보안 관제의 이해와 실무

보안 관제는 다양한 IT 자원을 사이버 공격으로부터 보호하기 위해 실시간 모니터링을 수행하고, 발생하는 문제들에 대해 기술 및 정책적으로 대응하는 업무를 말한다. 이번 글에서는 보안 관제에 대한 설명 입니다.

보안 관제의 정의와 목적

보안 관제 정의

다양한 IT 자원을 여러 사이버 공격으로부터 보호하기 위해 실시간 모니터링을 수행하고, 발생되는 문제들에 대해 기술 및 정책적으로 대응하는 업무를 수행하는 직무이다. 관제 대상기관의 정보 기술 자원을 사이버 공격으로부터 보호하기 위하여 보안 이벤트 및 로그 등을 중앙 관제 센터에서 실시간으로 감지 및 분석, 대응하는 업무라고 할 수 있다.

보안 관제의 목적

1. 보안사고 예방을 통한 안전한 서비스 제공: 잠재적 위협을 사전에 탐지하고 방지함으로써 서비스의 연속성을 보장한다.
2. 정보보호 및 개인정보보호 법 제도 준수: 각종 규제와 법적 요구사항을 충족시키기 위한 필수적인 활동이다.
3. 악성코드 실시간 탐지 및 대응체계 구축: 신속한 위협 탐지와 대응으로 피해를 최소화한다.
4. 업무수행 강화를 통한 조직의 IT 정보자산 보호: 중요 자산을 보호하여 조직의 경쟁력과 신뢰도를 유지한다.

보안 관제 수행 3원칙

1. 무중단의 원칙: 사이버 공격은 시간 장소와 상관없이 수시로 발생하므로 보안 관제 업무는 중단 없이 수행되어야 한다.
2. 전문성의 원칙: 정보 보안과 관련된 지식과 경험을 갖춘 전문 인력과 첨단 시설을 갖추어야 한다.
3. 정보 공유의 원칙: 사이버 공격으로 인한 피해가 타 기관으로 확산되는 것을 방지하기 위해 관계 법령에 위배되지 않는 범위 내에서 보안 관제 관련 사항을 공유하여야 한다.

보안 관제 업무 절차

보안 관제는 다음과 같은 주요 업무 절차를 순환적으로 수행한다:

1. 예방: 중요 시스템, 네트워크 및 웹 서비스 등의 취약점을 사전에 파악해 침해 사고를 예방한다.
2. 탐지: 보안 시스템에 대한 실시간 탐지 및 분석을 통해 정탐, 오탐, 미탐을 확인하는 단계이다.
3. 대응: 보안 정책 설정 및 보안 관제 업무 시 발견된 비정상 네트워크 트래픽 및 시스템에 대한 초기 대응, 사이버 공격 발생 시 신속히 대응 조치한다.
4. 보고: 관제 일지, 취약점 정보, 침해 사고 대응 분석 보고서 등을 보고한다.
5. 공유 및 개선: 보안 관제 수행 3원칙의 '정보 공유의 원칙'에 따라 타 기관에게 정보를 제공하고, 같은 사례가 반복되지 않도록 예방한다.

※ 위 5가지 절차들은 한번만 하는 것이 아닌 사이클로 계속 반복된다.

보안 관제 세대별 변화

1세대(단위 보안 관제)

단위보안시스템 기반에서 이벤트를 분석해 공격의 유무를 판단해왔다. 공격 포인트 증가와 공격 유형의 다양화, 피해 대상 확대 등으로 정보보안의 범위가 넓어지면서 관제 방식도 자연스럽게 변화하였다.

2세대(통합 보안 관제)

ESM/SIEM 기반 보안관제로 발전했다. 각각의 단일 장비에서 발생되는 이벤트와 시스템에서 발생되는 로그를 수집해 실제 공격에 대한 판단의 정확성을 높였다. 단일 이벤트 경보에만 의존했던 초기 방식에서 이벤트와 로그를 통합적으로 상관 분석하는 방식으로 바뀌면서 보다 상세한 분석이 이루어졌다.

