레소는 SIEM을 단순한 로그 관리 도구가 아닌, ‘보안운영’(SecOps) 전체를 자동화하고 고도화하는 ‘플랫폼’으로 정의했다. 로그 수집과 저장부터 상관분석, 위협 탐지, 자동 대응(SOAR), 컴플라이언스 리포팅까지 단일 플랫폼에서 완성돼야 진정한 SIEM이라 할 수 있다는 설명이다. 특히 최근 공격이 엔드포인트와 네트워크, 클라우드와 SaaS를 넘나드는 하나의 흐름으로 전개되기 때문에 온프레미스부터 멀티 클라우드와 SaaS까지 모든 영역을 아우르는 전방위 가시성이 SIEM의 출발점이 돼야 한다고 강조했다.
스플렁크(Splunk)는 SIEM이 조직 전반에 분산된 로그·이벤트·경보·메트릭을 통합 분석해 위협을 ‘탐지’(Detection)하고 ‘조사’(Investigation)하며, ‘대응’(Response)까지 연결하는 보안 관제의 핵심 플랫폼이라고 정의했다. SOAR와 UEBA, TI, 자산 계정 정보, 취약점 컴플라이언스 정보까지 결합한 ‘통합형 TDIR’(Threat Detection, Investigation & Response) 플랫폼으로 진화해야 한다는 설명이다. 시큐레이어는 SIEM을 ‘자율형 보안 운영의 중추’(The Core of Autonomous SecOps)라고 정의했다. 단순한 통합을 넘어 ‘지능형 가시성’을 제공하고, 보안 운영의 ‘두뇌’ 역할을 하는 자율 대응의 ‘출발점’이기 때문이다.
▲국내외 대표 SIEM 솔루션 [출처: 각 사 제공, 정리: 보안뉴스·시큐리티월드]
AI 활성화 영향으로 높은 성장세 보이는 SIEM
현재 SIEM 시장은 AI 기반 위협의 고도화와 클라우드 전환 가속에 힘입어 국내외 모두 높은 성장세를 보이고 있다. 앞서 설명한 CISA의 민감 데이터 유출 사건으로 다양한 산업에서 SIEM에 대한 인식이 높아졌으며, 공공기관과 민간기업 모두에서 관련 문의를 증가시켰다.
국내의 경우, 금융권의 ‘전자금융 감독규정’, 공공의 ‘국가 망 보안체계’(N2SF) 등의 규제 강화와 함께 제조·의료 ·교육 등 업종을 가리지 않고 도입 수요가 빠르게 확대되고 있다. 최근 연이어 발생한 보안 사고도 한몫하고 있다. SKT와 KT 등 통신사 문제를 비롯해 쿠팡과 예스24, 롯데카드 등 대형 보안 사고로 인해 SIEM에 대한 관심이 높아졌다는 거다.
무엇보다 디지털 전환(DX)과 인공지능 전환(AX), 원격 근무의 확산 등으로 IT 환경이 복잡해지면서 전통적인 보안 경계가 무너지고 있고, 단일 보안 장비로는 고도화된 우회 공격이나 지능형 위협을 탐지할 수 없다는 위기감이 커지고 있다. 기업들이 SaaS 애플리케이션을 도입하고 개인기기 사용(BYOD)을 허용하면서, 기존 경계를 넘어선 네트워크 가시성 확보의 필요성이 더욱 부각되고 있다는 설명이다.
이 때문에 수백만 건의 파편화된 로그와 이벤트 속에서 ‘진짜 위협’을 정확히 식별하고 신속하게 대응하기 위해서는 IT 인프라 전체 환경을 통합적으로 관리·운영할 수 있는 SIEM이 필수적 보안 인프라로 자리 잡고 있다고 업계는 분석한다.
실제 시장에서는 클라우드 네이티브 및 SaaS 기반 SIEM 솔루션의 빠른 도입, AI 및 머신러닝을 활용한 지능형 위협 탐지와 자동화된 운영의 심화, 그리고 엔드포인트·네트워크·클라우드 환경 전반에 대한 통합 가시성을 제공하기 위한 SIEM과 XDR의 융합이 이뤄지고 있다.
이에 업계는 SIEM 시장이 단순 이벤트 관리 시장에서 AI 기반 통합 보안운영 플랫폼 시장으로 빠르게 재편되고 있다고 보고 있다. 데이터가 폭증하고, 멀티클라우드·하이브리드 환경이 확산되며, AI를 활용한 공격이 빨라지는 가운데, 고객은 더 이상 ‘탐지를 많이 보여주는 SIEM’보다 정확하게 우선순위를 제시하고 대응까지 연결해 주는 플랫폼을 원하고 있다는 설명이다.
스플렁크의 ‘State of Security Report 2025’에 따르면, 지난 1년간 66%의 조직이 데이터 침해를 경험했고, 46%의 SOC 팀은 위협 조사보다 도구 유지보수에 더 많은 시간을 쓰고 있으며, 32%는 효과적인 대응을 위한 기술 역량 부족을 겪고 있다. 이는 SIEM 사용자들이 운영 효율성과 자동화, AI, 통합 플랫폼의 필요를 절실히 원하고 있다는 것을 의미한다고 업계는 보고 있다.
조직의 크기와 상관없이 꼭 필요한 SIEM
SIEM의 성장세가 놀라운 것은 사실이지만, 아직까지 엔터프라이즈 고객이 주축인 것도 사실이다. 다만 2026년 지표를 보면 엔터프라이즈 고객을 중심으로 중견 및 중소기업의 도입도 늘고 있다. 시장조사기관 가트너에 따르면 SIEM 시장의 선두 그룹의 주요 매출원은 포춘 500대 기업과 대형 글로벌 기업이다. 또한 공공과 금융, 제조 등 대규모 보안관제센터(SOC)를 직접 운영해야 하는 산업군이 SIEM의 매출을 견인하고 있다.
이러한 이유는 SIEM을 운용할 만큼 많은 ‘로그’를 갖고 있는 조직은 대부분 대형 기업과 공공기관일 수밖에 없으며, 그만큼의 비용을 지불할 수 있는 것 또한 그들이기 때문이다. 게다가 SIEM을 구축하기 위해서는 높은 초기 구축 비용과 라이선스 비용, 시스템을 운용하기 위한 전문 인력의 필요성도 진입장벽으로 기능한다.
그럼에도 불구하고 조직의 크기와 관계없이 SIEM을 도입해야 하는 이유는 다음과 같다.
첫 번째로 ‘가시성’(Visibility)이다. 모든 보안의 시작은 ‘자산’ 파악에 있다. 현재 조직이 갖고 있는 자산이 어떤 것이 있는지 알아야 그것을 보호할 수 있기 때문이다. 현대의 조직은 온프레미스 서버, 엔드포인트, 네트워크, 클라우드 등 수많은 장비를 사용하고 로그를 생성한다. 하지만 문제 발생시 각 장비의 로그를 개별적으로 확인하는 것은 불가능에 가깝다. 때문에 흩어진 로그를 한곳에 모으고 상관관계 분석을 통해 단일 장비에서 볼 수 없던 공격의 흐름을 파악하는 것이 필요하다.
두 번째는 ‘내부 위협 탐지’다. 내부 직원의 정보 유출은 정상적인 행위로 판단되는 경우가 많아 외부 해킹보다 더 위험한 것으로 간주하기도 한다. SIEM은 행동 분석(UEBA)을 통해 평소와 다른 행위를 ‘이상 징후’로 포착하며, 이는 조직의 규모와 상관없이 모두에게 필요한 기능이라 할 수 있다.
세 번째는 탐지에서 대응까지의 시간 단축이다. 이미 침투한 공격자가 조직의 내부에서 머무는 시간을 줄여야만 추가적인 피해를 막을 수 있는데, SIEM은 SOAR와의 연동을 통해 초동 조치를 즉각 수행할 수 있으며, 나아가 AI와 자동화 기능을 통해 우선순위가 높은 위협을 선별해 즉각 대응할 수 있게 해준다.
네 번째는 사고 이후의 관리다. 보안 사고가 발생했을 때 조직이 어떻게 대응했는지도 매우 중요하다. 개인정보보호법을 비롯해 ISMS-P와 GDPR 등의 규제에 대응하기 위해서는 SIEM을 통한 ‘증거 데이터’가 꼭 필요하다. 이러한 것들이 과징금의 규모나 책임소재 규명에 결정적인 역할을 하기 때문이다.
▲국내외 기업의 SIEM 구축 사례 [출처: 각 사 제공, 정리: 보안뉴스·시큐리티월드]
SIEM을 사용하는 고객들의 만족도는 ‘긍정’
SIEM을 실제 사용하는 고객들은 대부분 만족하고 있는 것으로 알려졌다. 이글루코퍼레이션은 SIEM이 실무 보안 담당자와 경영진 모두에게 긍정적인 평가를 받고 있다고 설명했다. 보안 담당자는 기하급수적으로 증가하는 ‘경보 피로’(Alert Fatigue)를 해소하고, 보안 분석 역량을 향상할 수 있게 되었다는 만족도가 높다. 온프레미스와 클라우드를 아우르는 보안 전 영역의 가시성을 확보하는 것은 물론, 내재화된 AI 파이프라인을 통해 고도화된 위협을 적시에 식별할 수 있기 때문이다. SOAR 연동을 통해 실시간 확장되는 자산, 서비스 대상의 위협에 자동 대응할 수 있다는 점 역시 좋은 반응을 얻고 있다.
경영진은 보안 강화와 더불어 운영 효율성을 높일 수 있게 되었다는 점에 주목하고 있다. AI 에이전트, SOAR와의 유기적 연동을 통해 수동 업무의 상당수를 지능형 자동화 체계로 전환함으로써 보안 인력이 보다 가치 있는 전략 수립에 집중할 수 있는 토대를 마련했기 때문이다.
