“유력 보안 도구 ‘SIEM’, 더 이상 큰 의미없어?”

[애플경제 이지향 기자] SIEM(보안 정보 및 이벤트 관리)은 유력한 사이버보안 솔루션이다. 잠재적 보안 위협과 취약성을 인식하고 해결하는 데 도움을 준다. 기업이나 조직의 보안 팀이 자동으로 사용자 행동 이상을 탐지하고, 인공 지능(AI)을 사용해 위협을 탐지하고, 침해에 대응할 수 있도록 한다. 그러나 사이버보안 업계 일각에선 최근 들어 “사실상 쓸모없는 알림에 불과하며, 비용만 소모될 뿐, 더 이상 의미가 없다”는 평가도 나오고 있다.

물론 SIEM이 실제로 유용했던 시절이 있긴 했다. 방화벽에 대한 기대가 높던 시절, 사실 SIEM을 통해 심각한 보안 문제를 해결했다. 그러나 로그가 곳곳에 흩어져 있고, “누가 언제 무엇에 로그인했는지”에 대한 답을 찾을 방법이 없게 되었다. 하지만 ‘레디언트 시큐리티’의 창립자인 샤하르 벤 하더는 “SIEM’은 소음을 줄이는 대신 오히려 증폭시켰다. 마치 고장 난 라디오 볼륨을 높이고 ‘콘서트’라고 부르는 것과 같았다”고 지적했다.

“로그 많을수록 보안 강화” 잘못된 생각 전파

SIEM은 보통 원시 데이터 볼륨을 기준으로 요금을 부과한다. 즉, 가시성이 넓을수록 예산 낭비가 더 심해진다. 많은 보안 리더들이 “DNS(도메인) 로그를 수집해야 할까, 아니면 이번 달 임대료만 내야 할까”"는 딜레마에 처하곤 한다.

공급업체는 수집량이 증가할수록 이익이고, “로그가 많을수록 보안이 강화된다”는 생각을 퍼뜨리고 있다. 그러나 “실제로는 ‘건초더미 속의 건초’에 더 많은 비용을 지불하는 것과 같다”는게 레이언트 시큐리티의 비판이다. 실제로 보안 리더의 65%가 비용 압박으로 인해 로그 수집을 줄였다. 가시성은 약화되었지만 지출은 여전히 ​​과도하다.

특히 SIEM의 ‘상관관계 규칙’은 한때 이질적인 로그를 이해하는 획기적인 방법으로 여겨졌다. 하지만 상관관계 규칙은 오래되면 좋지 않다. 사이버 공격자의 기술은 매일 진화하지만, 규칙 라이브러리는 보통 몇 주나 몇 달 후에 비로소 업데이트되어 지속적인 공백을 남긴다. 애초 이는 유망한 탐지 메커니즘으로 시작했다. 그러나 오래된 ‘규칙’은 ‘가치 없는 경고’를 대량으로 발생시켜 사이버보안 분석을 무색케하고 있다.

대표적인 예로 낯선 지역에서 로그인할 때 발생하는 규칙이 그런 경우다. 10년 전에는 ‘해외’에서 예상치 못한 로그인이 보안 침해의 강력한 지표가 되곤 했다. 그러나 오늘날은 원격 근무나, 클라우드 기반 인프라, 그리고 끊임없는 해외 출장이나 소비자 VPN을 통한 연결로 인해 정상적인 활동에 대해서도 이러한 경고가 끊임없이 발생한다. 한때는 신뢰성 높은 ‘신호’였던 것이 이제는 단순한 ‘배경 소음’으로 전락하고 말았다.

보안 분석가들 ‘오탐지’에 시간 낭비

‘포네몬’(Ponemon)의 연구에 따르면 보안 분석가 업무 시간의 25%는 오탐지(false positive)를 추적하는 데 낭비되고 있다. 이런 시간이야말로 실제 위협을 조사하는 데 사용되어야 한다. 2024년 ‘시큐리티 블러바드 SOC 효율성 연구’(Security Boulevard SOC Efficiency Study)에 따르면, 경보의 거의 3분의 1은 오탐지(false positive)로 나타났다. 그 나머지도 중복되거나 불필요한 노이즈인 경우가 많다.

