SIEM의 과도한 오탐(False Positive)을 줄이려면 MITRE ATT&CK 프레임워크로 탐지 룰의 목적과 단계를 정의하고, 룰 생명주기를 자동화 파이프라인으로 관리해 참양성 비율이 낮은 룰을 지속적으로 폐기하거나 최적화해야 한다. 데이터 소스 신뢰도에 따라 탐지와 방지 기준을 차별화하고, 공통 스키마를 적용한 로그 정규화로 분석 정밀도를 높이는 것이 핵심이다.
1. 데이터 소스 거버넌스 및 파싱 최적화 전략
보안 관제 효율은 SIEM으로 들어오는 데이터 품질에서 결정된다. 많은 조직이 단순히 로그 수집 양에만 집중하곤 한다. 정작 조직 내에 없는 로그 소스의 기본 룰이 활성화되어 불필요한 노이즈가 발생하는 경우가 많다. 조직에 없는 로그 소스 룰은 과감히 끄고, 불필요한 소스를 로깅 대상에서 제외하는 거버넌스 작업이 먼저 이뤄져야 한다.
로그 형식 역시 분석 성능과 파싱 효율에 큰 영향을 미친다. CSV보다는 JSON 형식이 파싱하기 쉽고 시스템 성능 면에서도 유리하다. 특히 Zeek나 Centicata 같은 툴을 쓸 때는 수많은 필드 중 보안 관련성이 높은 것만 선별해 활성화해야 한다. 프록시, IDS, EDR 등 각 솔루션의 보안 핵심 필드가 누락 없이 켜져 있는지 전수 조사를 실시하고, 필요하다면 필드를 추가해 분석 가시성을 확보한다.
벤더가 다른 솔루션을 사용하더라도 분석과 자동화 프로세스를 단순하게 만들려면 공통 스키마를 적용해야 한다. ECS(Elastic Common Schema)나 Splunk 스키마 같은 표준 규격으로 필드명을 통일하면, 분석가가 매번 다른 필드명을 학습할 필요 없이 일관된 쿼리로 탐지 룰을 생성하고 관리할 수 있다.
2. SIEM 오탐 제거 및 MITRE ATT&CK 기반 룰 최적화 방법론
알람을 줄이려면 탐지 룰을 단순한 ‘알림’이 아닌 ‘전략적 자산’으로 관리해야 한다. 이때 MITRE ATT&CK 프레임워크를 활용한 매핑 전략이 필수적이다. 각 탐지 룰에 MITRE ATT&CK 태그를 붙이면 해당 룰이 공격의 어느 단계(Tactic)와 기법(Technique)을 탐지하는지 명확해진다. 단일 룰에 의존하지 않고 여러 단계의 룰을 체이닝(Chaining)해 공격 흐름을 추적하면 오탐을 크게 줄일 수 있다.
알람 유형을 구분해 운용하는 전략도 필요하다. 알람은 크게 두 가지로 나뉜다. 첫째는 “나쁜 일이 발생했다”고 확신할 수 있는 시그니처형 알람이다. 둘째는 “무언가 이상하다”고 판단되는 이상형 알람이다. 이상형 알람은 본질적으로 오탐률이 높지만, 알려지지 않은 공격(Unknown Attack)을 잡으려면 반드시 필요하다. 이를 위해 포인트 기반 점수제를 도입해 특정 이상 징후가 누적되어 임계치를 넘었을 때만 알림을 보내도록 조절한다.
룰 최적화 과정에서 가장 중요한 건 알람 적정 부하의 판단 기준을 세우는 일이다. 실무적으로 가장 유효한 기준은 “모든 알람을 영업일 하루 안에 검토할 수 있는가”이다. 단순히 총 개수를 세지 말고, 동일 시그니처로 반복 발생하는 알람을 롤업(Roll-up)해 유니크 알람 수를 기준으로 팀의 처리 용량을 산정해야 한다.
