- 보안관제의 이해
- 보안관제 개념
보안관제란?
조직의 정보기술 자원 및 보안 시스템을 안전하게 운영하기 위하여 사이버 공격을 탐지 및 분석하여 대응하는 일련의 업무와 사전예방 및 관제시스템 운영에 관한 업무
1) 협의의 개념: 모니터링, 사이버공격을 탐지하는 활동
2) 광의의 개념: 모니터링과 컨트롤, 탐지·분석·대응까지 포함하는 일련의 활동
보안관제 기본원칙
① 무중단의 원칙
: 사이버 공격을 실시간으로 신속하게 탐지/차단하기 위해 24시간 365일 중단없이 보안관제 업무 수행
② 전문성의 원칙
: 사이버공격 탐지 시스템 등 보안관제에 필요한 시스템과 함께 정보시스템 및 네트워크 이론을 포함한 프로그램 분석, 포렌식, 해킹기술 등 다양한 방면에 전문지식과 경험, 노하우를 가진 전문 인력이 매우 중요
③ 정보공유의 원칙
: 범 국가차원에서 사이버 공격을 철저하게 탐지/차단/대응하기 위해서는 관계 법령에 위배되지 않는 범위내에서 보안관제 관련 정보가 신속하게 공유
보안관제 목적
① 보안사고 예방을 통한 안전한 서비스 제공
② 정보보호 및 개인정보 보호 법 제도 준수
③ 업무수행 강화를 통한 조직의 IT 정보자산 보호
④ 악성코드 실시간 탐지 및 대응체계 구축
보안관제 유형
① 원격관제
개념
: 관제서비스업체에서 보안관제에 필요한 관제시스템을 구비하고 대상기관 침입차단 시스템 등 보안장비 중심으로 보안 이벤트를 중점적으로 상시 모니터링하고 침해사고 발생 시 긴급 출동하여 대응 조치하는 서비스 형태
대상
: 일반 기업, 포탈 업체 등
특징
일부 단위 보안시스템의 운영 및 관리를 위탁하는 방식
통합보안 관제시스템 및 관제입력이 원격에 위치
제한적인 범위의 보안시스템 위탁
장점
파견관제에 비해 저렴한 단가 인력 관리에 대한 부담이 없음
별도의 회선 구축없이 인터넷망을 통한 관제
단점
한정된 서비스 제공
파견관제와 같은 사이트에 특화된 관제 서비스의 어려움 발생
침해/장애 발생시 즉각적인 조치가 어려움
통보는 가능하나 조치 인력 수급 필요
② 파견관제
개념
: 관제 대상기관이 자체적으로 보안관제시스템을 구축하고 보안관제 전문업체로부터 전문인력을 파견받아 침해/장애 발생 시 즉각적인 관제업무를 수행하는 형태
대상
: 공공분야, 금융권
특징
자체 구축한 보안관제시스템의 운영 및 관리를 위탁하는 방식
전문인력이 대상기관에 파견되어 관제업무 수행
조직전반 및 산하기관 보안관제 체제 구축 수행
장점
고객사에 특화된 관제서비스 제공 가능
고객사 정보보호담당자와 관제 인력간의 원활한 의사소통 가능
침해/장애 발생 시 즉각적인 조치 가능
업무 연속성 및 효율성 증대
고객사의 현황에 대한 명확한 이해로 추후 사이트의 확장 및 시스템 구성변경 지원 가능
단점
인력 관리 필요 휴무 및 교체 등
높은 단가
③ 자체관제
개념
: 보안관제시스템 및 전문인력을 자체적으로 구축하고 운영하는 형태
대상
: 국정원, 경찰청 등 대규모 통신사
특징
자체 보안관제시스템의 운영 및 관리를 자체적으로 수행
기관 자체 정규직, 계약직 보안인력을 통한 관제 업무 수행
장점
내부기밀유지 및 신속한 사고처리에 우수
정보보안 관련 기술을 보유할 수 있음
보안관제 업무와 관련해 연속성 보장
단점
전문성의 결여로 수행 품질이 낮아질 수 있음
과도한 초기 투자의 예측 어려움
최신 보안기술/동향 정보 확보의 어려움
