1. 보안관제
보안관제는 IT 자산을 보호하기 위해 보안 장비를 24시간 365일 실시간으로 모니터링하는 업무입니다.
주요 업무는 SIEM(Security Information and Event Management)장비에서 발생하는 보안 경보가 실제 위협(정탐)인지, 단순한 오탐인지 분석·판단하고, 네트워크 패킷(IP, Port) 및 로그 데이터를 분석하는 작업을 수행합니다.
이러한 업무를 수행하면서 다양한 최신 침해사고 사례를 실시간으로 접할 수 있다는 장점이 있으며,
주간, 야간, 비번, 비번의 순서로 근무하는 주·야·비·비 형태의 교대 근무 체계로 운영되므로 체력 관리와 건강 유지가 중요합니다.
보안관제 수행 원칙 3가지
효과적인 보안관제를 위해서는 보안관제 수행 원칙 3가지(무중단, 전문성, 정보 공유의 원칙)를 준수해야 합니다.
1. 무중단의 원칙: 사이버 공격을 신속하게 탐지 및 차단하기 위해서는 24시간 365일 중단 없이 보안관제 업무를 수행해야 한다.
2. 전문성의 원칙: 보안관제 업무를 효율적으로 수행하기 위해 네트워크 이론을 포함한 보안 관련지식을 보유해야 한다.
3. 정보 공유의 원칙: 사이버 공격은 유사한 공격이 여러 곳에서 동시 다발적으로 발생하므로, 법령에 위배가 되지 않는 범위에서 정보가 신속하게 공유돼야 한다.
2. 보안 관제 업무 프로세스
보안관제 업무 절차는 예방, 탐지, 대응, 보고, 공유 및 개선의 단계로 이루어집니다.
(공유 및 개선으로 끝나는 것이 아니라 이를 기반으로 예방을 하는 사이클 구조로 되어있습니다.)
1. 예방
보안관제 업무에서 예방 단계는 중요 시스템, 네트워크 및 웹 서비스 등의 취약점을 사전에 파악하여 침해 사고를 예방하는 단계입니다.
취약점 점검, 모의훈련을 통해 사고 발생에 대비하고, 사이버 최신 위협 정보를 공유하여 위협에 대비합니다. 또한, IDS, IPS, WAF 등의 보안시스템을 최적화하여 사이버 공격을 탐지할 수 있도록 준비합니다.
2. 탐지
탐지 단계에서는 IT 자원을 보호하기 위해 보안 시스템을 24시간 365일 실시간으로 모니터링합니다.
IP, Port를 기반으로 해당 트래픽이 악성 트래픽인지, 국내 IP인지 해외 IP인지 등을 확인하여 잠재적 위협을 식별합니다.
3. 대응
대응 단계에서는 악성 트래픽으로 판단되었을 때, 추가적인 피해가 발생하지 않도록 신속하게 조치를 취합니다. 선조치 후에는 CERT(침해사고 대응) 팀에게 보안 위협을 알려 협력하여 대응합니다.
4. 보고
보고 단계에서는 관제일지, 취약점 정보, 침해 사고 대응 분석 보고서 등의 보고를 진행합니다.
보안관제 업무 수행 시, 정기보고서(일간/주간/월간) 및 수시보고서를 통해 현재의 상태를 관리하고, 보안사고 및 장애 발생 시 관련 처리 보고서를 작성 및 보고함으로써 발생한 사고의 원인, 대응, 결과를 통해 향후 대책을 마련합니다.
5. 공유 및 개선
공유 및 개선 단계에서는 정보 공유의 원칙에 따라 법령에 위배되지 않는 범위 내에서 정보를 공유합니다.
이를 통해 유사한 사이버 공격에 대한 대비와 대응 능력을 향상합니다. 또한, 보안관제 업무 전반에 걸쳐 지속적인 개선을 추진하여 보다 효과적이고 효율적인 보안관제 체계를 구축합니다.
3. 보안관제의 유형
보안관제 유형은 크게 3가지로 분류할 수 있으며, 클라우드 인프라 환경으로 변화함에 따라서 클라우드 관제라는 용어도 등장하였습니다.
1. 원격관제
원격관제는 보안관제 전문 업체에 관제업무를 위탁하여 원격으로 관제업무를 수행하는 방식입니다.
전체 관제 비중의 15%~20%를 차지하며, 다른 관제 방식에 비해 저렴하여 주로 보안시스템 구축 및 보안 전문인력이 부족한 중소기업에서 활용합니다. 하지만 제한적인 범위의 보안관제 업무를 진행하며, 문제 발생 시 빠른 대처가 어렵다는 단점이 있습니다.
2. 파견관제
파견관제는 보안 관제 전문 업체에서 보안 전문인력을 파견받아 운영하는 방식입니다.
관제 비중의 60%~70%를 차지하며, 대기업, 공공기관, 금융권에서 주로 활용합니다. 파견관제의 특징은 고객사에 관제인력이 상주하여 근무하기 때문에 침해사고나 시스템 장애 발생 시 즉각적인 조치가 가능하며, 고객사에 특화된 관제 서비스를 제공할 수 있다는 점입니다.
3. 자체관제
자체관제는 기업 내부에서 자체적으로 보안관제 인력과 관제 시스템을 구축하여 운영하는 방식입니다.
과거에는 개발자가 보안관제 업무까지 맡게 되어 전문성이 떨어지는 경우가 있었으나, 현재는 보안관제 경력직을 채용하여 관제업무를 수행하는 추세입니다. 국가기관, 통신사, 대기업 등 보안을 중요시하고 폐쇄적인 네트워크 망을 구성하는 곳에서 주로 사용합니다. 자체관제의 특징은 다른 관제 방식에 비해 보안성이 높다는 점이지만, 보안관제 인력의 전문성이 떨어질 수 있다는 단점이 있습니다.
(참고) 원격관제와 파견관제의 차이점
원격관제는 보안관제 인력이 보안 관제 전문 업체에서 원격으로 업무를 수행하지만, 파견관제는 보안관제 업무를 고객사 현장에서 직접 수행한다는 차이점이 있습니다.
4. 업무에 사용되는 웹페이지 및 도구
보안관제 업무 시 주로 활용하는 웹페이지 및 도구로는 Whois(KISA), ipconfig.kr, VirusTotal 등이 있으며,
네트워크 침입차단 시스템인 Snort와 Suricata도 중요하게 사용합니다.
참고자료