보안관제

목차

• 정의
• 보안관제 구성요소
• 프로세스
• 업무 유형 및 특징
• 보안 업무시 활용하는 웹사이트

 

정의

• 고객의 정보 기술 자원 및 보안 시스템에 대한 운영 및 관리를 전문적으로 맡아서각종 침입에 대해 중앙 관제 센터에서 실시간으로 감시 및 분석, 대응하는 서비스
• 고객 정보의 보안을 위해 각종 악의적 공격을 자체적으로 혹은 전문 대행 업체를 통해 실시간 감시, 분석, 그리고 대응을 하는 서비스

 

보안관제 구성요소

 

1. 네트워크나 시스템에 설치된 에이전트

• 각종 로그를 쉽게 모니터링하고 분석할 수 있도록 각종 보안장비 및 서버 장비, 호스트들에 에이전트를 설치 

• 에이전트를 통해 해당 장비에 맞게 설정된 로그 정보를 실시간으로 중앙관제센터에 전송

 

 

2. 정보수집 서버

• 정보수집 서버는 각 에이전트에서 보내진 각종 정보를 수집하고 분석 처리하여 DB에 저장
• 여기서 에이전트에 대한 Health Check를 통한 모니터링과 분석에 필요한 리포팅 소스 제공

 

 

3. 통합관제용 시스템

• 주 역할: 각종 이벤트 로그 분석
• 관제요원들이 신속하게 정보를 파악할 수 있도록 분석한 로그 정보 주기적으로 갱신

 

보안관제 업무 프로세스

출처: wins21

예방

• 중요 시스템, 네트워크, 웹서비스등의 취약점을 사전에 파악하여 침해사고 예방
• 사이버위협의 발생정보나 최신 위협 및 해킹 등 보안동향 정보를 제공하여 경계하도록 함.
• 모의 훈련, 비상 대응 훈련을 통해 사전 훈련

 

탐지

• 보안시스템의 보안이벤트에 대한 24시간 365일 보안전문인력에 의한 실시간 감시 한다는 의미
• IPS, IDS, FW, WAF등 보안시스템에 대한 보안정책 및 시스템 자원의 최적화를 통해 효율적인 사이버공격 탐지를 지원

 

분석

• 보안시스템 로그, 네트워크 패킷 및 다양한 보안이벤트 등을 종합적으로 상관분석하여 재발 방지 및 확산을 방지하기 위한 방안을 강구

 

대응

• 보안관제 업무시 발견된 비정상 네트워크 및 시스템 접근에 대한 초기 대응 그리고 사이버 공격에 대한 신속 조치 대응하는 것을 의미

 

보고

• 관제일지, 취약점 정보, 침해사고대응 분석보고서 등을 보고 및 관리
  • 당일날 있었던 공격에 대한 대응을 어떻게 했는지
  • 종결 짓지 못했던 공격에 대한 것도 포함
  • 시스템 혹은 네트워크 장비에 대한 취약점 정보를 파악 후 분석한 내용도 보고

 

3원칙: 정보공유, 연속성, 전문성

 

업무 유형 및 특징

 

1. 원격관제(일반기업, 포탈업체, 중소기업) :

- 일부 단위 보안시스템의 운영 및 관리를 위탁하는 방식

- 통합보안 관제시스템 및 관제인력이 원격에 위치함

- 제한적인 범위의 보안 시스템 위탁

 

· 장점 > 파견관제에 비해 저렴한 단가

• 별도의 회선 구축 없이 인터넷망을 통한 관제
• 인력 관리에 대한 부담이 없음
• 할 수 있는 범위 제한

 

2. 파견관제(공공분야 및 금융권, 대기업) : 

- 자체 구축한 보안관제시스템 운영 및 관리를 위탁하는 방식

- 전문인력이 대상기관에 파견되어 관제업무 수행

- 조직전반 및 산하기관 보안관제 체제 구축 수행

 

· 장점 > 고객사에 특화된 관제서비스 제공 가능

• 고객사 정보보호담당자의 관제 인력간의 원활한 의사소통 가능
• 침해,장애 발생 시 즉각적인 조치가 가능, 적극적 대응 가능
• 업무 연속성 및 효율성 증대
• 원격관제보단 인력 비용이 더 발생

 

3. 자체관제(국정원, 경찰청 등 / 대규모 통신사) : 

- 자체 보안관제시스템의 운영 및 관리를 자체적으로 수행

- 기관 자체 정규직, 계약직 보안인력을 통한 관제업무 수행

 

 · 장점 > 내부 기밀 유지 및 신속 처리 가능

• 자체적으로 관리하므로 타 업체에게 유출될 가능성이 현저히 낮아져 기밀 유지가 타서비스에 비해 상당히 높음
• 이 또한 자체적으로 관리하기에 직접 현장 조사 및 대처가 쉬어서 타 서비스들에 비해 신속한 처리가 가능함
• 인력 관리에 있어 타 서비스보다 많이 지출되기는 함.

 

보안 업무시 활용하는 웹사이트

 

주로 IP를 통해 조사

 

Whois 

• ip, as 번호, Domain name에 대한 정보를 조회하기위한 프로토콜
• 한국 IP는 Kisa에서 담당하므로 kisa whois를 이용하면 됨.
• 주로  국내만 한정

 

ipconfig

• IP를 통해 해당 IP를 가진 단말 정보를 확인하는데 쓰이는 프로토콜
• 주로 국내에서 조회되지 않는, 해외 IP 정보를 파악하는데 쓰임

 

Virustotal

• 여러개의 백신 엔진을 이용하여 악성코드를 검사 및 탐지하여 그 결과를 투명하게 보여주는 사이트
• 검사시 결과를 공개하기 때문에 올릴 시 기업기밀정보나 개인정보가 담긴 파일이 포함돼있는지 확인해야함.