1. 보안관제?
실시간 모니터링 활동을 통해 사이버 공격에 대응하는 일련의 활동.
1.1 정의 (직무)
보안관제(Security Monitoring, 보안관제 직무)란 조직의 정보 자산(서버, 네트워크, PC 등)을 사이버 공격이나 침해 사고로부터 보호하기 위해, 24시간 실시간으로 보안 이벤트를 모니터링하고, 이상 징후나 공격 시도를 탐지·분석·대응하는 업무
1.2 업무 절차
보안관제의 업무 프로세스는 예방>탐지>대응>분석>보고 및 공유로 구분된다. 보고 및 공유가 끝나면 다시 예방으로 돌아오면서 반복하는 순환 구조이다.
물론 회사마다 똑같은 형태는 아니다. 그러나 결은 비슷하다.
(1) 예방
사고가 발생하기 전에, 보안 위협을 미리 차단하고 위험을 줄이는 단계
- 중요 시스템, 네트워크, 웹 서비스 등의 취약점을 사전에 파악하여 침해 사고를 예방
- 최신 보안 정책 및 기준 수립
- 방화벽, IDS/IPS, 백신 등 보안 솔루션의 설정 최적화
- 모의 훈련 같은 보안 교육 실시 등
-> 순환를 거치면서 탐지, 대응, 분석, 보고 및 공유했던 내용들을 예방 단계에 적용하여 문제가 재발하지 않도록 하는 과정이다.
(2) 탐지
내부·외부의 이상 행위, 침입 시도, 악성코드 활동 등 실시간(24시간)으로 위협을 빠르게 발견하는 단계
- 다양한 보안 장비/시스템(방화벽, IDS/IPS, EDR, 웹 방화벽, SIEM 등)에서 로그·이벤트를 상시 모니터링
- 이상 트래픽, 비정상 접근, 의심스러운 파일 실행 등 탐지 룰 기반 감시
- 보안 이벤트 발생 시, 정탐/오탐 구분 및 우선순위 부여
-> 빠른 대응 중요!
(3) 대응
실제 위협이 탐지되었을 때, 피해를 최소화하기 위해 신속하게 조치하는 단계
- 이상 징후/침해사고 확인 즉시, 격리·차단·시스템 복구 등 실무적 대응
(4) 분석
사고 원인과 영향, 공격 경로 및 방법, 침해 범위 등을 깊이 있게 조사하는 단계
- 수집된 로그, 메모리, 네트워크 트래픽, 악성 파일 등 디지털 증거 분석
- 공격자의 행동 및 침입 경로, 내부 정보 유출 여부 등 심층 분석
-> 만일 악성코드 일 경우 재발 방지 및 확산을 방지하기 위한 방안을 강구하기 위해 분석 실시.
(5) 보고 및 공유
사고 및 대응 과정, 분석 결과를 정리·문서화하고, 내부·외부와 정보를 공유하는 단계. 정보 공유 원칙에 따라 타 기관에게 정보를 제공한다.
- 해당 이슈가 재발하지 않도록 다른 기관들에게도 공유.
| 단계 | 주요 내용 | 예시 및 주요 활동 |
|---|---|---|
| 예방 | 위험 사전 차단, 보안 정책·시스템 강화 | 방화벽 설정, 취약점 점검, 보안 교육 |
| 탐지 | 이상 징후 실시간 탐지, 이벤트 모니터링 | SIEM/IDS/EDR 등에서 이벤트 탐지 |
| 대응 | 사고 발생 시 신속 조치 및 추가 피해 방지 | 계정 잠금, 시스템 격리, 관리자 알림 |
| 분석 | 사고 원인 및 영향 심층 분석, 증거 수집 | 로그 분석, 악성코드/트래픽 분석 |
| 보고 및 공유 | 결과 보고서 작성, 정보 공유 및 재발 방지 방안 수립 | 보고서, 대책 제시, 외부 기관 신고/공유 |
1.3 보안관제 유형 및 특징
보안관제의 유형은 환경과 고객의 특성과 요구 사항을 고려하여 변화하고 있는 실정이나, 보편적으로 온프레미스 관제(On-Premises SOC)와 클라우드 관제 이 2가지 유형으로 나뉠 수 있다.
온프레미스 관제는 원격/파견/자체 관제, 3가지 관제 유형을 포함한다.
유연성은 클라우드 관제가 온프레미스 관제보다 더 뛰어나지만 초기 비용이 많이 소모된다. 그러나 장기적인 측면에서 비용 소모를 보았을 때 온프레미스보다 덜 들어간다.
(1) 원격관제
원격으로 관제 서비스를 수행하는 관제. 외부 전문 보안관제 업체의 관제센터(SOC)에서, 고객사의 IT 인프라(서버/네트워크/PC 등)에 네트워크로 원격 접속하여 실시간 모니터링, 이상 탐지, 대응 등을 수행하는 방식이다.
특징
- 관제인력이 고객사 현장에 상주하지 않고, 외부 SOC에서 원격으로 24시간 관제
-> 대상 기관에서 구축해 놓은 것들을 바탕으로 외부에서 모니터링한다.
