현 직장에서 배운 개념 - SIEM(Security Information and Event Management)

💻 SIEM 시스템을 정리하며 – 현 직장에서 배운 것들

입사한 지도 어느덧 11개월이 지났다.
돌아보면 짧지 않은 시간이었고, 최근에는 자연스럽게 '이직'이라는 단어가 머릿속을 맴돌기 시작했다.

회사 분위기가 심상치 않다.
제품 경쟁력은 예전 같지 않고, 매출도 하락세를 보이고 있다.
주변 동료들의 퇴사 소식도 잦아졌고, 지금은 아니더라도 더 나은 미래를 위해 준비가 필요하다고 느꼈다.

그래서 지금까지 배운 기술과 개념들을 하나씩 정리해보기로 했다.
첫 번째 주제는 바로 SIEM 시스템이다.

---

🔐 SIEM이란?

SIEM은 Security Information and Event Management의 약자다.
우리말로는 보안 정보 및 이벤트 관리 시스템이라고 부른다.

쉽게 말해서, 회사 내부의 서버, 보안 장비, 네트워크 장비 등에서 나오는 로그들을 수집하고 분석해서
보안 위협을 탐지하고 대응하는 시스템이다.

실제로 우리 회사 제품도 SIEM 솔루션의 일종이고, 관제센터에서는 이 시스템을 기반으로
24시간 로그를 들여다보며 이상 징후를 감지하고 대응하고 있다.

---

📊 로그의 종류

SIEM에서 다루는 로그는 크게 두 가지로 나뉜다.

• 보안 로그
  예를 들어, 특정 IP에서 수상한 접근을 시도하거나 로그인 실패가 반복된 경우에 생성되는 로그이다.
• 성능 로그
  CPU 사용률, 메모리 사용량, 네트워크 트래픽 등 시스템 상태를 나타내는 로그이다.

장비마다 로그 포맷이 다르고 전송 방식도 다양하기 때문에,
수집 시스템이 다양한 방식을 수용할 수 있어야 제대로 된 실시간 보안관제가 가능하다.

---

🧾 SIEM의 역사

SIEM이라는 개념이 처음부터 있었던 것은 아니다.
초창기에는 아래 두 가지 시스템으로 나뉘어 존재했다.

• SIM (Security Information Management)
  보안 정보를 저장하고 관리하는 역할이다.
• SEM (Security Event Management)
  보안 이벤트를 실시간으로 감지하고 대응하는 역할이다.

하지만 분리된 시스템에선 보안관제 요원 간 커뮤니케이션 문제가 발생했고, 실시간 대응이 어려워지는 단점이 존재했다.

이러한 문제를 해결하기 위해 SIEM이라는 통합 개념이 등장하게 되었다.

---

🧱 SIEM의 기본 구조

SIEM 시스템은 보통 다음과 같은 세 가지 핵심 컴포넌트로 구성된다.

📥 수집 서버

서버, 보안 장비, 네트워크 장비 등에서 발생하는 다양한 로그를 수집하고,
이를 **정해진 포맷(구조화된 데이터)**으로 변환한다.
Kafka 같은 분산 메시징 시스템을 활용하여 대량의 데이터를 안정적으로 처리한다.

🔍 분석 서버

수집된 로그를 바탕으로 보안 이벤트를 탐지하고,
위협 징후를 찾아내거나 경고를 발생시키는 등 대응 로직을 수행한다.
ElasticSearch 기반의 분석 엔진이 여기에 해당된다.

🌐 WEB 서버 (UI)

관제 요원이나 보안 관리자가 사용할 수 있는 웹 대시보드를 제공한다.
이벤트 로그, 실시간 경고, 시각화된 그래프 등을 통해 상황을 빠르게 파악할 수 있도록 돕는다.

---

🧠  전체 아키텍처를 시각화하면 다음과 같은 흐름으로 구성된다.

외부 사용자나 파트너가 내부 시스템에 접근하게 되면, VPN Gateway, 방화벽(Firewall), IDS 등의 보안 장비를 거치게 된다.

이 과정에서 발생하는 모든 이벤트와 로그들이 SIEM 시스템에 의해 수집 → 분석 → 시각화된다.

SIEM 구조도

---

🛠️ 현 직장의 기술 스택

내가 속한 회사에서 사용하는 주요 기술 스택은 다음과 같다.

• Kafka: 로그를 안정적으로 수집하고 분산 처리하는 데 사용한다.
• ElasticSearch: 수집된 로그를 저장하고, 빠르게 검색 및 분석한다.
• Kibana (부분적 사용): 시각화 용도로 사용하는 경우가 있다.

최근에는 ElasticSearch만으로도 대부분의 분석 기능을 커버할 수 있다는 인식이 많아졌고,
이것을 중심으로 시스템을 고도화하려는 흐름이 있다.

---

❌ 개선 제안과 한계

회사 내부에서는 여러 개선 아이디어가 제안되었다.

• Kafka 기반의 분산 로그 수집 아키텍처
• Jenkins + Docker를 활용한 고객사별 배포 자동화
• Kubernetes 기반의 통합 서버 운영

하지만 조직의 상위 의사결정자들이 변화에 대한 부담을 느껴, 대부분 실행되지 못한 채 흐지부지된 경우가 많았다.

이러한 현실적인 한계는 아쉽기도 하고, 앞으로의 성장에 제약이 될 수 있다는 생각이 들었다.

그래서 개인적으로는 Docker, CI/CD, DevOps 관련 역량을 더 키워야겠다고 느꼈다.

---

🔚 마무리

SIEM은 단순한 보안 솔루션이 아니라,
다양한 기술이 유기적으로 결합된 복합 시스템이라는 점을 직접 경험하며 느꼈다.

각종 로그 수집부터 분석, 시각화, 경고 처리까지
모든 단계에 대한 실무 경험은 큰 자산이 되었다.

언젠가 이직을 하게 되더라도,
이러한 경험을 바탕으로 더 넓은 환경에서도 잘 적응할 수 있으리라 생각한다.

다음에는 OSGi 프레임워크에 대해서도 정리해볼 계획이다.