보안관제란?

보안관제

-다양한 IT자원을 해킹, 바이러스 등과 같은 사이버 공격으로부터 보호하기 위해 24시간 365일 실시간으로 모니터링을 수행.

-각종 보안 이벤트 및 시스템 로그 등을 분석하여 발생되는 문제에 대해 기술 및 정책적으로 대응하는 업무

 

 

보안관제 3원칙

 

1. 무중단의 원칙

- 사이버 공격은 시간과 장소에 상관없이 수시로 발생하기 때문에 24시간 365일 중단 없이 수행해야 함.

 

2. 전문성의 원칙

- IT와 보안에 관련된 전문 지식과 경험, 기술력을 갖춘 보안 관제 인력과 첨단 시설을 갖추어야 함

 

3. 정보 공유의 원칙

- 특정 공격행위를 막아도 타 기관에서 같은 공격으로 인한 피해가 발생할 수 있으므로 침해사고를 탐지 및 차단하기위해 정보가 공유되어야 한다.

-> 관계 법령에 위배되지 않는 범위에서 보안 관제 관련 정보를 공유

 

보안 관제 업무 절차

회사마다 조금씩 다르지만

주로 예방-탐지-대응-보고-개선 순환형 구조로 이루어져 있다

 

1단계 예방

- 사용자 PC, 보안 장비, 네트워크 장비, 웹 서비스 등의 취약점을 사전에 파악하여 침해 사고를 예방한다.

-  사전에 방지하기 위해 사이버 위협 정보와 보안동향 정보를 제공 및 공유

-  IPS, IDS, 웹 방화벽 등 보안 시스템에 대한 보안 정책 및 시스템 자원 최적화

 

2단계 탐지

-  보안 시스템에 대한 24시간 실시간 모니터링을 통한 탐지 및 분석

-  네트워크 트래픽 정보 및 내부 정보 탈취 등 사이버 공격 행위를 사전에 방지하기위해

정탐, 오탐, 미탐을 확인하는 단계

 

3 단계 대응

- 탐지 단계에서 공격으로 추정되는 비정상 네트워크 트래픽 및 시스템 접근에 대한 초기 대응을 하고 사이버 공격에 신속한 조치 및 대응을 한다.

 

4 단계 보고

- 앞서 일어난 내용들을 육하원칙에 의거하여 관제일지, 취약점 정보, 침해 사고 대응 분석 보고서등 작성

 

5 단계 공유 및 개선

- 침해사고에 대한 보고서 및 정보를 공유한다.

- 사고 재발 방지를 위해 시스템 개선 등 다시 1단계 예방단계로 넘어간다

출처 : SK 쉴더스

 

 

보안관제 업무 유형

 

원격관제

개념

- 외부 관제서비스 업체가 보안관제에 필요한 시스템을 구비하고, 대상 기관의 보안장비 중심으로 보안 이벤트를 상시 모니터링하며, 침해사고 발생 시 긴급 대응하는 서비스 형태

 

특징

- 특정 부분의 보안시스템 운영을 위탁

- 통합보안 관제시스템과 인력이 원격에 위치

- 제한적인 범위의 보안시스템 위탁

 

대상

- 일반 기업, 포탈 업체 등

 

장점

- 인력 관리 부담이 적어 비용 효율적임

- 인터넷망을 통한 관제로 별도 회선 필요 없음

 

단점

- 한정된 서비스 범위

- 사이트 특화(파견관제)된 관제 서비스 어려움

- 침해/장애 발생 시 즉각 대응 어려움 (통보는 가능하나 조치 위해 인력 필요)

 

파견관제 

개념

- 보안관제 대상기관이 자체 보안관제시스템을 구축하고 전문 보안관제 업체로부터 전문인력을 파견받아 침해/장애 발생 시 즉각적인 관제 업무를 수행하는 형태

 

특징

- 대상기관이 자체 구축한 보안관제시스템 운영 위탁
- 전문인력이 대상기관에 파견되어 관제 업무 수행
- 조직 및 하위 기관의 보안관제 구축 수행

 

대상

- 공공분야,금융권

 

장점
- 대상에 맞춘 특화된 관제서비스 제공 가능
- 대상기관과 관제 인력 간 원활한 의사소통 가능
- 침해/장애 발생 시 신속한 조치 가능
- 업무 효율성 및 연속성 증대
- 대상의 상황에 대한 명확한 이해로 사이트 확장 및 시스템 변경 지원 가능

 

단점

- 인력 관리 필요 (휴무 및 교체 등)

- 높은 비용 요구

 

자체관제

 

