[1월7일]보안관제 2일차 수업

djEjgrpgksmsrjwl·2025년 1월 7일

SK shieldus Rookies 23기

목록 보기

19/24

단계 탐지 - 대응

현업부서 사이버보안센터(보안관제 , 침해대응 , 보안진단 ) 고객사

초기분석 ( 관제, 침해대응 둘다 하나 내용은 비슷 )

고객사에서 받을 수 있고
관제에서 로그를 다 들여다보고 확인.

보안진단

지원을 해줄수도 있고 안해줄수도 있고
침해 대응팀이 로그에 접속해서 분석하기 전까지는 어느누구도 접속해서 미리 분석 진행을 하면안됨.
포렌식 분석을 하게 된다고 하면 다른팀이 접속해서 프로세스를 돌리면안됨 -> 무결성 훼손 , = 침해대응팀이 가장 먼저 로그에 접속해서 분석해야함.

써트에서 결과 보고를 하고난 이후에 진단프로세스 액션이 취해져야함

고객사는 사고 발생건을 관련부서에 신고해야함

현업부서는 고객사 업무팀같은거라보면되고
고객사가 고객사의 보안관제관련부서라고 보면됨

고객사가 갑 현업부서는 을

강사님 농협 담당자 포렌식
1. 외부로 와따가따 한점.
2. 업무 외 자료가 많이 깔림.
3. 사건 당시 시큐어 코딩이 안돌아감

법대로 한다는건 무결성 원칙에 따라 어느 누구도 만져서는 안됨.
증적자료를 수집한 그 시간대부터 마치는 시간까지 모두 체크가 되어야함.
증적된 외부 저장매체에 대한 무결성을 해시값을 받아야함.
그 당시 md5 sha1 이론상 무결성이 깨짐.
=> 법적인 측면에서 md5 나 sha1 이상급을 사용해야함

무결성이 굉장히 중요

사본으로 만들어야하며 정품을 가지고 사용해야하며 하나하나 신경써야함
하드디스크를 증적자료로 사용하기 위해 하드디스크도 만들어진 회사의 똩같은 제품으로 준비해야함
용량도 같은 하드로 준비.
시간이 흐르면 제품이 단종됨.
그래도 똩같은 기업의 용량의 제품을 구매해서 로그수집을 해서 분석해야함.
채택이 되냐 안되냐가 굉장히 중요
2010년 포렌식 관심도가 굉장히 높아짐
포렌식 도구 - 인케이스 ( 자격증 시험도 있고 라이센스도 비쌈 )
그때 당시 미국과 한국의 포렌식 인식이 많이 다름
미국은 포렌식 업계가 블루오션
미국으로 진출하기 위해서 영어를 100% 다해야함.
현재 우리나라에서도 포렌식 연봉이 높음.
법률쪽에서 일하며 몸이 상당히 고단함.

공격자IP 차단
정탐일 경우 공격자IP 차단( 방화벽에 적용 )하기 위해서 네트워크센터(담당부서)에 요청을 넣음.
-> 실시간 vs 정해진시간 ?
밤 12시 ~ 06시 , 06시~ 12시
소규모는 실시간으로 차단하는경우도 있음.
정해진시간에 넣는 이유가 분명있음.
티켓이 많이 발생해서 바쁘기때문에 바로바로 넣기 어려워
종합해서 넣는것임.

오탐에 대해서 수정 하거나 비활성화로 정책관리 진행.

오탐에 대한 정책변경은 한건으로 끝날게 아님.
얼마나 많이 발생했는지.
정탐 / 오탐 비율이 얼마나 돼는지.
실질적으로 오탐을 최대한 줄이는게 정석임.
=> 탐지 고도화
관제 미탐일 경우.
큰 사건으로 터질경우 문제.
관제 인원의 교육에 대한 문제.
자체적으로 관제교육을 스스로 스터디해야함.

보안관제에서 정/오탐 판정 어떻게 하는가?

결국 관제 근무자의 주관적인 생각으로 판단
=> 정확하지가 않음.
외부 -> 내부 이벤트
공격자 IP 평판조회 =>
1. 바이러스 토탈 ( IP 넣으면 그 IP에 대한 평판이 나옴 )
2. 블랙 IP/URL 정보를 국정원이나 본사에서 받은걸 대조.
3. 포함되지 않은 IT들은 왜 탐지 됐는지 알아봐야함.
ex) ' 1=1 , 'or 'and 등 악성 문자가 포함돼었으면 정탐
URL-> 첨부파일 -> X
4. 정말 애매한 경우

1. 이벤트 처리 이력들 뒤져봐 동일 사례 찾아서 정/오 탐 판단 참고
2. Cert 가 있다면 의뢰.

보안관제센터 는 전산실과 분리
어디는 전산실에서 다 장비관리
어디는 보안 관제센터에서 보안장비만 관리
모니터링 하는 장비에 대해서는 항상 모니터링해야함.
NMS, EMS 툴 이용하여 장비 가용성 체크.
장비 문제 발생 시(장비가 버벅거리거나 등) 엔지니어 통해서 조치를 취할 것.

