SIEM, 도입하면 뭐하나요? 로그 수집도 분석도 안 된다면

📉 많은 기업이 통합로그관리, SIEM 도입을 고민합니다.
하지만 중요한 질문 하나가 있습니다: 정말 로그 수집이 되고 있나요? 그리고 수집한 로그를 제대로 분석하고 있나요?

결론부터 말씀드리면, 대부분의 기업은 로그도 제대로 수집하지 못하고,
분석할 역량 또한 갖추지 못했습니다.

이런 상황에서 SIEM은 결국 고가의 시각화 대시보드 이상의 의미를 갖기 어렵습니다.

• SIEM: Security Information and Event Management

---

1. 로그 수집부터 불가능한 현실 🛑

(1) 웹 서버 로그 수집의 한계

• 대부분의 웹 서버는 단순한 액세스 로그만 남깁니다.

  • 이 로그에는 주로 IP주소, URL, 상태 코드, 간략한 요청 헤더 정도만 기록됩니다.

• 요청 본문(Request Body)과 응답 본문(Response Body)은 로그에 남지 않는 경우가 많습니다.

  • 👉 SQL 인젝션은 요청 본문에 포함된 악성 쿼리로 동작합니다.
  • 👉 개인정보 유출은 응답 본문을 통해 외부로 노출됩니다.

• 따라서 핵심 공격 정보가 로그에 전혀 존재하지 않을 수 있어, 공격이나 침해 사고가 발생해도 로그만으론 파악하기 어려운 상황이 벌어집니다.

일부 솔루션(WAF 등)이나 고급 로깅 기능을 통해 본문(Request/Response)을 캡처할 수 있지만, 성능 저하와 추가 비용 문제로 대부분의 기업에서 충분히 적용하지 못하는 현실입니다.

👉 웹을 통한 데이터유출 해킹 대응
👉 웹의 전체 로그 분석은 왜 중요한가?

---

(2) 감사 정책 없는 운영체제 로그 수집의 한계

• Windows(윈도우), Linux(리눅스) 등 운영체제 감사(Auditing) 정책이 꺼져 있으면,

  • 사용자 로그인, 프로세스 실행, 권한 변경 등 핵심 이벤트가 아예 기록되지 않습니다.

• 감사 정책을 활성화해도, 수십만~수백만 건의 로그가 쌓이는 환경에서,

  • 정상 vs. 이상 이벤트를 분류할 룰이나 분석 기준이 없으면 무용지물입니다.
  • 결국 “로그가 있긴 있지만 해석이나 분류가 안 되는” 문제로 이어집니다.

---

(3) 정보보안 제품에서의 로그 수집 한계

웹 서버나 운영체제 로그만으로도 충분한 공격 정보를 확보하기 어려운 것처럼, IPS, NDR, WAF, EDR 같은 대표 보안 솔루션도 각자 로그 수집상의 제한을 갖습니다.

[1] 침입차단시스템(IPS) 로그 수집의 한계

1. HTTPS 복호화 문제

   • IPS가 HTTPS 트래픽 전체를 복호화해 SIEM에 전달하는 기능은 대체로 제한적입니다.
   • 대규모 환경에서 완전한 복호화를 시도하면 성능 부담이 크고, 실제로 지원하는지도 꼼꼼히 확인이 필요합니다.

2. SSH, RDP 등 암호화 프로토콜 복호화 불가

   • SSH, RDP는 세션 키를 이용한 엔드투엔드 암호화라, 중간(IPS)에서 복호화가 사실상 불가능합니다.
   • IPS는 헤더나 연결 정보 정도만 분석 가능하며, 내부 세션 데이터(명령어, 파일 전송 내용)는 SIEM에 제공할 수 없습니다.

3. 결론

   • IPS 로그는 주로 TCP/IP 레벨의 정보에 국한됩니다.
   • HTTPS 복호화는 보통 WAF나 TLS 프록시가 맡으며, SSH/RDP는 중간 복호화가 불가능해 본문 분석이 어렵습니다.
   • 즉, IPS만으로 암호화 트래픽 세부를 SIEM에 전달하기는 현실적으로 어렵습니다.

