보안관제

보안관제

• 관제대상기관의 정보기술 및 다양한 IT자원을 해킹, 바이러스등과 같은 여러 사이버공격으로부터 보호하기 위해 실시간으로 모니터링을 수행하고 각종 보안이벤트 및 시스템 로그 등을 분석하여 발생되는 문제에 대해 기술 및 정책적으로 대응하는 업무

→ 실시간 모니터링과 탐지 및 대응을 통해 비밀성, 무결성, 가용성을 보호하기 위한 일련의 활동

 

---

보안관제 3가지 원칙

1. 무중단의 원칙 : 사이버 공격은 시간과 장소에 상관없이 수시로 발생하므로 24시간 365일 중단없이 수행되어야 한다.
   ※ 모든 곳이 24시간 365일은 아님
   
   
2. 전문성의 원칙 : 보안관제에 필요한 시설과 함께 정보시스템 및 네트워크 이론을 포함한 분석 기술 등 IT와 보안에 관련된 전문 지식과 경험, 노하우와 기술력을 갖춘 보안 관제 인력과 첨단 시설을 갖추어야 한다.
   
   
3. 정보공유의 원칙 : 사이버 공격으로 인한 피해가 타 기관으로 확산되는 것을 방지하기 위해 관계법령에 위배되지 않는 범위에서 보안 관제 관련 정보를 공유하여야 한다.

 

---

1. 예방

• 중요 시스템, 네트워크 및 웹 서비스 등의 취약점을 사전에 파악함
• 침입차단시스템 (IPS), 침입탐지시스템 (IDS), 웹 방화벽 (WAF) 등 보안 시스템에 대한 보안정책 및 시스템자원의 최적화를 통해 효율적인 사이버공격 탐지를 지원할 수 있도록 함
• 사이버위협 정보를 사전에 공지하여 방어토록 하며, 최신 위협 및 해킹 등 보안동향 정보를 확인함
• 실전형 모의훈련을 실시하여 기업의 보안수준 강화와 임직원 인식을 제고시킴

---

2. 탐지

• 실시간 모니터링 및 분석
• 네트워크 트래픽 및 내부 정보를 절취하기 위한 사이버공격 시도 행위를 사전에 알아냄

---

3. 대응

• 탐지 단계에서 발견된 비정상적인 네트워크 트래픽이 침해사고인지 분석
• 분석 과정에서 ‘사고’로 판단되는 항목에 대하여 보안 이벤트가 탐지된 관제대상기관에 통보
• 피해 시스템의 유무 파악 및 정상적으로 운영될 수 있도록 전문 기술을 지원

---

4. 보고

• 관제 일지, 취약점 정보, 침해 사고 대응 분석 보고서 등을 보고 및 관리
• 보안관제 업무 수행 시, 정기보고서(일간/주간/월간) 및 수시보고서를 통해 현재의 상태를 관리
• 보안사고 사고 및 장애 발생 시, 관련 처리 보고서를 작성 및 보고함으로써 발생한 사고의 원인, 대응, 결과를 통해 향후 대책을 마련

---

5. 공유 및 개선

• 사이버 공격으로 인한 피해가 타 기관으로 확산되는 것을 방지하기 위하여 관계 법령에 위배되지 않는 범위에서 보안 관제 관련 정보를 공유
• 해당 보안 사고가 또 발생되지 않도록 기술적, 정책적으로 개선 조치하여 예방
  
  → 다시 예방 단계로 돌아가 싸이클을 반복한다

 

---

원격관제

• 관제서비스업체에서 대상기관의 침입차단시스템 등 보안장비 중심으로 보안 이벤트를 상시 모니터링하고 침해사고 발생 시 출동하거나 원격으로 대응 조치하는 형태
• 일부 단위 보안시스템의 운영 및 관리를 위탁하는 방식
• 통합보안 관제시스템 및 관제인력이 원격에 위치
• 별도의 회선 구축 없이 인터넷망을 통한 관제가 가능
• 단가 저렴함 → 중소기업, 포탈업체, 학원에서 이용
• 침해/장애 발생시 원격으로 되지 않는 부분이 있어서 즉각적인 조치가 어려움

---

파견관제

• 관제 대상기관이 자체적으로 보안관제시스템을 구축하고 보안관제 서비스업체로부터 전문인력을 파견 받아 침해/장애 발생 시 즉각적인 관제업무를 수행하는 형태
• 고객사에 특화된 관제서비스 제공 가능
• 침해/장애 발생 시 즉각적인 조치가 가능
  
• 원격 근무가 아닌 직접 근무기 때문에 실무자들간의 원활한 의사소통 가능
• 파견 인원 관리 필요성과 높은 단가
• 비용적인 부분이 있지만 그보다 장점들이 크기에 공공기관, 금융권, 대기업에서 이용

---

자체관제

• 보안관제시스템 및 전문인력을 자체적으로 구축하고 운영하는 형태
• 내부기밀 유지를 위해 사이버수사대, 국정원, 국과수에서 이용
• 제대로 된다면 정보보안 관련 기술을 보유할 수 있고 보안관제 업무와 관련해 연속성을 보장할 수 있음
• 하지만 전문성이 결여된다면, 수행 품질이 낮아질 수 있고, 최신 보안기술/동향 정보 확보가 어려움
   
  → 자체 보안 솔루션 운영에 대한 부담

---

클라우드 관제

• 서버와 데이터베이스 등 IT 자원을 인터넷 접속을 통해 사용하는 클라우드 환경에 대한 관제
• 로컬에 장비 설치 및 유지보수가 필요 없으며 고객사 환경에 적합한 보안관제 환경을 유동적으로 구축 가능
• 클라우드 쪽 전문기술을 아는 사람 별로 없기 때문에 침해 발생 시 리스크가 큼
• 업무 이해가 굉장히 어렵고, 보안을 갖춰가면서 하기에는 아직 제약적인 부분들이 많음
  

 

---

보안관제 업무 시 활용하는 사이트

 

Whois

• 한국인터넷진흥원이 제공하는 인터넷주소의 등록ㆍ할당 정보 검색 서비스
• 도메인이나 IP 주소의 관련 정보를 조회 (국내)
• 조회되는 IP 주소의 정보는 해당 IP 주소를 대여한 곳(ISP)의 정보로 실제 사용자의 정보를 제공하지는 않음

---

Ipconfig.co.kr

• IP 주소의 관련 정보를 조회 (해외)
• 자신의 외부 ip 주소도 확인 가능

---

Virustotal

• 웹 브라우저를 통해 특정 파일을 업로드하거나 URL을 입력하면 서버에 있는 샌드박스 환경에서 다수의 엔진으로 이를 검사하는 방식
• 맥아피, 안랩,  팔로알토 네트웍스 등 다수의 보안기업 엔진을 통해 특정 파일 하나만 집중적으로 검사할 수 있기 때문에 의심스러운 파일을 실행하기 전에 이를 검사해 안전을 확보할 수 있음