보안정보 이벤트 관리(SIEM) 솔루션은 수년간 사이버보안의 핵심 요소였다. 하지만 디지털 환경이 복잡해지면서 구형 SIEM 시스템은 이를 관리하는 보안 전문가에게 부담이 되고 있다.
기존 SIEM 시스템 교체를 고민하거나 시스템 노후화를 우려하는 경우, 새로운 솔루션으로 전환하지 않았을 때 발생할 문제점을 미리 검토할 필요가 있다.
오래된 SIEM은 증가하는 데이터 양을 처리하고 진화하는 사이버 위협에 대응할 때 문제를 발생시킬 수 있다. 시스템 유지에 많은 비용이 들며, 최신 보안 도구와의 통합도 원활하지 않다.
스타트업 투자 회사 멀린벤처스(Merlin Ventures) CISO인 앤드류 스미튼은 “기존 SIEM의 주요 단점은 클라우드 환경의 동적 확장 요구 사항을 처리하도록 설계되지 않았다는 점”이라고 지적했다.
스미튼은 “데이터 양이나 트래픽이 급증할 때 필요한 유연성을 확보하기 어려울 수 있다”라고 말했다.
확장성과 유연성이 제한적인 구형 SIEM
필라델피아와 교외 지역을 담당하는 비영리 의료 시스템 메인라인헬스(Main Line Health)의 CISO 애런 바이스만은 기존 시스템의 확장성과 유연성 부족이 기술적 한계가 아니라 비용 문제 때문이라고 말했다.
바이스만은 “특정 업체명을 밝힐 수 없지만, 상용 및 오픈소스 솔루션의 전통 강자들도 분석팀이 이끌어낼 수 있는 수준까지만 성능을 발휘한다. 기본 인프라 비용을 훨씬 초과하는 데이터 수집 및 컴퓨팅 비용으로 인해 어려움을 겪고 있다”라고 설명했다.
포레스터리서치(Forrester Research)의 수석 애널리스트 앨리 멜렌은 오랫동안 사용된 일부 SIEM 도구들이 클라우드 전환 과정에서 문제가 발생해 대용량 데이터 처리에 곤란을 겪는다고 언급했다.
멜렌은 “많은 SIEM 벤더가 클라우드로의 기능 이전 과정에서 애를 먹었다. 처음부터 자연스럽게 연동되는 도구를 개발하는 대신, 인수한 여러 제품을 통합해야 하는 상황이 어려움을 더했다. 특히 여러 도구를 번갈아 사용해야 하는 실무자들에게 부담이 됐다”라고 말했다.
오래된 SIEM 솔루션 유지 관리 및 업데이트
일부 전문가는 숙련된 직원 부족 등 문제로 기존 SIEM 솔루션을 유지 관리하고 업데이트하는 데 어려움이 있다고 말했다.
가트너(Gartner)의 디렉터 애널리스트인 케빈 슈미트는 경험 있는 직원 부족으로 기존 SIEM 솔루션의 유지 보수와 업데이트가 어렵다고 설명했다. 슈미트는 “SIEM에 따라 다르지만, 오래된 SIEM을 운영하고 유지할 수 있는 경험 있는 인재를 찾기가 점점 더 어려워지고 있다”라고 분석했다.
슈미트는 최신 SIEM을 유지 보수할 인재가 더 찾기 쉽지만 비용이 많이 든다고 말했다. 또한 벤더 입장에서도 SaaS/클라우드 버전과 온프레미스 버전이 있으면 2가지 기능을 유지 관리하고 테스트해야 하는 문제가 있다고 덧붙였다.
해리스버그 과학기술대학교의 사이버보안 및 정보보증 대학원 과정 프로그램 책임자이자 강사인 브루스 영은 기존 SIEM 솔루션의 유지 보수와 업데이트가 복잡하고 자원 집약적이며 비용이 많이 드는 작업이라고 설명했다.
영은 “구형 시스템은 새로운 위협 시그니처와 로그 소스 형식을 최신 상태로 유지하기 위해 잦은 수동 업데이트가 필요하다”라고 말했다.
최신 SIEM과 달리 기존 솔루션은 대부분 자동 업데이트 기능이 부족할 수 있다. 영은 보안팀이 패치 관리, 시스템 튜닝, 구성 변경에 상당한 시간과 노력을 투자해야 한다고 언급했다.
그는 “수동 유지 보수는 귀중한 리소스를 소모시킨다. 또한 대응 시간을 늦추고 보안 운영의 전반적인 효율성을 떨어뜨릴 수 있다. 조직은 보관된 데이터에 대한 접근 상태를 유지하고 시스템 업그레이드와의 호환을 보장해야 한다. 이를 위해서는 종종 전문화된 프로세스와 상당한 투자가 필요하다”라고 진단했다.
영은 버전이 업그레이드될 때마다 데이터 마이그레이션 복잡성이 증가해 데이터 손실이나 손상 위험이 높아질 수 있다고 말했다. 그는 “유지 보수 요구 사항이 누적되면서 조직이 보안 운영을 효과적으로 확장하기 어려워지고 재정적 부담과 운영 오버헤드가 가중된다”라고 평가했다.
구형 SIEM을 다른 보안 도구와 통합할 때
딜로이트앤투시(Deloitte & Touche LLP) 사이버 방어 및 복원력 부문 매니징 디렉터인 케빈 어바노위츠는 최신 SIEM 플랫폼에서 문제가 없는 다른 보안 도구와의 통합이 오래된 SIEM 시스템에서는 어려울 수 있다고 말했다.