보안 솔루션 운영에 대한 부담
보안 전문가 양성의 어려움
④ 하이브리드관제
개념
: 원격과 파견관제의 장점을 고루 합한 서비스, 보안 기업의 통합보안관제센터에서 확보한 위협 정보를 원격으로 제공하여 파견관제의 한계점을 보안
대상
: 금융기관 등
특징
원격관제 + 파견관제 또는 원격관제 + 자체관제의 형태
필요한 시간(주로 야간, 휴일)에만 원격관제 형태로 관제업무 수행
장점
원격관제의 장점과 파견관제의 장점을 융합
파견인력을 통한 의사소통 및 사이트에 특화된 정책 수립
침해/장애 시 파견 인력을 통한 선 조치 이후 원격관제팀과의 공조 가능
사이트의 구성 변경, 정책 수립 등 지원
단점
파견 인력의 등급에 따른 서비스의 퀄리티 편차 발생
파견 인력에 대한 관리 필요 휴무 및 교체
⑤ 클라우드관제
개념
: 서버와 DB 등 IT 자원을 인터넷 접속을 통해 사용하는 클라우드 환경에 대한 관제, 기업은 클라우드 내에서 일어나는 보안 위협을 모니터링하여 온프레미스 환경과 동일하게 보안관제 서비스를 받을 수 있음
대상
: 금융기관 등
특징
보안관리 영역에 대한 직접 관리 부담을 줄이고 모니터링 요원, CERT 등 관제전문인력이 제공하는 보안관제서비스를 제공받을 수 있음
장점
로컬에 장비 설치 및 유지보수가 필요 없음
다양한 레퍼런스 기반으로 고객사 환경에 적합한 유동적으로 보안관제 환경 구축 가능
IT기술 발달로 최적화된 보안 장비를 고객사의 니즈에 최적화된 보안장비 구축
클라우드 글로벌 데이터 센터 보안 관제 서비스 제공 가능
단점
관제 대상 및 업무 이해가 어려움
리스크가 매우 큼
고객의 비즈니스를 이해해야 하는 어려움
보안관제 패러다임의 세대별 변화
1세대: 단위보안관제
단위 보안 솔루션 모니터링
2세대: 통합보안관제
관제 범위 확대
ESM 기반 보안관제
3세대: 빅데이터보안관제
빅데이터 기반 시나리오 관제
SIEM 기반 보안관제
4세대: 차세대보안관제
머신러닝(AI)기반 이상행위 탐지
SOAR 기반 자동화 대응
위햡정보 관제 연동
관제시스템에 따른 분류
네트워크 공격에 대한 모니터링
① 침입탐지시스템(IDS)
② 침입방지시스템(IPS)
③ 침입차단시스템(Firewall)
④ 위협관리시스템(TMS)
웹 공격에 대한 모니터링
① 웹방화벽(WAF)
② 웹서버 로그 분석
③ IDS와 방화벽 로그 비교 분석
서버 및 네트워크 장비에 대한 공격 모니터링
① 서버관리시스템
② 네트워크 관리 시스템
③ 보안 솔루션과의 연관성 조사
사용자 컴퓨터 모니터링
① 네트워크 접근통제시스템(NAC)
② APT 시스템
③ 백신 소프트웨어
통합 보안관제 시스템을 이용한 보안관제
다수의 시스템으로부터 수집된 정보를 종합적으로 분석하는 통합 보안관제 시스템을 이용하는 방법
주요 방법
정보 수집 및 분석
ESM(Enterprise Security Management)
: 방화벽, IDS, WAF 등 다양한 보안 장비에서 발생하는 이벤트를 수집하고 분석하여 신속하게 공격을 탐지하는 시스템
SIEM(Security Information and Event Management)
촤근에는 ESM보다 더 포괄적인 SIEM 시스템을 구축하여 연동하는 추세
전체 정보 시스템 관제를 위한 통합 플랫폼
- 보안관제 업무 개요
보안관제 서비스 프로세스