카스퍼스키 역시 SIEM이 ‘있으면 좋은 것’(Nice to Have)에서 ‘필수 요소’(Must Have)로 빠르게 변화하고 있다고 설명했다. 아울러 기존 보안 생태계와 원활하게 통합될 수 있고, 총 소유 비용을 절감하며, 데이터 주권 요구사항을 모두 충족할 수 있는 클라우드 SIEM이 선호되는 추세라고 강조했다.
이와 함께 SIEM을 과거 ‘로그 저장용’에서 ‘분석의 효율성’과 ‘대응 자동화’로 인식하는 고객들이 늘었다고 시큐레이어는 강조했다. 특히 관제 인력의 피로도를 줄여주는 AI 탐지 기능과 복잡한 쿼리 없이도 직관적으로 위협을 확인할 수 있는 대시보드에 대한 만족도가 매우 높다는 설명이다.
인스피언도 초기에는 구축 비용과 운영 부담에 대한 우려가 있었으나, 실제 도입 이후에는 가시성과 대응 속도 측면에서 높은 만족도를 보인다고 전했다. 특히 로그 분석 자동화와 시각화 기능에 대한 반응이 긍정적이며, 최근에는 AI 기반 기능에 대한 기대가 높아지며 운영 효율 개선에 대한 요구가 증가하고 있다고 밝혔다.
보안업계가 제시하는 SIEM 구축 방법
이처럼 SIEM은 필수 보안 솔루션으로 인정받고 있다. 다만 단순한 로그 저장소나 보안장비 탐지 결과를 확인하는 수준으로만 활용해서는 한계가 있다는 것이 업계의 지적이다. 이에 SIEM 도입 시에는 제로데이 공격과 복합 위협에 대응할 수 있도록 SOAR, NDR, AI 등으로 확장 가능한 통합보안관제 플랫폼인지, 그리고 장기간의 대용량 로그도 수초 내 검색·분석할 수 있는 성능을 제공하는지 반드시 사전에 확인할 필요가 있다고 쿼리시스템은 설명했다. 결국 SIEM은 ‘수집된 위협에 대한 정오탐 분석 처리용 시스템’이 아니라, 탐지·분석·대응까지 연결되는 실질적인 보안운영 체계 구축을 목표로 도입하는 것이 중요하다는 것이다.
로그프레소는 보다 실질적인 조언을 이어 나갔다. 첫 번째는 ‘도입 후 운영’을 먼저 설계하는 것이다. SIEM은 설치로 끝나는 제품이 아니기에, 탐지 시나리오를 누가 관리할 것인지, 경보 발생 시 어떤 프로세스로 대응할 것인지 등 운영 체계를 먼저 정의해야 한다는 설명이다. 두 번째는 ‘TCO 전체를 비교하는 것’이다. 라이선스 비용 외에 인프라와 구축, 운영 인건비와 기술지원 비용까지 포함한 총소유비용을 비교해야 한다는 것이다. 마지막 세 번째는 ‘클라우드와 SaaS 환경의 점검’이다. 클라우드와 온프레미스를 혼용하는 환경에서 모든 로그를 끊김없이 수집할 수 있는지 확인해야 한다.
스플렁크는 SIEM을 ‘얼마나 많은 로그를 담을 수 있는가?’로 평가하기보다 ‘얼마나 빠르게 진짜 위협을 찾아 대응할 수 있는가?’로 평가해야 한다고 설명했다. 아울러 ‘목적’과 ‘유스케이스’를 정의하고, 데이터 전략을 세워야 하며, 구축보다 운영 모델을 먼저 고려해야 한다고 강조했다. 컴플라이언스 대응이 우선인지, SOC 고도화나 내부자 위협 대응이 먼저인지에 따라 설계가 달라지며, 어떤 데이터를 수집하고, 어떤 데이터를 연합 검색이나 티어링으로 운영해야 할지를 결정해야 비용이 통제되기 때문이다.
카스퍼스키도 비즈니스의 목표를 명확히 하고, 총소유비용을 평가하며, 통합 역량을 중시할 것을 강조했다. 아울러 벤더의 탐지 성능을 검증하고 내부적으로 운영 역량을 평가하고 고려할 것도 권장했다. 또한 시큐레이어는 단순히 장비의 처리 성능을 나타내는 EPS(Events Per Second)에만 매몰되지 말고, 실제 현장에서 얼마나 직관적이고 효율적으로 운영할 수 있는지, 그리고 기존 인프라와의 상호 호환성이 얼마나 뛰어난지를 고려해야 한다고 설명했다.
한편, SIEM 도입을 위한 정부 지원사업을 통해 구축 비용을 일부 지원받는 것도 도움이 된다. ‘중소기업 기술보호 바우처’는 중소벤처기업부·TIPA가 운영하며, SIEM 등 보안 솔루션 도입 비용을 지원한다. ‘ICT 중소기업 정보보호 지원사업’은 과기정통부·KISA가 운영하며, 보안 컨설팅과 솔루션 도입비 일부를 지원한다. ‘중소기업 클라우드 서비스 보급 사업’은 클라우드 기반 보안 서비스(클라우드 SIEM 포함) 도입도 지원 대상에 포함될 수 있다. 매년 사업 일정과 지원 범위가 변경되므로 KISA 및 중소기업기술보호 포털을 통해 최신 공고를 확인하는 것이 좋다.
▲SIEM 솔루션 사용자 설문조사 [출처: 보안뉴스·시큐리티월드]
SIEM 솔루션 사용자 설문조사
그렇다면 현재 SIEM 솔루션에 대한 보안 전문가들의 생각은 어떨까? 시큐리티월드와 보안뉴스는 보안 담당자들의 의견을 듣기 위해, 2026년 4월 16일부터 20일까지 5일간 약 10만명의 보안전문가들에게 설문조사를 실시했다. 이번 설문조사에는 공공(30.9%)과 민간(69.1%)의 보안전문가 1100명이 답했다.
먼저 SIEM에 대해 잘 알고 있는 지를 물어봤다. 응답자의 절반 이상인 63.7%는 ‘안다’고 답변했으며, 23.6%는 ‘들어봤지만, 정확하게는 모른다’고 답했다. 그리고 12.7%는 ‘모른다’고 답했다.
또한 현재 SIEM을 도입했거나 도입할 계획이 있는지 물어봤다. 응답자의 39.1%는 ‘현재 사용 중’이라고 답했으며, 10.9%는 ‘1년 이내 도입할 계획’이라고 답했다. 또한 38.2%는 ‘필요성은 느끼지만 당분간 도입 계획은 없다’고 말했으며, 11.8%는 ‘필요성을 느끼지 못해 도입 계획이 없다’고 말했다.
SIEM을 사용하고 있다면, SIEM에서 커버하는 영역은 어디까지 인지도 물어봤다. 복수 선택으로 응답을 받은 결과, 응답자의 77.3%는 ‘네트워크: 방화벽, IPS/IDS, VPN, 스위치, 라우터 등’을 골랐으며, 39.1%는 ‘엔드포인트: EDR, XDR’을 선택했다. 또한 38.2%는 ‘서버 및 가상화: 서버, 가상화 플랫폼’을, 32.7%는 ‘클라우드: 클라우드 자원 변경 및 접근기록’을, 29.1%는 ‘SOC 운영: 보안관리 서비스’를 각각 골랐다. 또한 28.2%는 ‘사용자 계정: IAM’을, 23.6%는 ‘이메일 및 웹 게이트웨이: 이메일, 클라우드 스토리지’를 선택했다.
그렇다면 SIEM을 운용할 때 비용은 얼마나 사용할까? SIEM은 구독제로 사용하는 경우가 많아 연간 운용비용으로 물어봤다. 가장 많은 응답자(33.7%)는 ‘1000만원~3000만원 미만’을 선택했다. 이어 24.5%는 ‘3000만원~5000만원 미만’을, 16.4%는 ‘5000만원~1억원 미만’을 각각 골랐다. 또한 12.7%는 ‘1억원~2억원 미만’을, 6.4%는 ‘2억원~3억원 미만’을, 2.7%는 ‘10억원 이상’을 꼽았다. ‘3억원~5억원 미만’과 ‘5억원~10억원 미만’은 각각 1.8%가 택했다.
사용자들은 SIEM 운용은 어떻게 할까? 응답자의 38.2%는 ‘직접 운용한다’고 답변했으며, 31.8%는 ‘모니터링은 보안 업체가 하되, 의사 결정과 사고 조사는 내부 보안팀과 협력한다’고 답했다. 이어 18.2%는 ‘보안 업체의 인력이 본사로 출근해 상주하며 운용한다’를, 11.8%는 ‘보안 업체가 자사 관제센터에서 원격으로 모니터링한다’고 답했다.
SIEM의 특성상 SOAR와 EDR, XDR 등 실행하는 솔루션과의 연동이 필요하다. 그럴 때 어떻게 연동하는지도 물어봤다. 우선 응답자의 절반인 49.1%는 ‘아직까지 연동하지 않는다’고 답했다. 그리고 30%는 ‘SOAR를 통해 각 솔루션을 연동한다’고 답했으며, 20.9%는 ‘SIEM이 직접 방화벽이나 백신 API를 호출해 대응한다’고 답변했다.
그렇다면 SIEM에 연동하는 ‘자동화된 대응 솔루션’은 어떤 것을 사용할까? 역시 복수 답변을 받았다. 가장 많은 48.2%는 ‘차단 및 격리 솔루션: 차세대 방화벽, EDR, WAF 등’을 선택했으며, 22.7%는 ‘접근 및 계정 제어 솔루션 : IAM, MFA’를 꼽았다. ‘클라우드 인프라 제어: CSP 등’과 ‘IT 서비스 관리 및 협업: IT 서비스 관리 솔루션, 슬랙과 팀즈같은 협업툴’은 각각 14.5%가 답변했으며, ‘이메일 보안 솔루션: 보안 이메일 게이트웨이 등’은 10.9%가 선택했다.
