SIEM으로 보호할 수 없는 영역 늘어나 점점 쓸모가 없어져
차세대 방화벽 등장한 것처럼 차세대 SIEM 등장해야 할 것
[보안뉴스 문가용 기자] 보안 전문가들에게 ‘요즘 SIEM이 어떻습니까?’하고 물어보라. 다들 ‘아, 그 오래된 거’라는 식으로 답할 것이다. 별로 좋은 얘기가 나올만한 주제는 아니다. 그리고 그럴 만 하다. 하지만 SIEM은 수십 억 달러 규모의 시장을 형성하고 있는 기술이며 오랜 시간 기업들의 보안을 맡아왔던 오래된 친구다. 다만 클라우드나 모바일, IoT 등의 등장으로 SIEM이 빛바랜 황혼기를 맞이하고 있는 것이다. SIEM, 이제 보내줘야 할까?
먼저 SIEM의 기능에 대해 알아보자. SIEM은 보안 이벤트 정보를 실시간으로 수집한다. “SIEM은 다량의 데이터를 막 집어놓고 이상한 것을 찾아내는 장소였지요. 따라서 경보도 SIEM에서 울리기 시작하고, 트래픽도 SIEM에서 걸러지고, 샌드박스도 SIEM과 연결되었습니다.” 포네몬(Ponemon)의 의장인 래리 포네몬(Larry Ponemon)의 설명이다.
“그러니 기업 입장에서는 SIEM만큼 좋은 게 없었어요. 회사에 닥칠 수 있는 위협들과 취약점들을 딱딱 찾아낸다는 건 말이 쉽지 모래밭에서 바늘 찾기보다 더 어려운 것이거든요. 그러니 수동으로 할 엄두는 못 내고 있는데 SIEM이 턱 하고 등장한 겁니다. 구원투수 등판한 것이죠.”
하지만 공격자들 역시 발전하기 시작했고, 그에 따라 SIEM은 슬슬 뒤처지기 시작했다. 리스크 관리 업체인 엑사빔(Exabeam)의 릭 칵시아(Rick Caccia) CMO는 “더 이상 제대로 작동하지 않는다”고까지 말한다. “크리덴셜이나 아이덴티티 관련 위협 요소들이나, 합법적인 계정을 훔치거나 해서 정상 사용자인 것처럼 위장하는 해킹 공격에 대해서는 무용지물에 가깝죠. 악성 내부자는 더더욱 막지 못하고요.”
최근 포네몬이 발간한 보고서에 따르면 559개 업체에 분포된 SIEM 사용자의 76%가 SIEM을 전략적으로 중요한 보안 툴이라고 평가했으나 실제 현장에서의 퍼포먼스 만족도는 48%만이 긍정적인 것으로 나타났다.
칵시아는 현재의 SIEM 시장이 6~7년 전의 방화벽 시장과 닮았다고 설명한다. “당시 죽어가던 방화벽 시장에 팔로알토(Palo Alto)와 같은 기업들이 새로운 기술을 들고 들어왔습니다. 방화벽으로는 새로운 사이버 공격에 대응할 수 없다는 의견이 대세였습니다. 그때 등장한 차세대 방화벽들이 방화벽 무용론을 잠재웠죠. SIEM도 아마 같은 길을 걷지 않을까 합니다. 변화가 필요한 건 확실합니다.”
가트너의 부회장인 안톤 슈바킨(Anton Chuvakin)은 “현재 SIEM의 가장 큰 약점은 기업 전반에 걸친 보안 모니터링과 위협 탐지 기능에 있다”며 “단순한 해결책이 나오기 힘든 문제”라고 말한다. “달까지 가야 한다는 미션 자체가 어려운 건데, 로켓이 낡았다고 고치는 것만이 능사가 아니죠.” 여기에 더해 슈바킨은 “인간 의존도가 너무 높은 것 또한 SIEM의 문제”라고 지적한다. “전문가 의존도가 높은 게 왜 문제냐면, 전문가가 현재 대단히 모자란 상태이기 때문이죠.”
