현재 제가 근무중인 우리 회사는 주요 서비스의 모든 보안 이벤트 로그(서비스, 사용자 PC)를 ArcSight를 활용하여 수집하고 있습니다. ArcSight도 뛰어난 SIEM(Security Information and Event Management) 솔루션임에도 실무 운영 관점에서 몇 가지 불편한 점이 많습니다. 좀... Legacy 방식의 SIEM이라고 할수 있죠.
내가 생각하는 Arcsight의 불편한점?
- 초기 학습 곡선 및 진입 장벽이 높음
- 다중 조건으로 로그를 검색할 때, 숙련도가 부족하면 사용이 어려움
- 대시보드나 검색 조건 등의 커스터마이징이 어려움
- UI가 직관적이지 않음
- 다양한 기능에 비해 실제 운영 환경에서의 활용도가 낮음 (이는 관리자마다 다를 수 있음)
사실 ArcSight도 SIEM으로 우수한 솔루션이지만, 실무에서 친숙하고 쉽게 사용할 수 있도록 하기에는 다소 어렵고 불편함이 느껴지는 상황입니다. 물론 일부 조직에서는 ArcSight를 효과적으로 활용하고 있을 수도 있지만, 이는 어디까지나 필자의 주관적인 견해임을 밝힙니다.
ArcSight SIEM을 조금 더 효율적이고 간편하게 사용할 방법을 고민하던 중, Elastic 웹사이트에서 "Elastic Stack ArcSight Integration"이라는 페이지를 발견했습니다. 간단히 설명하자면, ArcSight를 통해 수집된 모든 로그를 Smart Connector를 이용하여 ELK(Elasticsearch, Logstash, Kibana) 스택으로 전송하는 방식이다. 이는 곧 ELK 스택이 ArcSight의 추가 출력(Output) 방식으로 연결된다는 말입니다.
ArcSight에서 로그를 외부로 전송하기 위한 방법은 크게 두 가지다. Smart Connector 방식과 Event Broker 방식(추가 비용 발생)이 있으며, 여기서는 Smart Connector를 활용한 방식을 설명해드리도록 하겠습니다.
기존 ArcSight 구성과 ELK 스택 통합 사례
ArcSight 기존 구성에 ELK 스택을 추가로 연결한 구성을 아래 그림에서 확인할 수 있다. (이번 포스팅에서는 Kafka는 제외한 사례임)
아래와 같은 구성으로 Elastic Stack과 통합한다는 의미입니다. 쉽게 말하자면, Arcsight 로그를 -> Elastic으로 한번더 저장해서 쉽고 빠르게 유연하게 로그 분석을 할수 있다는 의미로 해석하면 됩니다.
ArcSight와 ELK 스택 통합의 이점
ArcSight에 ELK 스택을 연계했을 경우 기대할 수 있는 주요 이점은 아래와 같습니다.
1. 검색 기능 측면
Elasticsearch의 Lucene 기반 검색 쿼리는 학습 난이도가 낮아 숙련되지 않은 사용자도 손쉽게 복잡한 검색 조건을 설정할 수 있다. 단일 명령어로도 복잡한 검색 조건을 빠르고 간편하게 처리 가능한데요. 예를 들어 IPS 로그를 검색하고자 한다면 다음과 같은 쿼리를 작성하여 실행하면 됩니다.
deviceHostName:IPSx && deviceSeverity:High && !destination.country_code2:(KR || US) && !sourceAddress:11.xx.x5.x7 && !name:(SNMP* || DRDOS*)
위에 작성된 Elastic 쿼리는 다음과 같은 조건을 만족하는 로그를 검색한다는 것입니다.
- 장치명이 xxxIPS이고
- 심각도(Severity)가 High
- 목적지가 한국(KR) 또는 미국(US)이 아니며
- 출발지 IP가 특정하지 않은 경우.
- 또한 name 필드에서 SNMP나 DRDOS가 포함되지 않은 보안 로그만 검색.
동일한 조건의 검색을 ArcSight에서 수행하려면 복잡한 동작이 필요하며, 숙련되지 않은 사용자에게는 여전히 어렵습니다.
2. 시각화 및 커스터마이징
Kibana 도구를 이용하면 직관적이고 유연한 실시간 시각화 대시보드를 생성할 수 있다. 이를 통해 사용자가 필요에 맞는 사용자 정의 화면을 쉽게 만들 수 있습니다.
3. 비용 효율성
오픈소스 기반 도구를 활용하여 높은 비용 효율성과 업무 생산성을 향상할 수 있습니다.
내가 생각하는 보안 측면의 장점
제가 생각하는 Arcsight오ㅜㅏ ELK 스택과의 통합은 보안 분석 관점에서 다음과 같은 장점을 제공한다고 생각하는데요. 이는 개인별 주관적인 견해 차이는 날수 있으니 참고용도로만 봐주시기 바랍니다. ^^
- 실시간 사이버 위협 탐지 및 대화형 로그 탐색 가능
- 대시보드를 활용한 보안 가시성 및 통찰력 강화
- 실시간 보안 분석으로 신속한 판단과 위협 대응 가능
- 복잡하고 다양한 유형의 보안 이벤트 로그 데이터를 효과적으로 처리할 수 있는 유연성 확보
- 다양한 조건 쿼리 조합을 통한 상관관계 분석 기능 제공
결론적으로, ArcSight와 ELK 스택의 통합은 기존 시스템의 단점을 보완하고, 실무에서 보다 유연하고 효과적인 SIEM 운영 환경을 구현할 새로운 해결책으로 관심을 가져볼만한 솔루션이라고 생각합니다.
'AI, IT 이야기' 카테고리의 다른 글
| Elktail CLI 기반 Elasticsearch 쿼리 조회 팁 (0) | 2025.06.04 |
|---|---|
| 대용량 SIEM Elasticsearch로 해결하세요 (0) | 2025.06.01 |
| 대용량 전처리 Logstash Filter 이렇게 사용해보세요 (0) | 2025.05.28 |
| 보안운영의 미래 SECOPS 도입 사례 (0) | 2025.05.21 |
| 생성형 AI(인공지능) 이란? 어떻게 동작할까? (0) | 2025.04.23 |