마지막으로 SIEM 운용시 가장 큰 애로사항은 무엇인지 물어봤다. 32.7%는 ‘과도한 오탐(False Positive)으로 인한 업무 과중’을 선택했다. 30.0%는 ‘로그 저장 및 라이선스 비용의 가파른 상승’을, 25.5%는 ‘전문 운영 인력(SOC 분석가) 채용 및 유지의 어려움’을 각각 선택했다. 11.8%는 ‘클라우드/SaaS 등 최신 인프라 지원 미흡’을 골랐다.
SIEM, 보안 운영의 완성도 높이는 자율형 플랫폼
현대의 보안 위협은 단일 시스템이 아닌 다수의 시스템을 거쳐 발생하기 때문에 통합적 관제가 필수이며, SIEM은 분산된 로그를 하나로 연결해 위협의 전체 흐름을 파악할 수 있도록 하기 때문에 보안의 필수 솔루션으로 자리 잡았다. 아울러 규제 대응과 사고 대응 속도를 동시에 확보할 수 있어 기업의 리스크 관리 차원에서도 필수적이라고 전문가들은 강조했다.
설문조사 결과를 봐도 많은 이들이 SIEM에 대해 알고 있었고, 이미 도입했거나 도입할 계획임을 알 수 있다. 특히 전통적인 고객층인 엔터프라이즈를 넘어 중견 및 중소기업들도 SIEM에 대한 구체적 도입 계획을 갖고 있으며, 이미 도입한 곳도 늘어난 것으로 알려졌다. SIEM이 필수 보안 솔루션으로 자리 잡았다는 것을 보여준 것이다.
SIEM은 이제 AI와의 접목을 통해 보안 운영의 완성도를 높이는 자율형 플랫폼으로 나아가고 있으며, 최근 미토스 등 AI의 발전을 봤을 때 그 변화도 그리 멀지 않았을 것으로 보인다.
▲로그프레소 소나 AI 에이전트 자동 티켓 생성[출처: 로그프레소]
[SIEM 솔루션 집중 분석-1] 로그프레소
빅데이터 원천 기술·에이전틱 AI로 보안 운영 자동화... SIEM 넘어 개방형 XDR로 진화
로그프레소, 검증된 SIEM 기술력으로 AI 자율 보안 운영 시대 연다
로그프레소가 금융·공공·제조 현장에서 12년간 쌓아온 SIEM 기술력을 바탕으로, 사람의 개입을 최소화하는 AI 기반 자율 보안 운영 체계 실현에 속도를 내고 있다. 250여 고객사에서 검증된 빅데이터 원천 기술과 에이전틱 AI를 결합해 보안 운영의 효율과 정밀도를 동시에 높이는 한편, 개방형 XDR 플랫폼으로의 진화를 본격화한다는 전략이다.
에이전틱 AI, 보안 운영 부담을 근본적으로 해소
보안관제 조직이 직면한 가장 큰 과제는 경보 과부화와 반복 업무로 인한 분석가 번아웃이다. 엔터프라이즈 환경에서 하루 평균 1만 건 이상의 보안 경보가 발생하고, 분석가의 25%는 오탐 분석에 시간을 소모하며, 65%는 번아웃을 경험한다는 조사 결과가 이를 뒷받침한다.
로그프레소는 에이전틱 AI로 이 문제를 정면으로 해결한다. 보안 담당자는 자연어 명령만으로 위협 현황 대시보드를 생성하고, 정기 리포트 초안을 작성하며, 탐지 시나리오와 위협 헌팅 쿼리까지 즉시 마련할 수 있다. AI 에이전트가 보안 컨텍스트를 이해하고 위협의 우선순위를 판단하며 분석과 대응 흐름을 스스로 설계·실행하는 구조로, 보안 담당자는 최종 의사결정과 예외 상황 판단에 온전히 집중할 수 있다. 특히 금융·공공 기관의 폐쇄망 환경에서도 작동하는 sLLM 기반으로 설계된 점도 주목할 만하다. 보안 데이터가 외부로 유출되지 않아 민감 정보 유출 위험이 없다.
로그프레소는 “에이전틱 AI 기반 자율 보안은 단순한 편의 기능을 넘어 보안 운영의 구조 자체를 전환하는 접근”이라며, “AI가 보안 운영의 주체로서 역할을 확대함으로써 인력 부족과 업무 과중이라는 구조적 문제를 근본적으로 해소하고, 보다 민첩하고 정밀한 보안 운영 체계를 구현해 나갈 것”이라고 밝혔다.
ISMS-P 대응부터 클라우드 자산 관리까지, 통합 보안 플랫폼이 해결하는 규제 과제
보안 운영의 역할은 위협 탐지에만 그치지 않는다. 기업과 기관은 ISMS-P 대응 과정에서 자산 식별과 관리, 로그 수집·분석, 이상행위 탐지 등 보안 통제 전반에 대한 지속적인 가시성 확보를 요구받는다. 여기에 AI 활용 확대와 클라우드 전환으로 관리 대상이 날로 복잡해지면서, AI 거버넌스와 클라우드 자산 현황, 외부 노출 자산과 공격 표면까지 통합 관리할 수 있는 플랫폼의 필요성이 커지고 있다.
로그프레소 소나는 이러한 요구를 하나의 플랫폼에서 충족한다. 로그 수집·분석·탐지라는 SIEM의 핵심 역량 위에 ASM, 자산관리 등을 유기적으로 결합한 개방형 XDR 구조로, 이기종 보안 데이터를 통합 관리하고 보안 통제 현황을 대시보드와 리포트로 즉시 제공한다. 정보통신망법, 개인정보보호법, 전자금융거래법, ISMS-P, N2SF(국가망 보안체계) 등 다양한 컴플라이언스 요건을 단일 플랫폼에서 대응할 수 있어 규제 준수와 보안 운영 수준 향상이라는 두 가지 과제를 동시에 해결할 수 있다. 이처럼 SIEM을 중심으로 한 통합 가시성 체계는 XDR로의 확장과 맞닿아 있다.
검증된 SIEM 위에서 개방형 XDR로 진화
로그프레소는 SIEM에서 쌓아온 기술력과 운영 노하우를 기반으로, 공격 표면 관리(ASM)·자산관리·위협 인텔리전스까지 아우르는 개방형 XDR 플랫폼으로의 확장을 본격화하고 있다. 로그프레소 얼라이언스를 통해 14개 국내 보안 기업과 협력 중인 가운데, 해외 벤더와의 파트너십도 빠르게 넓혀가고 있다.
글로벌 취약점 관리 전문기업 Tenable과는 6월 공동 고객 초청 세미나를 앞두고 있으며, 글로벌 위협 인텔리전스 선두주자 Recorded Future와는 Integration Partner 계약을 체결하고 공식 Integration Center에 연동 사례를 게재하는 한편 엔터프라이즈 고객 대상 공동 세일즈도 본격화할 예정이다. 앞으로 얼라이언스에 더 다양한 제품군을 추가하고 글로벌 협력을 확대해 MSSP를 위한 개방형 XDR 플랫폼으로 진화해 나간다는 계획이다.
개방형 아키텍처 위에서 AI가 탐지·분석·대응의 전 과정을 자율적으로 수행하는, 사람의 개입을 최소화하는 ‘AI 기반 자율 보안 체계’를 실현하는 것, 그것이 SIEM에서 시작해 글로벌 XDR 플랫폼으로 나아가는 로그프레소의 목표다.
▲쿼리시스템즈 QTIE 솔루션 도입 기대효과 [출처: 쿼리시스템즈]
[SIEM 솔루션 집중 분석-2] 쿼리시스템즈
SIEM·SOAR·NDR·AI·TIP을 하나로 통합한 차세대 XDR 플랫폼
AI가 바꾸는 보안관제의 기준, QTIE
사이버 위협 환경이 빠르게 변화하고 있다. 과거에는 알려진 공격 패턴에 대한 탐지 룰을 업데이트하고, 개별 보안장비에서 발생한 경보를 사람이 직접 분석하는 방식이 일반적이었다. 그러나 최근에는 생성형 인공지능(AI)의 확산과 공격 자동화 기술의 고도화로 인해, 공격자는 더 빠르고 정교하게 취약점을 탐색하고 우회 공격을 수행할 수 있게 됐다. 이제 보안운영은 단순한 로그 수집이나 경보 확인 수준을 넘어, 알려지지 않은 위협까지 선제적으로 식별하고 자동으로 대응할 수 있는 체계로 진화해야 한다.
SIEM의 한계를 넘어선 인공지능 기반
통합보안관제 플랫폼 ‘QTIE’이 같은 변화 속에서 QTIE는 기존 SIEM의 한계를 넘어선 AI 기반 통합보안관제 플랫폼으로 주목받고 있다. QTIE는 AI SIEM을 중심으로 SIEM, SOAR, NDR, AI, TIP 기능을 하나의 플랫폼에 통합한 국내 대표 XDR 솔루션으로, 탐지·분석·대응·자동화의 전 과정을 하나의 체계 안에서 수행할 수 있도록 설계됐다.
단순히 여러 기능을 연결한 수준이 아니라, 보안운영 전 단계에서 실질적으로 활용 가능한 통합성과 자동화 수준을 제공한다는 점이 차별점으로 꼽힌다.
QTIE의 가장 큰 강점 중 하나는 AI SIEM 개념을 실제 운영 환경에 구현했다는 점이다. 기존 시장에서는 지도학습 기반 머신러닝을 활용한 정오탐 분석, 비지도학습 기반 이상행위 탐지, 생성형 AI 기반 AI Assistant 기능이 각각 별도 솔루션 또는 독립 기능으로 제공되는 경우가 많았다. 반면 QTIE는 이들 기능을 하나의 솔루션 안에 통합했다. 로그 수집 단계부터 검색, 분석, 룰 생성, 정책 관리에 이르기까지 전 과정에서 AI를 활용할 수 있도록 구성돼 있어, 운영자는 단순히 데이터를 조회하는 수준을 넘어 AI와 함께 탐지 정책을 고도화하고 분석 효율을 높일 수 있다.