어바노위츠는 “기존 SIEM은 잠재적으로 여러 기술 생태계에 걸쳐 지점 간 통합이 필요하다. 통합을 유지하려면 지속적인 엔지니어링 노력이 필요하다. 반면 최신 SIEM 플랫폼은 대부분 벤더에서 설계 단계부터 통합된다. 최종 사용자는 광범위한 사용자 지정 엔지니어링 없이도 사전 구축된 통합을 활용할 수 있다”라고 설명했다.
BTE파트너스(BTE Partners)의 CISO이자 CIO인 수 베르가모는 레거시 기술이 대부분 고가의 완전한 패키지로 제공되는 것이 문제라고 지적했다. 그는 “벤더는 더 나은 기능을 가진 다른 벤더와 통합하기 위해 제품군을 분리하기를 선호하지 않는다”라고 말했다.
바이스만은 메인라인헬스에서도 데이터를 쉽게 가져오고 다른 시스템으로 보내는 것이 주요 과제라고 언급했다. 바이스만은 “다운스트림 플랫폼에서처럼 깔끔하게 로그를 수집하고 구문 분석하기 어렵다. 렐름닷시큐리티(Realm.Security)와 같은 기술을 활용하여 SIEM이나 다른 도구/시스템에 수집하기 전에 정보를 정규화하는 데이터 패브릭을 만들고 있다. 이를 통해 대용량 데이터 세트를 처리하고 라우팅하는 방식을 단순화한다”라고 설명했다.
영도 같은 의견을 제시했다. 그는 기존 SIEM이 잘 호환되지 않고 종종 오래된 방법을 사용해 데이터를 공유하기 때문에 다른 보안 도구 및 시스템과 통합하기 어렵다고 말했다.
영은 “기존 SIEM 대부분이 최신 API를 지원하지 않는다. 새로운 기술과 통합하려면 사용자 지정 커넥터나 미들웨어가 필요하다. 이러한 사용자 지정 커넥터를 개발하고 유지하는 데 많은 시간과 비용이 든다. 이는 보안팀의 운영 부담을 가중한다”라고 전했다.
클라우드 기반 환경과의 통합 문제
알바레즈앤마샬(Alvarez & Marsal)의 분쟁 및 조사 부문 매니징 디렉터이자 글로벌 사이버 리스크 및 사고 대응 서비스 책임자인 로코 그릴로는 기존 SIEM 시스템을 클라우드 환경 및 새로운 기술과 연동하기 어렵다고 말했다.
그릴로는 “설계상 상세한 정보를 제공하는 클라우드 네이티브 환경 및 새로운 기술과 기존 SIEM 솔루션의 호환성을 확인하고 구문 분석하려면 SIEM 통합을 꾸준히 업데이트하기 위한 엔지니어링 리소스와 경험에 상당히 투자해야 한다”라고 언급했다.
또한 영은 컨테이너, 마이크로서비스, 서버리스 아키텍처와 같은 클라우드 기반 환경 및 신기술과의 통합에 있어 기존 SIEM이 상당한 한계에 직면해 있다고 지적했다. 그는 “시스템 대부분이 클라우드 서비스 확산 이전에 개발됐다. 최신 클라우드 플랫폼에서 데이터를 원활하게 수집하는 데 필요한 API, 커넥터 또는 네이티브 지원이 갖춰져 있지 않다. 이로 인해 하이브리드 및 멀티 클라우드 환경에서 포괄적인 가시성을 확보하기 어렵다. 공격자가 악용할 수 있는 사각지대가 생긴다”라고 분석했다.
진화하는 사이버 위협에 뒤처지는 구형 SIEM
조직이 기존 SIEM 시스템에서 직면하는 주요 문제는 랜섬웨어와 지능형 지속 위협 그룹 등 고도화된 위협 징후를 파악하기 어려운 비정형 데이터를 대량으로 생산한다는 점이다.
영은 “기존 SIEM 시스템은 주로 시그니처 기반 접근 방식으로 알려진 위협을 탐지한다. 오늘날의 정교하고 끊임없이 진화하는 공격 기법에는 충분하지 않다. 최신 위협은 종종 고급 분석, 행동 기반 탐지, 여러 데이터 소스에 걸쳐 사전 예방적 상관 관계 분석이 필요한 교묘한 전술을 사용한다. 이런 기능이 기존 SIEM에는 부족하다”라고 설명했다.
또한 영은 기존 SIEM 시스템 대부분이 새로운 위협에 대응하는 데 중요한 자동화된 위협 인텔리전스 피드를 지원하지 않는다고 언급했다. 그는 “대응을 자동화하고 사고 관리를 간소화하는 데 유용한 보안 오케스트레이션, 자동화 및 대응 도구와의 통합 기능도 부족하다”라고 덧붙였다.
최신 기능이 없는 기존 SIEM이 종종 공격의 중요한 경고 신호를 놓치고 서로 다른 위협 신호를 연결하는 데 어려움을 겪으면, 조직은 복잡한 다단계 공격에 더 취약해질 수 있다.
멜렌은 기업이 투입하는 노력만큼의 가치를 SIEM이 발휘한다고 말했다. 수년간 실무자로부터 받은 주요 피드백이라는 설명이다.
그는 “최신 공격에 적절히 대응하려면 새로운 탐지 기능을 꾸준히 구축해야 한다. SIEM에서 가치를 얻는 데는 많은 노력이 필요하다. 일부 SIEM은 위협을 탐지하는 데 유용한 기본 제공 분석 기능을 갖췄지만, 어떤 경우든 새로운 탐지 기능을 계속 구축하려면 여전히 많은 수작업이 필요하다”라고 말했다.
[email protected]
Read More from This Article: 비용 부담에 보안 공백까지··· 전문가들이 본 ‘오래된 SIEM의 문제’
Source: News