보안관제의 개념과 중요성
사이버 공격 및 보안 위협 이벤트로부터 시스템과 네트워크 자원 손상을 막기 위해 모든 시스템을 실시간으로 탐지 및 분석, 대응하는 일련의 활동
- 과거에는 단순 모니터링 수준
- 1970-90년대 보안관제는 네트워크 대상이었음
- 현재는 모니터링 + 분석/대응을 위한 고도의 전문기술을 요구
1. 보안관제의 목표
컴퓨터 및 네트워크를 통해 처리되거나 저장되는 정보에 대한 기밀성, 무결성, 가용성을 보장하는 것
- 기밀성(Confidentiality): 비인가자에게 처리 및 저장된 정보가 유출되지 않도록 하는 것
- 유출되더라도 정보의 내용은 알 수 없어야 함
- 부적절한 공개/노출로부터 보호하는 것을 의미
- 무결성(Integrity): 비인가자가 정보의 내용을 저장, 변경, 삭제하지 못하도록 하는 것
- 인가자라 하더라도 악의적인 방법으로 저장, 변경, 삭제하지 못하도록 해야 함
- 정보 변조/파괴로부터 보호하는 것을 의미
- 가용성(Availability): 인가자가 정보에 접근하려는 시점에 아무런 방해도 받지 않도록 하는 것
- 허용된 범위 이내라면 지체없이 접근, 사용할 수 있도록 정상적인 상태를 유지해야 함
- 서비스 거부, 지연, 마비로부터 보호하는 것을 의미
2. 주요 활동
1) 탐지
사이버 공격 시도와 보안 위협을 실시간 탐지
- 해킹 경유지로 악용되지 않도록 보안 취약점을 발굴하는 활동도 포함
- 외부 뿐만 아니라 내부의 보안 위협을 탐지하는 것도 중요함
- 공격 수단: 해킹, 악성 프로그램이 숨겨진 메일, 서비스 장애, 트로이 목마, 웜 등
2) 분석
- 이벤트, 기록, 침해 증거 확인 -> 공격자 정보, 공격 시간/방법 파악 -> 피해 규모와 영향성 등 파악
3) 대응
- 피해 사실 보고/통보: 피해 사실을 관련 조직에게 보고 및 통보함
- 전문기술 제공: 분석 과정에서 파악된 공격자/취약점 정보를 활용하여 피해 시스템이 다시 정상적인 운영이 가능하도록 전문기술 제공
- 침해사고 방지: 공격에 사용된 도구, 기법을 토대로 탐지 기술을 개발 -> 동일한 사고를 방지하기 위해 보안 관제 업무에 활용
3. 기본 원칙
- 무중단의 원칙: 사이버 공격은 시간/장소에 구애받지 않고 발생함 -> 24시간 중단 없도록 업무 수행
- 24시간 365일 이루어지므로 교대 근무 필요
- 전문성의 원칙: 업무를 수행하기 위해 전문적인 기술력을 갖춘 인력과 시설이 필요함
- 정보공유의 원칙: 법령에 위반되지 않는 범위에서 보안관제 관련 정보를 공유해야 함 -> 사이버 공격으로 인한 피해가 확산되는 것을 방지
4. 주의사항
- 인권, 사생활 등을 침해 -> 개인의 기본권을 침해할 가능성 존재 -> 법령에 저촉되지 않도록 주의해야 함
- 법령 내에서 업무 수행
- 일반적인 통신 데이터는 모니터링 X -> 보안 이벤트만
- 업무를 하며 얻은 정보는 유출 X
국가 사이버 안보 수행체계
- 1960년대: 기본적으로 각 급 기관에서 국가 보안 업무를 수행
- 1980-90년대: 정보보안의 개념이 등장
- 국가 정보보안 수행 체계로 확장
- 각 기관이 일반보안 + 정보보안도 수행하도록 구성
- 이후 사이버 안보로 확장