침해탐지와 직접적인 관련이 있는 침해사고 탐지 및 대응업무를 중심으로 침해위협 정보 수집 및 관제시스템 운영업무와 프로젝트 또는 사업관리까지 포함
정보 수집 단계
: 다양한 보안 장비에서 생성되는 보안 데이터를 수집하는 단계
모니터링/분석 단계
: 수집된 데이터를 기반으로 실시간 모니터링과 심층 분석을 수행하여 잠재적 위협을 탐지
대응/조치 단계
: 분석된 보안 이벤트에 대해 적절한 대응책을 마련하고 실행하는 단계
보고 단계
: 보안 사고 처리 및 장애 처리 결과를 문서화하고 관련 부서와 공유하는 단계
- 보안관제 구성 요소
보안관제 시스탬 측면
①전송-에이전트
에이전트는 각종 보안 장비 및 서버, 네트워크에 설치되어 해당 시스템에 적합한 설정에 따라 로그 정보를 실시간으로 관제센터에 전송
②저장-정보수집서버
정보수집서버는 각각의 에이전트에서 보낸 다량의 정보를 수집/처리하여 DB에 저장하는 역할을 수행
③분석-통합관제용 시스템
통합관제용 시스템은 각종 이벤트 로그분석 수행과 다양한 정보를 종합적으로 분석하는 것은 물론 상황에 따라 분석하여 관제담당자들을 지원
보안관제 조직
①관제
24시간 365일 보안관제시스템에서 발생한 이벤트 모니터링/보고/대응 조치 수행
②침해대응(CERT)
모니터링으로 확인된 이상 트래픽이나 이벤트에 대해 침해여부에 대한 상세 분석과 대응 조치 수행
③정보공유분석센터
유사업무 분야별 해킹, 바이러스 등 사이버 공격과 침해사고에 대해 효과적으로 공동 대응하기 위한 조직
-
보안관제 업무 절차
-
보안관제 기술
-
보안관제 탐지/방어 기술
패턴기반탐지
공격방법과 공격도구에 대한 분석을 통해 특정 패턴을 파악
장점
: 탐지속도가 빠르고 정확성 높음
단점
: 사전에 분석된 공격형태만 탐지 가능
관련 보안 시스템
: IDS/IPS, WAF, DDos, Anti-Virus
행위기반탐지
일반적인 사용자와 구별되는 인터넷 사용패턴에 기반을 둔 탐지기법
공격유형과 사용자 행동을 기계적 학습으로 모델링
장점
: 통계기반의 비정상 행위 탐지에 효과적
단점
: 통계적 특징이 불명확한 공격 탐지 불가능
관련 보안 시스템
: IDS/IPS, WAF
상관분석
둘 이상 이벤트가 서로 의미를 부여하여 하나의 결과물을 생성하는 것
장점
: 공격 시나리오 기반 탐지가 가능, 탐지의 정확성 향상
단점
: 상관분석 역량 및 시스템 성능 부족
관련 보안 시스템
: ESM, SIEM, TMS
패턴기반방어
패턴 기반 탐지기술에 기초하여 사전에 정의한 패턴과 동일한 트래픽을 차단하는 기술
전통적인 보안시스템에서 사용되는 방법
장점
: 이미 알려져 있고 자주 변하지 않는 공격에 대해서 매우 효과적
단점
: APT 공격처럼 끊임없이 변하고 은밀하고 공격에는 비효율적
관련 보안 시스템
: IDS/IPS, WAF, DDos, Anti-Virus
규칙기반방어
일련의 기술 즉, 취해야 할 특정 행위를 기준으로 차단하는 기술
방화벽에서 보편적으로 사용되는 개념
디폴트 규칙이 존재
장점
: 방어행위가 명확하고 대상 환경에 대한 이해가 용이
단점
: 모든 규칙을 상세화하는 것이 어렵고 성능적 한계 존재
관련 보안 시스템
: 방화벽, DRM, DLP, 출입통제시스템, DB보안시스템
탐지패턴 활용
스노트(Snort)
초기에는 단순한 Packet Sniffer 프로그램이었으나 현재는 분석 기능 추가
