APT 공격, 랜섬웨어와 같이 기업 자산에 치명적인 영향을 주는 보안 위협의 종류가 다양해짐에 따라 이에 대응하기 위한 보안 장비들이 개선되고 있다. 기업들은 기존 보유하고 있던 노후화된 보안 장비들을 성능이 개선된 장비로 교체함과 동시에 DB보안, DRM, DLP 같은 새로운 유형의 보안 장비의 도입을 추진하고 있다.
이에 따라 보안 장비들의 데이터를 수집, 분석, 탐지하여 보안 관제 업무를 지원하던 ESM 역시 새로운 유형의 보안 장비들의 데이터도 수집이 가능하며 대용량 데이터를 수집, 분석, 탐지할 수 있는 SIEM으로 발전하였다. 그뿐만 아니라 단시간 동안 수집된 데이터만 분석할 수 있었던 ESM에 비해 장시간 동안 수집된 데이터도 분석 가능하게 되었다.
SIEM은 ESM와 동일하게 실시간으로 수집한 데이터를 등록된 정책과 비교분석하여 보안 위협을 탐지하는 기법을 사용하고 있다. 하지만 이 기법은 보안 관제 업무를 수행하는 인원이 등록할 모든 정책을 스스로 판단하고 수동으로 입력해야 한다는 한계를 갖고 있다.
기업에 도입된 보안 장비의 종류와 수량이 늘어남에 따라 분석해야할 보안 데이터의 종류와 용량 역시 증가하였다. 보안 장비들을 관리하고 관제하는 보안 인력이 SIEM에 등록할 모든 정책을 직접 판단하고 수동으로 입력해야 하기 때문에, 데이터의 증가는 업무량을 가중시키는 결과를 가져왔다. 이는 보안 관제 인력의 업무를 경감시키고 효율적인 보안 관제를 위해 구축하였던 SIEM의 도입 목적에 부합하지 않는다.
본 논문에서는 SIEM의 보안관제 기능인 실시간 탐지 기법의 한계와 문제점을 검토하고 평판정보 탐지를 이용하여 대용량 데이터 분석 및 탐지 방식을 개선할 수 있는 방안을 제시 하고자 한다.