SIEM(Security Information and Event Management) 플랫폼은 기본적인 로그 수집 및 상관 분석의 영역을 훨씬 뛰어넘어 발전해 왔다.

사이버 위협이 너무 빠르게 진화하면서 수동 개입만으로 대응하기 어려워지자, 주요 업체는 AI/ML 기술을 SIEM 플랫폼에 통합하고 있다. 또한 최신 플랫폼은 XDR(eXtended Detection and Response)과 SOAR(Security Orchestration, Automation, and Response) 기능을 포함해 실시간 위협 탐지와 자동화된 대응을 지원한다. 이제 SIEM은 로그 데이터를 모니터링해 이상 징후와 의심스러운 이벤트를 감지하고, 비정상적인 행위 및 탐지 규칙에 따라 경고를 트리거하는 플랫폼으로 발전했다.

IDC는 “SIEM은 보안 분석가가 보안 인시던트를 조사하는 작업 공간 역할을 한다. 이는 자산 정보, 취약점, 위협 인텔리전스 등의 컨텍스트와 연계된 경고의 상관관계를 분석하는 과정과 연결된다. 향후 SIEM은 보안 운영 센터(Security Operations Center, SOC)의 대응 허브 역할을 하며, 플레이북을 통해 많은 인시던트를 자동으로 처리하게 될 것”이라고 전망했다.

또한 클라우드 사용이 계속 증가함에 따라, 구글의 클라우드 사이어보안 전망 보고서에서는 SIEM이 “클라우드 로그부터 엔드포인트 원격 측정 데이터까지 모든 정보를 수집하는 중심 플랫폼이 될 것”이라고 언급했다.

시장 조사 기업 컨텍스트(Context)의 글로벌 연구 및 사업 개발 이사 조 터너는 공격 표면이 넓어지고 고도화된 사이버 공격 증가로 인해 기업이 SIEM 투자를 확대하고 있다고 말했다. 터너는 “기업이 XDR 및 SOAR 같은 기술과 함께 SIEM을 활용해 위협을 상관 분석하고 탐지하고 대응하는 플랫폼으로 사용하고 있다”라고 말했다. 이에 따라 2024년 SIEM 시장이 20% 성장했다고 덧붙였다.

SIEM, XDR, SOAR의 융합

SIEM과 XDR, SOAR 같은 보안 툴의 융합은 시장 성장을 견인하는 주요 요인으로 작용하고 있다. SIEM은 로그 분석과 광범위한 가시성을 제공하며, XDR은 엔드포인트와 클라우드 전반에서 탐지 기능을 확장한다. SOAR은 보안 대응을 자동화하고 오케스트레이션해 보안 운영 효율성을 높인다.

SIEM이 보안 인시던트를 감지하면, SOAR가 XDR을 통해 자동 대응 조치를 실행한다. 이를 통해 감염된 엔드포인트를 격리하고, 침해된 사용자 계정을 비활성화하며, 악성 트래픽을 실시간으로 차단할 수 있다.

XDR 및 SOAR과 SIEM을 통합하면 기업은 데이터를 중앙에서 관리하고 보안 운영 복잡성을 줄이며, 대응 시간을 단축할 수 있는 통합 보안 플랫폼을 확보할 수 있다. 이런 시스템은 위협이 감지될 경우 자동으로 격리 및 대응하도록 설정할 수 있어 수동 개입 없이 실시간으로 조치할 수 있다.

2024년 컨텍스트 보고서에 따르면, SIEM과 XDR이 함께 판매된 사례는 580% 급증했다. SIEM과 SOAR을 함께 제공하는 서비스의 판매도 전년 대비 22% 증가해 비교적 작지만 의미 있는 성장세를 보였다.

컨텍스트의 터너는 “‘SIEM++’라는 용어가 차세대 SIEM을 지칭하는 데 사용되고 있다. SIEM++는 자동화, AI, 실시간 대응 등 최신 보안 운영 요구 사항을 충족하도록 설계된 개념이며, 이에 따라 SIEM과 다른 보안 툴의 통합이 증가하고 있다”라고 말했다.