👉 IPS의 진화와 보안 환경의 변화
👉 침입차단시스템(IPS) 이해하기

---

[2] 네트워크 탐지 및 대응(NDR) 로그 수집의 한계

NDR(Network Detection & Response)은 네트워크 트래픽을 행위 기반으로 분석·대응하지만, 아래 한계가 있습니다.

1. HTTPS 복호화 문제 (IPS와 동일)

   • 일부 NDR은 인증서나 프록시 활용으로 HTTPS를 부분적으로 복호화할 수 있지만, 웹방화벽(WAF)처럼 HTTP 본문까지 깊이 분석하는 기능은 일반적으로 없습니다.

2. SSH, RDP 등 암호화 프로토콜 복호화 불가 (IPS와 동일)

   • SSH, RDP 같은 엔드투엔드 암호화 프로토콜도 NDR이 중간 복호화할 수 없습니다.
   • 결과적으로 프로토콜 내부 명령어, 파일 전송 등은 SIEM 로그로 남길 수 없습니다.

3. 결론

   • NDR 역시 암호화된 프로토콜(SSH, RDP)의 본문을 SIEM으로 전달하지 못합니다.
   • HTTPS만 부분적 복호화가 가능하나, 완전한 본문 분석까지 지원하는 경우는 드뭅니다.
   • 따라서 IPS와 마찬가지로, NDR만으론 암호화 트래픽 상세를 SIEM에 넘길 수 없습니다.

👉 NDR의 한계: 해결 불가능한 미션

---

[3] 웹방화벽(WAF) 로그 수집의 한계

1. 탐지/차단되지 않은 원본 데이터 전체 전송 한계

   • WAF는 공격으로 간주된 요청은 이벤트 형태로 상세 로그를 남길 수 있지만, 정상 트래픽으로 판단된 원본 데이터 전체를 SIEM에 전송하는 기능은 제한적입니다.
   • 전수(全數) 캡처를 시도하면 성능, 스토리지 부담이 커지므로, 제품별로 실제 지원 여부와 구성을 반드시 확인해야 합니다.

👉 웹방화벽(WAF)에 대한 이해

---

[4] 엔드포인트 보안(EDR) 로그 수집의 한계

1. 감사(Auditing) 정책이 활성화되어야 의미 있는 로그 확보

   • EDR은 엔드포인트에서 프로세스 실행, 파일 변경, 레지스트리 수정 등을 추적하지만, Windows, Linux의 감사 정책이 꺼져 있으면 핵심 이벤트가 전혀 기록되지 않습니다.
   • 감사 정책이 비활성화된 환경에서는, SIEM에 유의미한 데이터를 전달하기 어려워집니다.

---

최종 요약

• 웹 서버에선 기본 액세스 로그만으로 SQL 인젝션, 개인정보 유출 등 본문 공격을 파악하기 어렵습니다.

• 운영체제 감사 정책이 꺼져 있으면 로그가 아예 기록되지 않는 문제가 생깁니다.

• IPS와 NDR 모두, HTTPS를 제외한 암호화 프로토콜(SSH, RDP 등) 본문을 복호화할 수 없고, HTTPS조차 완전한 복호화나 본문 분석은 쉽지 않습니다.

• WAF는 웹 트래픽을 복호화·분석해 공격을 차단할 수 있지만, 정상 트래픽 전체 전송은 제한적입니다.

• EDR은 감사 정책이 꺼져 있으면 핵심 엔드포인트 활동(프로세스, 파일 접근 등) 로그를 전혀 남기지 못합니다.

결국, 암호화 트래픽이나 엔드포인트 내부 행위를 완벽히 로그화하려면,

1. 각 솔루션이 어떤 범위와 수준의 데이터 수집을 지원하는지 사전에 확인하고,
2. 정책 설정(감사 정책 활성화, TLS 프록시 구성 등)과 추가 기능(고급 로깅, 전수 캡처 등)을 운영 환경에 맞게 적용해야 합니다.