특히 QTIE에 내장된 AI Assistant는 보안운영의 실질적인 생산성을 높이는 요소로 평가된다. 대량의 로그와 이벤트가 발생하는 환경에서는 숙련된 분석 인력조차도 필요한 정보를 빠르게 찾아내고 맥락을 파악하는 데 많은 시간이 소요된다. QTIE의 AI Assistant는 이러한 한계를 줄이기 위해 로그 검색, 이벤트 분석, 룰 관리, 정책 운영 등 다양한 단계에서 보조 기능을 제공한다.
사용자는 보다 직관적인 방식으로 로그를 탐색하고, 이상 징후를 해석하며, 필요한 탐지 룰이나 대응 정책을 효율적으로 관리할 수 있다. 이는 단순 편의 기능을 넘어, 인력 중심의 관제 체계를 AI 기반 협업 체계로 전환하는 기반이 된다.
QTIE, ‘SIEM, SOAR, NDR, AI, TIP’을 통합한 XDR 플랫폼
QTIE는 또한 국내 최초로 SIEM, SOAR, NDR, AI, TIP을 통합한 XDR 플랫폼이라는 점에서 시장의 주목을 받고 있다. 오늘날 고도화된 위협에 대응하기 위해서는 단일 솔루션만으로는 한계가 분명하다. SIEM이 로그와 이벤트를 통합 분석하고, NDR이 네트워크 기반의 알려지지 않은 위협을 탐지하며, SOAR가 대응 절차를 자동화하고, TIP이 위협 인텔리전스를 제공하는 구조가 유기적으로 연계돼야 실제적인 운영 효과를 낼 수 있다. QTIE는 이러한 기능을 분리된 제품군이 아니라 단일 플랫폼 안에서 일관된 구조로 제공함으로써, 연동 복잡성을 줄이고 탐지부터 대응까지의 시간을 획기적으로 단축할 수 있도록 지원한다.
특히 SOAR 영역에서는 국내 유일하게 제조사 권장 플레이북을 무상 제공하고, 500종 이상의 플레이북을 제공한다는 점이 강점이다.
보안 자동화의 성패는 단순히 자동화 엔진의 유무가 아니라, 실제 운영 가능한 플레이북의 품질과 현장 적합성에 달려 있다. QTIE는 다양한 산업군과 운영 시나리오에 맞는 플레이북을 제공할 뿐 아니라, 고객사별 환경에 맞춘 플레이북 제작과 적용도 함께 지원을 한다. 이를 통해 고객은 단순히 솔루션을 도입하는 데 그치지 않고, 실제 관제 현장에서 활용 가능한 자동대응 체계를 빠르게 구축할 수 있다.
플랫폼 성능 측면에서도 QTIE는 차별화된 경쟁력을 확보하고 있다. QTIE는 초당 100억건 이상 검색 성능을 제공하는 빅데이터 기반 플랫폼을 바탕으로, 장기간 축적된 대규모 로그를 빠르게 검색하고 분석할 수 있도록 지원한다. 기존 보안관제 환경에서는 한 달치 로그를 검색하는 데 수십 분에서 한 시간 이상이 소요되는 경우도 적지 않았다. 하지만 QTIE는 고성능 수집·분석 아키텍처를 기반으로 대규모 데이터 환경에서도 초고속 검색 성능을 제공해 분석가가 필요한 정보를 즉시 확보하고 신속하게 판단할 수 있는 환경을 만든다. 이는 단순한 속도 개선 이상의 의미를 갖는다. 사고 발생 시 대응 시간은 피해 규모와 직결되기 때문에, 검색 성능은 보안운영의 핵심 경쟁력으로 이어진다.
QTIE의 또 다른 핵심 경쟁력은 AI 기반 NDR이다. 최근 보안업계에서는 “AI가 공격자의 능력을 비약적으로 끌어올리고 있다”는 우려가 현실이 되고 있다. 생성형 AI와 자동화 도구의 발달로 누구나 손쉽게 정교한 공격 기법을 모방하거나 취약점을 탐색할 수 있는 환경이 열리고 있기 때문이다. 이 같은 상황에서는 취약점이 공개된 이후 탐지 패턴을 추가하는 사후 대응 방식만으로는 충분하지 않다. 보다 적극적으로 이상 징후를 조기에 식별하고, 알려지지 않은 위협을 탐지할 수 있는 능동적 방어 체계가 필요하다.
QTIE NDR은 이러한 요구에 대응하기 위해 내·외부 위협 탐지를 위한 룰 기반 엔진은 물론, 비정상 통신과 해킹 시도를 식별하기 위한 AI 모델을 함께 탑재하고 있다. 즉, 이미 알려진 공격 패턴에 대해서는 정밀한 룰 기반 탐지를 수행하고, 사전에 정의되지 않은 새로운 이상행위에 대해서는 AI 모델을 통해 탐지할 수 있도록 이중화된 방어 체계를 제공한다. 이는 서명 기반 탐지의 한계를 보완하고, 제로데이 공격이나 우회형 공격에 대한 가시성을 높이는 데 중요한 역할을 한다.
실제 구축 성과도 주목할 만하다. QTIE는 공공기관, 금융권, 일반 기업, 대학 등 다양한 산업군에서 자동차단 대응체계 구축 실적을 보유하고 있다.
특히 가용성과 안정성에 극도로 민감한 금융권 환경에서, 높은 정탐 수준과 자동대응 품질을 요구하는 고객사에 대한 구축 경험을 확보하고 있다는 점은 의미가 크다.
단순히 탐지 경보를 발생시키는 수준이 아니라, 실제 운영 환경에서 자동 차단과 후속 대응까지 연결되는 체계를 구현한 사례를 다수 보유하고 있으며, 이를 바탕으로 관련 기능과 정책을 지속적으로 고도화해 왔다.
10년 이상 축적된 기술과 노하우 역시 QTIE의 중요한 자산이다. 보안관제는 제품 기능만으로 성패가 갈리지 않는다.
실제 현장에서 어떤 위협이 반복적으로 발생하는지, 어떤 경보가 오탐으로 이어지는지, 어떤 대응 절차가 운영에 부담을 주지 않으면서도 실효성을 확보하는지에 대한 경험이 축적돼야 한다.
QTIE는 수년간의 구축·운영 경험을 바탕으로 탐지 로직, 플레이북 정책, 자동화 시나리오를 지속해서 개선해 왔으며, 이를 통해 고객 환경에 더 적합한 운영 체계를 제공하고 있다. 보안 시장은 지금 빠르게 재편되고 있다. 단순히 로그를 모아 저장하는 SIEM 시대는 사실상 끝나가고 있으며, 이제는 AI를 활용해 위협을 식별하고, 자동으로 대응하며, 운영자의 의사결정을 지원하는 통합형 플랫폼이 요구되고 있다.
QTIE는 이러한 변화에 맞춰 AI SIEM, SOAR, NDR, TIP, AI Assistant를 하나의 구조 안에 통합함으로써, 기존 보안관제의 한계를 극복하고 새로운 운영 모델을 제시하고 있다.
결국 QTIE가 제시하는 방향은 분명하다. 보안관제는 더 이상 “많이 보는 것”만으로 충분하지 않다. 중요한 것은 대규모 데이터를 얼마나 빠르게 해석하고, 알려지지 않은 위협을 얼마나 정밀하게 식별하며, 대응을 얼마나 자동화할 수 있느냐다.
QTIE는 이 세 가지 과제를 동시에 해결하기 위한 플랫폼으로, 차세대 통합보안관제의 새로운 기준을 제시하고 있다.
[원병철 기자(boanone@boannews.com)]
[설문조사] SIEM 운용을 위한 연간 운용비용 ‘1000~3000만원’이 가장 많아
SIEM 솔루션 전문기업 집중분석: 로그프레소, 쿼리시스템즈
[보안뉴스 원병철 기자] 최근 국내·외에서 발생한 주요 보안 사고에서 공통으로 꼽히는 보안 솔루션이 있다. 바로 SIEM(Security Information & Event Management)이다. 실시간으로 이상 징후를 탐지하고, 로그를 조합해 복합적인 위협을 식별하며, 연계된 자동화 솔루션으로 즉각적인 대응을 할 수 있는 SIEM만 있었다면 피해를 줄일 수 있었다는 평가 때문이다. 국내외에서 발생한 여러 사건·사고로 인해 관심이 더욱 높아지고 있다.
[출처: gettyimagesbank]
2025년 7월 미국 CISA의 SIEM(Security Information & Event Management)이 ‘민감 데이터의 외부 전송’을 확인하고 이에 대한 알람 및 로그를 남겼다. 다만 이 외부 전송을 시도한 것이 ‘예외 처리’(Exception)된 마두 고투무칼라(Madhu Gottumukkala) CISA 국장 대행이었기에 차단은 되지 않고, 알람만 일어난 것으로 알려졌다.
이번 사건은 마두 국장 대행이 챗GPT에 정부의 민감한 계약 관련 문서를 업로드하면서 벌어진 일이다. 당시 데이터 유출 우려로 일반 직원들의 챗GPT 접속이 차단된 상황이었지만, 국장 대행은 특별 예외 권한으로 계속 사용하면서 민감 문서까지 업로드하다 적발된 것이었다.
이번 사건으로 AI 도입 시 편의성과 보안 사이의 통제 체계의 중요성이 부각됐으며, 민감 문서의 전송을 탐지한 SIEM에 대한 관심이 높아지게 됐다.