영국의 매니지드 서비스 업체 이머징 T-테크(Emerging T-Tech)의 디렉터 조지 맥케나는 인터뷰에서 SIEM과 XDR, SOAR의 통합이 기업의 운영을 간소화하고, 탐지 효과를 개선하며, 평균 해결 시간을 단축할 수 있다고 말했다.

맥케나는 “기존 SIEM은 로그 수집 및 상관 분석에서는 효과적이지만, 오늘날의 위협 환경에서 필수적인 세밀한 가시성과 자동 대응 기능이 부족하다. XDR은 엔드포인트, 네트워크, 클라우드 원격 측정을 통합해 이런 한계를 보완하며, 잠재적 위협에 대한 전체적인 가시성을 제공한다. SOAR은 인시던트 대응 워크플로우를 자동화해 완화 및 복구 속도를 가속화한다”라고 덧붙였다.

클라우드 기반 SIEM 증가 추세

기업이 더 확장 가능하고 비용 효율적인 보안 플랫폼을 찾으면서 클라우드 기반 SIEM으로의 전환이 가속화되고 있다.

클라우드 및 보안 모니터링 업체 데이터독(Datadog)의 클라우드 SIEM 시니어 프로덕트 마케팅 매니저 베라 찬은 “클라우드 네이티브 SIEM은 운영 부담을 줄이고, 보안, 데브옵스(DevOps), 플랫폼팀 간의 빠른 조사 및 협업을 가능하게 한다. 이는 현대 보안 운영의 핵심 요소다”라고 말했다.

클라우드 기반 SIEM 솔루션은 플러그 앤 플레이 방식의 보안 플랫폼으로, 구독형 모델로 도입하고 API를 통해 자산을 통합하며, SOAR를 활용해 대응을 자동화하고 맞춤형 탐지 규칙을 설정할 수 있다.

엑스포넨셜-e(Exponential-e)의 사이버 솔루션 컨설턴트 무하마드 알리는 “현대적인 클라우드 기반 SIEM은 단순한 로그 관리 기능을 넘어선다. 이제 SIEM은 지능형 보안 허브로 진화했다. SOAR 기능을 내장하고 클라우드 기반 XDR/EDR 솔루션과의 원활한 API 통합, 실시간 글로벌 위협 인텔리전스를 제공한다. 이는 더 정교한 탐지 기능과 고도화된 사이버 위협에 대한 신속하고 자동화된 대응을 의미한다”라고 말했다.

클라우드 기반 SIEM은 전통적인 온프레미스 구축 방식에서 발생하는 고가의 하드웨어 업그레이드 필요성을 제거하며, 확장성과 신속한 대응 속도, 잠재적으로 더 비용 효율적인 사용량 기반 가격 책정 모델을 제공한다.

팔로알토 네트웍스의 영국 및 아일랜드 CSO 스콧 매키넌은 “매일 새롭게 등장하는 방대한 위협을 고려할 때 기존 SIEM은 사전 정의된 패턴을 따르지 않는 새롭고 고도화된 공격에 효과적으로 대응하지 못한다. 차세대 SIEM은 AI/ML을 사용해 오탐을 줄이고 보안 침해를 예측하며, 자동화된 위협 대응을 지원한다”라고 설명했다.

컨텍스트 보고서에 따르면, 온프레미스 SIEM의 2024년 평균 비용은 사용자당 93달러로 116% 증가한 반면, 클라우드 기반 SIEM 비용은 26% 감소한 사용자당 77달러로 조사됐다. 컨텍스트의 터너는 “클라우드 SIEM의 초기 비용이 이제 온프레미스보다 낮아졌으며, 배포 속도도 훨씬 빠르다. 한정된 예산 내에서 보안을 강화하려는 중소기업에 매우 매력적인 옵션”이라고 설명했다.

그러나 클라우드 SIEM의 데이터 수집 비용이 높은 점을 고려하면 대량의 데이터를 처리하는 대기업의 경우 온프레미스 또는 하이브리드 SIEM 구축이 더 적합할 수 있다. 컨텍스트 보고서에 따르면, 2024년 클라우드 기반 SIEM 매출은 전년 대비 60% 증가했으며, MSP를 통해 제공되는 SIEM 기반 서비스는 같은 기간 550% 증가하며 6배 이상 성장했다.

