[SK shieldus Rookies 16기] 클라우드 기반 스마트 융합 보안 과정 교육 정리(51일차)

오늘 학습 주제

1. 보안관제의 이해

 

 

 

 

보안관제의 이해

---

- 관제 시 해야 할 사항 -

1. 투입된 기관 또는 기업의 네트워크 구성도 파악

현재 상태를 확인해야 하기 때문에 네트워크 구성을 확인

내부망과 외부망, 망분리가 논리적인지 물리적인지 등

가장 빨리 이해해야 할 부분

 

2. 구성도에 포함된 보안관제 시스템 목록

 

 

3. 관제대상보안관제

시스템이 연계된 부분이 어디까지 인지 확인

본사와 지사 등 여러 곳이 존재

관제와 연계된 부서가 어디인지도 확인

 

4. 보안관제센터와 연관된 부서 및 업체

일반적으로 정보보호부서가 있다

업체도 파악

 

5. 보안관제 업무 범위

 

6. 관제업무 시 작성할 보고서 종류

관제 보고서, 보안뉴스, 취약점 권고문 등

 

 

- 관제 시 하지 말아야 할 사항 -

1. 초심을 잃지 말고 자기 계발을 게을리 하지 않는다

관제는 주야간 업무가 존재

야간 근무 이후 주어지는 휴식 기간을 어떻게 사용할 것인가

 

 

2. 고객사에 대해 너무 궁금해 하지 않는다

 

 

3. 회사와 타인이 알아서 해줄 것이라 판단하지 않는다

계획을 미리 수립하여 달성해 나가는 것이 좋다

 

5. 근무지가 좋은 곳을 물리적 주변 여건으로 생각하지 않는다

대도시, 집 주변이 물리적으로는 좋지만

같이 일하는 동료에 따라 근무 여건이 달라질 수 있다

 

6. 보고서 작성 시 나만 생각하지 않는다

 

7. 본인의 이력서를 너무 지저분하게 만들지 않는다

짧은 기간 내에 잦은 이직은 마이너스 요소가 된다

 

 

- 보안관제의 시작 -

국내 보안관제는 안랩 코코넛에서부터 시작

2003년 1.25 인터넷 대란으로 대량의 DNS가 마비

이 대란을 계기로 국가 기관의 관제센터가 정식 출범

 

- 보안관제의 개념 -

조직의 정보기술 자원 및 보안 시스템을 안전하게 운영하기 위하여

사이버 공격 정보를 탐지 및 분석하여 대응하는 일련의 업무와

사전 예방 및 관제시스템 운영에 관한 업무

 

 

- 민간 정보통신 서비스 분야 침해사고 대응 공조 체계 -

 

 

- 보안관제 기본원칙 -

 

무중단의 원칙

사이버 공격을 실시간으로 신속하게 탐지/차단 하기 위해서 

24시간 365일 중단없이 보안 관제 업무를 실행

 

전문성의 원칙

보안관제 업무를 수행하기 위해 전문지식과 경험, 노하우를 가진 전문 인력이 매우 중요

 

정보공유의 원칙

발생한 공격의 정보를 관련기관과 업체가 신속하게 공유

 

 

- 보안관제 목적 -

정보보호 담당 부서와 운영 부서는 많은 충돌이 존재

 

 

- 보안관제 유형 -

구분	내용
원격 관제	개념	관제서비스 업체에서 보안관제에 필요한 관제시스템을 구비하고 대상기관 침입차단 시스템 등 보안장비 중심으로 보안 이벤트를 중점적으로 상시 모니터링하고 침해사고 발생 시 긴급 출동하여 대응 조치하는 서비스 형태
	대상	일반 기업, 포탈 업체 등
	특징	- 일부 단위 보안시스템의 운영 및 관리를 위탁하는 방식 - 통합보안 관제시스템 및 관제인력이 원격에 위치함 - 제한적인 범위의 보안시스템 위탁
	장점	- 파견관제에 비해 저렴한 단가 인력 관리에 대한 부담이 없음 - 별도의 회선 구축 없이 인터넷망을 통한 관제
	단점	- 한정된 서비스 제공 - 파견관제와 같은 사이트에 특화된 관제 서비스의 어려움 발생 - 침해/장애 발생시 즉각적인 조치가 어려움 (통보는 가능하나 조치 인력 수급 필요)