2005년, SIM과 SEM의 결합으로 처음 등장
그렇다면 SIEM은 어떤 솔루션일까? SIEM은 이름 그대로 보안 정보(로그) 관리(SIM)와 보안 이벤트 관리(SEM)가 합쳐진 제품이다. 2005년 가트너의 애널리스트 마크 니콜렛(Mark Nicolett)과 아미트 윌리엄스(Amrit Williams)가 처음 제시한 용어로, 당시 다양한 보안 솔루션이 각기 다른 형식의 로그를 생성하면서 이를 일일이 확인하는 것이 불가능한 상황이 되자 이를 통합·관리하기 위해 시작됐다.
2010년대에 들어서면서 단순히 로그를 수집하는 것을 넘어 로그 간의 ‘상관관계’를 분석하기 시작했다. 빅데이터 기술을 접목하면서 외부 공격의 흔적을 파악할 수 있게 되고, 이를 바탕으로 시나리오 기반의 탐지가 가능해졌다.
AI와 머신러닝을 도입한 SIEM은 행동 분석을 통해 문제를 감지하고, SOAR와의 결합을 통해 미리 저장된 플레이북에 따라 자동으로 대응하기까지 이르렀다.
이제 SIEM은 단순한 로그 분석을 넘어 데이터 플랫폼으로 진화하고 있다. 클라우드를 통해 대규모 데이터를 실시간으로 처리하고, AI를 통해 직접 쿼리를 짜지 않아도 자연어로 결과를 찾아내 보여준다. 자동화를 넘어 선제 대응까지 가능하게 된 것이다.
그렇다면 보안 기업들은 SIEM을 어떻게 정의할까? 먼저 쿼리시스템즈는 전통적인 의미에서 SIM과 SEM이 통합된 솔루션으로, 각종 보안 로그와 시스템 로그를 통합 수집·저장 관리하는 기능(SIM)과 이를 기반으로 실시간 상관분석과 위협 탐지, 그리고 대응 지원을 수행하는 기능(SEM)을 함께 제공하는 플랫폼이라고 설명했다.
로그프레소는 SIEM을 단순한 로그 관리 도구가 아닌, ‘보안운영’(SecOps) 전체를 자동화하고 고도화하는 ‘플랫폼’으로 정의했다. 로그 수집과 저장부터 상관분석, 위협 탐지, 자동 대응(SOAR), 컴플라이언스 리포팅까지 단일 플랫폼에서 완성돼야 진정한 SIEM이라 할 수 있다는 설명이다. 특히 최근 공격이 엔드포인트와 네트워크, 클라우드와 SaaS를 넘나드는 하나의 흐름으로 전개되기 때문에 온프레미스부터 멀티 클라우드와 SaaS까지 모든 영역을 아우르는 전방위 가시성이 SIEM의 출발점이 돼야 한다고 강조했다.
스플렁크(Splunk)는 SIEM이 조직 전반에 분산된 로그·이벤트·경보·메트릭을 통합 분석해 위협을 ‘탐지’(Detection)하고 ‘조사’(Investigation)하며, ‘대응’(Response)까지 연결하는 보안 관제의 핵심 플랫폼이라고 정의했다. SOAR와 UEBA, TI, 자산 계정 정보, 취약점 컴플라이언스 정보까지 결합한 ‘통합형 TDIR’(Threat Detection, Investigation & Response) 플랫폼으로 진화해야 한다는 설명이다. 시큐레이어는 SIEM을 ‘자율형 보안 운영의 중추’(The Core of Autonomous SecOps)라고 정의했다. 단순한 통합을 넘어 ‘지능형 가시성’을 제공하고, 보안 운영의 ‘두뇌’ 역할을 하는 자율 대응의 ‘출발점’이기 때문이다.
▲국내외 대표 SIEM 솔루션 [출처: 각 사 제공, 정리: 보안뉴스·시큐리티월드]
AI 활성화 영향으로 높은 성장세 보이는 SIEM
현재 SIEM 시장은 AI 기반 위협의 고도화와 클라우드 전환 가속에 힘입어 국내외 모두 높은 성장세를 보이고 있다. 앞서 설명한 CISA의 민감 데이터 유출 사건으로 다양한 산업에서 SIEM에 대한 인식이 높아졌으며, 공공기관과 민간기업 모두에서 관련 문의를 증가시켰다.
국내의 경우, 금융권의 ‘전자금융 감독규정’, 공공의 ‘국가 망 보안체계’(N2SF) 등의 규제 강화와 함께 제조·의료 ·교육 등 업종을 가리지 않고 도입 수요가 빠르게 확대되고 있다. 최근 연이어 발생한 보안 사고도 한몫하고 있다. SKT와 KT 등 통신사 문제를 비롯해 쿠팡과 예스24, 롯데카드 등 대형 보안 사고로 인해 SIEM에 대한 관심이 높아졌다는 거다.
무엇보다 디지털 전환(DX)과 인공지능 전환(AX), 원격 근무의 확산 등으로 IT 환경이 복잡해지면서 전통적인 보안 경계가 무너지고 있고, 단일 보안 장비로는 고도화된 우회 공격이나 지능형 위협을 탐지할 수 없다는 위기감이 커지고 있다. 기업들이 SaaS 애플리케이션을 도입하고 개인기기 사용(BYOD)을 허용하면서, 기존 경계를 넘어선 네트워크 가시성 확보의 필요성이 더욱 부각되고 있다는 설명이다.
이 때문에 수백만 건의 파편화된 로그와 이벤트 속에서 ‘진짜 위협’을 정확히 식별하고 신속하게 대응하기 위해서는 IT 인프라 전체 환경을 통합적으로 관리·운영할 수 있는 SIEM이 필수적 보안 인프라로 자리 잡고 있다고 업계는 분석한다.
실제 시장에서는 클라우드 네이티브 및 SaaS 기반 SIEM 솔루션의 빠른 도입, AI 및 머신러닝을 활용한 지능형 위협 탐지와 자동화된 운영의 심화, 그리고 엔드포인트·네트워크·클라우드 환경 전반에 대한 통합 가시성을 제공하기 위한 SIEM과 XDR의 융합이 이뤄지고 있다.
이에 업계는 SIEM 시장이 단순 이벤트 관리 시장에서 AI 기반 통합 보안운영 플랫폼 시장으로 빠르게 재편되고 있다고 보고 있다. 데이터가 폭증하고, 멀티클라우드·하이브리드 환경이 확산되며, AI를 활용한 공격이 빨라지는 가운데, 고객은 더 이상 ‘탐지를 많이 보여주는 SIEM’보다 정확하게 우선순위를 제시하고 대응까지 연결해 주는 플랫폼을 원하고 있다는 설명이다.
스플렁크의 ‘State of Security Report 2025’에 따르면, 지난 1년간 66%의 조직이 데이터 침해를 경험했고, 46%의 SOC 팀은 위협 조사보다 도구 유지보수에 더 많은 시간을 쓰고 있으며, 32%는 효과적인 대응을 위한 기술 역량 부족을 겪고 있다. 이는 SIEM 사용자들이 운영 효율성과 자동화, AI, 통합 플랫폼의 필요를 절실히 원하고 있다는 것을 의미한다고 업계는 보고 있다.
조직의 크기와 상관없이 꼭 필요한 SIEM
SIEM의 성장세가 놀라운 것은 사실이지만, 아직까지 엔터프라이즈 고객이 주축인 것도 사실이다. 다만 2026년 지표를 보면 엔터프라이즈 고객을 중심으로 중견 및 중소기업의 도입도 늘고 있다. 시장조사기관 가트너에 따르면 SIEM 시장의 선두 그룹의 주요 매출원은 포춘 500대 기업과 대형 글로벌 기업이다. 또한 공공과 금융, 제조 등 대규모 보안관제센터(SOC)를 직접 운영해야 하는 산업군이 SIEM의 매출을 견인하고 있다.
이러한 이유는 SIEM을 운용할 만큼 많은 ‘로그’를 갖고 있는 조직은 대부분 대형 기업과 공공기관일 수밖에 없으며, 그만큼의 비용을 지불할 수 있는 것 또한 그들이기 때문이다. 게다가 SIEM을 구축하기 위해서는 높은 초기 구축 비용과 라이선스 비용, 시스템을 운용하기 위한 전문 인력의 필요성도 진입장벽으로 기능한다.
그럼에도 불구하고 조직의 크기와 관계없이 SIEM을 도입해야 하는 이유는 다음과 같다.
첫 번째로 ‘가시성’(Visibility)이다. 모든 보안의 시작은 ‘자산’ 파악에 있다. 현재 조직이 갖고 있는 자산이 어떤 것이 있는지 알아야 그것을 보호할 수 있기 때문이다. 현대의 조직은 온프레미스 서버, 엔드포인트, 네트워크, 클라우드 등 수많은 장비를 사용하고 로그를 생성한다. 하지만 문제 발생시 각 장비의 로그를 개별적으로 확인하는 것은 불가능에 가깝다. 때문에 흩어진 로그를 한곳에 모으고 상관관계 분석을 통해 단일 장비에서 볼 수 없던 공격의 흐름을 파악하는 것이 필요하다.
두 번째는 ‘내부 위협 탐지’다. 내부 직원의 정보 유출은 정상적인 행위로 판단되는 경우가 많아 외부 해킹보다 더 위험한 것으로 간주하기도 한다. SIEM은 행동 분석(UEBA)을 통해 평소와 다른 행위를 ‘이상 징후’로 포착하며, 이는 조직의 규모와 상관없이 모두에게 필요한 기능이라 할 수 있다.
세 번째는 탐지에서 대응까지의 시간 단축이다. 이미 침투한 공격자가 조직의 내부에서 머무는 시간을 줄여야만 추가적인 피해를 막을 수 있는데, SIEM은 SOAR와의 연동을 통해 초동 조치를 즉각 수행할 수 있으며, 나아가 AI와 자동화 기능을 통해 우선순위가 높은 위협을 선별해 즉각 대응할 수 있게 해준다.