- 국가안보실에서 사이버 안보 수행체계 지휘, 감독 담당
- 실무는 국가사이버안보센터에서 담당 -> 국가안보실이 지휘
사이버 위기경보
사이버 공격/위협에 대응하고 대비하기 위해 파급 영향과 피해 규모 등을 고려하여 단계별 경보를 발령하는 체계
1) 사이버 위기경보 발령권자
- 국가/공공: 국가정보원장
- 보통 국가/공공에서 먼저 단계를 올리거나 내림
- 국방: 국방부장관
- 민간: 과학기술정보통신부장관
=> 발령 전 국가안보실장과 미리 협의 -> 각 발령권자 당 경보 관련 정보를 상호 교환
2) 사이버 위기경보 단계
- 정상
- 위험도 낮은 웜, 바이러스 발생
- 위험도 낮은 해킹 기법, 보안 취약점 발표
- 관심
- 웜, 바이러스, 해킹 등으로 인한 피해 가능성 증가
- 해외 공격의 피해 확산 -> 국내 유입 우려되는 상황
- 사이버 공격 시도 탐지 (ex. 정보 유출)
- 사이버 안보 위해 가능성 증가
- 주의
- 다수 기관의 정보통신망, 정보시스템 장애 발생 & 침해사고 확산 가능성 증가
- 사이버 안보 위해 가능성 고조
- 경계
- 다수 ISP망, 기간망 피해 발생
- 대규모 침해사고 발생 & 피해 확산 가능성 증대
- 다수 기관이 공조 대응을 해야하는 경우 -> 대규모 피해로 확대될 가능성이 있는 상황
- 심각
- 전국적인 네트워크, 정보시스템 사용 불가 & 대규모 침해사고 발생
- 주요 핵심 시설 피해 -> 국민 혼란 발생
- 국가적 차원의 평가, 조치가 필요하다고 판단되는 경우
3) 국가사이버안보센터
주요 정보통신망에 대한 상시 보안관제를 수행
- 사이버 위협을 실시간 탐지 -> 단계별 위기경보 발령
- 주요 업무
- 국가사이버안보 정책 집행
- 정책 기획, 조율, 지원 + 관련 제도, 지침 수립
- 민/관/군 정보공유체계 및 국가사이버안보협력센터 구축 및 운영
- 해외 유관기관과 협력체계 구축
- 사이버공격 탐지 활동
- 주요 정보통신망 24시간 365일 상시 보안관제
- 부문별 사이버안전센터 총괄
- 단계별 사이버 위기경보 발령
- 신종 해킹 탐지기술 개발 및 지원
- 사이버안보 위기 예방 활동
- 각급 기관 정보통신망 대상 보안조사 및 컨설팅
- 사이버 위기 대응 훈련
- 정보화 사업에 대한 보안성 검토 및 보안 측정
- 정보보안 관리 실태 평가
- 정보보호제품 평가/인증 적합성 검증
- 사고조사 및 복구지원 활동
- 보안사고 발생 시 사고조사 및 원인규명
- 민/관/군 합동조사 총괄
- 시스템 복구 지원 및 공격 기법 분석
- 국가사이버안보 정책 집행
보안관제 관련 법/제도와 전문기업
1. 보안관제의 관계법령
수업자료 p.39~48 참고
2. 보안관제 전문기업
1) 보안관제 전문기업 지정 제도
보안관제 업무를 안전하고 신뢰성 있게 수행할 능력이 있다고 판단되는 업체를 국가에서 지정하는 제도
- 기술 인력과 업무수행능력을 갖추고 있어야 함
- 전문 기업이 아닌 경우 서비스 제공 자체가 불가능 함
- 관련 근거: 국가사이버안전관리 규정 제10조의2, 보안관제 전문기업 지정 등에 관한 공고
2) 보안관제 전문기업 심사 기준
- 인력요건: 기술인력 15명 이상(고급 3명, 중급 6명 이상)
- 자본요건: 자기자본 20억원 이상