그렇지 않으면, SIEM에 들어오는 로그만으로는 중요 공격이나 침해 흔적을 제대로 파악하기 힘들 수 있습니다.

---

2. 로그 분석? 할 수 없습니다 🤔

(1) SIEM에서 웹로그에 대한 공격 쿼리 검색이 가능할까요?

SIEM을 통해 “SQL 인젝션, XSS, 웹쉘” 같은 웹 공격을 찾으려면,

• 우선 악성 페이로드가 들어 있는 필드(주로 Request/Post Body)를 수집하고 인덱싱할 수 있어야 합니다.

왜 Request Body인가?

• 대부분의 웹 서버 액세스 로그는 IP주소, URL, 상태 코드, 요청 헤더 정도만 남깁니다.
• SQL 인젝션은 주로 POST나 PUT 요청의 본문(Request Body)에 “SELECT * FROM ...” 등 악성 쿼리가 포함되어 실행됩니다.
• 그러나 일반적인 웹 서버나 SIEM 설정만으로는 Request Body 자체를 기록하지 않는 경우가 많아, 공격 시그니처(select * from)를 로그에서 확인할 수 없습니다.

“그럼 Request Body까지 수집하면 되지 않을까?”

• 물론, WAF(Web Application Firewall)나 특별한 에이전트를 통해 Request Body를 캡처하고 SIEM에 전송할 수 있습니다.

• 하지만 이렇게 수집하더라도, SIEM이 자동으로 “이건 SQL 인젝션이군!”이라고 판단해주지는 않습니다.

  • “select * from“이라는 문자열이 포함되어 있다고 해서 무조건 공격은 아니기 때문입니다(합법적인 쿼리일 수도 있습니다).
  • 실제로는 사용자가 탐지 룰이나 쿼리(“이런 문자열+특정 조건이 들어오면 공격 의심”)를 세세하게 작성하고, 예외 케이스를 걸러내야 합니다.

결국, “공격 쿼리를 직접 정의”해야 한다

• “WHERE request_body CONTAINS 'select * from'“과 같은 식의 검색을 가능하게 해도,

  • 정상적 SQL 요청과 악성 요청을 구분하는 건 사용자가 고도화된 룰을 만들어야 합니다.
  • 예: “정상 쿼리는 내부 API에서 발생하니 특정 User-Agent면 제외하자” 등등.

• 따라서 “SIEM이 알아서 SQL 인젝션을 잡아낼 것”이라고 기대하기보다는,

  • Request Body까지 수집 → 공격 패턴 정의 → 룰 설정 이 일련의 과정을 운영자가 직접 주도해야 한다는 한계가 있습니다.

👉 우리는 왜 GET/POST 로그를 분석하는가?

---

(2) BPFDoor 같은 고도화된 위협 식별?

BPFDoor는 리눅스 커널 수준에서 은닉되는 고도화된 백도어로,

• 일반 유저 모드 프로세스나 이벤트 로그로는 포착하기가 매우 어렵습니다.

• 2025년 4월 SK텔레콤 해킹에 사용되어 막대한 피해를 유발한 악성코드입니다. 💀

왜 일반 로그로 잡히지 않을까?

• 커널 레벨에서 동작하는 악성 코드(백도어)는,

  • 운영체제의 일반 이벤트(예: 프로세스 시작/중지, 네트워크 연결)만 보고는 흔적을 잡아내기 힘듭니다.

• BPFDoor처럼 eBPF나 커널 후킹을 악용하는 공격은,

  • 사용자 영역에서 보이는 흔적(프로세스, 파일, 네트워크 세션 등)을 교묘하게 숨기거나 변조합니다.

“포렌식 도구가 ‘BPFDoor 의심 이벤트’를 보내준다면?”

• 가정해봅시다. 어떤 전문 포렌식 도구가 커널 메모리나 eBPF 프로그램을 검사해 “BPFDoor 의심 이벤트”를 SIEM으로 전송한다고 합시다.