개념

- 보안관제시스템과 전문인력을 조직 내부에서 직접 구축하고 운영하는 형태

 

특징

- 조직 내부에서 자체 보안관제시스템 운영 및 관리를 수행
- 기관 내부 정규직 또는 계약직 보안인력을 통해 관제 업무 수행

 

대상

- 국정원, 경찰청 등 대규모 통신사와 같은 조직

 

장점

- 내부 기밀 유지 및 신속한 사고 처리에 능숙
- 정보보안 기술을 직접 보유 가능
- 관제 업무의 연속성을 보장할 수 있음

 

단점

- 전문성 부족으로 수행 품질이 저하될 수 있음
- 초기 투자 예측이 어려움
- 최신 보안 기술 및 동향 정보 확보가 어려움
- 보안 솔루션 운영에 부담
- 보안 전문가 양성 어려움

 

클라우드 관제

개념

- 클라우드 환경에서의 IT 자원 (서버, 데이터베이스 등)을 인터넷을 통해 사용하며, 해당 환경 내에서 발생하는 보안 위협을 모니터링하고 대응하는 것을 의미한다. 기업은 클라우드 내에서도 온프라미스 환경과 유사한 보안관제 서비스를 받을 수 있다.

 

특징

- 보안 관리에 대한 직접적인 부담을 줄이며, 전문 보안관제 서비스 제공
- 모니터링 요원, CERT 등의 전문인력이 보안관제 서비스 제공

 

대상

- 클라우드 서비스를 제공하는 업체 대상 (AWS 등)

 

장점

- 로컬에서의 장비 설치 및 유지보수 불필요
- 고객사 환경에 적합하게 유연한 보안관제 환경 구축 가능
- 최신 IT 기술을 활용하여 최적화된 보안장비 구성 가능
- 클라우드 글로벌 데이터 센터에서 보안 관제 서비스 제공 가능

 

단점

- 클라우드 환경에 대한 이해와 업무 이해가 어려울 수 있음
- 관제 대상의 리스크가 크다
- 고객의 비즈니스를 이해해야 하는 어려움이 있을 수 있음

 

업무 시 활용하는 웹페이지

WHOIS (https://whois.kisa.or.kr)

정의

- kisa(한국 인터넷 진흥원)이 제공하는 서비스로, 국가의 인터넷 주소(도메인, IP 주소/AS 번호)를 관리하는 기관으로부터 제공되는 등록 및 할당 정보 검색 서비스

 

목적

- 인터넷에서의 고유성을 보장하기 위해 인터넷 주소의 등록 및 할당 정보를 제공

- 거의 국내에서만 한정된다.
- 해당 인터넷 주소의 네트워크 및 관리자 정보를 국제적으로 공유함으로써 인터넷 관련 문제를 해결
- 네트워크 문제에 신속하게 대응하며, 피싱, 스팸, 해킹 등과 관련된 문제가 발생할 경우 대응

 

 

IPCONFIG

정의

- 자신이 사용중인 IP를 조회할 수 있는 사이트

 

특징

- 자신의 공인 IP 뿐만 아니라 특정 IP를 어디에서 쓰고 있는 지 확인 가능

 => whois로 조회 되지않는 IP도 조회가 가능 (해외 IP 등)

 

   ※대부분 본인의 IP주소를 검증하기 위해 사용

 

 Virus Total (https://www.virustotal.com/)

 정의

- 파일이나 URL 내의 바이러스를 검사해주는 역할을 하는 웹 서비스

 

특징

- 개인 파일이나 웹사이트에 있는 첨부 파일에 바이러스 여부를 확인할 수 있으며, 접속하려는 홈페이지 내에 바이러스가 있는지 사전에 검사하여 바이러스 감염을 미리 차단할 수 있다.

 

Hybrid-Analysis (https://www.hybrid-analysis.com/)

 

정의

- 파일을 등록하여 해당 파일이 어떤 종류의 악성 코드인지 확인할 수 있는 서비스입니다.

 

특징

- Hybrid-Analysis는 파일이나 링크의 보안 상태를 평가하고 악성 활동을 감지하며, 보안 전문가들이 악성 코드를 분석하고 조사하는 데 도움이 되는 도구.

- 이 서비스는 악성 코드 분석과 관련된 정보를 제공하며, 보안 커뮤니티에 유용한 정보를 제공하는 역할을 한다

- 악성 코드 분석 기업은 고유한 하이브리드 분석 기술을 사용하여 악의적인 특징을 식별하기 위한 심층적인 메모리 분석을 수행한다.
- 바이러스 토탈과의 차이점은 다양한 방식으로 악성 코드 샘플을 수집할 수 있다는 점이다.