보안과 향상을 통해 지금과 같은 다양한 기능과 탁월한 성능을 갖춘 프로그램
문자열 탐지패턴
: 탐지 패턴을 입력하면 해당 문자가 있으면 모두 탐지
HEXA CODE 방식
: 헥사코드 16진수로 나타내는 인코딩 방식 문자열 탐지패턴이란 점은 동일하지만, 패턴으로 작성된 글자가 숫자로 표현
- 보안관제 시스템
- 보안솔루션 분류
정보보호 시스템 종류 및 기능
홈페이지 APT 웹셀공격 탐지 및 차단 시스템
웹셀 및 홈 디렉터리 설정변경 탐지
악성코드유포지 URL 탐지
웹셀 탐지 정보 및 이력 저장
정보시스템 서버 접근통제 및 보안감사 시스템
접근통제에 의한 모든 작업 이력 저장
장애 및 보안사고 발생 시 사후 추적 가능
지능형 네트워크 접근통제 시스템(NAC)
네트워크 접속 단말인증 및 무결성 검증
필수 S/W 설치 및 불법 소프트웨어 삭제 유도
위협관리시스템(TMS)
유해 트래픽 및 악성코드를 실시간 탐지
방화벽(FW)
침입차단시스템으로 내부 시스템을 보호하기 위해 IP 및 프로토콜을 기반으로 내·외부를 접속 차단하는 시스템
침입방지시스템(IPS)
실시간 사이버 공격을 탐지 및 차단하는 시스템으로 악성코드 및 악의적인 바이러스에 대해 문자열 방식으로 탐지하여 차단하는 시스템
내부정보유출 방지시스템
사용자 컴퓨터에서 사용하는 메신저(MSN, 네이트온 등)프로그램 사용 차단 및 이메일 송신 시 붙임 파일 용량 통제 등 내부정보의 유출을 방지하기 위한 시스템
홈페이지 위·변조 감시 시스템
악의적인 사이버 공격에 의해 홈페이지 화면 위·변조 사항을 실시간 탐지 및 웹 접속 정상 상태를 모니터링하는 시스템
무선랜 침입 차단 시스템(WIPS)
기관 내 비인가 무선 AP 탐지 및 무선랜에 대한 위협을 탐지·차단하는 시스템
DDos 공격대응 장비
DDoS 공격에 대한 차단에 특화된 시스템
개인정보 유출방지 시스템
컴퓨터에서 주민번호, 여권번호 등 고유식별정보 및 중요정보가 포함된 문서를 식별하거나 외부유출 시 차단하는 시스템
웹방화벽(WAF)
웹 서비스에 대한 사이버 공격 차단에 특화된 시스템
해킹/스팸메일 차단 시스템
악의적인 바이러스 및 악성코드를 포함된 메일을 수신시에 탐지 및 차단
일반적인 다량의 메일 수신 및 비정상적인 메일을 수신 시 차단
지능형지속위협(APT) 공격 대응 시스템
시그니처(문자)기반의 정보보호시스템과는 달리 비정상적인 행위를 판별하여 이상징후를 탐지 및 차단
매체제어시스템
인가된 USB 저장장치, 이동형 저장장치의 연결을 허용하고 기타 비인가된 장치에 대해서는 차단 등의 통제 시스템 - 방화벽(Fire Wall)
신뢰하지 않는 외부 네트워크와 신뢰하는 내부 네트워크 사이를 지나는 패킷을 미리 정한 규칙에 따라 차단하거나 보내주는 기능을 하는 하드웨어나 소프트웨어
방화벽 방어기능
패킷 필터링
: 소스 및 대상자 IP주소, 포트번호 등 통신 데이터의 통과여부를 판단해 무단 접근을 방지
방화벽 정책 설정 시 최소 3번 이상 확인
애플리케이션 게이트웨이
: 통신을 중계하는 프록시 서버를 이용해 사내 네트워크와 인터넷 사이에 직접 통신 차단
방화벽을 이용한 로그 분석 및 관제
: 방화벽의 Accept와 Deny로그를 이용하면 시그니처 기반으로 탐지못한 이상행위 발견 가능성
방화벽의 한계
