보안관제 거버넌스의 이해
1. 거버넌스(Governance)
조직이 원하는 목표를 달성하기 위해 의사결정을 내리고 그것을 실행하는 체계와 프로세스
- 조직의 전략/정책/절차를 설정하는 것, 이행하는 방식에 관한 것을 포함
- 오늘날 조직의 운영 및 관리에 중요한 개념으로 작용
2. 보안관제 거버넌스
보안관제에 대한 의사결정 체계
1) 필요성
- 효과적인 위험관리: 조직에 대한 사이버보안 위험을 체계적으로 식별/평가/관리 -> 신속, 효과적인 대응을 위한 기반 마련
- 일관된 보안 프로세스와 정책: 프로세스와 정책이 일관성 있고 체계적으로 실행되도록 보장 -> 보안관제 효율성 증가 & 보안사고 대응력 강화
- 책임 및 투명성 확보: 조직 내 역할, 책임을 명확히 구분 -> 보안사고 발생 시 투명한 대응 가능 & 조직 내/외부 신뢰성 구축
- 법적 요구사항 충족 및 규제 준수: 관계 법령 및 방침에서 정하는 요구사항, 규제 충족을 위해 필수적
3. 보안관제 수행 방식과 거버넌스
- 24시간 365일 보안관제 -> 보안을 강화할 수는 있으나 조직의 규모, 자원, 특성에 따라 적절한 수행 방식을 결정해야 함
=> 수행 방식에 따라 보안관제 거버넌스에 영향 있음
보안관제 유형과 보안운영 조직 구성
1. 수행 방식에 따른 보안관제 유형 분류
1) 자체(인하우스) 보안관제
- 조직 규모가 크거나 많은 자산, 중요 정보를 취급하는 경우 유리함
- 직접 보안관제: 자체적인 시설과 인력을 활용
- 내부 기밀을 유지하거나 신속한 사고 처리에 초점이 맞춰짐
- 보안관제 기술을 자체 보유할 수 있고 업무의 연속성이 보장됨
- 이점
- 요구사항을 고려한 맞춤형 보안관제 체계 구축
- 보안 이벤트, 대응에 대해 직접적인 관리/통제 강화
- 조직 내의 데이터가 유출되지 않도록 기밀성 유지 가능함
- 한계
- 자체 시설, 인력을 구축하고 유지하는데 많은 비용이 발생함
- 지속적으로 전문 인력을 채용하고 커리어 개발 요구됨
- 최신 위협에 대응하기 위해 지속적으로 기술을 업데이트 하는 등의 유지 노력이 필요함
2) 외주(아웃소싱) 보안관제
- 조직의 규모가 작거나 비용 투자, 인력 확보 등의 부담을 낮추고 싶은 경우 유리함
- 파견 보안관제: 자체적인 시설은 두지만 보안관제 전문 업체로 인력을 파견 받아 운영
- 전문 업체의 보유 기술력과 노하우 활용 가능
- 원격 보안관제: 보안관제 전문업체의 시설과 인력 활용
- 최소의 비용으로 전문 업체의 보안관제 체계와 인력 활용 가능
- 이점
- 자체 보안관제보다 비용이 저렴하며 고정된 예산으로 관리 가능 -> 비용 운영 효율적
- 전문 업체의 지식과 경험 등 전문성 활용 가능
- 항상 일정한 수준의 서비스 제공 (조직 상황과 관련없이)
- 한계
- 전문 업체의 자원과 접근방식을 따름 -> 조직의 요구사항에 맞춤화 X
- 조직 내 데이터가 전문 업체와 공유 -> 데이터 유출 위험
- 의사소통 문제 발생 가능성 존재
2. 자체(인하우스) 보안운영 조직
- 경영진의 감독 및 지원: 정보보호 최고책임자는 전사 차원에서 전략과 정책을 주도 -> 보안관제 조직의 활동을 감독 및 지원함
- 정책 및 절차: 보안운영센터 -> 보안 정책, 절차에 따라 구성 + 보안관제 자체 수행 시 보안 관제 기능도 포함
- 책임 및 역할 분담: 조직 내 책임, 역할을 명확히 정의 -> 보안운영센터의 효율적인 운영과 의사소통 보장을 위해
3. 외주(아웃소싱) 보안운영 구조
계약 관계에 따른 협약, 협력 구조를 취함 (!= 자체 보안운영 조직)
- 정책 및 절차: 조직은 업체와 계약 및 협업 관리를 위한 내부 정책과 절차를 마련함