• 그러나 SIEM이 “이건 100% BPFDoor다!”라고 자동 인식하려면,

  • 해당 로그 필드(“bpfd”, “특정 해시 값”, “특정 호출 패턴” 등)를 악성으로 분류하는
  • 룰(Rule)을 미리 설정해둬야 합니다.

• 다시 말해, 사용자가 “이건 BPFDoor 징후”라고 정의하고,

  • 그에 따른 검색 쿼리나 알림 정책을 작성해두어야만,
  • SIEM이 “BPFDoor 의심 이벤트!”라고 알려줄 수 있습니다.

고도화된 위협은 사용자 지식·룰이 더 중요

• 즉, 포렌식 도구가 로그를 수집해줄 순 있어도,

  • “이 로그가 실제 위협이냐 아니냐”를 최종 판단해주는 것은 SIEM이 아니라 사용자입니다.

• 사용자가 공격 기법을 충분히 파악하고, SIEM에 “이건 BPFDoor 의심”이라는 규칙을 넣어두지 않으면,

  • 결국 SIEM은 “그냥 로그 하나 들어왔네…” 정도로만 인식하고 지나가 버립니다.

---

(3) DLL 인젝션 탐지?

DLL 인젝션은 특정 DLL(동적 라이브러리)을 악성 형태로 다른 프로세스에 삽입해 권한 상승 또는 임의 코드 실행을 노리는 기술입니다.

단순 프로세스 로그로는 불가능

• 보통 “프로세스 실행 로그”에는 “프로세스가 어떤 DLL을 로딩했는지”가 구체적으로 남지 않습니다(또는 매우 제한적으로 남습니다).

• DLL 인젝션을 정확히 탐지하려면,

  • “누가, 언제, 어떤 DLL을 불러왔는지”를
  • ETW(Event Tracing for Windows), Sysmon의 특수 이벤트 등으로 상세하게 수집해야 합니다.

데이터가 있어도 “이 DLL이 악성인가?”는 또 다른 문제

• 예를 들어, “WHERE dll_name = 'malicious.dll'” 같은 룰을 만든다고 해보겠습니다.

  • 공격자가 malicious.dll이 아닌 다른 파일명을 쓰거나,
  • 정상 서명이 포함된 DLL을 악용하면,
  • SIEM은 “이름이 안 맞네. 패스.” 하고 지나갈 수 있습니다.

• 결국 사용자가 “어떤 DLL이 ‘비정상 경로’에서 로드되면 이상 징후로 본다” “서명이 없는 DLL이면 경고” 등 구체적 룰을 설정해둬야만,

  • SIEM이 “DLL 인젝션 가능성 있음!”이라고 판단할 수 있습니다.

정리하면

• DLL 인젝션 로그를 확보하더라도, 자동 분류는 쉽지 않습니다.
• “이 DLL은 정상, 저 DLL은 악성”이라는 구분 기준 자체를 계속 업데이트해야 하며,
• 그 과정이 결국 사용자 몫이라는 점에서 운영 부담이 큽니다.

---

(4) 크리덴셜 스터핑(Credential Stuffing) 대응?

크리덴셜 스터핑은 공격자가 유출된 사용자 계정(아이디·패스워드) 정보를 입수한 뒤, 다른 서비스나 시스템에서 재사용해 침투를 시도하는 기법입니다.

• 예: A 서비스에서 유출된 계정·비밀번호로 B 서비스 로그인을 대량 시도.

• 2025년 1월 GS리테일 해킹에 고객 정보 유출에 사용된 공격입니다. 💀

왜 SIEM만으로는 대처가 어려울까?

1. 단순 실패 로그인만으로는 공격 여부 판단이 어렵습니다.

   • 로그인 실패·성공, IP 주소 정도는 기본적으로 남을 수 있지만,
   • 크리덴셜 스터핑을 정확히 탐지하려면 “어떤 IP가 몇 건의 사용자(ID)를 시도했는지”까지 파악해야 합니다.