네 번째는 사고 이후의 관리다. 보안 사고가 발생했을 때 조직이 어떻게 대응했는지도 매우 중요하다. 개인정보보호법을 비롯해 ISMS-P와 GDPR 등의 규제에 대응하기 위해서는 SIEM을 통한 ‘증거 데이터’가 꼭 필요하다. 이러한 것들이 과징금의 규모나 책임소재 규명에 결정적인 역할을 하기 때문이다.
▲국내외 기업의 SIEM 구축 사례 [출처: 각 사 제공, 정리: 보안뉴스·시큐리티월드]
SIEM을 사용하는 고객들의 만족도는 ‘긍정’
SIEM을 실제 사용하는 고객들은 대부분 만족하고 있는 것으로 알려졌다. 이글루코퍼레이션은 SIEM이 실무 보안 담당자와 경영진 모두에게 긍정적인 평가를 받고 있다고 설명했다. 보안 담당자는 기하급수적으로 증가하는 ‘경보 피로’(Alert Fatigue)를 해소하고, 보안 분석 역량을 향상할 수 있게 되었다는 만족도가 높다. 온프레미스와 클라우드를 아우르는 보안 전 영역의 가시성을 확보하는 것은 물론, 내재화된 AI 파이프라인을 통해 고도화된 위협을 적시에 식별할 수 있기 때문이다. SOAR 연동을 통해 실시간 확장되는 자산, 서비스 대상의 위협에 자동 대응할 수 있다는 점 역시 좋은 반응을 얻고 있다.
경영진은 보안 강화와 더불어 운영 효율성을 높일 수 있게 되었다는 점에 주목하고 있다. AI 에이전트, SOAR와의 유기적 연동을 통해 수동 업무의 상당수를 지능형 자동화 체계로 전환함으로써 보안 인력이 보다 가치 있는 전략 수립에 집중할 수 있는 토대를 마련했기 때문이다.
카스퍼스키 역시 SIEM이 ‘있으면 좋은 것’(Nice to Have)에서 ‘필수 요소’(Must Have)로 빠르게 변화하고 있다고 설명했다. 아울러 기존 보안 생태계와 원활하게 통합될 수 있고, 총 소유 비용을 절감하며, 데이터 주권 요구사항을 모두 충족할 수 있는 클라우드 SIEM이 선호되는 추세라고 강조했다.
이와 함께 SIEM을 과거 ‘로그 저장용’에서 ‘분석의 효율성’과 ‘대응 자동화’로 인식하는 고객들이 늘었다고 시큐레이어는 강조했다. 특히 관제 인력의 피로도를 줄여주는 AI 탐지 기능과 복잡한 쿼리 없이도 직관적으로 위협을 확인할 수 있는 대시보드에 대한 만족도가 매우 높다는 설명이다.
인스피언도 초기에는 구축 비용과 운영 부담에 대한 우려가 있었으나, 실제 도입 이후에는 가시성과 대응 속도 측면에서 높은 만족도를 보인다고 전했다. 특히 로그 분석 자동화와 시각화 기능에 대한 반응이 긍정적이며, 최근에는 AI 기반 기능에 대한 기대가 높아지며 운영 효율 개선에 대한 요구가 증가하고 있다고 밝혔다.
보안업계가 제시하는 SIEM 구축 방법
이처럼 SIEM은 필수 보안 솔루션으로 인정받고 있다. 다만 단순한 로그 저장소나 보안장비 탐지 결과를 확인하는 수준으로만 활용해서는 한계가 있다는 것이 업계의 지적이다. 이에 SIEM 도입 시에는 제로데이 공격과 복합 위협에 대응할 수 있도록 SOAR, NDR, AI 등으로 확장 가능한 통합보안관제 플랫폼인지, 그리고 장기간의 대용량 로그도 수초 내 검색·분석할 수 있는 성능을 제공하는지 반드시 사전에 확인할 필요가 있다고 쿼리시스템은 설명했다. 결국 SIEM은 ‘수집된 위협에 대한 정오탐 분석 처리용 시스템’이 아니라, 탐지·분석·대응까지 연결되는 실질적인 보안운영 체계 구축을 목표로 도입하는 것이 중요하다는 것이다.
로그프레소는 보다 실질적인 조언을 이어 나갔다. 첫 번째는 ‘도입 후 운영’을 먼저 설계하는 것이다. SIEM은 설치로 끝나는 제품이 아니기에, 탐지 시나리오를 누가 관리할 것인지, 경보 발생 시 어떤 프로세스로 대응할 것인지 등 운영 체계를 먼저 정의해야 한다는 설명이다. 두 번째는 ‘TCO 전체를 비교하는 것’이다. 라이선스 비용 외에 인프라와 구축, 운영 인건비와 기술지원 비용까지 포함한 총소유비용을 비교해야 한다는 것이다. 마지막 세 번째는 ‘클라우드와 SaaS 환경의 점검’이다. 클라우드와 온프레미스를 혼용하는 환경에서 모든 로그를 끊김없이 수집할 수 있는지 확인해야 한다.
스플렁크는 SIEM을 ‘얼마나 많은 로그를 담을 수 있는가?’로 평가하기보다 ‘얼마나 빠르게 진짜 위협을 찾아 대응할 수 있는가?’로 평가해야 한다고 설명했다. 아울러 ‘목적’과 ‘유스케이스’를 정의하고, 데이터 전략을 세워야 하며, 구축보다 운영 모델을 먼저 고려해야 한다고 강조했다. 컴플라이언스 대응이 우선인지, SOC 고도화나 내부자 위협 대응이 먼저인지에 따라 설계가 달라지며, 어떤 데이터를 수집하고, 어떤 데이터를 연합 검색이나 티어링으로 운영해야 할지를 결정해야 비용이 통제되기 때문이다.
카스퍼스키도 비즈니스의 목표를 명확히 하고, 총소유비용을 평가하며, 통합 역량을 중시할 것을 강조했다. 아울러 벤더의 탐지 성능을 검증하고 내부적으로 운영 역량을 평가하고 고려할 것도 권장했다. 또한 시큐레이어는 단순히 장비의 처리 성능을 나타내는 EPS(Events Per Second)에만 매몰되지 말고, 실제 현장에서 얼마나 직관적이고 효율적으로 운영할 수 있는지, 그리고 기존 인프라와의 상호 호환성이 얼마나 뛰어난지를 고려해야 한다고 설명했다.
한편, SIEM 도입을 위한 정부 지원사업을 통해 구축 비용을 일부 지원받는 것도 도움이 된다. ‘중소기업 기술보호 바우처’는 중소벤처기업부·TIPA가 운영하며, SIEM 등 보안 솔루션 도입 비용을 지원한다. ‘ICT 중소기업 정보보호 지원사업’은 과기정통부·KISA가 운영하며, 보안 컨설팅과 솔루션 도입비 일부를 지원한다. ‘중소기업 클라우드 서비스 보급 사업’은 클라우드 기반 보안 서비스(클라우드 SIEM 포함) 도입도 지원 대상에 포함될 수 있다. 매년 사업 일정과 지원 범위가 변경되므로 KISA 및 중소기업기술보호 포털을 통해 최신 공고를 확인하는 것이 좋다.
▲SIEM 솔루션 사용자 설문조사 [출처: 보안뉴스·시큐리티월드]
SIEM 솔루션 사용자 설문조사
그렇다면 현재 SIEM 솔루션에 대한 보안 전문가들의 생각은 어떨까? 시큐리티월드와 보안뉴스는 보안 담당자들의 의견을 듣기 위해, 2026년 4월 16일부터 20일까지 5일간 약 10만명의 보안전문가들에게 설문조사를 실시했다. 이번 설문조사에는 공공(30.9%)과 민간(69.1%)의 보안전문가 1100명이 답했다.
먼저 SIEM에 대해 잘 알고 있는 지를 물어봤다. 응답자의 절반 이상인 63.7%는 ‘안다’고 답변했으며, 23.6%는 ‘들어봤지만, 정확하게는 모른다’고 답했다. 그리고 12.7%는 ‘모른다’고 답했다.
또한 현재 SIEM을 도입했거나 도입할 계획이 있는지 물어봤다. 응답자의 39.1%는 ‘현재 사용 중’이라고 답했으며, 10.9%는 ‘1년 이내 도입할 계획’이라고 답했다. 또한 38.2%는 ‘필요성은 느끼지만 당분간 도입 계획은 없다’고 말했으며, 11.8%는 ‘필요성을 느끼지 못해 도입 계획이 없다’고 말했다.
SIEM을 사용하고 있다면, SIEM에서 커버하는 영역은 어디까지 인지도 물어봤다. 복수 선택으로 응답을 받은 결과, 응답자의 77.3%는 ‘네트워크: 방화벽, IPS/IDS, VPN, 스위치, 라우터 등’을 골랐으며, 39.1%는 ‘엔드포인트: EDR, XDR’을 선택했다. 또한 38.2%는 ‘서버 및 가상화: 서버, 가상화 플랫폼’을, 32.7%는 ‘클라우드: 클라우드 자원 변경 및 접근기록’을, 29.1%는 ‘SOC 운영: 보안관리 서비스’를 각각 골랐다. 또한 28.2%는 ‘사용자 계정: IAM’을, 23.6%는 ‘이메일 및 웹 게이트웨이: 이메일, 클라우드 스토리지’를 선택했다.
그렇다면 SIEM을 운용할 때 비용은 얼마나 사용할까? SIEM은 구독제로 사용하는 경우가 많아 연간 운용비용으로 물어봤다. 가장 많은 응답자(33.7%)는 ‘1000만원~3000만원 미만’을 선택했다. 이어 24.5%는 ‘3000만원~5000만원 미만’을, 16.4%는 ‘5000만원~1억원 미만’을 각각 골랐다. 또한 12.7%는 ‘1억원~2억원 미만’을, 6.4%는 ‘2억원~3억원 미만’을, 2.7%는 ‘10억원 이상’을 꼽았다. ‘3억원~5억원 미만’과 ‘5억원~10억원 미만’은 각각 1.8%가 택했다.