원격 관제는 비용이 저렴하다

다만 관제 대상에 비해 관제 인원이 적음으로 

원격 관제는 탐지만 제공

침해사고 발생 시 고객사에서 처리

 

구분	내용
파견 관제	개념	관제 대상기관이 자체적으로 보안관제시스템을 구축하고 보안관제 전문업체로부터 전문인력을 파견 받아 침해/장애 발생 시 즉각적인 관제업무를 수행하는 형태
	대상	공공분야, 금융권
	특징	- 자체 구축한 보안관제시스템의 운영 및 관리를 위탁하는 방식 - 전문인력이 대상기관에 파견되어 관제업무 수행 - 조직전반 및 산하기관 보안관제 체제 구축 수행
	장점	- 고객사에 특화된 관제서비스 제공 가능 - 고객사 정보보호담당자와 관제 인력간의 원활한 의사소통 가능 - 침해/장애 발생 시 즉각적인 조치가 가능 - 업무 연속성 및 효율성 증대 - 고객사의 현황에 대한 명확한 이해로 추후 사이트의 확장 및 시스템 구성변경 지원 가능
	단점	- 인력 관리 필요 (휴무 및 교체 등) - 높은 단가

사업 범위에 따라 규모가 변화직접 인력이 파견되기 때문에 의사소통이 원활

침해 사고도 직접 처리 가능

다만 비용이 높다

관제를 할 수 있는 환경을 조성해 주어야 함

 

구분	내용
자체 관제	개념	보안관제시스템 및 전문인력을 자체적으로 구축하고 운영하는 형태
	대상	국정원, 경찰청 등 대규모 통신사
	특징	- 자체 보안관제시스템의 운영 및 관리를 자체적으로 수행 - 기관 자체 정규직, 계약직 보안인력을 통한 관제 업무 수행
	장점	- 내부기밀유지 및 신속한 사고처리에 우수 - 정보보안 관련 기술을 보유할 수 있음 - 보안관제 업무와 관련해 연속성 보장
	단점	- 전문성의 결여로 수행 품질이 낮아질 수 있음 - 과도한 초기 투자의 예측 어려움 - 최신 보안기술/동향 정보 확보의 어려움 - 보안 솔루션 운영에 대한 부담 - 보안 전문가 양성의 어려움

전문성이 부족하여 보안 솔루션 운영에 부담이 존재

 

구분	내용
하이브리드 관제	개념	원격과 파견관제의 장점을 고루 합한 서비스로 보안 기업의 통합보안관제센터에서 확보한 위협 정보를 원격으로 제공하여 파견관제의 한계점을 보완
	대상	금융기관 등
	특징	- 원격관제 + 파견관제 또는 원격관제 + 자체관제의 형태 - 필요한 시간(주로 야간, 휴일)에만 원격관제 형태로 관제업무 수행
	장점	- 원격관제의 장점과 파견관제의 장점을 융합 - 파견인력을 통한 의사소통 및 사이트에 특화된 정책 수립 - 침해/장애 시 파견 인력을 통한 선 조치 이후 원격관제팀과의 공조 가능 - 사이트의 구성 변경, 정책 수립 등 지원
	단점	- 파견 인력의 등급에 따른 서비스의 퀄리티 편차 발생 - 파견 인력에 대한 관리 필요(휴무 및 교체)

관제 유형이 변경되는 과정에서 적용이 되기도 한다

 

