정보보안기사 기출문제 총정리 ⑳ 보안 모니터링 – SIEM·로그 관리·이상 탐지

보안 모니터링 파트 출제 경향

보안 모니터링은 기업 보안 운영의 핵심으로 SIEM(Security Information and Event Management)을 중심으로 출제됩니다. 로그 수집·정규화·상관분석, 이상 탐지, SOC 운영 절차를 이해해야 합니다.

【기출 토픽 1】 SIEM의 구성 요소와 기능

기출 문제 예시: 다양한 보안 장비와 시스템에서 로그를 수집·정규화하고, 상관 분석 규칙을 적용하여 보안 이벤트를 탐지·경보하는 솔루션은?

• ① IDS/IPS
• ② SIEM ✅
• ③ DLP
• ④ CASB

SIEM 핵심 기능:

• 로그 수집(Log Collection): 방화벽·IDS·서버·애플리케이션 등 다양한 소스 통합
• 정규화(Normalization): 서로 다른 형식의 로그를 표준 형식으로 변환
• 상관 분석(Correlation): 여러 이벤트를 연계해 복합 공격 탐지
• 경보(Alerting): 규칙(Rule) 기반 또는 ML 기반 위협 탐지 및 알림
• 보고(Reporting): 컴플라이언스 보고서 자동 생성

【기출 토픽 2】 로그 관리 원칙

기출 문제 예시: 로그 관리 시 고려해야 할 사항으로 옳지 않은 것은?

• ① 로그 서버의 시간 동기화(NTP) 적용
• ② 로그는 발생 시스템에만 보관한다 ✅
• ③ 로그 위변조 방지를 위한 접근 통제
• ④ 법적 요구사항에 따른 보존 기간 준수

해설: 로그는 발생 시스템에만 보관하면 해당 시스템 침해 시 로그도 삭제될 수 있습니다. 중앙 로그 서버(SIEM) 또는 별도 로그 스토리지에 분리 보관해야 합니다.

로그 관리 핵심 원칙: NTP 시간 동기화 / 중앙 집중 보관 / 무결성 보호(해시·서명) / 법정 보존 기간 준수 / 접근 통제 적용

【기출 토픽 3】 UBA/UEBA (이상 행위 탐지)

기출 문제 예시: 사용자와 엔터티의 정상 행위 베이스라인을 학습하고, 이상 패턴을 탐지하는 보안 기술은?

• ① 시그니처 기반 탐지
• ② 규칙 기반 탐지
• ③ UEBA (User and Entity Behavior Analytics) ✅
• ④ 블랙리스트 기반 탐지

해설: UEBA는 머신러닝으로 정상 행위 패턴을 학습하고, 비정상 행위(야간 대량 데이터 다운로드, 비정상 위치 접속 등)를 탐지합니다. 내부자 위협 탐지에 특히 효과적입니다.

【기출 토픽 4】 SOC (Security Operations Center)

기출 문제 예시: 24시간 365일 보안 이벤트를 모니터링하고 침해사고에 대응하는 전담 센터는?

• ① NOC
• ② SOC ✅
• ③ CERT
• ④ IDC

SOC 3-Tier 구조:

• Tier 1 (트리아지): 경보 모니터링, 1차 분류·판단
• Tier 2 (인시던트 대응): 심층 분석, 포렌식, 대응 조치
• Tier 3 (위협 헌팅): 능동적 위협 탐색, 새로운 탐지 룰 개발

보안 모니터링 최종 정리

SIEM의 5대 기능(수집·정규화·상관분석·경보·보고), 로그 관리 원칙(중앙화·무결성·보존), UEBA의 이상 행위 탐지 방식, SOC 3-Tier 구조를 중심으로 학습하세요. 최근 SOAR(보안 오케스트레이션·자동화)와 연계된 문제도 출제되고 있습니다.