Q12. 이미 한계에 도달한 SIEM은 왜 아직도 현장에서 사용되고 있을까요?

A. 기술 때문이 아니라, ‘정의되지 않은 역할·컴플라이언스·관성’ 때문입니다.

SIEM(Security Information and Event Management)은
오랫동안 “보안 로그의 중심”으로 여겨져 왔습니다.

하지만 실제 SOC 현장에서는
SIEM이 약속했던 역할을 제대로 수행하지 못하고 있으며,
많은 조직에서 로그 창고(Log Dump) 수준으로만 사용되고 있습니다.

그럼에도 SIEM이 여전히 유지되는 이유는
효과 때문이 아니라, 버리지 못하는 구조에 있습니다.

1️⃣ “로그를 모으면 보안이 된다”는 오래된 믿음

SIEM 도입의 출발점은 단순합니다.

“로그를 한곳에 모으면,
공격을 더 잘 볼 수 있지 않을까?”

하지만 현실은 다릅니다.

• 로그는 자동으로 의미를 만들지 않습니다
• 이벤트는 많지만, 맥락(Context)은 없습니다
• 수집은 되었지만, 분석은 되지 않습니다

SIEM은
“로그를 모으는 도구”일 뿐,
무엇이 공격인지 정의해 주지 못합니다.

2️⃣ ISMS·감사 대응의 ‘만능 답변’

SIEM이 가장 강력한 이유는
기술이 아니라 보고서입니다.

• “로그를 수집하고 있습니까?”
• “이벤트를 중앙에서 관리합니까?”

이 질문에 대해
SIEM은 가장 간단하고 안전한 답이 됩니다.

실제 탐지 여부와 상관없이,
“SIEM 운영 중”이라는 문장은
감사 대응에서 매우 강력한 면피 수단입니다.

Q9에서 IPS·NDR이,
Q11에서 SOAR가 그러했듯,
SIEM 역시 컴플라이언스 장비로 자리 잡았습니다.

3️⃣ 로그는 많아지는데, 분석은 더 어려워집니다

시간이 지날수록 SIEM의 상황은 더 악화됩니다.

• 수집 로그는 기하급수적으로 증가
• 클라우드·SaaS·API 로그 폭증
• 비용 때문에 원본 로그는 요약·삭제

그 결과:

• 중요한 본문 데이터는 사라지고
• 남는 것은 의미 없는 이벤트 카운트뿐입니다.

“로그는 있는데,
사고가 나면 볼 게 없다”는 말이
SIEM 환경에서 반복됩니다.

4️⃣ 규칙(Rule)과 상관분석은 유지되지 않습니다

SIEM의 핵심 기능으로 알려진
상관분석(Correlation)은
현실적으로 유지가 불가능합니다.

• 환경이 바뀔 때마다 룰 수정 필요
• 서비스 하나 추가될 때마다 튜닝 필요
• 담당자 퇴사 시 룰의 의미 소멸

결국 대부분의 SIEM은:

• 기본 제공 룰만 남고
• 실제 공격 탐지에는 거의 기여하지 못합니다.

SIEM은 점점
“아무도 손대지 않는 시스템”이 됩니다.

5️⃣ SIEM은 문제의 원인이 아니라, 결과물입니다

SIEM이 실패하는 가장 근본적인 이유는
SIEM 자체에 있지 않습니다.

• 무엇을 로그로 남길지 정의되지 않았고
• 어떤 행위가 공격인지 합의되지 않았으며
• 로그를 해석할 기준이 없었기 때문입니다.

즉, SIEM은
정의되지 않은 보안 전략의 결과물일 뿐입니다.

전략 없이 SIEM을 먼저 도입하면,
결과는 언제나 같습니다.

“로그는 많은데,
분석도 대응도 못 한다.”

정리하면

SIEM이 아직도 사용되는 이유는
효과적이어서가 아니라,
버리지 못하는 관성과 제도 때문입니다.

• 로그 수집이 요구되었고
• 감사에 필요했고
• 대안이 명확하지 않았으며
• 이미 많은 비용을 지불했기 때문입니다.

하지만 로그의 목적은
보관이 아니라, 설명과 대응입니다.

로그를 모으는 시스템이 아니라,
로그를 이해하는 구조가 필요합니다.

SIEM이 그 역할을 하지 못한다면,
그 위치와 역할을 다시 정의해야 할 시점입니다.

함께 읽을 글

SIEM이 왜 반복적으로 기대에 미치지 못하는지에 대한
보다 구체적인 분석은 아래 글을 참고해 주세요.

📚 SIEM, 도입하면 뭐하나요? 로그 수집도 분석도 안 된다면
https://blog.plura.io/ko/column/why_siem_always_fails/

📚 Gartner 하이프 사이클로 본 SIEM과 SOAR – 왜 둘 다 한계가 있는가?
https://blog.plura.io/ko/column/hypecycle_siem_soar/