사용자들은 SIEM 운용은 어떻게 할까? 응답자의 38.2%는 ‘직접 운용한다’고 답변했으며, 31.8%는 ‘모니터링은 보안 업체가 하되, 의사 결정과 사고 조사는 내부 보안팀과 협력한다’고 답했다. 이어 18.2%는 ‘보안 업체의 인력이 본사로 출근해 상주하며 운용한다’를, 11.8%는 ‘보안 업체가 자사 관제센터에서 원격으로 모니터링한다’고 답했다.
SIEM의 특성상 SOAR와 EDR, XDR 등 실행하는 솔루션과의 연동이 필요하다. 그럴 때 어떻게 연동하는지도 물어봤다. 우선 응답자의 절반인 49.1%는 ‘아직까지 연동하지 않는다’고 답했다. 그리고 30%는 ‘SOAR를 통해 각 솔루션을 연동한다’고 답했으며, 20.9%는 ‘SIEM이 직접 방화벽이나 백신 API를 호출해 대응한다’고 답변했다.
그렇다면 SIEM에 연동하는 ‘자동화된 대응 솔루션’은 어떤 것을 사용할까? 역시 복수 답변을 받았다. 가장 많은 48.2%는 ‘차단 및 격리 솔루션: 차세대 방화벽, EDR, WAF 등’을 선택했으며, 22.7%는 ‘접근 및 계정 제어 솔루션 : IAM, MFA’를 꼽았다. ‘클라우드 인프라 제어: CSP 등’과 ‘IT 서비스 관리 및 협업: IT 서비스 관리 솔루션, 슬랙과 팀즈같은 협업툴’은 각각 14.5%가 답변했으며, ‘이메일 보안 솔루션: 보안 이메일 게이트웨이 등’은 10.9%가 선택했다.
마지막으로 SIEM 운용시 가장 큰 애로사항은 무엇인지 물어봤다. 32.7%는 ‘과도한 오탐(False Positive)으로 인한 업무 과중’을 선택했다. 30.0%는 ‘로그 저장 및 라이선스 비용의 가파른 상승’을, 25.5%는 ‘전문 운영 인력(SOC 분석가) 채용 및 유지의 어려움’을 각각 선택했다. 11.8%는 ‘클라우드/SaaS 등 최신 인프라 지원 미흡’을 골랐다.
SIEM, 보안 운영의 완성도 높이는 자율형 플랫폼
현대의 보안 위협은 단일 시스템이 아닌 다수의 시스템을 거쳐 발생하기 때문에 통합적 관제가 필수이며, SIEM은 분산된 로그를 하나로 연결해 위협의 전체 흐름을 파악할 수 있도록 하기 때문에 보안의 필수 솔루션으로 자리 잡았다. 아울러 규제 대응과 사고 대응 속도를 동시에 확보할 수 있어 기업의 리스크 관리 차원에서도 필수적이라고 전문가들은 강조했다.
설문조사 결과를 봐도 많은 이들이 SIEM에 대해 알고 있었고, 이미 도입했거나 도입할 계획임을 알 수 있다. 특히 전통적인 고객층인 엔터프라이즈를 넘어 중견 및 중소기업들도 SIEM에 대한 구체적 도입 계획을 갖고 있으며, 이미 도입한 곳도 늘어난 것으로 알려졌다. SIEM이 필수 보안 솔루션으로 자리 잡았다는 것을 보여준 것이다.
SIEM은 이제 AI와의 접목을 통해 보안 운영의 완성도를 높이는 자율형 플랫폼으로 나아가고 있으며, 최근 미토스 등 AI의 발전을 봤을 때 그 변화도 그리 멀지 않았을 것으로 보인다.
▲로그프레소 소나 AI 에이전트 자동 티켓 생성[출처: 로그프레소]
[SIEM 솔루션 집중 분석-1] 로그프레소
빅데이터 원천 기술·에이전틱 AI로 보안 운영 자동화... SIEM 넘어 개방형 XDR로 진화
로그프레소, 검증된 SIEM 기술력으로 AI 자율 보안 운영 시대 연다
로그프레소가 금융·공공·제조 현장에서 12년간 쌓아온 SIEM 기술력을 바탕으로, 사람의 개입을 최소화하는 AI 기반 자율 보안 운영 체계 실현에 속도를 내고 있다. 250여 고객사에서 검증된 빅데이터 원천 기술과 에이전틱 AI를 결합해 보안 운영의 효율과 정밀도를 동시에 높이는 한편, 개방형 XDR 플랫폼으로의 진화를 본격화한다는 전략이다.
에이전틱 AI, 보안 운영 부담을 근본적으로 해소
보안관제 조직이 직면한 가장 큰 과제는 경보 과부화와 반복 업무로 인한 분석가 번아웃이다. 엔터프라이즈 환경에서 하루 평균 1만 건 이상의 보안 경보가 발생하고, 분석가의 25%는 오탐 분석에 시간을 소모하며, 65%는 번아웃을 경험한다는 조사 결과가 이를 뒷받침한다.
로그프레소는 에이전틱 AI로 이 문제를 정면으로 해결한다. 보안 담당자는 자연어 명령만으로 위협 현황 대시보드를 생성하고, 정기 리포트 초안을 작성하며, 탐지 시나리오와 위협 헌팅 쿼리까지 즉시 마련할 수 있다. AI 에이전트가 보안 컨텍스트를 이해하고 위협의 우선순위를 판단하며 분석과 대응 흐름을 스스로 설계·실행하는 구조로, 보안 담당자는 최종 의사결정과 예외 상황 판단에 온전히 집중할 수 있다. 특히 금융·공공 기관의 폐쇄망 환경에서도 작동하는 sLLM 기반으로 설계된 점도 주목할 만하다. 보안 데이터가 외부로 유출되지 않아 민감 정보 유출 위험이 없다.
로그프레소는 “에이전틱 AI 기반 자율 보안은 단순한 편의 기능을 넘어 보안 운영의 구조 자체를 전환하는 접근”이라며, “AI가 보안 운영의 주체로서 역할을 확대함으로써 인력 부족과 업무 과중이라는 구조적 문제를 근본적으로 해소하고, 보다 민첩하고 정밀한 보안 운영 체계를 구현해 나갈 것”이라고 밝혔다.
ISMS-P 대응부터 클라우드 자산 관리까지, 통합 보안 플랫폼이 해결하는 규제 과제
보안 운영의 역할은 위협 탐지에만 그치지 않는다. 기업과 기관은 ISMS-P 대응 과정에서 자산 식별과 관리, 로그 수집·분석, 이상행위 탐지 등 보안 통제 전반에 대한 지속적인 가시성 확보를 요구받는다. 여기에 AI 활용 확대와 클라우드 전환으로 관리 대상이 날로 복잡해지면서, AI 거버넌스와 클라우드 자산 현황, 외부 노출 자산과 공격 표면까지 통합 관리할 수 있는 플랫폼의 필요성이 커지고 있다.
로그프레소 소나는 이러한 요구를 하나의 플랫폼에서 충족한다. 로그 수집·분석·탐지라는 SIEM의 핵심 역량 위에 ASM, 자산관리 등을 유기적으로 결합한 개방형 XDR 구조로, 이기종 보안 데이터를 통합 관리하고 보안 통제 현황을 대시보드와 리포트로 즉시 제공한다. 정보통신망법, 개인정보보호법, 전자금융거래법, ISMS-P, N2SF(국가망 보안체계) 등 다양한 컴플라이언스 요건을 단일 플랫폼에서 대응할 수 있어 규제 준수와 보안 운영 수준 향상이라는 두 가지 과제를 동시에 해결할 수 있다. 이처럼 SIEM을 중심으로 한 통합 가시성 체계는 XDR로의 확장과 맞닿아 있다.
검증된 SIEM 위에서 개방형 XDR로 진화
로그프레소는 SIEM에서 쌓아온 기술력과 운영 노하우를 기반으로, 공격 표면 관리(ASM)·자산관리·위협 인텔리전스까지 아우르는 개방형 XDR 플랫폼으로의 확장을 본격화하고 있다. 로그프레소 얼라이언스를 통해 14개 국내 보안 기업과 협력 중인 가운데, 해외 벤더와의 파트너십도 빠르게 넓혀가고 있다.
글로벌 취약점 관리 전문기업 Tenable과는 6월 공동 고객 초청 세미나를 앞두고 있으며, 글로벌 위협 인텔리전스 선두주자 Recorded Future와는 Integration Partner 계약을 체결하고 공식 Integration Center에 연동 사례를 게재하는 한편 엔터프라이즈 고객 대상 공동 세일즈도 본격화할 예정이다. 앞으로 얼라이언스에 더 다양한 제품군을 추가하고 글로벌 협력을 확대해 MSSP를 위한 개방형 XDR 플랫폼으로 진화해 나간다는 계획이다.
개방형 아키텍처 위에서 AI가 탐지·분석·대응의 전 과정을 자율적으로 수행하는, 사람의 개입을 최소화하는 ‘AI 기반 자율 보안 체계’를 실현하는 것, 그것이 SIEM에서 시작해 글로벌 XDR 플랫폼으로 나아가는 로그프레소의 목표다.