1. 엔지니어가 원격 조치지시(명령어)를 하였을때 장비 부팅만큼은 절대 하면 안됨. => 엔지니어 조치(명령어)를 일회성이아니라 숙지하고 장비문제 대응관련은 동일 증상시 엔지니어 없이 조치 진행.
  => 어쩔수없이 부팅을 우리가 해야하면 담당자 승인을 통해서 할것.

장비 다운으로 관제가 안될때.

1. by pass
  -> 로그가 쌓이냐 안쌓이냐 중요
  -> IPS 다운시 공공기관은 TMS에서 로그 볼수있음.
  실무에서 어떻게 조치하는지 잘 보고 메뉴얼대로 진행할것.

엔지니어들이 한달에 한번씩은 장비점검을 위해 들어옴.
체크하고 결과를 알려줌. 항상 보던얼굴이 바뀔경우 담당엔지니어가 바뀌었는지 물어보고 연락처 업데이트 할 것. 바뀌지않고 임시로 들어와도 그사람이 들어왔다는 기록을 남겨 놓을 것.

장비 문제 1차 -> PM 보고 -> 고객사 담당자 보고
PM 연락 안될경우 -> 고객사 담당자에게 바로 보고

비상연락망 업데이트 잘 할 것.

초동분석
|-------------|----------|
|침해- 초동분석 | 관제 - 초동분석 |
|--------------|---------|
|휘발성 data | 수집된 로그 |
|-----| 3개월 이벤트이력 뒤져보고 동일한 이력 같이 보고할것 |

정책체계 관리

정책관리 - 정책체계관리 - 카테고리분류 - 긴급도 산정 - 공격유형분류 - 탐지정책

카테고리 분류( 자산복구 우선순위에 따라 분류함 )
자산 복구 우선순위는 고객이 만들어줘야함.
자산 복구 우선순위 - 컨설팅을 통해 , 자체적으로 판단해서
=> 재해복구계획에 포함이 되어야함.
자산복구우선순위 업데이트가 잘안됨.
=> 만들기 어려움. 모든 서비스를 파악하여 중요도를 따지기 때문에
시스템담당자 혼자 따질수가 없음.

공격유형 크게 보통 5가지로 나눔
비인가접근 - 브루트포트
서비스거부
웹해킹 -
악성코드
스캐닝 -> 어디든 감. 세부분류시 스캐닝으로 나눔

탐지정책 만들때.
1. 모니터링해서
2. 침해사고 분성 해서
3. 침해예방 점검 ( 모의해킹 및 사전예방활동(장비나 앱의 취약점 등에 의한 긴급한 패치를 해야하는 경우 - 임시적으로 룰을 만듦 ) )

차단정책 (유해정보 (블랙 IP / URL / 메일주소 ) )

모니터링
침해사고 분석
침해예방 점검 ( 국정원, 상급기관, 본사 에서 유해정보를 받음 (중복 제외하여 하나로 필터링하여 담당자에게 보고 후 적용 ) )

정책전파 = 상황전파문

방화벽 블랙 IP/URL 정책 유지기간은?
10년 전쯤에는
국내 IP -> 3일
해외 IP -> 길면 6개월

현재는 3~6개월

처음 발견 이후 지속적인 모니터링이 있는 경우 삭제를 하지않고
처음 발견이후 접근이 3~6개월 동안 없는경우 삭제함

요청에 의해 모의해킹을 하는경우( 년마다 매번 훈련를 함 )
방화벽, WAF에서 화이트리스트로 바꿔줌. 누구에의해서 요청됐는지 기간은 언제까진지 요청받은 관제근무자는 누군지 기록이 모두 되어야함.
기간 종료 후 화이트리스트에서 삭제할것

정책관리의 목적은
최적화, 고도화
정책판단 기준에 의해서 최적화 시킴

침해예방

교육 => 기관 점수에 포함됨. 년 몇시간 이상 받아야함.
역량강화 - 정보보호 담당자들이 받는 교육 ( 개인당 40시간 이수 )
보안인식 - 전 임직원이 받는 교육

모의훈련

네트워크 시스템을 통해서 이루어지는 훈련
해킹메일 ( = APT (성격비슷) )
DDoS
서버해킹
전산망 침투

paper훈련. - 상황에 어떻게 대응할건지 적어냄
침해사고(도상훈련)

모든 훈련은 훈련대상 선정을 함.

해킹메일 모의 훈련
1년에 2회 이상

해킹메일 - 어떤 시스템을 이용할 것인지? -> 본사 system or 고객 system
훈련인원은? -> 전인원 or 추린인원

계획수립
가짜메일 훈련인원에게 보냄.
자극적인 제목의 메일을 보냄 ( 주체 : 고객 )
훈련기간 짧으면 일주일 길면 한달
메일 개수에 따라 시나리오 개수를 만듦
ex) 연말쯤 연봉에 대한 내용을 담은 제목 : 내년 예상 연봉인상률입니다.
, 성과 상여금 인센티브
메일 내용은 훈련한 내용이다 어디어디로 신고하시기 바랍니다.
신고 전화번호 = 정보보호 담당자 번호, 보안관제센터 번호

훈련메일을 위해 메일서버IP를 화이트리스트에 적용하고 방화벽에서 스팸메일처리에서 제외한다.
ex) naver.com => never.com

신고 전화가 온경우 소속, 열람유무, 열람시간, 직급, 이름, 연락처 기록
=> 고객사 입장에서 부서평가. ex) 열람 후 30분 이내 연락 시 정상처리
열람시간은 스펨메일처리system에 나오고 신고한 시간과 비교.

