2011.05.25

기고 | SIEM의 ROI 산출 근거

Mathias Thurman | Computerworld

필자의 회사에 보안정보이벤트관리(Security Information and Event Management; 이하 SIEM) 툴을 도입한지 거의 네 달이 되었고, 비용 기한이 다 되어간다.

말 그대로 청구 요금을 이야기하려는 것은 아니다: 회사는 SIEM의 제한적인 배치에 20만 달러가 넘는 돈을 이미 지불했다. 그러나 지금 CIO와 CFO는 회사가 지불한 비용의 대가로 무엇을 얻었는지 알고자 한다. 이것은 매우 중요한 질문이며, 필자는 옳은 대답을 명확히 제시하고자 한다.

장애 보고(Trouble Ticket)
논의 사항: CIO와 CFO는 SIEM 도입 계획에 들인 20만 달러의 비용으로 무슨 이익을 얻고 있는지 알고자 한다: 어떻게 그것이 IP를 보호하는데 보탬이 되었는지 설명하라.

투자한 돈의 본전을 찾을 수 있을지에 관해 의문이 드는 것은 아니다. 그러나 그것을 뒷받침할 확실한 근거 자료가 필요하다.

지금으로서는 애널리스트 한 명이 SIEM 시스템과 데이터 출력을 유지, 조정, 분석하고 그것이 찾아내는 보안 이벤트에 반응하는 데에 20% 정도의 작업 시간을 소요한다. 필자는 그가 SIEM에 더욱 많은 시간을 쏟았으면 하지만, 이미 적극적인 보안 프로그램이 있는 데다 인적 자원은 한정 돼 있다.

그럼에도 불구하고 새로운 인프라 시설은 분명 효과가 있다. 데이터에 기반으로 활동을 분석하고 체계적으로 이벤트를 설명할 수 있게 됐다. 이전에는 얻을 수 없었던 것들이다. 예를 들면, 백 채널을 통해 러시아나 중국 등에 위치한 명령 및 제어 서버로 연결되는 악성코드에 감염된 PC나 서버들을 분명하게 식별해낼 수 있고, 중요한 재무 및 인사 관리 프로그램에 접근하고자 하는 무단 시도들도 찾아낼 수 있게 됐다.

필자는 SIEM 배치에 특별히 초점을 맞춰 CIO와 CFO에게 취약성 관리에 대해 파워포인트로 프리젠테이션을 할 예정이다. 그들에게 SIEM 시스템이 보안 이벤트를 알아내게 할 뿐 아니라 ‘심층 방어’ 전략에도 매우 중요한 역할을 한다는 사실을 보여줄 수 있었으면 한다.

“이 전략은 이 영역에 대해 딱히 묘책이랄 것이 없다”는 판단은 필자의 감각에서 나온 것이다. 다양한 기술들이 필요하다. 보안 사고에 관한 정보는 SIEM의 이벤트 데이터 수집 이외에도 방화벽, 취약성 검사, 안티바이러스 소프트웨어 등과 법 집행을 비롯한 제 삼자로부터 얻게 된다. 이것들은 모두 반드시 필요한데, SIEM에 얼마나 많은 데이터를 넣던지 간에 틈새로 빠져나가는 보안 정보들이 반드시 있기 때문이다.

어떤 보고서들은 이 점을 더 명확하게 보여준다. 예를 들면, PC애니웨어 등 원격 제어 소프트웨어를 무단으로 사용하는 것과 같은 허용범위 위반에 대해 언급하면서 SIEM과 방화벽 모두 유용했지만, 방화벽을 이용한 보고서가 보기에는 더 좋았다. SIEM의 경우, 데이터를 올바른 포맷으로 바꾸기 위한 번거로운 작업들을 훨씬 많이 해야 했다.

필자의 프리젠테이션에서는 모두가 같이 이해하고 있는지를 확실히 하기 위해 SIEM이 무엇인지에 관한 설명을 먼저 다룰 것이다. 그러고 난 다음에 아키텍처와 유효 범위, 플랫폼에 입력되는 데이터 타입 및 생성할 수 있는 이벤트 타입 등에 대해 논의할 예정이다. 또한 무슨 이벤트에 누가 대응할 것인지에 대해서도 설명할 것이다.

요점

하지만 금전적인 측면에서 진짜로 설명이 필요한 부분은 ‘투자에 대한 수익을 어떻게 얻게 되는가’다. ROI는 시간이 지남에 따라 측정될 수 있기 때문에 이에 대한 대답은 더욱 어렵다. 그러나 SIEM이 없다면 특정 이벤트들을 찾아낼 수 없었을 것이며 그 결과 지적재산권의 손실이 발생할 수 있다. 경쟁 업체가 소스 코드, 사업 계획, 고객 목록 등을 손에 넣었을 때의 비용에 대해서는 굳이 그들에게 설명할 필요도 없을 것이다.

그 뿐 아니라 악성코드가 퍼지기 전에 그것의 위협을 사전 탐지 함으로써 발생하는 도움 요청 비용의 절감과 생산성 손실(예를 들면 직원들의 PC를 재설치해야 할 경우)의 감소 등을 제시할 수 있다. SIEM이 발견한 이벤트의 수를 다른 모든 검출 방법들을 함께 사용했을 때와 비교해 별도로 처리하지 않은 수치를 가지고 강조할 수도 있다. 게다가 이 수치는 그 자체만으로도 SIEM 투자의 정당성을 보여주며, 전체 트래픽의 40%를 감시하는 것 이상으로 SIEM의 배치를 확장시키도록 더욱 많은 투자를 확보할 수 있을 것이다.

*이 기고는 실제 보안 관리자 Mathias Thurman이 작성했으며 부득이한 이유로 실명과 회사명을 밝히지 않았다.




