SIEM(Security Information and Event Management)

SIEM(Security Information and Event Management)은 여러 보안 장비와 시스템에서 발생하는 로그를 한곳에 모아 분석하고, 보안 사고를 탐지·대응하도록 돕는 통합 보안 관제 시스템이다. 핵심은 “흩어진 로그를 모아 의미 있는 보안 이벤트로 해석한다”는 점이다.

개별 장비 하나만 보면 이상이 없어 보이는 로그도, 여러 시스템의 로그를 함께 보면 공격의 흐름이 드러나는 경우가 많다. SIEM은 방화벽, IDS/IPS, 서버, DB, 웹 서버, WAF, 엔드포인트 보안 솔루션 등에서 발생하는 로그를 중앙으로 수집하고, 이를 상관 분석(Correlation)해 침해 징후를 찾아낸다.

SIEM의 주요 기능은 크게 네 가지로 이해하면 된다.
첫째, 로그 수집(Collection)이다. 다양한 장비와 시스템에서 로그를 받아 표준 형식으로 정리한다.
둘째, 로그 저장(Storage)이다. 장기간 로그를 보관해 사고 분석과 감사에 활용한다.
셋째, 상관 분석(Correlation & Analysis)이다. 시간, IP, 사용자, 이벤트 유형을 기준으로 로그를 연결해 공격 시나리오를 식별한다.
넷째, 경보 및 대응(Alerting & Response)이다. 공격이 의심되면 관리자에게 경고를 보내고, 경우에 따라 자동 대응을 연계한다.

예를 들어 이런 식이다.
방화벽에서 특정 IP의 접속 시도가 반복적으로 차단되고,
IDS에서 같은 IP의 포트 스캔이 탐지되고,
웹 서버 로그에서 비정상적인 요청이 발견되면,
SIEM은 이 세 가지를 하나의 공격 흐름으로 묶어 “침입 시도”로 판단한다.

Suricata의 EVE JSON 로그가 SIEM과 자주 함께 언급되는 이유도 여기에 있다. EVE JSON은 구조화된 로그이기 때문에, SIEM이 쉽게 파싱하고 상관 분석에 활용할 수 있다. 그래서 “IDS/IPS + SIEM” 조합은 실무에서 중요하다.

SIEM은 보안 로그 통합 관리 시스템이다.
상관 분석을 통해 공격을 탐지한다.
실시간 모니터링과 사고 대응을 지원한다.
IDS, 방화벽, 서버 로그 등을 연계한다.

요약하면, SIEM은
개별 보안 장비의 눈을 하나로 모아, 전체 공격 그림을 보여주는 관제 시스템이라고 이해하면 된다.