DDoS 모의훈련
1년에 1번 이상 함.

훈련대상 선정 => 대부분 홈페이지 and 중요system(중요정보통신 기반 시설( 각 기관에서 정한 것 ) )
보통 23시 이후 야간에 훈련 시작해서 05시 이전에 끝냄.
=> 사람들이 별로 접속하지 않기 때문에 사이트화면에 점검중입니다 뛰움
혹시 시스템이 다운돼서 정상화시키는 여유시간을 갖기 위해 05시 이전까지 훈련을 마침.

지금까지 알려준 12~13가지의 DDoS 공격을 모두 다함.

훈련 업체가 정해져야함. ( 증폭기를 가진 업체 )

업체와 모의훈련 계획을 같이 수립함 어떤곳은 훈련수행 업체에서 계획을 다 수립해줌.

각 시스템에 대한 엔지니어들이 훈련기간에 대기하고 있어야함. ( 만일의 사태에 대비해서 )

관제인원과 엔지니어들의 역할이 다름
관제인원은 계속 관제
엔지니어들은 훈련하면서 트래픽을 캡쳐( 화면 캡쳐 ) 하여 결과 보고서에 넣음.

1개 시스템에 대해 공격 할 대 TCP Flood에 대해 공격함. 1G 대역폭 => 700~800mbps
처음엔은 100~200 두번째는 300~600 점차적으로 강하게 공격
디도스장비에서 막히는 지 확인.
역할분담 잘하는지를

디도스 공격 크게 두가지
네트워크 대역폭 공격 => 잘 막아줌
서버자원 고갈 => 장비 퍼포먼스가 잘 따라주지 못하면 공격을 비활성화해주기 때문에 훈련 할때는 활성화해놓고 끝나면 원래대로 해놓음

독한 고객들은 관제에 보고하지않고 불시에 하기도 함.

차단이나 탐지가 안돼는 공격들은 패킷을떠서 DDoS장비만든회사에 보내 수정 요청함.

대부분 매년 동일한 시기에 훈련을 함.

[ 강사님의 이번 교육 TIP ]

교육기간에 하나라도 꼭 자기걸로 꼭 만들것

인터뷰에서 질문에 대해 자기걸로 만들어야 답변을 잘 할 수 있음.

인터뷰는 보통 화상으로 진행함.

외워서 또는 보고 말하지 말고 머릿속에 있는 알고있는것을 말해야함.

서버해킹 ( = 전산망 침투 ( 성격 비슷 ) )

화이트리스트에 올리지 않고
우회 침투

훈련 대상은 해당 기관의 IP 전체를 대상으로 함.
특히 공공기관은 전산망 침투훈련을 중요하게 생각함!

서버해킹 모의해킹 방식

전산망과의 차이점은 목적지가 존재.

처음에는 화이트리스트에 올려서 하지만 나중에는 전상망처럼 우회침투

침해사고 ( 도상훈련 )

서트나 진단, PM에서 하는 훈련

사고 상황 부여 ( 국정원이나 상급기관에서 )
ex) 센터에 불이나서 다 탓음. 복구해서 정상화 시키려는 대응은?
ex) 악성코드에 감염이 돼었을때 처음 발견이후 대응조치까지 단계별 조치방안을 제출해.
두개의 시스템을 주면 다 다른방법으로 작성해야함

서버해킹 , 전산망 침투 , 침해사고 훈련 => 국정원, 상급기관에서 소속/산하기관에 대해서 주체하는 훈련으로 점수반영에 예민함.

정보공유 ( 보안뉴스 , 신규 취약점 , 대외기관 정보 , 기관/벤더 요청사항 )

매일 확인할 것
=> 보안뉴스(언론매체), 신규 취약점(국정원,kisa kocert) , 대외기관정보(대외기관 정보수집(다크웹이라든지 해킹관련 사이트 [다크웹 같은경우 정보제공 요청시 신뢰관계를 쌓아야 정보를 공유해줌] ) )
일일 보안관제 보고서에 포함.

신규취약점 정보수집
ex) 리눅스 센트os 5.xx 버전 취약점 대응 방법 패치/ 파일 설정 변경을 받아서 해당 부서(전산실,정보보호팀,유지업체)에 보냄.
=> 시스템에 해당 버전이 얼마나 설치돼어있는지 현황
- 현황 조회 시스템, NAC에 접근해서 현황 파악(고객사에 NAC 접근권한 요청), 취약점 점검 솔루션을 이용한 조회

보안뉴스