2011.05.25

기고 | SIEM의 ROI 산출 근거

Mathias Thurman | Computerworld

필자의 회사에 보안정보이벤트관리(Security Information and Event Management; 이하 SIEM) 툴을 도입한지 거의 네 달이 되었고, 비용 기한이 다 되어간다.

말 그대로 청구 요금을 이야기하려는 것은 아니다: 회사는 SIEM의 제한적인 배치에 20만 달러가 넘는 돈을 이미 지불했다. 그러나 지금 CIO와 CFO는 회사가 지불한 비용의 대가로 무엇을 얻었는지 알고자 한다. 이것은 매우 중요한 질문이며, 필자는 옳은 대답을 명확히 제시하고자 한다.

장애 보고(Trouble Ticket)
논의 사항: CIO와 CFO는 SIEM 도입 계획에 들인 20만 달러의 비용으로 무슨 이익을 얻고 있는지 알고자 한다: 어떻게 그것이 IP를 보호하는데 보탬이 되었는지 설명하라.

투자한 돈의 본전을 찾을 수 있을지에 관해 의문이 드는 것은 아니다. 그러나 그것을 뒷받침할 확실한 근거 자료가 필요하다.

지금으로서는 애널리스트 한 명이 SIEM 시스템과 데이터 출력을 유지, 조정, 분석하고 그것이 찾아내는 보안 이벤트에 반응하는 데에 20% 정도의 작업 시간을 소요한다. 필자는 그가 SIEM에 더욱 많은 시간을 쏟았으면 하지만, 이미 적극적인 보안 프로그램이 있는 데다 인적 자원은 한정 돼 있다.

그럼에도 불구하고 새로운 인프라 시설은 분명 효과가 있다. 데이터에 기반으로 활동을 분석하고 체계적으로 이벤트를 설명할 수 있게 됐다. 이전에는 얻을 수 없었던 것들이다. 예를 들면, 백 채널을 통해 러시아나 중국 등에 위치한 명령 및 제어 서버로 연결되는 악성코드에 감염된 PC나 서버들을 분명하게 식별해낼 수 있고, 중요한 재무 및 인사 관리 프로그램에 접근하고자 하는 무단 시도들도 찾아낼 수 있게 됐다.

필자는 SIEM 배치에 특별히 초점을 맞춰 CIO와 CFO에게 취약성 관리에 대해 파워포인트로 프리젠테이션을 할 예정이다. 그들에게 SIEM 시스템이 보안 이벤트를 알아내게 할 뿐 아니라 ‘심층 방어’ 전략에도 매우 중요한 역할을 한다는 사실을 보여줄 수 있었으면 한다.

“이 전략은 이 영역에 대해 딱히 묘책이랄 것이 없다”는 판단은 필자의 감각에서 나온 것이다. 다양한 기술들이 필요하다. 보안 사고에 관한 정보는 SIEM의 이벤트 데이터 수집 이외에도 방화벽, 취약성 검사, 안티바이러스 소프트웨어 등과 법 집행을 비롯한 제 삼자로부터 얻게 된다. 이것들은 모두 반드시 필요한데, SIEM에 얼마나 많은 데이터를 넣던지 간에 틈새로 빠져나가는 보안 정보들이 반드시 있기 때문이다.

어떤 보고서들은 이 점을 더 명확하게 보여준다. 예를 들면, PC애니웨어 등 원격 제어 소프트웨어를 무단으로 사용하는 것과 같은 허용범위 위반에 대해 언급하면서 SIEM과 방화벽 모두 유용했지만, 방화벽을 이용한 보고서가 보기에는 더 좋았다. SIEM의 경우, 데이터를 올바른 포맷으로 바꾸기 위한 번거로운 작업들을 훨씬 많이 해야 했다.

필자의 프리젠테이션에서는 모두가 같이 이해하고 있는지를 확실히 하기 위해 SIEM이 무엇인지에 관한 설명을 먼저 다룰 것이다. 그러고 난 다음에 아키텍처와 유효 범위, 플랫폼에 입력되는 데이터 타입 및 생성할 수 있는 이벤트 타입 등에 대해 논의할 예정이다. 또한 무슨 이벤트에 누가 대응할 것인지에 대해서도 설명할 것이다.

요점

하지만 금전적인 측면에서 진짜로 설명이 필요한 부분은 ‘투자에 대한 수익을 어떻게 얻게 되는가’다. ROI는 시간이 지남에 따라 측정될 수 있기 때문에 이에 대한 대답은 더욱 어렵다. 그러나 SIEM이 없다면 특정 이벤트들을 찾아낼 수 없었을 것이며 그 결과 지적재산권의 손실이 발생할 수 있다. 경쟁 업체가 소스 코드, 사업 계획, 고객 목록 등을 손에 넣었을 때의 비용에 대해서는 굳이 그들에게 설명할 필요도 없을 것이다.

그 뿐 아니라 악성코드가 퍼지기 전에 그것의 위협을 사전 탐지 함으로써 발생하는 도움 요청 비용의 절감과 생산성 손실(예를 들면 직원들의 PC를 재설치해야 할 경우)의 감소 등을 제시할 수 있다. SIEM이 발견한 이벤트의 수를 다른 모든 검출 방법들을 함께 사용했을 때와 비교해 별도로 처리하지 않은 수치를 가지고 강조할 수도 있다. 게다가 이 수치는 그 자체만으로도 SIEM 투자의 정당성을 보여주며, 전체 트래픽의 40%를 감시하는 것 이상으로 SIEM의 배치를 확장시키도록 더욱 많은 투자를 확보할 수 있을 것이다.

*이 기고는 실제 보안 관리자 Mathias Thurman이 작성했으며 부득이한 이유로 실명과 회사명을 밝히지 않았다.


X