- 서비스 수준 협약(SLA, Service Level Agreement): 업체를 주기적으로 검토하고 필요에 따라 조정함
- 보안사고 발생 시 협력 대응: 사고 발생 시 업체와 협력을 통해 적절히 대응함
4. 보안운영센터의 업무 분장
- 보안운영센터장: 센터 운영 관리, 경영진에 의해 전사적으로 결정된 보안 전략이나 정책 이행
- 보안운영센터(SOC) -> 정보보호 최고책임자(CISO)의 감독은 받으나 보안운영센터장 중심으로 운영
- 보안관제팀: 24시간 365일 실시간 보안관제 전담(교대근무) -> 식별된 보안 이벤트 분석 -> 보안 위협에 대응
- 조사분석팀(침해사고 조사, 악성코드 분석): 발생한 침해사고 조사 및 악성코드 샘플 분석 -> 원인을 규명하고 재발방지 대책 강구
- 취약점진단/모의해킹팀: 조직 내 시스템 및 정보자산에 내재될 수 있는 취약점 식별
- 기술지원/운영팀: 보안관제에 필요한 기술 및 정책관리, 시스템에 대한 유지관리 및 운영 지원
보안관제 방법론과 프로세스
1. 보안관제 주요 활동
기본 활동은 탐지 -> 분석 -> 대응, 3단계로 이루어짐
2. 확장된 활동에 따른 방법론
1) 예방
- 자산 식별 및 관리: 정보통신망과 정보시스템을 구성하는 정보 자산 식별, 관리
- 취약점 진단: 정보통신망과 정보시스템 내 알려진 보안취약점 파악
- 모의해킹: 정보통신망과 정보시스템에 대한 공격표면을 확인 -> 잠재적 보안취약점 식별
- 보안 패치: 정보자산 내 알려진 보안취약점 제거
- 보안운영 정책 관리: 정보보호체계에 보안운영 정책 적용
2) 탐지
- 위협 이벤트 탐지: 보안위협 이벤트 탐지 (ex. 해킹, 침해사고 등)
- 장애 이벤트 탐지: 장애 이벤트 탐지 (ex. 통신 마비, 시스템 오류 등)
- 관리적 이벤트 탐지: 기타 관리에 필요한 각종 이벤트 탐지
3) 분석
- 초기 분석: 보안관제 수준에서 이벤트를 빠르게 분석 -> 정탐/오탐 여부, 대응 정책 판단
- 오탐: 끝
- 정탐: 중요도에 따라 대응 방책 판단
- 침해사고 조사: 발생한 사고에 대해 흔적을 채증하거나 디지털 포렌식 등으로 조사
- 악성코드 분서기 채증된 악성코드 샘플을 정밀하게 분석 (ex. 역공학)
4) 대응
- 상황전파: 피해를 입은 정보자산과 관련된 조직에게 관련 사항을 통보
- 인터뷰: 피해자에게 경위 확인 등 인터뷰 시행
- 차단 및 격리: 피해를 입은 정보자산을 정보통신망에서 분리 후 격리
- 보안운영 정책 개발: 정보보호체계에 적용하기 위해 보안운영 정책을 개발
- 복구: 피해 정보자산을 정상 상태로 복구 -> 업무 연속성 보장
5) 보고
- 조직 내 보고: 조직 내 보안 관련 의사결정권자에게 관련 사항 보고
- 유관기관 신고: 정보수사기관에 피해 사실 신고
- 조직 내 공유(= 공지): 조직 내 인식 수준 향상 및 재발방지 등을 위해 공지
- 사이버위협경보(CTI): 정보공유 업무와 연계하여 알려진 위협으로 생산/공유
6) 정보수집(예방 -> 탐지)
- 내부 위협정보 수집: 조직 내의 정보통신망, 정보시스템에 내재될 수 있는 보안 위협정보 수집
- 외부 위협정보 수집: 인터넷에서 유포되는 보안 위협정보를 수집
7) 정보분석(분석)
- 위협정보 분석: 네트워크 이벤트, 악성코드 샘플 등에 대한 기본 정보, 평판, 행위 등 분석
8) 정보공유(대응 -> 보고)
- 위협정보 공유: 유관기관, 전문업체에서 생산/배포하는 위협정보 공유받거나 내부에서 생산된 위협정보 제공
9) 기술지원(예방 -> 보고)
- 필요한 기술 및 도구 지원, 정책 개발/관리 등 업무 수행