구분	내용
클라우드 관제	개념	서버와 DB 등 IT 자원을 인터넷 접속을 통해 사용하는 클라우드 환경에 대한 관제, 기업은 클라우드 내에서 일어나는 보안 위협을 모니터링하여 온프라미스 환경과 동일하게 보안관제 서비스를 받을 수 있음.
	대상	금융기관 등
	특징	- 보안관리 영역에 대한 직접 관리 부담을 줄이고, 모니터링 요원, CERT 등   관제전문인력이 제공하는 보안관제서비스를 제공받을 수 있다
	장점	- 로컬에 장비 설치 및 유지보수가 필요 없음 - 다양한 레퍼런스 기반으로 고객사 환경에 적합한 유동적으로 보안관제 환경을 구축 가능 - IT기술 발달로 최적화된 보안 장비를 고객사의 니즈에 최적화된 보안장비 구축 - 클라우드 글로벌 데이터 센터 보안 관제 서비스 제공 가능
	단점	- 관제 대상 및 업무 이해가 어려움 - 리스크가 매우 큼 - 고객의 비즈니스를 이해해야 하는 어려움

 

 

- 보안관제 시스템 구성 개념 -

 

정보시스템 영역은 문자 그대로 시스템 영역

 

- 보안관제 패러다임의 세대별 변화 -

 

단위가 점점 확대되어 통합 보안 관제 탄생

통합 보안 관제의 속도를 개선하고자 SIEM 탄생(빅데이터 기반)

AI를 통한 자동화로 차세대보안관제 탄생

 

 

- 관제시스템에 따른 분류 -

네트워크에 대한 유해 트래픽 등 네트워크 공격에 대한 모니터링

IDS, IPS, FireWall, TMS 등을 이용하여 네트워크 유해 트래픽, 홈페이지 공격 등

네트워크를 통해 발생하는 위협에 대한 사이버 보안관제를 수행

 

웹 공격에 대한 모니터링

웹방화벽의 탐지로그와 웹로그를 분석하여 공격 유무를 실시간으로 모니터링

IDS는 모든 공격을 탐지 할 수는 없다

 

서버 및 네트워크장비에 대한 공격 모니터링

서버나 네트워크 장비에서 발생하는 장애 또는 비정상적 상황에 대해

수집된 정보와 보안 솔루션에 발생된 정보의 연관성을 조사

 

사용자 컴퓨터 모니터링

사용자 컴퓨터에서 발생하는 악성 트래픽을 NAC, 백신 등을 통해 모니터링

 

- 통합 보안관제 시스템 -

다수의 시스템으로부터 수집된 정보를 종합적으로 분석

 

티켓: 보안관제 환경에서 발생하는 이벤트, 알람, 또는 이슈

 

 

- 보안관제 인력의 역할 -

구분	역할
주간 보안관제 주요 업무	- 실시간 모니터링 업무 수행 - 탐지 이벤트 분석업무 수행 - 일일뉴스, 보안이벤트 보고서 작성 - 일일보고, 주간보고, 월간보고, 연간보고 작성 - 기타 지원업무 작성
야간, 주말, 휴일 보안관제 주요업무	- 실시간 모니터링 업무 수행 - 탐지 이벤트 분석업무 수행 - 야간, 주말, 휴일 근무일지 작성 - 해킹 시도 시 CERT 발동
보안관제담당자 역할	-보안관제 조직 관리 -보안관제 관련 의사결정 산출물에 관한 검토 -보안관제 범위, 품질, 일정, 위험요소 등 전반 관리 -기타 보안관제를 위해 필요한 업무
전문 업체 관제인력의 역할	-24시간 365일 보안관제 서비스 제공 -최신 정보보호 관련 정보 수집· 전파 -보안관제 대상 정보시스템 보안관제 연계 시 업무지원 -보안관제 대상 보안이벤트 모니터링,추이 파악 -보안관제 이벤트의 정합성에 대해 주기적으로 검토 및 개선 -일일,주간,월간,반기,연간 등 보안관제 보고서 작성 -보안관제 대상 중 외부 공격영역 서버 취약점 진단

 

 

- 보안관제 전문업체가 갖추어야 할 기본 스펙 -

구분	역할
관제 시간
관제 방법
침해사고 대응
서비스 품질

 

구분	역할
보안관제 인력

 

 

- 보안관제 업무 개요 -

보안관제 업무는 침해탐지와 직접적인 관련이 있는 침해사고 탐지 및 대응업무를 중심으로

침해위협 정보 수집 및 관제시스템 운영업무와 더불어 프로젝트 또는 사업관리까지 포함

 