방화벽은 네트워크 트래픽이 흐르는 경로 내부(In-Line)에 위치하기 때문에 방화벽 자체 공격의 대상이 되어서 대용량의 트래픽을 견디지 못하고 다운되는 경우가 많음
전체 네트워크 마비(장애)가 발생할 위험이 높음
정상적인 서비스 HTTP, DNS 같은 일반적인 인터넷 프로토콜을 이용한 공격은 방어가 어려움
- IDS/IPS
IPS(Intrusion Prevention System)
공격패턴을 기반으로 패턴과 일하는 패킷에 대해서 차단하는 보안 시스템
주기적인 패턴 업데이트가 필요하며 정상트래픽도 패턴과 일치할 경우 차단하므로 오탐 가능성 존재
네트워크 상에 In-Line 구조로 설치
In-Line : 트래픽 손실이나 변조없이 복사해 주는 장비인 TAP으로 트래픽을 검사하는 구조
IDS(Intrusion Detection System)
침입을 탐지만 하고 IPS는 방어기능까지 수행
TAP 방식이나 Mirror 방식으로 설치
TAP
트래픽 손실이나 변조없이 복사해주는 장비인 TAP으로 트래픽을 검사하는 구조
최초 설치 시 네트워크 단절 필요
장비 장애 발생 시 서비스 중단 추가 비용 발생
스위치 미러링
일반적으로 EnterPrise급 Switch에는 Analyzer의 연결을 위한 Mirroring 기능을 지원
Switch management utility를 통하여 mirror port를 설정
- DDoS 대응 솔루션
DDoS 대응 솔루션 차단 원리
효율적인 차단을 위해서 장비의 성능 극대화
행동기반과 시그니처 탐지 방어 기법으로 차단
네트워크 행동기반 탐지기법을 적용해 DDoS 공격 유형별 방어 자동 학습에 의한 시그니처 생성 자동 패킷 캡쳐 및 패턴 추출 후 공걱을 방어
DDoS 대응 솔루션 한계
: 비정상적인 공격성 패킷과 고객이 발송하는 정상적인 서비스 요청 패킷을 정확히 구분하기 어려움
네트워크 차원 - DDoS 대응 기법
ACL(Access Control List)
Null0 Routing(Blackhole)
Sinkhole Routing
- 웹방화벽(WAF)
웹 트래픽에 특화된 보안 솔루션 웹서버 앞에서 사용자의 서비스 유청과 서버의 응답을 검사하여 정상트래픽을 통과시키고, 인젝션 인증 및 세션관리 취약점, 크로스사이트 스크립팅 등과 같은 악의적인 요청 및 주민번호, 신용카드, 계좌번호 등 민감한 정보 유츨에 대한 응답을 차단
기능
웹 애플리케이션 취약점에 중점을 두고 패턴 등록 및 차단 진행
정보유출방지, 부정 로그인 방지, 웹사이트 위변조 방지
SSL 복호화 연동
: 암호화에 숨은 공격, 인라인 복호화로 투명하게 탐지
웹셀탐지솔루션
: 웹셀은 웹 공격에 가장 많이 사용되는 기법으로, 웹사이트 취약점을 이용해 게시판 자료실 등에 공격코드를 업로드하고, 원격으로 웹 서버 정보, 관리자 권한을 탈취
6. NAC(Network Access Control)
네트워크 진입 시 단말과 사용자를 인증하고, 네트워크를 사용 중인 단말에 대한 지속적인 보안 취약점 점검과 통제를 통해 내부 시스템을 보호하는 네트워크 접근제어 솔루션
- Anti-Virus
바이러스, 웜과 같은 악성 소프트웨어 프로그램을 검색, 방지, 해제 또는 제거하는 컴퓨터 프로그램
최근에는 클라우드 기반, 랜섬웨어 암호화 차단 백신/IE 취약점, Flash 취약점 등을 차단 - 기타 보안 솔루션
매체제어 시스템