3세대(빅데이터 보안 관제)

네트워크 중심의 관제애 대한 한계가 드러나기 시작했다. 정상적인 행위인양 속여 내부에 침투하는 교묘하고 지능적인 종격이 크게 늘어나게 되었다. 따라서 내 외부 구분 없이 인프라 전체를 대상으로 하는 관제를 수행할 필요가 생겼다. 빅데이터 기반 SEIM을 활용해 공격을 신속하게 탐지하고, 서비스뿐만 아니라 사용자의 이상 행위까지 관제 대상에 포함됐다.

4세대(차세대 보안 관제)

머신러닝 기반 이상행위 탐지, SOAR 기반 자동화 대응이 특징이다. 인공지능과 자동화 기술이 접목되어 보안 위협을 스스로 보호하고 예방하고 탐지하고 대응하는 지능형 관제로 진화하고 있다.

보안 관제의 유형

1. 원격 관제
2. 파견 관제
3. 자체 관제
4. 클라우드 관제
5. 하이브리드

보안 관제 시스템 구성

네트워크 영역

IDS, IPS, 방화벽, DDoS대응 솔루션, TMS, UTM, NAC, WAF 등으로 구성된다. 이 중 방화벽은 관제센터로 들어오는 모든 트래픽 중 고객으로부터 들어오는 트래픽을 제외한 모든 트래픽을 제한함으로써 혹시 모를 관제센터로의 공격을 차단한다.

서버 영역

보안 운영체제, 백신 등이 포함된다. 로그 서버는 고객사로부터 발생되는 모든 보안장비의 로그를 받아서 저장하며, 최소한 3개월간의 모든 로그를 저장하는 것을 기본으로 한다.

통합 및 분석

EMS, RMS, SIEM 등이 활용된다. ESM 서버는 보안장비에서 발생하는 이벤트를 분석하는 도구로, 관제센터에서 실직적으로 모니터링하는 부분이다.

보안 관제 업무 단계

정보 수집

이기종 보안 장비에서 보안 데이터를 수집한다. 보안 장비에서 발생하는 로그와 이벤트를 중앙 서버로 모으는 과정이다.

모니터링/분석

수집된 로그를 분석하고, 최신 보안 위협 정보와 상관 분석한다. 24/365 보안 이벤트를 감시하며, 실시간으로 위협을 식별한다.

대응/조치

분석된 이벤트에 대한 원인을 파악하고 대응책을 마련한다. 보안 사고가 발생했을 때 신속하게 대응하며 피해를 최소화한다.

보고

침해사고 처리 및 장애 처리 결과를 보고하고 공유한다. 관련 기관과 담당자에게 사고 처리 내용과 결과를 전달한다.

모니터링 유형 및 절차

온프레미스 모니터링

1. 단위 보안장비 이벤트, 비정상 트래픽, 홈페이지 등을 모니터링한다.
2. 상관분석 모니터링을 수행한다.
3. 정오탐 분석을 실시한다.
4. 정탐인 경우 관련 내용 메일 발송 및 기관/담당자에게 보고한다.
5. 이력관리를 수행한다.

클라우드 모니터링

1. 데이터 이벤트: Cloud 리소스 작업 관련 이벤트를 모니터링한다.
2. 관리 이벤트: 설정변경 등 Cloud 리소스 관련 작업 이벤트를 모니터링한다.
3. Insight 이벤트: 비정상 API 활동 관련 이벤트를 모니터링한다.

초동분석 방법

로그 분석

1. 탐지된 비정상 이벤트 관련 로그를 검색한다.
2. 연관성 있는 로그들의 상관관계를 분석한다.
3. 이상 여부를 확인하고 판단한다.

패킷 분석

1. 단위 보안장비에서 캡처된 패킷을 확인한다.
2. 패킷수집Tool을 활용한 네트워크 패킷을 수집하고 분석한다.
3. 이상 여부를 확인한다.

과거이력 조회

1. 동일하거나 유사한 이벤트의 과거 대응이력을 검색한다.
2. 대응이력 유무에 따른 후속조치를 결정한다.
3. 담당자 문의 및 침해사고 여부를 판단한다.

정책관리 체계

정책관리는 보안관제의 효율성과 효과성을 높이기 위한 핵심 활동이다.

탐지정책 관리

사고 분석 결과, 신규 취약점 등을 반영하여 탐지정책을 개발, 수정, 삭제하는 과정이다.