2. 사용자 정보(ID)는 보통 요청 본문(POST Body)에 기록됩니다.

   • 일반 액세스 로그에는 “로그인 페이지 URL”, “상태코드(200, 401 등)” 정도만 남는 경우가 많습니다.
   • ID/패스워드가 담긴 Request Body를 수집·분석하지 않으면, “IP A에서 user1, user2, user3…” 같은 식의 계정 시도 패턴을 파악하기 어렵습니다.

3. 반복·광범위 시도를 잡아내려면 사용자가 정확한 조건을 정의해야 합니다.

   • 예: “같은 IP에서 짧은 시간 안에 여러 계정 시도 발생” → 이상 징후
   • “동일 계정에 대해 10회 이상 로그인 실패” → 계정 잠금 혹은 추가 인증 절차
   • 이런 룰을 SIEM에 직접 설정하지 않으면, SIEM은 단순 실패 로그만 저장할 뿐입니다.

예시: “Credential Stuffing” 탐지 룰 만들기

• WHERE action='login' AND result='fail' AND ip_count > 5 IN 10min
• WHERE request_body.user_id_count > 3 AND ip=’xxx.xxx.xxx.xxx’ IN 5min
• 이렇게 IP당 시도 계정 수, 시간 간격 등을 정교하게 설정해야, SIEM이 “크리덴셜 스터핑 의심” 알람을 줄 수 있습니다.

결론

• 크리덴셜 스터핑 방어에도 요청 본문 로그(POST Body 정보)가 필수이므로,

  • 요청 본문(Post-body) 로그 수집이 없으면,
  • “어떤 IP에서 몇 건의 사용자(ID)를 시도했는지”를 분석할 룰이 없으면,
  • SIEM은 단순히 “로그인 실패가 반복되었네…” 정도로만 인식합니다.

• 고급 자동 대응(계정 잠금, 추가 인증)까지 하려면,

  • SOAR나 WAF 등과 연동하고,
  • 사용자 행태 분석(UEBA) 등을 적용해야 합니다.

• 결국, 사용자가 룰과 탐지 로직을 설계하지 않으면 “크리덴셜 스터핑” 역시 SIEM만으로 자동 인식하기는 어렵습니다.

---

✅ 요약: “결국 사용자가 모든 공격을 정의해야 하는 SIEM의 한계”

위 4 가지(웹 공격, BPFDoor, DLL 인젝션, 크리덴셜 스터핑) 사례에서 공통적으로 드러나는 문제는,

1. 로그를 수집할 수 있다 해도,

2. “이 로그가 실제 공격을 의미한다”는 판단은

   • 결국 SIEM이 자동으로 해주지 않는다는 것입니다.
   • 사용자가 공격 패턴(시그니처, 룰)을 사전에 정의하고, 예외 케이스를 구분해야만 비로소 SIEM이 “이상 징후”를 인식합니다.

즉,

• “SIEM = 공격 자동 분석”이라는 기대는 과장일 수 있으며,
• 적절한 로깅 환경 + 공격 룰 + 전문 지식이 함께 마련되지 않으면,
• 실제로는 “쿼리를 만들고, 로그를 일일이 뒤져야 하는” 상황이 계속될 수밖에 없습니다.

가장 중요한 교훈: SIEM은 수집된 데이터를 정제·쿼리할 뿐, “어떤 로그가 악성인지”를 주도적으로 판단해주진 않습니다.
이는 궁극적으로 인력과 조직의 운영 역량을 요구하는 문제입니다.

---

3. SIEM의 본질은 대시보드가 아니다 📊

(1) 예쁜 차트 ≠ 로그 분석

• SIEM 업체들은 종종 “AI 대시보드”, “위험 점수 기반 시각화”를 강조합니다.
• 그러나 예쁜 시각화가 위협을 자동으로 탐지해주진 않습니다.
• 로그 품질(어떤 데이터가 얼마나 상세히 수집되었는가)과
  분석 역량(해당 로그를 해석해 공격 징후를 찾아내는 능력)이 없으면,
  • 대시보드는 그저 화려한 그래프일 뿐입니다.