‘버라이즌’의 실태 조사 역시 또 다른 관점을 제시한다. 침해 사고의 74%에서 경보가 생성되었지만 무시되었다. 이는 사이버 분석가들이 방대한 정보량에 압도당했기 때문이다. 즉 “이들은 매일 수천 건의 경보에 파묻혀 있으며, 신호 대 잡음비(Signal-to-Noise) 문제로 인해 효율성과 사기가 저하되고 있다”는 것이다.

SIEM은 경보를 발생시키고 표시하는 데는 탁월하다. 그러나 원인과 다음 단계를 제시하는 데는 부족하다는 지적이다. 그래서 “분석가들은 깜빡이는 빨간불만 볼 뿐 별다른 조치를 취하지 못한다.”는 얘기가 나온다. 평균적인 SOC는 조사를 완료하기 위해 20개 이상의 도구를 사용하는데, 이는 SIEM이 정보를 연결하지 못하기 때문이다.

이는 중앙 집중화되고 간소화된 워크플로우 대신, 팀은 경보의 악성 여부를 판단할 충분한 맥락을 수집하기 위해 시간이 많이 걸리는 전환 작업을 해야 한다.

그래서 “실제 위협을 조사하고 차단하는 것보다 상관관계 규칙을 관리하는 데 더 많은 시간을 허비한다”는 지적도 나온다. 또한 MTTD(평균 고장 시간) 및 MTTR(평균 고장 시간)과 같은 주요 보안 지표는 변함없이 유지되는데, SIEM 비용이 증가하는 것도 문제다.

‘해크리드’에 따르면 실제로 포춘 500대 기업 중 한 곳은 SIEM 수집에 매년 수백만 달러를 지출했다. 이는 “경보가 울렸지만 무시당했고, 매일 5,000건의 오탐지율에 묻혔다.”는 비판을 사고 있다.

SIEM 시대의 종말?

분명 SIEM의 역할은 빠르게 줄어들고 있다. 이제 SIEM은 규정 준수가 최우선일 뿐, 보안은 그 다음이다. 속도가 중요한 부분에선 오히려 느리다. 업무량을 줄이는 것이 아니라 오히려 늘리도록 재정적 인센티브를 받는다. “많은 경우 SIEM을 사무실 구석에 있는 ‘짜증 나는 프린터’처럼 취급한다. 즉 여전히 작동하지만, 아무도 중요한 역할을 해낼 것으로 믿진 않는다”는 것이다.

경제성 또한 기대 이하다. ‘포네몬’(Ponemon)에 따르면 평균 보안 비용은 날로 증가했지만, 엔지니어들은 ‘SIEM’의 ‘가성비’에 대해선 의문을 표한다. 더욱이 이는 라이선스 비용보다 유지 관리 비용이 더 들어간다.

SIEM이 효과가 없다면, 그 대안은 어떤 것일까. 보안 데이터를 수집, 보관 및 쿼리하는 ‘클라우드 네이티브 기술’은 더 이상 SIEM 공급업체만의 전유물이 아니다. 즉, 더 이상 기존 플랫폼(공급업체)의 제약이나, 비용, 종속성을 감수할 필요가 없다는 조언이다.

클라우드 네이티브 데이터 기반을 통해 확장 가능하고 저렴한 로그 관리를 할 수 있다. 로그는 고가의 공급업체 저장소 대신 저렴하고 유연한 클라우드 아카이브 스토리지에 저장된다. 그래서 대부분의 기업들로선 최대 80%까지 절감된 비용으로 확장성과 데이터 소유권을 확보할 수 있다.

에이전트 AI도 대안이다. 복잡한 플레이북 엔지니어링 없이도 오탐지를 걸러내고, 맥락을 풍부하게 하며, 실제 위협 요인만 파악한다. 그 결과 악성이 확인되면 간소화된 워크플로우와 자동화를 통해 불과 몇 분 만에 문제를 해결할 수 있다.