1. 탐지패턴 검토: 생성/수정/삭제할 탐지패턴을 추출하고 검토한다.
2. 정책보고서 작성: 유형별 정책변경보고서를 작성한다.
3. 담당자 승인: 정책변경에 대한 승인을 획득한다.
4. 정책 적용: 승인된 정책을 적용하거나 관한자에게 전파한다.
5. 이력관리 및 최종보고: 정책 변경 내용을 기록하고 보고한다.

차단 정책 관리

모니터링이나 사고 분석을 통해 차단이 필요한 대상을 식별하고 차단정책을 적용하는 과정이다.

1. 유해 정보 추출: IP/URL/메일주소 등 차단 대상을 추출한다.
2. 기 차단 여부를 확인한다.
3. 상황전파문을 작성한다.
4. 담당자 보고 및 메일을 발송한다.
5. 이력관리 및 최종보고를 수행한다.

SIEM

SIEM(Security Information and Event Management)은 보안 관제에서 핵심적인 역할을 하는 기술 솔루션이다.

SIEM의 정의

조직의 IT 인프라 전반에서 보안 관련 데이터를 수집, 분석, 상관관계를 파악하여 중앙집중식 보안 관리를 제공하는 시스템이다.

SEIM 의 주요 기능

1. 로그관리 및 데이터 수집
2. 실시간 위협 탐지
3. 데이터 상관관계 분석
4. 사용자 행동 분석
5. 대응, 보고서 생성

SIEM 의 중요성

1. 중앙집중식 보안 관리로 효율성 향상
2. 고도화된 위협 탐지 능력
3. 신속한 인시턴트 대응 지원
4. 규제 준수 및 감사 프로세스 간소화

Snort의 이해와 활용

Snort란?

Snort는 1998년 Martin Roesch에 의해 개발된 오픈 소스 기반 IDPS(Intrusion Detection Prevention System)이다. 시그니처 기반 탐지 시스템으로서 패턴과 매칭이 될 경우 탐지되는 방식을 사용하는 시스템이다. 현재까지도 침입 탐지 시스템(IDS) 중 가장 널리 사용되고 있는 시스템이다.

Snort의 주요 기능

Snort는 다음과 같은 세 가지 주요 기능을 수행한다:

1. Sniffer(패킷 스니퍼): 네트워크의 패킷을 읽어 스니핑하여 보여주는 기능이다.
2. Packet Logger(패킷 로거): 모니터링한 패킷을 저장하고 로그에 남기는 기능이다.
3. IDS/IPS(침입 탐지/방지 시스템): 네트워크 트래픽을 분석하여 공격을 탐지하고 차단하는 기능이다.

Snort의 구조

Snort의 동작 구조는 다음과 같은 단계로 이루어져 있다:

1. Sniffer(스니퍼): 네트워크로부터 들어오는 패킷을 캡처하여 분석 대상으로 전달한다.
2. Preprocessor(프리프로세서): 입력 패킷을 전처리하여 정규화하거나 특정 프로토콜의 디코딩을 수행한다. 이를 통해 분석의 효율성과 정확성을 향상시킨다.
3. Detection Engine(탐지 엔진): 사전에 정의된 rule에 따라 탐지 엔진이 패킷을 분석하여 악성 활동을 탐지한다.
4. Output(출력): 탐지된 이벤트 및 결과를 적절한 형식으로 출력한다. 출력은 로그 파일, 알림 메시지, 경고 등 다양한 형태로 나타난다.

Snort Rule

Snort는 룰 기반으로 동작하며, 룰은 크게 Rule header와 Rule Option으로 구분된다.

Rule Header

Rule Header는 다음과 같은 구성요소를 포함한다:

• Action: 패턴이 매칭되었을 때 수행할 행동(alert, log, pass, drop, reject, sdrop 등)
• Protocol: 탐지할 프로토콜 종류(TCP, UDP, ICMP, IP, Any)
• Source IP \& Port: 출발지 IP와 포트
• Direction: 탐지 방향(-> 또는 <>)
• Destination IP \& Port: 목적지 IP와 포트

Rule Option

Rule Option은 다음과 같은 주요 옵션을 포함한다:

• msg: alert 발생 시 이벤트 이름으로 사용
• content: 페이로드에서 검사할 문자열
• sid: 규칙의 고유 ID
• reference: 룰과 관련된 취약점 정보 참조 시 사용
• priority: 룰의 우선순위(위험도)
• rev: 룰 버전 번호