정보 수집 단계:

이기종의 보안 장비에서 나오는 다양한 보안 데이터를 수집

 

모니터링/분석 단계:

수집된 다양한 로그를 기반으로 분석하고,

생성된 보안 로그와 내•외부에서 수집된 최신 보안 위협 정보를 상관 분석

 

대응/조치 단계:

분석된 이벤트에 대한 원인 및 대응책을 마련해 기술적/정책적 대응

 

보고단계:

침해사고 처리 및 장애 처리 결과를 보고 및 공유

 

 

보안관제를 통해 체계화된 대응활동을 수행하여 침해사고에 대한

신속한 대응을 보장하고 피해를 최소화

 

 

- 보안관제 구성 요소(보안 관제시스템 측면) -

보안관제는 크게 보안관제 정보를 수집하기 위한 보안고나제 시스템과 보안관제 조직으로 구성

구분	시스템명
네트워크 영역	 침입탐지시스템(IDS)  침입차단시스템(방화벽 / IPS)  DDOS 대응 솔루션  TMS(Threat Management System)  UTM(Unified Threat Management)  NAC(Network Access Control)
서버 영역	 웹방화벽(WAF)  보안운영체제(SecureOS)  백신(Anti-Virus)
통합 및 분석	 ESM(Enterprise Security Management)  RMS(Risk Management System)  SIEM(Security Information and Event Management)

 

전송(에이전트):

에이전트는 각종 보안 장비 및 서버, 네트워크에 설치되어 해당 시스템에 적합한 설정에 따라

로그 정보를 실시간으로 관제센터에 전송하며

이를 통해 관제센터에서는 로그를 손쉽게 분석 가능

 

저장(정보수집서버):

정보수집서버는 각각의 에이전트에서 보낸 다량의 정보를 수집/처리하여 DB에 저장하는 역할을 수행

이때 에이전트에 대한 확인 작업을 통해 모니터링 과정 및 분석과정에 요구되는 각종 리포팅 소스를 제공

 

분석(통합관제용 시스템):

통합관제용 시스템은 각종 이벤트 로그분석 수행과 다양한 정보를 

종합적으로 분석하는 것은 물론 상황에 따라 분석하여 관제담당자들을 지원

 

 

- 보안관제 구성 요소(보안 관제조직 측면) -

보안관제는 크게 보안관제 정보를 수집하기 위한 보안고나제 시스템과 보안관제 조직으로 구성

구분	시스템명
관제	 24시간 365일 보안관제시스템에서 발생한 이벤트 모니터링 / 보고 / 대응 조치 수행
침해대응 (CERT)	 모니터링으로 확인된 이상 트래픽이나 이벤트에 대해 침해여부에 대한 상세 분석과 대응 조치 수행
정보공유분석센터	 유사업무 분야별 해킹, 바이러스 등 사이버 공격과 침해사고에 대해 효과적으로     공동 대응하기 위한 조직

 

매일 아침 또는 오후에 수집한 로그를 공유

정보공유분석센터를 통해 수집하지 못한 로그에 대한 대응 방안을 모색

 

 

- 보안관제 업무 절차 -

보안관제 업무 프로세스는 비정상 이벤트 및 트래픽, 홈페이지, 시스템 가용성을 모니터링하고

정오탐 판변 후 보고 및 이력 관리를 통해 지속적으로 탐지 정책을 고도화시켜 효율적인 실시간 대응을 수행

비상조치: 장애 발생 시 

 

 

- 보안관제 업무 절차(초동분석) -

 

 

- 보안관제 업무 절차(초동분석) -

 

 

 

- 보안관제 업무 절차(정책관리) -

 

이기종의 다양한 침입탐지 패턴 관계 분석으로 침입 정/오탐을 분석

 

 

- 보안관제 업무 절차(침해예방) -

침해 예방은 각종 침해사고로부터 사전에 예방하는 것이 목적

세부적으로는 모의훈련, 정보공유, 침해예방점검, 교육 등의 업무 수행

시스템의 정상작동 여부 확인