SIEM 기반의 보안 전문 업체인 시엠플리파이(Siemplify)의 CEO인 아모스 스턴(Amos Stern)은 “확실히 더 나은 SIEM 자동화 기술에 대한 고민과 인력 관리 개선 문제가 해결되어야 할 것”이라고 말한다. 기업 내에는 여러 종류의 보안 솔루션이 각자 다른 영역을 맡아 보호하는데, SIEM이 이 솔루션들을 하나로 연결해 프로세스를 자동화시키고 관리를 더 편하게 만드는 것이 앞으로 나아갈 것이 아닐까, 하고 그는 예상한다. 칵시아도 SIEM이 더 ‘똑똑해져야 한다’는 데에 동의한다. “솔루션이 자동화나 머신 러닝을 해서 더 똑똑해진다면, 주니어 수준의 보안 담당자도 훨씬 높은 수준의 일처리를 할 수 있게 됩니다.”
SIEM을 구축하는 것도 SIEM 시장의 경직화에 한 몫하고 있다. 스턴은 “때론 제품 구매비용보다 구축 비용이 더 들 때도 있다”고 말하며 “기업 입장에서 이렇게 크게 투자를 했던 SIEM을 쉽게 포기하지 않을 것”이라고 말한다.
또한 최근 클라우드와 모바일, IoT라는 신기술들이 기업 내 업무 환경으로 편입되고, 이에 따라 독특한 보안 문제들이 발생하기 시작하면서 SIEM의 입지는 더욱 좁아지고 있다. SIEM으로 통제할 수 없는 것들이 늘어나는 것이기 때문이다. 이중에서도 특히 사물인터넷은 가장 큰 문제로 부각할 것이라고 포네몬은 말한다. “보안 수준이 확실히 향상됐어요. 그래서 공격자들이 PC 공격하는 걸 매우 어려워합니다. 그런데 PC까지 갈 필요가 없어요. 사물인터넷들이 있기 때문입니다.”
가트너의 슈바킨은 “말이 좀 복잡하게 들릴 수 있지만, 사실 SIEM이 추구해야 하는 변화는 더 많은 데이터 유형에 대한 호환성 확장”이라고 정리한다. “즉, 더 다양한 곳에서 들어오는 데이터를 분석할 줄 알아야 한다는 건데, 그런 차원에서 머신 러닝 등의 신기술도 같이 논의가 되는 겁니다. 머신 러닝이 화제가 되면서 전문가의 수 문제도 언급되는 것이고요. 머신 러닝과 인력 부족에 관한 문제는 보안 전체의 화두이기도 하지요.”
[국제부 문가용 기자(globoan@boannews.com)]
차세대 방화벽 등장한 것처럼 차세대 SIEM 등장해야 할 것
[보안뉴스 문가용 기자] 보안 전문가들에게 ‘요즘 SIEM이 어떻습니까?’하고 물어보라. 다들 ‘아, 그 오래된 거’라는 식으로 답할 것이다. 별로 좋은 얘기가 나올만한 주제는 아니다. 그리고 그럴 만 하다. 하지만 SIEM은 수십 억 달러 규모의 시장을 형성하고 있는 기술이며 오랜 시간 기업들의 보안을 맡아왔던 오래된 친구다. 다만 클라우드나 모바일, IoT 등의 등장으로 SIEM이 빛바랜 황혼기를 맞이하고 있는 것이다. SIEM, 이제 보내줘야 할까?
먼저 SIEM의 기능에 대해 알아보자. SIEM은 보안 이벤트 정보를 실시간으로 수집한다. “SIEM은 다량의 데이터를 막 집어놓고 이상한 것을 찾아내는 장소였지요. 따라서 경보도 SIEM에서 울리기 시작하고, 트래픽도 SIEM에서 걸러지고, 샌드박스도 SIEM과 연결되었습니다.” 포네몬(Ponemon)의 의장인 래리 포네몬(Larry Ponemon)의 설명이다.
“그러니 기업 입장에서는 SIEM만큼 좋은 게 없었어요. 회사에 닥칠 수 있는 위협들과 취약점들을 딱딱 찾아낸다는 건 말이 쉽지 모래밭에서 바늘 찾기보다 더 어려운 것이거든요. 그러니 수동으로 할 엄두는 못 내고 있는데 SIEM이 턱 하고 등장한 겁니다. 구원투수 등판한 것이죠.”
하지만 공격자들 역시 발전하기 시작했고, 그에 따라 SIEM은 슬슬 뒤처지기 시작했다. 리스크 관리 업체인 엑사빔(Exabeam)의 릭 칵시아(Rick Caccia) CMO는 “더 이상 제대로 작동하지 않는다”고까지 말한다. “크리덴셜이나 아이덴티티 관련 위협 요소들이나, 합법적인 계정을 훔치거나 해서 정상 사용자인 것처럼 위장하는 해킹 공격에 대해서는 무용지물에 가깝죠. 악성 내부자는 더더욱 막지 못하고요.”
