해커의 흔적을 찾아라… 로그와 SIEM [보안TMI] 작성일 05-31 47 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">흩어진 보안 로그 모아 이상 징후 탐지…AI SOC로 자동화 확장</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="p82vGvXSJl"> <div contents-hash="42c6b2282e45233bd1d76d763033a0ab648a9fa817e62d3feae46743b6bea6f5" dmcf-pid="U6VTHTZvRh" dmcf-ptype="general"> IT조선은 독자들이 이해하기 어려웠던 보안 용어와 개념을 보다 쉽게 풀어 설명하는 '보안TMI(Too Much Information)' 코너를 마련했습니다. 매주 주제를 선정해 개념은 물론 기사에 담지 못했던 배경과 맥락까지 짚어드립니다. 독자들이 보안 관련 뉴스를 보다 명확하게 이해할 수 있도록 돕겠습니다. [편집자 주] </div> <figure class="figure_frm origin_fig" contents-hash="34ba3e33a7829d01fa79bb94b23a179b53c6785ffb0d7da162e6825c1154ec34" data-idxno="444192" data-type="photo" dmcf-pid="uPfyXy5TJC" dmcf-ptype="figure"> <p class="link_figure"><img alt="여러 시스템에서 발생한 보안 로그를 모아 이상 징후를 분석하는 SIEM과 이를 기반으로 위협에 대응하는 보안관제센터(SOC)를 형상화한 이미지 / 챗GPT 생성" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202605/31/552810-SDi8XcZ/20260531060009087ykjf.png" data-org-width="1280" dmcf-mid="0QXakaDgMS" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202605/31/552810-SDi8XcZ/20260531060009087ykjf.png" width="658"></p> <figcaption class="txt_caption default_figure"> 여러 시스템에서 발생한 보안 로그를 모아 이상 징후를 분석하는 SIEM과 이를 기반으로 위협에 대응하는 보안관제센터(SOC)를 형상화한 이미지 / 챗GPT 생성 </figcaption> </figure> <p contents-hash="85acd5acb913763eb7e66746eb221ffea21392cd1dd2c748079c604b1772b835" dmcf-pid="7Q4WZW1yJI" dmcf-ptype="general">해커는 침입 흔적을 완전히 지우기 어렵다. 계정을 탈취해 내부 시스템에 들어가고, 권한을 높이고, 여러 서버와 파일에 접근하는 과정마다 기록이 남는다. 이 기록이 '로그(Log)'다. 보안 담당자는 로그를 모아 공격자가 언제 들어왔고, 어디를 거쳤으며, 무엇을 했는지 추적한다.</p> <p contents-hash="9733ba7033ecbb93c891719590163eb269da170183ebcb53c5efb6fbd6c1cd31" dmcf-pid="zx8Y5YtWRO" dmcf-ptype="general">로그는 디지털 출입 기록부와 같다. 누가 언제 시스템에 접속했는지, 어떤 파일을 열었는지, 어느 서버에 접근했는지 같은 정보가 쌓인다. PC 로그인, 서버 접속, 파일 다운로드, 관리자 권한 변경, 방화벽 차단, 클라우드 접속, 이메일 발송 등 기업 안에서 일어나는 여러 활동이 로그로 남는다.</p> <p contents-hash="0cfb07f06240addab0467d6645df5449009bfa75cb01ebf653c73afd559b1c1b" dmcf-pid="qM6G1GFYRs" dmcf-ptype="general">문제는 양이다. 