SIEM 시스템의 기초 이해

SIEM란 무엇인가?

SIEM(Security Information and Event Management)은 네트워크 내 다양한 장치에서 발생하는 보안 관련 정보와 이벤트를 수집, 통합하고 분석하여 위협 탐지 및 대응을 지원하는 시스템입니다. 이는 조직의 사이버 보안 인프라에서 핵심적인 역할을 하며, 실시간 모니터링과 사고 조사 능력을 제공합니다.

네트워크 가시성 확보

현대 네트워크 환경에서는 수많은 호스트(윈도우, 리눅스), 서버, 웹 서비스, 라우터 등이 상호 연결되어 작동합니다. 각 구성 요소는 자체 로그를 생성하며, 이를 통해 활동의 흔적을 추적할 수 있습니다.

  • 호스트 중심 로그: 운영체제나 애플리케이션 내부에서 발생하는 이벤트를 기록합니다. 예: 사용자 로그인 시도, 프로세스 실행, 레지스트리 변경, 파워셸 명령 실행 등.
  • 네트워크 중심 로그: 네트워크 간 통신과 관련된 활동을 기록합니다. 예: SSH 접속, FTP 파일 전송, HTTPS 요청, VPN 연결, 공유 폴더 접근 등.

SIEM의 주요 기능

SIEM은 단순한 로그 저장소를 넘어, 다음과 같은 핵심 기능을 제공합니다:

  • 실시간 로그 수집 및 집계
  • 다양한 로그 소스 간의 사건 연관 분석
  • 정의된 규칙에 따라 이상 행동 감지 및 경고 발급
  • 24/7 운영 모니터링 및 사건 조사 지원
  • 통계 데이터 기반의 시각화 및 의사결정 지원
  • 과거 사고 재현 및 원인 분석

로그 출처 및 수집 방식

다음은 주요 시스템에서 발생하는 대표적인 로그 위치입니다:

Windows 시스템

이벤트 뷰어(Event Viewer)를 통해 접근 가능한 시스템 로그, 보안 로그, 애플리케이션 로그 등이 포함됩니다. 주요 이벤트 ID 예시:

  • 4688: 새로운 프로세스 생성
  • 104: 이벤트 로그 삭제

Linux 시스템

기본 로그 디렉토리:

  • /var/log/httpd: Apache 웹 서버 접근 및 오류 로그
  • /var/log/auth.log 또는 /var/log/secure: 인증 관련 활동
  • /var/log/cron: 계획 작업 수행 기록
  • /var/log/kern: 커널 관련 메시지
May 28 13:04:20 ebr crond[2843]: no timestamp found (user root job sys-hourly)
Jun 13 07:46:22 ebr crond[3592]: unable to exec /usr/sbin/sendmail: cron output for user root job sys-daily to /dev/null

웹 서버 로그

Apache 또는 Nginx에서 생성되는 접근 로그 예시:

192.168.21.200 - - [21/March/2022:10:17:10 -0300] "GET /cgi-bin/try/ HTTP/1.0" 200 3395
127.0.0.1 - - [21/March/2022:10:22:04 -0300] "GET / HTTP/1.0" 200 2216

로그 수집 방법

SIEM 시스템은 다양한 방식으로 로그를 수집합니다:

  1. 엔진(에이전트): 호스트에 설치된 경량 프로세스로, 로그를 수집해 중앙 서버로 전송.
  2. Syslog 프로토콜: 리눅스 기반 시스템에서 표준화된 방식으로 로그를 전송.
  3. 수동 업로드: 오프라인 파일을 직접 업로드하여 분석 가능 (Splunk, ELK 등).
  4. 포트 리디렉션: 특정 포트를 열어, 클라이언트가 로그를 직접 전송하도록 설정.

규칙 기반 탐지 및 경고

SIEM은 정의된 규칙을 기반으로 위협을 탐지합니다. 예시 규칙:

  • 10초 내에 5회 이상 실패한 로그인 시도 → Multiple Failed Login Attempts 경고
  • 다수의 실패 후 성공한 로그인 → Successful Login After Multiple Failures
  • USB 장치 삽입 시 → USB Device Insertion Detected (정책 위반 시)
  • 출구 트래픽이 25MB 초과 → Potential Data Exfiltration Attempt

경고 조사 절차

경고가 발생하면 다음 절차를 따릅니다:

  1. 관련 이벤트 확인 및 규칙 조건 검증
  2. 경고 유형 판단: 진짜 위협인지, 오발동인지 여부 결정
  3. 필요 시 자산 관리자와 협의
  4. 악성 활동 확인 시, 시스템 격리 및 차단 조치

시각화 대시보드

SIEM의 핵심 요소는 대시보드입니다. 여기서는 다음 정보를 실시간으로 확인할 수 있습니다:

  • 최근 발생한 주요 경고 목록
  • 실패한 로그인 시도 횟수
  • 정상/비정상 프로세스 실행 현황
  • 접근 빈도가 높은 도메인
  • 처리된 이벤트 수 및 규칙 트리거 수

실습 예시: 악성 프로세스 탐지

TryHackMe 실험 환경에서 시뮬레이션된 대시보드를 통해 다음과 같은 문제를 해결할 수 있습니다:

  • 경고를 유발한 프로세스 이름: cudominer.exe
  • 해당 프로세스 실행 사용자: chris.fort
  • 피해 호스트명: HR_02
  • 규칙 매칭 키워드: miner
  • 경고 유형: True-Positive
  • 최종 플래그: THM{000_SIEM_INTRO}

태그: SIEM Security Operations Center log analysis Splunk ELK

6월 6일 01:40에 게시됨

인기 태그

©2026 괴물 클럽