3. 소스별 신뢰도 차별화 및 위협 인텔리전스 관리
모든 보안 솔루션의 탐지 결과가 같은 신뢰도를 갖지 않는다는 점을 인지하고 룰을 적용해야 한다. EDR 같은 엔드포인트 소스와 IDS 같은 네트워크 소스는 탐지와 방지의 비중이 다르며, 이에 따라 오탐 허용 범위도 달라진다.
| 구분 | 방지 모드 (Prevention) | 탐지 강조 모드 (Detection) |
|---|---|---|
| 요구 신뢰도 | 거의 100% 참양성(True Positive) 요구 | 상대적으로 낮은 신뢰도 허용 |
| 오탐 대응 | 오탐 발생 시 즉시 서비스 장애로 연결 | 오탐 비중이 높음을 전제로 기준 완화 적용 |
| 주요 목적 | 공격의 즉각적인 차단 및 무력화 | 공격 징후 포착 및 분석 가시성 확보 |
위협 인텔리전스(Threat Intelligence) 공급자를 관리할 때도 정교한 평가 지표가 필요하다. 공급자마다 리스트 생성 철학이 다르기 때문이다. 어떤 곳은 ‘잠재적 위협’까지 폭넓게 제공하고, 어떤 곳은 ‘확실한 악성’만 정밀하게 제공한다. 이러한 특성을 먼저 파악한 뒤, 실제 운영 환경에서 발생하는 오탐과 참양성 비율을 월 단위로 추적해 데이터 신뢰도를 평가해야 한다.
4. 자동화 기반의 룰 생명주기 관리 프로세스
외부 도입 룰이나 신규 룰을 즉시 운영 환경에 적용하는 것은 위험하다. 다음과 같은 5단계 자동화 파이프라인을 구축해 룰의 효용성을 검증해야 한다.
- 과거 데이터 기반 시뮬레이션: 신규 룰 도입 전, 과거 로그 데이터를 대상으로 자동 실행해 참양성과 거짓 양성 비율을 산출한다.
- 룰 분류 프로세스: 시뮬레이션 결과에 따라 ‘자동 배포’, ‘수동 검토 필요’, ‘불필요한 룰로 분류하여 폐기’ 세 가지 경로로 나눈다.
- 참양성 기반 차단 전환: 시뮬레이션 결과 100% 참양성을 보이는 룰은 단순 탐지에서 차단 모드로 전환하는 근거로 쓴다.
- 정기적 파인튜닝: 룰 최적화는 일회성이 아니다. 조직의 비즈니스 프로세스와 인프라 환경 변화에 맞춰 정기적으로 리뷰한다.
- 유관 부서 협업: 백엔드 컨텐츠 관리 팀과 지속적으로 소통해 불필요한 룰을 제외하거나 최신 위협에 맞게 조정한다.
이런 파이프라인으로 룰 생명주기를 관리하면, 보안 운영자가 무의미한 알람에 시달리지 않고 실제 위협에 집중할 수 있다.
5. 결론 및 실무 적용 제언
SIEM 오탐 제거는 단순히 룰을 끄고 켜는 작업이 아니다. 데이터 수집부터 파싱, 매핑, 검증, 폐기에 이르는 전체 전술적 라이프사이클을 관리하는 과정이다. MITRE ATT&CK 프레임워크의 체계적인 매핑, JSON 기반 표준 스키마 적용, 과거 데이터를 활용한 자동 검증 파이프라인이 결합될 때 보안 관제 정밀도가 올라간다.
보안 운영의 핵심은 ‘탐지하는 것’이 아니라 ‘정확하게 탐지하는 것’이다. 유니크 알람 수를 기준으로 팀 가용 능력을 산정하고, 소스별 신뢰도에 따른 차별화 전략을 세워 분석가의 피로도를 낮춰야 한다. 지금 운영 중인 SIEM 룰 중 참양성 비율이 현저히 낮은 것을 식별해, 위에서 제시한 5단계 최적화 프로세스를 적용해 보길 권한다.