8. 보안관제

SJH·2024년 6월 13일

보안관제의 정의

보안관제란?

기업의 정보, 기술과 같은 IT자원을 해킹, 바이러스 등의 사이버 공격으로부터 보호하기 위한 실시간 모니터링 활동

좁은 의미의 보안관제 : 보안 공격을 탐지하는 모니터링 활동
넓은 의미의 보안관제 : 보안 공격을 분석하여 대응 및 예방까지 수행하는 일련의 통제 활동

보안관제의 과정

1. 예방

IPS같은 보안장비, 모의해킹을 통한 보안 취약점을 보완해 발생 소지가 있는 침해사고를 사전에 예방

2. 탐지

예방 단계에서 막지 못하는 침해사고 및 공격을 모니터링을 통해 보안관제가 탐지하는 단계
모니터링 중 침해사고가 발생하면 대응 단계로 넘어감

3. 대응

모니터링 중 발생한 침해사고에 대해 진짜 침해사고인지 아닌지에 대해 정오탐 여부 판단
판단 후 정탐으로 판정됬을 경우 해당 상황을 전파한 후 절차에 따라 침해사고에 대응

4. 보고

대응한 침해사고에 대한 결과와 과정 등을 보고서를 통해 작성

5. 공유 및 개선

침해사고에 대한 보고서를 통해 해당 정보에 대해 공유
공유한 침해사고는 재발하지 않기 위한 방법을 개선하며 다시 1단계인 예방 단계로 넘어가 사이클을 반복

보안관제 조직의 구성

1. 보안 관제 모니터링 팀

365일 24시간 동안 보안관제 시스템에서 발생하는 이벤트에 대해 모니터링하는 것이 주 업무
모니터링 도중 평상시와 다른 이상 트래픽 등의 이벤트가 발생할 경우 이를 정해진 절차에 따라 보고하여 이벤트에 대한 대응 조치가 시작되도록 만듦.

2. 침해 사고 대응 팀 (CERT)

침해 사고 대응 팀(CERT: Computer Emergency Response Team)은 앞서 보안 관제 모니터링 조직에 의해 보고된 이상 트래픽이나 이벤트 등에 대해 상세 분석을 통해 침해 여부를 판단하고 이에 대한 대응 조치 수행
참고로 실제 침해 사고가 발생하기 전에 보안 취약점에 대해 사전에 조사하는 업무는 보안 관제 모니터링 팀이 주로 담당하나 조직에 따라서는 침해 사고 대응 팀이 맡기도 함.

3. 정보 공유 분석 센터

정보 공유 분석 센터(ISAC : Information Sharing & Analysis Center) 조직이란 각 산업 분야별로 보안 침해 사고에 대해 효과적으로 공동 대응하기 위한 조직
각 침해 사고에 여러 회원사가 공동 대처함으로써 보안 관련 업무 비용을 절감할 수 있으며 즉각적인 대응 가능
국내에서는 금융감독원 주도의 금융 ISAC, 통신 사업자를 중심으로 하는 통신 ISAC 등이 설립되어 운영 중

보안 관제 시스템의 구성

구분	역할	예시
정보 시스템	보안 관제의 대상	윈도우, Linux/Unix 서버, DBMS, 네트워크 장비 등
정보 보호 시스템	침입 탐지 및 대응을 위한 정보 제공	IDS, IPS, 방화벽 등
통합 보안 관제 시스템	침입 탐지 정보의 수집 및 처리	ESM / SIEM 등

ESM(Enterprise Security Management)란?

각 정보 보호 시스템에서 생성된 로그들을 수집하고 이를 정규화하여 저장함으로써, 로그를 일관되게 나타내어 실시간 모니터링에 활용

SIEM란? SIM(Security Information Management)와 SEM(Security Event Management) 2가지 기능 제공

SIM : 장기간에 대한 분석 및 보고 자료 제공
SEM : 실시간 모니터링, 이벤트의 상관 관계 및 알림 등의 기능 제공

보안관제의 수행 원칙

1. 무중단의 원칙
보안 공격을 신속히 탐지하고 이를 차단하기 위해서는 24시간 365일 중단없이 서비스가 제공되어야 하는데, 이를 위해 보안 관제 운영 조직에서는 항상 적정 수준의 보안 관제 인력이 유지되도록 조직 체계를 갖춤.