기업 환경에서는 직원 PC 같은 단말뿐 아니라 네트워크 보안 장비, 클라우드, 데이터베이스, 업무 시스템, 협업 도구 등 여러 곳에서 로그가 발생한다. 각 시스템은 접속, 인증, 파일 접근, 설정 변경, 차단 기록 같은 활동 정보를 매일 쏟아낸다. 사람이 이 로그를 하나씩 보며 공격 정황을 찾기는 어렵다.</p> <p contents-hash="db7099212550b11039ddabc8536adfe022df83772b002539a0b2c3e47d076a46" dmcf-pid="BRPHtH3GLm" dmcf-ptype="general">이 때문에 쓰이는 기술이 SIEM이다. SIEM(Security Information and Event Management·보안 정보 및 이벤트 관리 시스템)은 여러 시스템과 장비에서 발생한 보안 로그를 한곳에 모아 분석하는 관제 솔루션이다. 네트워크 보안 장비, 계정 시스템, 클라우드, 업무 시스템 등에서 나온 기록을 서로 대조해 단독으로는 놓치기 쉬운 이상 징후를 찾아낸다.</p> <p contents-hash="d2b8e0abbf1f97d9970697b3771d6b3de90df964f92eb897b6145ddff37c7082" dmcf-pid="beQXFX0Hnr" dmcf-ptype="general">예를 들어 한 직원 계정에서 평소보다 많은 로그인 실패가 발생한 경우를 생각할 수 있다. 이 기록만 보면 단순한 비밀번호 입력 오류일 수 있다. 하지만 같은 시간대에 같은 계정의 외부 접속이 반복되고, 이후 내부 업무 시스템 접근 시도가 늘어난다면 상황은 달라진다. 각각은 흔한 이벤트처럼 보이지만, 여러 기록을 함께 보면 계정 탈취 시도나 무차별 대입 공격 정황으로 볼 수 있다.</p> <p contents-hash="342c0558b2707f200cd7e5a88bc5496bfb637d4ef71de13afd5d596e20f2a9f2" dmcf-pid="KdxZ3ZpXLw" dmcf-ptype="general">또 평소 특정 서버만 쓰던 계정이 갑자기 여러 부서의 시스템을 차례로 조회하는 경우도 있다. 개별 접속 기록만 보면 정상 업무처럼 보일 수 있다. 하지만 접속 시간, 위치, 계정 권한, 접근 대상이 평소 패턴과 다르다면 내부 이동이나 권한 오남용 가능성을 의심할 수 있다. SIEM은 이런 기록을 시간과 계정, 장비, 행위 기준으로 묶어 관제 담당자가 이상 신호를 판단하도록 돕는다.</p> <p contents-hash="8826bf2ac472d922062e10ed3f1cfb75639b325127696bbf20dbe0106571c75c" dmcf-pid="9JM505UZRD" dmcf-ptype="general">SOC(보안운영센터)는 보안 위협을 감시하고 대응하는 조직·운영 체계다. SOC에서는 SIEM을 활용해 로그를 분석하고 경보를 확인한다. SIEM은 방화벽, 계정 시스템, 클라우드, 업무 시스템, 보안 장비 등에서 발생한 로그를 모아 탐지 규칙이나 상관분석 기준에 맞는 활동 기록을 관제 화면에 띄운다. 보안 업계에서는 이런 활동 기록을 '이벤트'라고 부른다. 관제 요원은 이 이벤트 정보를 바탕으로 실제 위협인지, 정상 업무에서 생긴 예외인지 판단한다. 계정 차단, PC 격리, 추가 조사 같은 대응 조치는 관제 요원이 결정한다.</p> <p contents-hash="26d31ccc20ae8e5cf4d6fc7a30218af52301e53ae660c08fd5959f848bd2e270" dmcf-pid="249SYSHlME" dmcf-ptype="general">최근 SIEM은 엔드포인트 탐지·대응(EDR), 확장된 탐지·대응(XDR), 보안 오케스트레이션·자동화·대응(SOAR) 등의 솔루션과 함께 쓰인다. EDR은 PC와 서버의 행위를 자세히 보고 위협에 대응한다. XDR은 엔드포인트·네트워크·클라우드·이메일 등 여러 영역의 보안 데이터를 묶어 분석하고 대응 범위를 넓힌다. SOAR는 반복 대응 절차를 자동화한다. SIEM은 이들과 연동해 로그 수집과 위협 분석의 중심 역할을 하며, 관제 요원이 대응 여부를 판단하는 데 필요한 근거를 제공한다.