(2) SIEM ≠ 만능 보안 솔루션

• SIEM은 어디까지나 수집된 로그를 보관·분석하는 데 초점을 맞춘 도구입니다.
• 무엇을 수집하고, 어떻게 분석할지 결정하지 않으면
  • 👎 SIEM은 공허한 통계 화면에 불과합니다.
• 특히 많은 기업이 오버엔지니어링(Overengineering)으로
  • “SIEM만 잘 구축하면 모든 공격을 자동으로 막을 수 있다”고 오해합니다.
  • 실제로는 로그 수집 범위와 분석 룰 설계가 동반되지 않으면,
    • 아무리 고가의 SIEM을 도입해도 무용지물입니다.

(3) SIEM + AI ≠ 만능 보안 솔루션

• 일각에서는 “SIEM에 쌓인 모든 로그를 AI 엔진에 넘기면 자동으로 모든 공격을 찾아낼 것”이라 기대합니다.

• 그러나 AI라 해도 분석할 대상, 우선순위, 평가 기준을 사람이 설정해줘야 합니다.

  • 무조건 모든 로그를 입력하면, 가성비(비용 대비 효과)가 크게 떨어집니다.
  • 의미 없는 로그나 정상 트래픽이 대량으로 섞여 있으면, AI도 “어떤 이벤트가 실제 위협인지” 정확히 판단하기 어렵습니다.

• 결국 AI 모델도 도메인 지식(어떤 공격 패턴이 중요하며, 어떤 데이터가 의미 있는지)과 체계적인 룰 설계가 필요합니다.

  • “가비지 인(입력)에는 가비지 아웃(출력)밖에 없다”는 말처럼, 데이터가 엉망이면 AI 역시 제대로 된 결과를 내놓기 어렵습니다.

• SIEM에 AI 기능을 접목한다 해도,

  • 로그 수집 품질, 분석 기준, 운영자의 모니터링이 뒷받침되지 않으면
  • 궁극적으로 사람이 직접 정의하고 최종 해석해야 하는 문제가 남습니다.

• 따라서 “AI만 있으면 보안 문제가 해결된다”는 기대 역시

  • 과도한 낙관에 불과하며,
  • 사람 중심의 운영 체계가 전제되지 않으면
  • SIEM+AI도 무용지물이 될 수 있습니다.

---

4. 결론: SIEM 도입, 그 전에 할 일이 있다 ✅

1. 로그 수집 환경부터 제대로 갖추세요.

   • 웹 본문 로그(Request/Response Body), OS 감사 로그, DB 감사 로그 등을 필요한 범위만큼 수집할 수 있는 체계를 먼저 만들어야 합니다.
   • 수집해야 할 로그가 많아질수록 스토리지나 네트워크 대역폭 부담이 커지므로, 우선순위를 명확히 하고 점진적으로 확장하는 전략이 바람직합니다.

2. 분석 기준과 탐지 룰을 직접 설계하세요.

   • 공격 시나리오를 구체화하고, OWASP TOP 10, MITRE ATT&CK, 내부 정책 등을 참고해 룰을 작성해야 합니다.
   • “어떤 이벤트를 이상 징후로 볼 것인가?”, “어떤 로그를 우선 보관·분석할 것인가?” 등에 대한 명확한 기준이 없다면, SIEM이 제대로 동작하기 어렵습니다.

3. 실무자의 이해와 교육이 필수입니다.

   • 아무리 좋은 SIEM이라도, 운영자가 로그와 룰을 모르면 의미가 없습니다.
   • 인력 양성, 교육, 그리고 보안팀·개발팀 간 협업 체계를 정비하여, 실제로 운영 가능한 조직을 만들어야 합니다.