2. 전문성의 원칙
보안관제 업무 수행을 위해서는 정보 시스템, 정보 보호 시스템 및 통합 보안 관제 시스템 등에 대한 지식 뿐만 아니라 네트워크 등의 이론에 대해서도 전문 지식 및 노하우 등이 필요함.

3. 정보 공유의 원칙
보안 공격은 동일하거나 유사한 공격이 여러 조직이나 기관에 걸쳐 동시 다발적으로 발생하므로, 어느 한 보안관제 조직에서 보안 공격을 사전에 미리 탐지하여 차단했다면 이러한 탐지 및 차단 정보가 다른 보안관제 조직에게도 공유되어야 함.

보안 관제의 유형

1. 직접 관제

내부에 직접 보안 관제 시스템을 구축하며 구축에 투입되는 인력이 내부의 자체 인력
보안 관제 시스템의 구축 및 운영에 필요한 보안 관제 인력을 자체적으로 양성하고 관리

장점 : 내부 인력으로 운영되기 때문에 보안관제 관련 업무의 연속성 보장

단점 : 조직의 특성 및 규모에 따라 보안 관제 인력의 전문성이 다소 떨어질 가능성 존재

2. 파견 관제 ★

조직 내부에 보안 관제 시스템을 두고 직접 운영한다는 점에서는 직접 관제와 같으나 관제 조직의 구성원은 관련 업체로부터 파견 받아 운영된다는 차이 존재
관제 유형 중 가장 많은 비중을 차지

장점 : 전문 보안 업체의 신뢰할 수 있는 보유 기술력과 노하우를 활용하여 최소한의 리스크로 운영 가능

단점 : 파견 인력의 교체가 언제든 발생할 수 있다는점에서 인력 관리의 부담이 있으며, 비용이 다소 높다는 단점 존재

3. 원격 관제

전문 관제 업체가 보유한 조직 외부의 보안 관제 시스템 사용

장점 : 별도의 관제 시스템을 구축할 필요가 없으며 관제 조직 또한 필요 없다는 점에서 최소한의 비용으로 보안 서비스를 제공 받을 수 있음

단점 : 침해 사고 등의 보안 사고 발생 시에 즉각적인 대응이 어렵다는 단점이 있고, 관제 대상이 되는 조직의 특수성이 있을 경우 이에 대한 맞춤 서비스가 어렵다는 단점

4. 클라우드 관제

앞의 3가지 유형들은 온프레미스(On-premise) 환경에서의 관제인 반면, 클라우드 관제는 조직의 IT환경이 클라우드에 있는 경우에 대한 관제
서버와 데이터베이스 등이 Amazon의 AWS 혹은 Microsoft의 Azure 환경에 존재하여 작동하는 방식으로, 클라우드 내에서 일어나는 보안 위협을 모니터링하여 온프레미스 환경과 동일하게 보안 관제 서비스 가능
현재는 온프레미스에서 클라우드 보안관제로 수요가 계속 상승하는 중

보안관제 업무 시 활용하는 웹페이지

1. Whois

한국인터넷진흥원이 제공하는 인터넷주소의 등록 및 할당 정보 검색 서비스
주로 국내 IP 주소를 찾는데 이용
https://whois.co.kr/

2. ipconfig

IP주소를 확인하는 사이트로 상술한 Whois에서 찾지 못하는 해외 IP 주소를 찾는데 주로 사용
http://ipconfig.kr/

3. VirusTotal

구글의 자회사로, 바이러스나 웜 트로이 등을 검사하고 막는 사이트
https://www.virustotal.com/gui/home/upload

보완점

관제 = 실시간 모니터링
파견 관제가 관제 유형 중 가장 많이 비중 차지
whois = 국내 IP용
ipconfig = 해외 IP
관제에서 중요한 포인트는 흘러들어오는 IP가 국내 IP인지 해외IP인지, 그리고 코드에 악성이력이 있는지 현재 악성으로 활동하고 있는지가 매우 중요한 포인트라고 할 수 있음.