▲쿼리시스템즈 QTIE 솔루션 도입 기대효과 [출처: 쿼리시스템즈]
[SIEM 솔루션 집중 분석-2] 쿼리시스템즈
SIEM·SOAR·NDR·AI·TIP을 하나로 통합한 차세대 XDR 플랫폼
AI가 바꾸는 보안관제의 기준, QTIE
사이버 위협 환경이 빠르게 변화하고 있다. 과거에는 알려진 공격 패턴에 대한 탐지 룰을 업데이트하고, 개별 보안장비에서 발생한 경보를 사람이 직접 분석하는 방식이 일반적이었다. 그러나 최근에는 생성형 인공지능(AI)의 확산과 공격 자동화 기술의 고도화로 인해, 공격자는 더 빠르고 정교하게 취약점을 탐색하고 우회 공격을 수행할 수 있게 됐다. 이제 보안운영은 단순한 로그 수집이나 경보 확인 수준을 넘어, 알려지지 않은 위협까지 선제적으로 식별하고 자동으로 대응할 수 있는 체계로 진화해야 한다.
SIEM의 한계를 넘어선 인공지능 기반
통합보안관제 플랫폼 ‘QTIE’이 같은 변화 속에서 QTIE는 기존 SIEM의 한계를 넘어선 AI 기반 통합보안관제 플랫폼으로 주목받고 있다. QTIE는 AI SIEM을 중심으로 SIEM, SOAR, NDR, AI, TIP 기능을 하나의 플랫폼에 통합한 국내 대표 XDR 솔루션으로, 탐지·분석·대응·자동화의 전 과정을 하나의 체계 안에서 수행할 수 있도록 설계됐다.
단순히 여러 기능을 연결한 수준이 아니라, 보안운영 전 단계에서 실질적으로 활용 가능한 통합성과 자동화 수준을 제공한다는 점이 차별점으로 꼽힌다.
QTIE의 가장 큰 강점 중 하나는 AI SIEM 개념을 실제 운영 환경에 구현했다는 점이다. 기존 시장에서는 지도학습 기반 머신러닝을 활용한 정오탐 분석, 비지도학습 기반 이상행위 탐지, 생성형 AI 기반 AI Assistant 기능이 각각 별도 솔루션 또는 독립 기능으로 제공되는 경우가 많았다. 반면 QTIE는 이들 기능을 하나의 솔루션 안에 통합했다. 로그 수집 단계부터 검색, 분석, 룰 생성, 정책 관리에 이르기까지 전 과정에서 AI를 활용할 수 있도록 구성돼 있어, 운영자는 단순히 데이터를 조회하는 수준을 넘어 AI와 함께 탐지 정책을 고도화하고 분석 효율을 높일 수 있다.
특히 QTIE에 내장된 AI Assistant는 보안운영의 실질적인 생산성을 높이는 요소로 평가된다. 대량의 로그와 이벤트가 발생하는 환경에서는 숙련된 분석 인력조차도 필요한 정보를 빠르게 찾아내고 맥락을 파악하는 데 많은 시간이 소요된다. QTIE의 AI Assistant는 이러한 한계를 줄이기 위해 로그 검색, 이벤트 분석, 룰 관리, 정책 운영 등 다양한 단계에서 보조 기능을 제공한다.
사용자는 보다 직관적인 방식으로 로그를 탐색하고, 이상 징후를 해석하며, 필요한 탐지 룰이나 대응 정책을 효율적으로 관리할 수 있다. 이는 단순 편의 기능을 넘어, 인력 중심의 관제 체계를 AI 기반 협업 체계로 전환하는 기반이 된다.
QTIE, ‘SIEM, SOAR, NDR, AI, TIP’을 통합한 XDR 플랫폼
QTIE는 또한 국내 최초로 SIEM, SOAR, NDR, AI, TIP을 통합한 XDR 플랫폼이라는 점에서 시장의 주목을 받고 있다. 오늘날 고도화된 위협에 대응하기 위해서는 단일 솔루션만으로는 한계가 분명하다. SIEM이 로그와 이벤트를 통합 분석하고, NDR이 네트워크 기반의 알려지지 않은 위협을 탐지하며, SOAR가 대응 절차를 자동화하고, TIP이 위협 인텔리전스를 제공하는 구조가 유기적으로 연계돼야 실제적인 운영 효과를 낼 수 있다. QTIE는 이러한 기능을 분리된 제품군이 아니라 단일 플랫폼 안에서 일관된 구조로 제공함으로써, 연동 복잡성을 줄이고 탐지부터 대응까지의 시간을 획기적으로 단축할 수 있도록 지원한다.
특히 SOAR 영역에서는 국내 유일하게 제조사 권장 플레이북을 무상 제공하고, 500종 이상의 플레이북을 제공한다는 점이 강점이다.
보안 자동화의 성패는 단순히 자동화 엔진의 유무가 아니라, 실제 운영 가능한 플레이북의 품질과 현장 적합성에 달려 있다. QTIE는 다양한 산업군과 운영 시나리오에 맞는 플레이북을 제공할 뿐 아니라, 고객사별 환경에 맞춘 플레이북 제작과 적용도 함께 지원을 한다. 이를 통해 고객은 단순히 솔루션을 도입하는 데 그치지 않고, 실제 관제 현장에서 활용 가능한 자동대응 체계를 빠르게 구축할 수 있다.
플랫폼 성능 측면에서도 QTIE는 차별화된 경쟁력을 확보하고 있다. QTIE는 초당 100억건 이상 검색 성능을 제공하는 빅데이터 기반 플랫폼을 바탕으로, 장기간 축적된 대규모 로그를 빠르게 검색하고 분석할 수 있도록 지원한다. 기존 보안관제 환경에서는 한 달치 로그를 검색하는 데 수십 분에서 한 시간 이상이 소요되는 경우도 적지 않았다. 하지만 QTIE는 고성능 수집·분석 아키텍처를 기반으로 대규모 데이터 환경에서도 초고속 검색 성능을 제공해 분석가가 필요한 정보를 즉시 확보하고 신속하게 판단할 수 있는 환경을 만든다. 이는 단순한 속도 개선 이상의 의미를 갖는다. 사고 발생 시 대응 시간은 피해 규모와 직결되기 때문에, 검색 성능은 보안운영의 핵심 경쟁력으로 이어진다.
QTIE의 또 다른 핵심 경쟁력은 AI 기반 NDR이다. 최근 보안업계에서는 “AI가 공격자의 능력을 비약적으로 끌어올리고 있다”는 우려가 현실이 되고 있다. 생성형 AI와 자동화 도구의 발달로 누구나 손쉽게 정교한 공격 기법을 모방하거나 취약점을 탐색할 수 있는 환경이 열리고 있기 때문이다. 이 같은 상황에서는 취약점이 공개된 이후 탐지 패턴을 추가하는 사후 대응 방식만으로는 충분하지 않다. 보다 적극적으로 이상 징후를 조기에 식별하고, 알려지지 않은 위협을 탐지할 수 있는 능동적 방어 체계가 필요하다.
QTIE NDR은 이러한 요구에 대응하기 위해 내·외부 위협 탐지를 위한 룰 기반 엔진은 물론, 비정상 통신과 해킹 시도를 식별하기 위한 AI 모델을 함께 탑재하고 있다. 즉, 이미 알려진 공격 패턴에 대해서는 정밀한 룰 기반 탐지를 수행하고, 사전에 정의되지 않은 새로운 이상행위에 대해서는 AI 모델을 통해 탐지할 수 있도록 이중화된 방어 체계를 제공한다. 이는 서명 기반 탐지의 한계를 보완하고, 제로데이 공격이나 우회형 공격에 대한 가시성을 높이는 데 중요한 역할을 한다.
실제 구축 성과도 주목할 만하다. QTIE는 공공기관, 금융권, 일반 기업, 대학 등 다양한 산업군에서 자동차단 대응체계 구축 실적을 보유하고 있다.
특히 가용성과 안정성에 극도로 민감한 금융권 환경에서, 높은 정탐 수준과 자동대응 품질을 요구하는 고객사에 대한 구축 경험을 확보하고 있다는 점은 의미가 크다.
단순히 탐지 경보를 발생시키는 수준이 아니라, 실제 운영 환경에서 자동 차단과 후속 대응까지 연결되는 체계를 구현한 사례를 다수 보유하고 있으며, 이를 바탕으로 관련 기능과 정책을 지속적으로 고도화해 왔다.
10년 이상 축적된 기술과 노하우 역시 QTIE의 중요한 자산이다. 보안관제는 제품 기능만으로 성패가 갈리지 않는다.
실제 현장에서 어떤 위협이 반복적으로 발생하는지, 어떤 경보가 오탐으로 이어지는지, 어떤 대응 절차가 운영에 부담을 주지 않으면서도 실효성을 확보하는지에 대한 경험이 축적돼야 한다.
QTIE는 수년간의 구축·운영 경험을 바탕으로 탐지 로직, 플레이북 정책, 자동화 시나리오를 지속해서 개선해 왔으며, 이를 통해 고객 환경에 더 적합한 운영 체계를 제공하고 있다. 보안 시장은 지금 빠르게 재편되고 있다. 단순히 로그를 모아 저장하는 SIEM 시대는 사실상 끝나가고 있으며, 이제는 AI를 활용해 위협을 식별하고, 자동으로 대응하며, 운영자의 의사결정을 지원하는 통합형 플랫폼이 요구되고 있다.
QTIE는 이러한 변화에 맞춰 AI SIEM, SOAR, NDR, TIP, AI Assistant를 하나의 구조 안에 통합함으로써, 기존 보안관제의 한계를 극복하고 새로운 운영 모델을 제시하고 있다.
결국 QTIE가 제시하는 방향은 분명하다. 보안관제는 더 이상 “많이 보는 것”만으로 충분하지 않다. 중요한 것은 대규모 데이터를 얼마나 빠르게 해석하고, 알려지지 않은 위협을 얼마나 정밀하게 식별하며, 대응을 얼마나 자동화할 수 있느냐다.
QTIE는 이 세 가지 과제를 동시에 해결하기 위한 플랫폼으로, 차세대 통합보안관제의 새로운 기준을 제시하고 있다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
-1.png)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