- 수행요건: 업무수행 능력 평가 70점 이상
- 경험(45), 전문성(40), 신뢰도(15), 기타(가감)
보안운영센터와 정보공유/분석센터
1. 보안운영과 보안운영센터
보안운영센터(SOC, Security Operations Center)
보안운영 전반에 대한 업무를 수행하는 조직 (보안관제 포함)
** 보안운영: 보안관제, 취약점 진단, 모의훈련 등을 포괄하는 업무 영역
2. 국가/공공 보안운영센터
각급 기관(단위 보안운영센터) -> 중앙행정기관(부문 보안운영센터) -> 국가사이버안보센터(국가 보안운영센터)
- 3단계 계층으로 구성, 각 계층 단위에서 사이버 공격 탐지/차단 수행
- 국가 보안운영센터 -> 국가사이버안보센터, 중앙행정기관/각급 기관 -> 부문/단위 보안운영센터 총괄
3. 국방 분야 보안운영센터
사이버작전의 일환으로 수행되는 업무
- 국방사이버지휘통제센터 -> 육/해/공군의 사이버작전센터 상황 통제
- 사이버작전사령부에 설치
- 합동참모본부 -> 조정/통제, 사이버작전사령부 -> 실무 기능
4. 민간 분야 보안운영센터
한국인터넷진흥원(KISA) 침해사고대응센터
국내 민간 정보통신망 정보보호를 위해 24시간 365일 인터넷 보안관제 및 침해사고 대응을 수행하는 종합상황실 운영
- 민간 분야에 대해 이상 징후와 보안 동향을 모니터링
- 침해사고 신고 접수 및 기술 지원을 통한 신속한 사고 대응 수행
5. 정보공유/분석센터
정보공유/분석센터(ISAC, Information Sharing & Analysis Center)
유사한 업무 분야별로 사이버 공격과 침해사고에 공동 대응하기 위한 수행 체계 및 조직
- 관련 근거: 정보통신기반 보호법 제16조
- 자발적으로 회원사끼리 정보를 공유하고 사이버 공격 및 위협에 대해 공동으로 대응 체계 구성
- 개별 대응보다 인력 운영과 비용 측면에서 효율적임
- 공격 유형 및 대응 방책에 대해 실시간 정보공유 -> 신속한 대응 가능
주요 ISAC
- 정보통신 ISAC
- 운영주체: 한국정보통신진흥협회(KAIT)
- 회원사 구성: 기간통신사업자 (ex. KT, SKT, LG U+)
- 업무
- 정보 공유/분석 및 취약점 분석평가 업무 위주
- 별도의 통합 보안운영센터 X -> 회원사가 보유하는 개별 보안운영센터 중심으로 운영
- 금융 ISAC
- 운영주체: 금융보안원
- 회원사 구성: 금융결제원 - 은행 보안운영센터, 코스콤 - 증권 보안운영센터
- 업무
- 금융보안원 내의 통합보안관제센터에서 24시간 365일 보안관제 수행
- 의료 ISAC
- 운영주체: 한국사회보장정보원
- 회원사 구성: 의료법에 따른 의료기관 및 의료기관 단체
- 업무
- 한국사회보장정보원 내의 의료정보보호센터에서 24시간 365일 보안관제 수행
- 지자체 ISAC
- 운영주체: 한국지역정보개발원
- 회원사 구성: 시/도 지방자치단체
- 업무
- 한국지역정보개발원 내의 사이버침해대응지원센터에서 24시간 365일 보안관제 수행
- 방산 ISAC
- 운영주체: 국방기술품질원 내 방위산업기술보호센터
- 회원사 구성: 방산업체
- 업무
- 방산 ISAC의 구성을 위한 법/제도 및 수행체계에 대한 논의 진행
열심히 살아보아요