: 이동식 저장매체(USB), CD/DVD, FDD, 적외선 장치, 블루투스 장치, 휴대폰 장치, 무선랜 장치 와이브로 장치, 모뎀장치 등 다양한 매체에 대해서 컴퓨터에 연결을 통제
DRM(Digital Rights Management)
문서 보안에 초첨을 맞춘 기술로 문서 열람/편집/인쇄까지의 접근 권한을 설정하여 통제
특정한 형태의 문서만 통제하는 것이 아니라 MS워드나 HWP, TXT, PDF 파일 등 사무에 사용하는 대부분의 파일을 통제
DB암호화 솔루션
개인정보 필드 암호화
개인정보 접근 통제/영역 분리
개인정보 접근 이력 감사로그
스팸차단 솔루션
보낸사람, ID, 제목, 첨부파일, 전송 횟수 등을 탐지하여 차단
최근에는 APT 기능을 가지고 있어 스팸 메일 차단 뿐만 아니라, 악성코드 및 각종 공격에 대해서 차단 수행
- 보안관제 실무
- 보안관제 사업조직
-
산출물
정기보고
일일 보안 관제보고서
월간/분기 실적보고서
연간 보고서
수시보고
사이버침해 분석·대응 보고서
매뉴얼 지침 재·개정
기타보고서 -
비정상 트래픽 티켓팅
티켓팅
: 보안관제시스템에 미리 적용한 정책에 의해 비정상적 트래픽 탐지시 자동으로 경보가 발생하면 관제인원이 시스템을 통해 접수하여 종결 처리하는 일련의 과정
처리과정
: 단위보안장비에서 통합보안관제 시스템으로 수집되는 로그들에 대해서 공격지 IP, 목적지 IP 경보내용을 확인 후 해당 보안장비에 접속, 정/오탐을 판단하여 실제 공격으로 확인될 경우 외부 방화벽에 유해 IP 차단
단위보안장비: Anti-DDoS, DDX, IPS, WAF, APT등 -
보안관리시스템(ESM)
방화벽, 침입탐지 시스템(IDS), 가상사설망(VPN) 등 다양한 종류의 보안 솔루션을 하나로 모은 통합보안관리 시스템
보안솔루션 로그를 수집해 상호연관 관계를 분석하여 주로 외부 네트워크로부터의 공격 탐지에 중점 -
SIEM(Security Information & Event Management)
다양한 정보 시스템에 대한 로그 관리 및 분석을 강화되고 빅데이터 기술이 접목되어 정보 시스템 전반에 신속한 위협탐지를 가능하게 하는 지능형 로그 관리 플랫폼
ESM에서 진화된 형태 -
SOAR(Security Orchestration, Automation and Response)
다양한 보안 위협 대응 프로세스를 자동화/조율하여 단순 반복 보안관제 업무 효율화와 다양한 보안 이벤트를 신속 정확하게 대응하는 보안 솔루션
SOAR = SOA + SIR + TIP
필요성
보안 위협 대응 프로세스 자동화
표준화된 업무 프로세스에 따라 관제 요원의 대응 품질 향상
내/외부 위치 무관 위협대응 기반
신규 보안 이벤트에 대해 빠르고 정확한 대응
주요 기능
Orchestration
보안솔루션 연동
가시성 제공
Automation
업무자동화
동적 플레이북
작업 및 스크립트
Response
사고대응 및 협업
리포팅
SOAR와 SIEM 비교
구분 SOAR SIEM
데이터집계 보안 경고 및 위협 지능화 집계 로그집계
경보처리 SIEM 및 다른 툴로부터 경보 수집 경보생성
위협식별 상관관계 분석 기반 위협 식별 데이터를 분석하여 잠재적 위협 식별
응답워크 플로우 E2E 자동화 응답플로우 제한된 응답 워크플로우
역할 통합 보안 솔루션 조율 사용자/분석가에게 의심 활동 알림