</p> <p contents-hash="777334b36a9e0204922b91ca222c4e42d4a58bdcfe88a55d88f8e5777efb122e" dmcf-pid="V82vGvXSek" dmcf-ptype="general">이런 연동 구조는 AI 접목으로 더 확장되고 있다. 기존 SIEM은 사전에 정한 탐지 규칙에 맞춰 이상 이벤트를 찾아내는 방식이 중심이었다. AI 기반 분석은 여기에 사용자와 시스템의 평소 행동 패턴을 더해 이상 징후를 살핀다. 평소 접속하지 않던 시간대의 로그인, 낯선 위치에서의 접근, 갑작스러운 대량 파일 조회처럼 기준선에서 벗어난 행동을 위험 신호로 보는 식이다. 생성형 AI는 경보 내용을 요약하고, 관련 로그를 찾는 쿼리를 제안하거나, 관제 요원이 확인할 다음 단계를 정리하는 데 쓰인다.</p> <p contents-hash="0f12dfce4044fb626918b4f27e54edd4bfe34e53f938c1b06c58a16122fd0787" dmcf-pid="f6VTHTZvnc" dmcf-ptype="general">최근에는 반복 경보 분류, 티켓 생성, 대응 절차 추천, 일부 자동 조치까지 AI가 수행하는 'AI SOC' 방향으로도 확장 중이다. 다만 아직 상당수 SOC에서는 계정 차단, 시스템 격리처럼 업무 영향이 큰 조치를 사람의 승인과 책임 아래 수행한다.</p> <p contents-hash="1534a4047af616fb35226e6781d12ce240e29be3db2134ed188693d424b1f390" dmcf-pid="4PfyXy5TMA" dmcf-ptype="general">SIEM은 여러 보안 솔루션과 맞물릴 때 효과가 커진다. 로그가 제대로 남지 않거나 연동 범위가 좁으면 볼 수 있는 공격 정황도 줄어든다. 어떤 시스템에서 어떤 로그를 수집할지, 얼마나 보관할지, 어떤 행위를 위험 신호로 볼지 기준을 정해야 한다. 정상 업무와 공격 행위를 구분하는 탐지 규칙도 계속 다듬어야 한다.</p> <p contents-hash="ae109e2ca36605b74d12f2d6475cd2544c1366cf7d51d564fa943d6403d010c1" dmcf-pid="8Q4WZW1yLj" dmcf-ptype="general">경보가 너무 많은 것도 문제다. 보안 장비가 낮은 위험도의 알림까지 쏟아내면 관제 요원이 실제 공격 신호를 놓칠 수 있다. 이를 '경보 피로'라고 한다. SIEM 운영의 핵심은 로그를 많이 모으는 데 있지 않다. 방대한 기록 속에서 의미 있는 신호를 골라내는 데 있다.</p> <p contents-hash="b04599e2d9cbe49fdb6da9bdb2eeffae10b940d56b4ca0b64b5d367c838e0bad" dmcf-pid="6x8Y5YtWMN" dmcf-ptype="general">로그와 SIEM은 침입 자체를 모두 막는 기술은 아니다. 방화벽, MFA, 백업처럼 기본 보안 조치를 갖췄더라도 공격을 완전히 차단하기는 어렵다. 중요한 것은 침입 이후 이상 징후를 빨리 알아차리고, 피해가 커지기 전에 대응하는 일이다. 해커가 남긴 발자국을 기록하고, 흩어진 흔적을 이어 공격 경로를 복원하는 것. 이것이 로그와 SIEM이 제대로 된 보안 관제의 출발점으로 꼽히는 이유다.</p> <p contents-hash="670e06d3f36d7483ca30b72914314d2083a4e0cadc7783c9ae5edbecbb2aa3d6" dmcf-pid="PM6G1GFYRa" dmcf-ptype="general">정종길 기자<br>jk2@chosunbiz.com</p> </section> </div> <p class="" data-translation="true">Copyright © IT조선. 무단전재 및 재배포 금지.</p> 관련자료 이전 ‘피지컬 AI·차세대 기판’ 장착한 LG, 엔비디아 동맹 전면에 05-31 다음 게임산업 갉아먹는 허위정보…엔씨 '원칙 대응'이 남긴 것 05-31 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
