1. 보안관제
보안관제란 IT 자원을 보호하기 위해 보안 장비를 24시간 365일 실시간으로 모니터링하는 업무이다.
보안관제는 IP와 Port 등의 네트워크 정보와 보안장비의 로그를 분석하여 SIEM 장비의 경보가 정탐인지 오탐인지 판단하는 작업을 수행한다.
1.1 보안관제 수행 원칙 3가지
효과적인 보안관제를 위해서는 보안관제 수행 원칙 3가지(무중단, 전문성, 정보 공유의 원칙)를 준수해야 한다.
1. 무중단의 원칙
사이버 공격을 신속하게 탐지 및 차단하기 위해서는 24시간 365일 중단 없이 보안관제 업무를 수행해야 한다.
2. 전문성의 원칙
보안관제 업무를 효율적으로 수행하기 위해 네트워크 이론을 포함한 전문지식을 보유해야 한다.
3. 정보 공유의 원칙
사이버 공격은 유사한 공격이 여러 곳에서 동시 다발적으로 발생하므로, 법령에 위배가 되지 않는 범위에서 정보가 신속하게 공유돼야 한다.
2. 보안 관제 업무 절차
보안관제 업무 절차는 예방, 탐지, 대응, 보고, 공유 및 개선의 단계로 이루어집니다. 공유 및 개선으로 끝나는 것이 아니라 이를 기반으로 예방을 하는 사이클 구조로 되어있습니다.)
1) 예방
보안관제 업무에서 예방 단계는 중요 시스템, 네트워크 및 웹 서비스 등의 취약점을 사전에 파악하여 침해 사고를 예방하는 단계입니다. 취약점 점검, 모의훈련을 통해 사고 발생에 대비하고, 사이버 최신 위협 정보를 공유하여 위협에 대비합니다. 또한, IDS, IPS, WAF 등의 보안시스템을 최적화하여 사이버 공격을 탐지할 수 있도록 준비합니다.
2) 탐지
탐지 단계에서는 IT 자원을 보호하기 위해 보안 시스템을 24시간 365일 실시간으로 모니터링합니다. IP, Port를 기반으로 해당 트래픽이 악성 트래픽인지, 국내 IP인지 해외 IP인지 등을 확인하여 잠재적 위협을 식별합니다.
3) 대응
대응 단계에서는 악성 트래픽으로 판단되었을 때, 추가적인 피해가 발생하지 않도록 신속하게 조치를 취합니다. 선조치 후에는 CERT(침해사고 대응) 팀에게 보안 위협을 알려 협력하여 대응합니다.
4) 보고
보고 단계에서는 관제일지, 취약점 정보, 침해 사고 대응 분석 보고서 등의 보고를 진행합니다. 보안관제 업무 수행 시, 정기보고서(일간/주간/월간) 및 수시보고서를 통해 현재의 상태를 관리하고, 보안사고 및 장애 발생 시 관련 처리 보고서를 작성 및 보고함으로써 발생한 사고의 원인, 대응, 결과를 통해 향후 대책을 마련합니다.
5) 공유 및 개선
공유 및 개선 단계에서는 정보 공유의 원칙에 따라 법령에 위배되지 않는 범위 내에서 정보를 공유합니다. 이를 통해 유사한 사이버 공격에 대한 대비와 대응 능력을 향상합니다. 또한, 보안관제 업무 전반에 걸쳐 지속적인 개선을 추진하여 보다 효과적이고 효율적인 보안관제 체계를 구축합니다.
3. 보안관제의 유형
보안관제 유형은 크게 인프라 환경에 따라 온프레미스 방식과 클라우드 방식으로 분류할 수 있습니다.
3.1 온프레미스 환경
물리적인 장비와 인프라를 기업 내부에 구축하여 보안 관제 업무를 수행하는 방식
1) 원격관제
원격관제는 보안관제 전문 업체에 관제업무를 위탁하여 원격으로 관제업무를 수행하는 방식입니다.
전체 관제 비중의 15%~20%를 차지하며, 주로 보안시스템 구축 및 보안 전문인력이 부족한 중소기업에서 활용합니다. 원격으로 진행되기 때문에 다른 관제 방식에 비해 비용이 저렴하다는 장점이 있습니다. 하지만 제한적인 범위의 보안관제 업무를 진행하며, 문제 발생 시 빠른 대처가 어렵다는 단점이 있습니다.
2) 파견관제
파견관제는 보안 관제 전문 업체에서 보안 전문인력을 파견받아 운영하는 방식입니다.
관제 비중의 60%~70%를 차지하며, 대기업, 공공기관, 금융권에서 주로 활용합니다. 파견관제의 장점은 침해사고나 시스템 장애 발생 시 즉각적인 조치가 가능하며, 고객사에 특화된 관제 서비스를 제공할 수 있다는 점입니다. 하지만 원격관제에 비해 비용이 높다는 단점이 있습니다.
3) 자체관제
자체관제는 기업 내부에서 자체적으로 보안관제 인력과 관제 시스템을 구축하여 운영하는 방식입니다.
과거에는 개발자가 보안관제 업무까지 맡게 되어 보안관제 인력의 전문성이 떨어지는 경우가 있었으나, 현재는 보안관제 경력직을 채용하여 관제업무를 수행하는 추세입니다. 국가기관, 통신사, 대기업 등 보안을 중요시하고 폐쇄적인 네트워크 망을 구성하는 곳에서 주로 사용합니다. 자체관제의 장점은 다른 관제 방식에 비해 보안성이 높다는 점이지만, 보안관제 인력의 전문성이 떨어질 수 있다는 단점이 있습니다.
원격관제와 파견관제의 차이점
원격관제는 보안관제 인력이 보안 관제 전문 업체에서 원격으로 업무를 수행하지만, 파견관제는 보안관제 업무를 고객사 현장에서 직접 수행한다는 차이점이 있습니다.
(고객사 관점에서) 원격관제는 자체적인 관제 시스템을 구축하지 않고, 상대적으로 저렴하게 관제 업무를 수행할 수 있다는 장점이 있습니다. 하지만 문제 발생 시 즉각적인 물리적 대처가 상대적으로 어려울 수 있다는 단점이 있습니다.
파견관제는 전문 인력 확보에 드는 시간과 노력을 절감할 수 있고, 고객사에 특화된 관제 업무를 수행할 수 있다는 장점이 있습니다. 반면, 원격관제에 비해 상대적으로 비용이 높다는 단점이 있습니다."
3.2 클라우드 환경
인터넷을 통해 클라우드 인프라를 활용하여 보안 관제 업무를 수행하는 방식.
1) 클라우드 관제
클라우드 관제는 물리적인 장비를 구축하여 관제업무를 수행하는 온프레미스 환경과 달리, 인터넷을 통해 관제업무를 수행하는 방식입니다.
클라우드 관제의 장점은 물리적인 장비를 관리할 필요가 없다는 점이지만, 물리적인 장비가 클라우드 회사에 있기 때문에 온프레미스보다 보안이 취약할 수 있다는 단점이 있습니다.
4. 업무에 사용되는 웹페이지 및 도구
보안관제 업무 시 주로 활용하는 웹페이지 및 도구로는 Whois(KISA), ipconfig.kr, VirusTotal 등이 있으며,
네트워크 침입차단 시스템인 Snort와 Suricata도 중요하게 사용합니다.
참고자료
- https://velog.io/@secloud/8.-%EB%B3%B4%EC%95%88%EA%B4%80%EC%A0%9C
- https://zerotrust.tistory.com/15
- https://pdev37.tistory.com/16 https://zerotrust.tistory.com/15