장점
- 비용 효율적 (상주 인력 불필요, 인력 교체·교육 부담 적음, 별도의 회선 필요X)
- 다양한 고객사를 대상으로 동시 다중 관제 가능
단점
- 사고 발생 시, 즉각적인 대응에는 한계가 있음
사례
- 중소기업, 전국/다수 지점 기업, 학원, 쇼핑몰 등
(2) 파견관제
온프레미스 관제 형태 중 가장 많은 비중을 차지한다. 전문 보안관제 인력이 고객사 현장에 직접 상주하여, 보안관제 업무를 수행하는 방식(보통 관제 위탁 서비스 업체의 인력이 파견되어 근무)이다.
특징
자체 구축한 보안관제시스템의 운영 및 관리를 위탁하는 방식으로,
전문인력이 대상기관에 파견되어 관제업무 수행, 조직전반 및 산하기관 보안관제 체제 구축을 수행한다.
장점
- 관제 인력이 고객사 내에서 실시간(즉각적인) 대응 가능
- 고객 환경에 맞춤형 관제 및 보안 컨설팅 제공
- 대면 커뮤니케이션, 물리적 대응(장비 점검, 포렌식 등)에 강점 > 효율성 ↑
단점
- 비용이 상대적으로 높음 (인력 직접 배치 및 운영 필요)
- 인력 교체나 보안 전문성 유지 등 관리 필요
사례
공공기관, 금융기관, 대기업과 같이 큰 회사 및 기관들이 파견관제를 선호
(3) 자체관제
고객사 내부에 자체적으로 보안관제센터(SOC)를 구축하고, 자체 인력으로 24시간 상시 모니터링 및 대응을 수행하는 방식이다.
특징
- 보안 통제력과 독립성이 가장 높다.
장점
- 조직 환경에 최적화된 맞춤형 정책 및 프로세스 운영
- 데이터, 로그 등 모든 정보가 내부에서만 관리되어 유출 위험 적음
단점
- 초기 투자비, 운영/유지 비용이 큼 (인력, 장비, 공간 등 모두 직접 부담)
사례
보안에 민감한 조직이 주로 이용한다.
- 국정원, 경찰청, 사이버 수사대 등
(4) 클라우드 관제
클라우드 상에 존재하는 가상의 장비를 모니터링하는 형태이다. AWS, Azure, Google Cloud 등 클라우드 환경에 특화된 관제 서비스 또는 솔루션을 이용하여, 클라우드 자산을 실시간으로 모니터링·분석·대응하는 방식이다.
특징
클라우드 인프라(서버, DB, 서비스 등)에 대한 실시간 관제/이상 탐지/대응
장점
- 온디맨드(필요 시 확장/축소), 빠른 구축 가능
- 최신 위협 정보, 자동화된 대응 기능 활용이 용이
단점
- 규제 이슈를 고려해야 하기 때문에 온프레미스 관제 보다 리스크가 크다
| 유형 | 정의 | 주요 특징 | 적합 사례 |
|---|---|---|---|
| 원격관제 | 외부 SOC에서 원격 접속으로 관제 | 비용 효율, 빠른 도입, 즉각 물리적 대응 한계 | 중소기업, 전국/다수 지점 기업 |
| 파견관제 | 외부 인력이 현장에 상주하여 관제 | 현장 맞춤형, 대면 대응, 비용↑ | 대기업, 금융, 공공기관 |
| 자체관제 | 내부에 자체 SOC를 구축·운영 | 보안 독립성↑, 맞춤 운영, 투자/유지비용↑ | 보안 민감 조직, 중요 현장 |
| 클라우드관제 | 클라우드 인프라에 특화된 관제 서비스 | 확장성↑, 자동화, 초기비용↓, 데이터 주권/규제 이슈 |
2. 보안관제 업무 시 사용하는 웹 페이지/명령어
2.1 웹 페이지
(1) WHOIS
- https://who.is/
- 도메인, IP 주소의 등록자 정보 및 소유자 정보를 확인할 수 있는 사이트/명령어
- 악성 트래픽이나 의심스러운 IP의 출처 확인에 사용
(2) VirusTotal
- https://www.virustotal.com/
- 파일, URL, IP, 도메인을 여러 보안 엔진으로 분석할 수 있는 웹 서비스
- 샘플의 악성 여부, 관련 정보 파악
(3) Shodan
- https://www.shodan.io/
- 전 세계 인터넷에 연결된 장비와 서버의 정보를 검색할 수 있는 검색 엔진
- 취약한 서버, IoT 디바이스 등 탐색
(4) Censys
- https://search.censys.io/
- Shodan과 유사한 서비스, 인터넷 자산 검색에 활용
(5) Hybrid Analysis, Any.Run
- Any.Run: https://any.run/
- Hybrid Analysis: https://www.hybrid-analysis.com/
- 파일, URL의 동적 분석을 지원하는 샌드박스 서비스
(6) KrCERT, KISA(한국인터넷진흥원)
- KrCERT/CC: https://www.krcert.or.kr/
- KISA: https://www.kisa.or.kr/
- 대한민국 내 보안 사고 정보, 침해사고 동향 등 확인
(7) IP Lookup
- https://www.iplocation.net/
- 특정 IP의 지리적 위치 확인
2.2 명령어
ipconfig
- PC의 네트워크 정보(IPv4, 게이트웨이 등)를 확인하는 명령어
- 감염 PC, 서버의 네트워크 환경 분석에 활용