- 보안관제팀에서 자체 수행할 수도 있으나 모니터링에만 집중하는 경우 이외 업무는 기술지원으로 분류
10) 운영(예방 -> 보고)
- 보안관제에 필요한 인프라 및 시스템의 상시 운영을 수행하는 업무
- 유지관리, 보수 포함
3. 보안관제 프로세스
탐지된 이벤트가 오탐이라면 관제 단계에서 종결 -> 진탐이라면 티켓 생성 후 프로세스 진행
** 티켓: 업무의 처리에 대한 단위
- 관제 -> 조사 -> 분석 -> 이관 -> 종결
- 악성코드/바이러스 감염 사실이 확인된 경우 -> 샘플 채증하여 추가 분석 진행
- 조사/분석 결과 -> 종결이 가능하다면 티켓을 종결 처리
- 타 조직/기관의 조사가 필요하거나 정보수사기관의 수사가 필요하다면 해당 조직/기관에 이관
보안관제 관련 프레임워크
1. 보안관제 업무의 표준
업무가 표준화된 방식으로 수행되도록 국제적 표준 프레임워크를 토대로 보안관제 방법론을 개발하여 활용 중
2. 보안관제 프레임워크
조직이 효과적으로 보안 위협에 대응하고 보안 관리를 수행하기 위한 지침/표준들을 체계적으로 조직화한 구조
- 보안 위협을 효과적으로 관리/대응하기 위한 지침과 기반을 제공
1) 보안관제 프레임워크의 이점
- 체계적인 위험관리 접근법
- 일관된 보안 프로세스와 정책 수립
- 신속한 사고 대응 및 복구 지원
- 법적 요구사항 및 규제 준수
- 효과적인 자원 배분
2) NIST Cybersecurity Framework(CSF)
사이버보안 위협 관리하는데 필요한 표준, 지침, 모범 사례 제공
- 미국 국립표준기술연구소(NIST)에서 개발
- 버전 1.x -> Identify, Protect, Detect, Respond, Recover 기능 제공
- 식별(Identify): 시스템, 인력, 자산 등에 대한 사이버보안 위협을 관리할 수 있도록 조직 차원의 이해 개발
- 보호(Protect): 중요 서비스의 제공을 보장하기 위해 적절한 보호조치 개발/구현
- 탐지(Detect): 침해시도/사고를 탐지하기 위한 적절한 활동을 개발/구현
- 대응(Respond): 탐지된 침해시도/사고에 대해 조치하기 위한 적절한 활동을 개발/구현
- 복구(Recover): 복원력을 유지하기 위한 계획을 개발/구현 -> 침해사고로 손상된 기능이나 서비스를 복구
- 버전 2.x -> +Govern 6개 핵심 기능으로 구성
- 거버넌스(Govern): 사이버보안 위험관리 전략/기대치/정책 등을 설정 -> 의사소통 및 모니터링
- 식별(Identify): 현재 사이버 보안 위험을 이해
- 보호(Protect): 사이버보안 위험을 관리하기 위한 보호조치 사용
- 탐지(Detect): 발생 가능한 사이버보안 공격 및 침해시도/사고를 찾아내고 분석
- 대응(Respond): 탐지된 사이버보안 이벤트에 대한 조치
- 복구(Recover): 사이버보안 이벤트에 의해 영향을 받은 자산/운영을 복구
=> 보안관제 전체 프로세스 구조화에 활용 가능
3) MITRE ATT&CK
공격자들의 공격 기법, 절차(TTP)를 기반으로 공격자의 의도와 행동을 예측하는데 필요한 실질적인 지식 기반을 제공하는 프레임워크
- MITRE Corporation: 미국 연방정부의 지원을 받으며 국가안보 관련 연구를 수행하는 비영리 연구개발 조직
- 보안관제 조직은 이를 이용하여 공격자의 관점에서 공격자의 행동을 이해 -> 효과적으로 탐지/분석/대응하기 위한 전략 개발
4) MITRE D3FEND
사이버 방어 기술과 전략에 초점을 둔 프레임워크
- 사이버 방어 조치와 기술의 선택/구현/관리에 필요한 상세한 설명과 지침을 제공
- 조직의 보안 방어 전략을 강화하고 조직 내 방어 기술 통합
열심히 살아보아요