노과장의 보안 업무노트

개별 보안 솔루션들이 각자의 영역에서 침입을 막는 '초소'라면, SIEM(Security Information and Event Management)은 이 모든 초소의 보고를 실시간으로 취합하여 전체 상황을 파악하는 '중앙 지휘 본부'와 같습니다. 인프라 규모가 커질수록 파편화된 로그 속에서 실제 공격을 식별해내는 SIEM의 역할은 필수적입니다.이번 포스팅에서는 SIEM의 정의와 핵심 기능, 그리고 실무에서 가장 중요한 '로그 수집 전략'을 엔지니어의 시각에서 심도 있게 다루어 보겠습니다.1. SIEM이란 무엇인가? (SIM + SEM)SIEM은 단순한 로그 저장소가 아닙니다. 과거의 로그를 분석하는 SIM(Security Information Management)과 실시간 이벤트를 모니터링하고 대응하는..

1. 서론최근 보안 위협이 고도화되면서 단순히 솔루션을 도입하는 것을 넘어, 이를 어떻게 유기적으로 운영하느냐가 기업 보안의 성패를 결정합니다. 많은 기업이 SIEM과 SOAR를 통해 자동화된 탐지와 대응을 꾀하고 있지만, 진정한 보안 최적화를 위해서는 EGRC의 거버넌스와 SOC의 운영 조직이 뒷받침되어야 합니다. 오늘은 이 4가지 핵심 요소의 역할과 시너지 효과를 정리해 봅니다.2. SIEM vs SOAR: 탐지와 대응의 핵심두 솔루션은 상호 보완적인 관계입니다.SIEM (탐지의 눈): 다양한 IT 인프라의 로그를 수집·분석하여 위협을 탐지하고 경고(Alert)를 생성합니다.SOAR (대응의 손): SIEM이 찾아낸 위협에 대해 미리 정의된 플레이북(Playbook)에 따라 자동 대응하고 프로세스를 ..