최근 포네몬이 발간한 보고서에 따르면 559개 업체에 분포된 SIEM 사용자의 76%가 SIEM을 전략적으로 중요한 보안 툴이라고 평가했으나 실제 현장에서의 퍼포먼스 만족도는 48%만이 긍정적인 것으로 나타났다.
칵시아는 현재의 SIEM 시장이 6~7년 전의 방화벽 시장과 닮았다고 설명한다. “당시 죽어가던 방화벽 시장에 팔로알토(Palo Alto)와 같은 기업들이 새로운 기술을 들고 들어왔습니다. 방화벽으로는 새로운 사이버 공격에 대응할 수 없다는 의견이 대세였습니다. 그때 등장한 차세대 방화벽들이 방화벽 무용론을 잠재웠죠. SIEM도 아마 같은 길을 걷지 않을까 합니다. 변화가 필요한 건 확실합니다.”
가트너의 부회장인 안톤 슈바킨(Anton Chuvakin)은 “현재 SIEM의 가장 큰 약점은 기업 전반에 걸친 보안 모니터링과 위협 탐지 기능에 있다”며 “단순한 해결책이 나오기 힘든 문제”라고 말한다. “달까지 가야 한다는 미션 자체가 어려운 건데, 로켓이 낡았다고 고치는 것만이 능사가 아니죠.” 여기에 더해 슈바킨은 “인간 의존도가 너무 높은 것 또한 SIEM의 문제”라고 지적한다. “전문가 의존도가 높은 게 왜 문제냐면, 전문가가 현재 대단히 모자란 상태이기 때문이죠.”
SIEM 기반의 보안 전문 업체인 시엠플리파이(Siemplify)의 CEO인 아모스 스턴(Amos Stern)은 “확실히 더 나은 SIEM 자동화 기술에 대한 고민과 인력 관리 개선 문제가 해결되어야 할 것”이라고 말한다. 기업 내에는 여러 종류의 보안 솔루션이 각자 다른 영역을 맡아 보호하는데, SIEM이 이 솔루션들을 하나로 연결해 프로세스를 자동화시키고 관리를 더 편하게 만드는 것이 앞으로 나아갈 것이 아닐까, 하고 그는 예상한다. 칵시아도 SIEM이 더 ‘똑똑해져야 한다’는 데에 동의한다. “솔루션이 자동화나 머신 러닝을 해서 더 똑똑해진다면, 주니어 수준의 보안 담당자도 훨씬 높은 수준의 일처리를 할 수 있게 됩니다.”
SIEM을 구축하는 것도 SIEM 시장의 경직화에 한 몫하고 있다. 스턴은 “때론 제품 구매비용보다 구축 비용이 더 들 때도 있다”고 말하며 “기업 입장에서 이렇게 크게 투자를 했던 SIEM을 쉽게 포기하지 않을 것”이라고 말한다.
또한 최근 클라우드와 모바일, IoT라는 신기술들이 기업 내 업무 환경으로 편입되고, 이에 따라 독특한 보안 문제들이 발생하기 시작하면서 SIEM의 입지는 더욱 좁아지고 있다. SIEM으로 통제할 수 없는 것들이 늘어나는 것이기 때문이다. 이중에서도 특히 사물인터넷은 가장 큰 문제로 부각할 것이라고 포네몬은 말한다. “보안 수준이 확실히 향상됐어요. 그래서 공격자들이 PC 공격하는 걸 매우 어려워합니다. 그런데 PC까지 갈 필요가 없어요. 사물인터넷들이 있기 때문입니다.”
가트너의 슈바킨은 “말이 좀 복잡하게 들릴 수 있지만, 사실 SIEM이 추구해야 하는 변화는 더 많은 데이터 유형에 대한 호환성 확장”이라고 정리한다. “즉, 더 다양한 곳에서 들어오는 데이터를 분석할 줄 알아야 한다는 건데, 그런 차원에서 머신 러닝 등의 신기술도 같이 논의가 되는 겁니다. 머신 러닝이 화제가 되면서 전문가의 수 문제도 언급되는 것이고요. 머신 러닝과 인력 부족에 관한 문제는 보안 전체의 화두이기도 하지요.”
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
