[데이터넷] SIEM 시장이 요동치고 있다. 시장의 리더 위치가 급변하고 있다. 가트너 ‘2022년 SIEM 분야 매직쿼드런트’에 따르면 지난해 비저너리에 속한 마이크로소프트가 가장 높은 실행능력을 인정받으면서 리더에 올랐다. 스플렁크는 지난해 보고서에서 전년대비 실행능력, 비전 완성도가 다소 떨어진 자리에 위치했는데, 올해 보고서에서는 둘 다 개선된 자리를 차지했다.

가트너는 SIEM이 매우 빠르게 성숙하고 있으며, 매우 치열한 경쟁을 벌이고 있다고 분석했다. 가트너 조사 결과 지난해 SIEM 시장은 전년 대비 20% 성장한 41억1000만달러로 성장했다.

클라우드·사용자 행위 분석 지원

5년 전 SIEM과 현재 SIEM은 다른 솔루션이라 할 만큼 급격한 기술 진화가 있었다. 로그 통합분석 시스템에서 벗어나 SIEM은 실시간 위협 탐지를 위해 클라우드 자산의 구성 상태, 사용자 및 엔티티에 대한 리스크 프로파일링, 자산 인벤토리, 리스크 스코어링 등 데이터 분석을 통한 위협 관리 기능을 광범위하게 지원한다.

가트너는 SIEM이 다양한 기능을 갖춘 보안 솔루션으로 전환하고 있다고 설명했다. ▲위협 탐지: 실시간 분석, 배치 분석, 데이터 사이언스 알고리즘, 사용자 및 엔티티 기반 분석 ▲대응: SOAR, 사고 관리, 협업 ▲노출 관리: 자산 세부 정보(중요도, 그룹화, 위치, 패치 상태 등), 사용자 세부 정보(중요도, 동료 그룹, 사업부, 역할, 사고 기록 등), 구성 상태(클라우드 자산 구성, GPO 설정 등), 멀티 클라우드 가시성 및 통합 노출 이해, 위협 탐지 프레임워크 정렬 ▲규정 준수: 보고, 지속적인 모니터링 요구사항, 감사, 기록 보안 시스템 등이 최근 SIEM에 요구되는 주요 기능이다.

SIEM을 원하는 고객은 위협 탐지와 대응, 침해 관리와 규제준수를 위해 SIEM을 찾고 있으며, 여러 보안·비즈니스 활용 사례를 충족할 수 있는 광범위하고 심층적인 기능을 갖춘 SIEM 에코시스템을 요구하고 있다.

또한 보다 쉬운 배포, 확장성과 유연성을 활용하기 위해 클라이언트 호스팅·관리 방식에서 클라우드 네이티브(SaaS) 또는 클라우드 제공(호스트)으로 전환되고 있다는 것도 주목할만한 변화다. SaaS 옵션은 SIEM 구축을 관리하고 유지 관리하는 구매자의 요구 사항을 줄여 SIEM 하드웨어 및 소프트웨어 버전을 패치 및 업그레이드하는 대신 보안 결과에 집중할 수 있도록 지원한다.

SaaS로 배포되는 SIEM은 중소기업이 쉽게 도입할 수 있게 하며, 이것이 SIEM 시장 성장의 요인이라고 설명했다. 더불어 매니지드 서비스가 증가해 상시 SOC 모니터링과 최적화를 지원한다는 것도 특징이다.

아직은 많은 기업이 사내·호스트 방식의 아키텍처를 요구하는 시장이 남아있으며, 고객이 사업을 영위하는 국가·지역 외부로 개인정보를 이동할 수 없다는 규제를 받는 산업도 있으므로 SIEM 공급업체는 온프레미스 방식과 함께 해당 지역에 데이터센터 혹은 리전을 요구하는 산업의 요구를 만족할 수 있어야 한다.

보안 전문성 부족한 기업에 SIEM보다 XDR 적합

가트너는 SIEM과 XDR을 비교하면서 XDR이 보안 운영 상태가 성숙하지 않거나 복잡한 SIEM 솔루션을 실행할 능력이 없는 조직에게 적합하다고 평가했다. 이러한 구매자는 보안 전문성이 충분하지 않아 기술 공급업체가 제공한 그대로 사용하는 경향이 있다고 설명했다.

SIEM 솔루션 기업들은 고객에게 사전 구축된 보안 기술 에코시스템을 제공할 수 있도록 원격 측정 수집 솔루션에 투자하고 있다. 위협 탐지, 보안 로그 저장, 규정 준수 보고, 동작 분석, 자동화, 조사·대응 조치를 제공하는 기업으로, SIEM, UEBA, SOAR, TIP, EDR, NDR, 클라우드 보안 솔루션 등이 이러한 에코시스템에 통합될 수 있다.

가트너는 이것은 사이버 보안 메쉬와 컴포넌트 보안 아키텍처의 개념과 일치한다고 설명하면서도 모든 조직이 단일 공급업체를 통해 전체 보안 스택을 구축하지는 않을 것이라고 밝혔다.

김선애 기자 다른기사 보기