SIEM, AI 기반 통합정보보호플랫폼으로 진화 모색

이글루시큐리티 통합보안관제센터 전경.
이글루시큐리티 통합보안관제센터 전경.

보안 정보·이벤트 관리(SIEM) 솔루션이 인공지능(AI)을 접목해 기업 내·외부 데이터를 아우르는 차세대 플랫폼으로 변신을 꾀한다.

정보보안업계에 따르면 올해 국내 SIEM과 통합보안관리 시장은 1000억원 규모로 전망된다. 로그데이터를 토대로 보안위협을 실시간 파악하는 SIEM은 수년간 보안관제 중심 솔루션이었다.

지능형지속위협(APT)이 늘어나고 내부 사용자 보안이 강조되면서 기존 SIEM 입지가 흔들린다. 그동안 SIEM 솔루션은 주로 방화벽이나 침입방지시스템(IPS) 등 외부 데이터에 초점을 맞춰, 사전 정의된 규칙과 시그니처 기반으로 처리했다.

SIEM 솔루션 업계는 보안 운영·분석 플랫폼 아키텍처(SOAPA)로 업그레이드를 도모한다. 기존 외부 이벤트 로그뿐 아니라, 데이터베이스관리시스템(DBMS)을 비롯한 내부 시스템과 사용자 행위 데이터까지 통합 분석한다. 네트워크와 엔드포인트 보안부터 부서별 컴플라이언스에 이르기까지 플랫폼 기반으로 운영된다. 전사 차원 데이터를 확보해 탐지·대응을 한 곳에서 처리한다.

구동언 이디엄 이사는 “지난해 국민은행과 부산은행의 정보보호통합플랫폼 사업에도 '로그프레소'를 기반으로 내·외부 통합 보안 요구사항을 반영했다”면서 “SIEM에서 발전한 정보보호통합플랫폼은 최근 이슈인 엔드포인트 탐지·대응(EDR) 솔루션과 상호보완적”이라고 말했다. 엔드포인트 로그 또한 통합보안관리 대상이다.

SIEM 솔루션 업계는 AI 도입으로 차세대 시장을 노린다. 기존 규칙과 시그니처 기반 대응은 알려리지 않는 위협에 대응이 어렵다. 데이터 기반으로 지능화된 비(非) 지도학습 알고리즘을 활용하면 변칙·이상행위 검출에 도움이 된다. 과거 처리 내역에 기반한 지도학습 알고리즘으로 업무효율을 개선한다. 반복된 공격에 대한 정탐·오탐 구분과 위험도 책정을 자동화해 보안관제 인력과 전문가 부족을 보완하고 운영편의성도 높인다.

신윤섭 이글루시큐리티 AI개발팀장은 “SIEM에 발생하는 정보도 급증해 어떤 사이트는 하루에 1000~2000건이 발생한다”면서 “관제인력 한계가 있어 다 확인하지 못하고 노하우로 처리하는 실정”이라고 말했다. 이어 “AI 기반 보안관제를 지난해부터 대구시청에서 개시했고, 현재 자사 원격보안관제센터에서도 시범 운영 중”이라며 “올해 초 새로운 '스파이더TM' 출시와 함께 정식 서비스 예정”이라고 밝혔다.

팽동현기자 paing@etnews.com