4. 현실적인 운영 비용 증가

   • SIEM 도입 이후에는 로그 스토리지, 분석 인력, 쿼리 튜닝 등에 상당한 운영 비용이 필요합니다.
   • 예를 들어, 본문(Body)이나 OS 감사 로그처럼 데이터 범위가 확대되면, 스토리지 요구가 급증하고 로그량이 증가해 라이선스 비용도 오를 수 있습니다. 포렌식·분석 툴과의 연동으로 로그량이 더 늘어나면, 추가 라이선스 비용이 발생하기도 합니다.
   • 또한 로그 해석을 제대로 하려면 보안 전문 인력(분석가, 엔지니어)이 필요한데, 이들이 룰 업데이트, 오탐/정탐 식별 등 고급 업무를 수행하므로 인건비 부담도 무시할 수 없습니다.
   • 결국 솔루션 구매 비용뿐 아니라, 장기적인 운영 비용(스토리지, 인력, 유지·보수, 라이선스 등)까지 고려해야 실제 TCO(Total Cost of Ownership)를 파악할 수 있습니다.

5. FAQ

   Q1. “로그가 너무 방대하면 어떻게 관리하나요?”

   A1. 로그 수집 범위를 업무·보안 우선순위에 따라 선별적으로 조정하고,
   필요하다면 아카이빙(장기 보관) 대상과 온라인 분석 대상을 분리해 보관하십시오.
   인덱스 정책이나 압축 기능을 활용하면 스토리지 비용을 효율화할 수 있습니다.

   Q2. “우리 회사 공격 시나리오는 어떻게 만들 수 있나요?”

   A2. OWASP TOP 10, MITRE ATT&CK 등 공개 프레임워크를 참고하되,
   자체 서비스와 내부 업무 절차를 반영한 맞춤형 룰을 작성하는 것이 중요합니다.
   정기적으로 테스트 및 검증을 진행하여, 실제 공격 가능성을 평가하고 룰을 고도화하세요.

   Q3. “AI 모델만 적용하면 보안 인력이 줄어들까요?”

   A3. AI 기반 분석은 반복 업무나 오탐 필터링 같은 부분을 자동화할 순 있지만,
   최종 해석(“이 이벤트가 정말 악성인지”)과 룰 설계는 여전히 사람이 주도해야 합니다.
   데이터 품질 관리와 시나리오 업데이트 등은 전문 인력이 담당해야 합니다.

   Q4. “SIEM을 구축하면 SOAR(자동 대응)도 가능한가요?”

   A4. 이론적으로 SOAR(Security Orchestration, Automation, and Response)는
   SIEM에서 발생하는 이벤트·알람을 자동 처리할 수 있는 고도화된 솔루션입니다.
   하지만 SOAR를 제대로 도입하려면 SIEM이 정탐 이벤트를 안정적으로 제공해야 하고,
   자동화 규칙(워크플로우)도 세밀하게 설정해야 합니다.
   만약 SIEM 운영이 미숙해 오탐이 많다면, SOAR 단계에서 잘못된 차단 등 심각한 리스크가 발생할 수 있으므로, 먼저 SIEM을 안정화한 뒤 SOAR 확장을 검토하는 것이 안전합니다.

따라서

(1) SIEM 도입 후, 로그 수집 체계와 탐지 룰을 안정화하고
(2) 정상·오탐을 구분할 수 있는 분석 역량을 갖춘 뒤,
(3) SIEM이 어느 정도 정확한 결과를 낼 수 있게 되었을 때
SOAR를 검토하는 것이 현실적입니다.

“완벽한 SIEM을 만들고 나서 SOAR로 확장해도 늦지 않다”는 말이 있을 정도로,
SIEM 운영 역량이 먼저 갖추어져야 SOAR 효과도 극대화할 수 있습니다.
최대한 PLURA-SIEM 수준으로 만드는 것이 목표가 되어야 합니다.

정리하면, SIEM은 도입보다 운영이 훨씬 중요한 영역입니다.
로그 수집과 분석 체계를 제대로 준비하지 않으면, SIEM은 그저 비싼 대시보드로 전락할 수밖에 없습니다.