터너는 “SIEM의 MSP 성장, 즉 SIEMaaS(SIEM as a Service)의 확산은 많은 기업이 자체 보안팀을 채용하거나 유지하기 어려운 현실적인 한계에서 비롯된다. 예산 제한으로 인해 기업은 보다 저렴한 매니지드 서비스를 선택하게 되며, 이를 통해 SIEM의 복잡성을 직접 이해하고 운영할 필요 없이 보안 관리를 아웃소싱할 수 있다”라고 설명했다.

SIEM 환경을 재편하는 AI

정적 규칙 기반 SIEM은 오늘날의 정교한 사이버 위협에 대응하는 데 한계를 보이고 있다. AI 기반 SIEM 플랫폼은 실시간 ML을 활용해 방대한 보안 데이터를 분석함으로써 기존 기술로 탐지하기 어려운 이상 징후 및 새로운 공격 기법을 효과적으로 식별할 수 있다.

ML 모델은 사용자, 자산, 네트워크 트래픽의 정상적인 행동 패턴을 설정하고 이를 지속적으로 모니터링해 잠재적 위협을 나타내는 이상 징후를 감지한다. 이상이 탐지되면, 학습된 모델이 자동으로 경고를 생성하며, 이를 통해 보다 신속한 위협 탐지 및 대응이 가능해진다.

알리는 “AI 기반 SIEM 솔루션은 단순히 위협을 탐지하는 것에 그치지 않고, 실시간 인시던트를 글로벌 위협 인텔리전스와 연계하여 조사 과정을 자동화한다. SOAR 및 XDR/EDR 플랫폼과 통합하면 자동화된 대응을 실행하거나, 필요할 경우 보안 분석가에게 인시던트를 전달하여 추가 조치를 취할 수 있도록 한다”라고 덧붙였다.

AI 기반 SIEM은 중요한 경고를 우선적으로 처리하고 대응 조치를 추천하며, 자동 복구를 실행함으로써 불필요한 알림을 줄이고 보안 팀의 피로도를 낮출 수 있다. 데이터독의 찬은 “공격자도 AI를 활용하는 만큼 보안팀도 AI 기반 자동화를 도입해야 선제적으로 대응할 수 있다”라고 말했다.

산업 통합

SIEM 시장은 업체들이 더 강력하고 포괄적인 보안 플랫폼을 개발하려 하면서 빠르게 통합되는 추세를 보이고 있다.

데이터독의 찬은 “기업은 더 적은 도구로 더 깊이 통합된, 원활한 엔드투엔드 보안 운영을 원하며, 이런 요구를 충족하는 업체가 사이버보안의 미래를 결정할 것”이라고 전망했다.

최근 몇 년간 SIEM 시장에서 주목할 만한 M&A 사례는 다음과 같다.

• 2024년 9월 : 팔로알토 네트웍스, IBM의 Q레이더(Qradar) SaaS 사업부를 5억 달러에 인수
• 2024년 7월 : 엑사빔(Exabeam)과 로그리듬(LogRhythm) 합병
• 2024년 3월 : 시스코, 스플렁크를 약 280억 달러에 인수
• 2022년 : 구글, SOAR 기업 시엠플리파이(Siemplify) 인수 후 구글 크로니클(Google Chronicle) SIEM에 통합
• 2021년 : IBM, AI 기반 탐지 기술을 보유한 리액타(Reaqta) 인수 후 Q레이더의 XDR 시장 경쟁력 강화

컨텍스트의 터너는 “독립형 SIEM 제품을 판매하는 업체가 줄어들고, 통합 패키지 제품이 늘어나는 추세다. 기존 SIEM 업체는 온프레미스에서 클라우드 기반 솔루션으로의 전환을 원하는 고객 수요에 맞춰 클라우드 네이티브 보안 기업을 인수하며 보다 경쟁력 있는 가격 모델을 제공하려 하고 있다”라고 분석했다.
dl-itworldkorea@foundryco.com