로그가 없으면 탐지도 없습니다.
룰이 없으면 분석도 없습니다.
결국 대시보드는 그저 그림일 뿐입니다. 🎨

---

5. SIEM 도입 전, 체크리스트 📋

SIEM 도입 전에 꼭 확인해야 할 항목을 간단히 정리했습니다.

항목	핵심 질문	체크
로그 수집 범위	- Request Body/Response Body 등 핵심 공격 정보를 남길 수 있나? - OS/DB 감사 로그는 제대로 활성화되어 있나?	□
감사 정책(Windows/Linux)	- 사용자 로그인, 프로세스 실행, 권한 변경 같은 이벤트가 모두 기록되는가? - 수집된 감사 로그가 너무 방대하여 분석이 어려운 건 아닌가?	□
공격 탐지 룰	- OWASP TOP 10과 MITRE ATT&CK, 내부 시나리오 등을 참고한 룰을 마련했는가? - 새로운 공격 기법(예: BPFDoor, DLL 인젝션)에 대응 가능한가?	□
운영 인력 & 조직	- SIEM을 다룰 전문 인력이 충분한가? - 보안팀, 개발팀, 운영팀 간 협업 프로세스가 있는가?	□
자동화·인프라 고려	- 대량 로그 전송·저장을 위한 네트워크/스토리지 인프라가 준비되어 있나? - SIEM 시스템의 유지·보수와 성능 이슈를 어떻게 대응할 것인가?	□

이 표의 항목들을 충분히 검토하고, 실행 계획을 세운 뒤 SIEM을 도입해야
비싼 대시보드로 끝나지 않고 실질적 보안 효과를 얻을 수 있습니다.

---

✍️ 최종 정리

• SIEM은 도입 자체가 목적이 아니라, 운영이 핵심입니다.
• 로그를 수집할 수 없다면, SIEM은 전혀 의미가 없고,
• 로그를 분석할 역량이 없다면, SIEM은 더욱 무용지물에 가깝습니다.
• 따라서 SIEM 도입 전에 로그 수집 체계, 분석 룰, 인력 준비 등 필수 요소를 먼저 갖추어야 합니다.

“현재 구축된 SIEM의 99.999%는 이와 같은 이유로 동작하지 않을 것입니다.” 🤫

---

📖 함께 읽기

• SOAR 도입하면 뭐하나요? 자동 대응도 못하는데

• 로그 분석으로 해킹 조사하기는 신화(Myth)?

• Splunk 에서 요청 본문(request body) 로그 분석 알아보기

• 웹을 통한 데이터유출 해킹 대응 개론

• 로그 분석 툴, 우리 회사는 무엇을 선택해야 할까?

• PHP WEBSHELL 악성코드

📖 SIEM & SOAR 도입 실패 사례

• 2025년 4월 SKT 해킹 악성코드 BPFDoor
• 2025년 1월 GS리테일 해킹
• 2018년 6월 LG유플러스 고객인증 시스템 유출
• 2023년 5월 법원행정처 전산망 해킹

🌟 PLURA-XDR의 차별점

• 1분 안에 해킹 여부 판단, PLURA-XDR의 즉각적인 가시성
• 전통적인 SOC vs PLURA-XDR 플랫폼
• 필요할 때, 필요한 보안만 선택하세요: PLURA vs. 기존 보안 솔루션
• 데모 : 크리덴셜 스터핑 탐지 & 차단

🌟 PLURA-XDR의 서비스

• PLURA-XDR 소개
• PLURA-DOCS : Credential Stuffing

실제 운영 환경에서 SIEM은 생각보다 매우 복잡합니다.
그러나 로그 수집과 분석 체계를 제대로 준비한다면,
SIEM은 강력한 보안 인텔리전스를 제공하는 든든한 도구가 될 수 있습니다.

하지만, “직접 SIEM을 구축·운영하기에는 위에서 본 (비용·운영·전문성 등) 부담이 크므로,
PLURA-XDR의 자동화 플랫폼과 같은 통합 솔루션을 활용하는 방안을 권장합니다.”