close
프로필 배경
프로필 로고

susujin의 기술 블로그

시스템 보안 및 실무/시스템 운영·구축 실무 · 2024. 1. 16. fullscreen 넓게보기

보안관제 이해 및 실무

보안관제 이해 및 실무

작가 pch.vector 출처 Freepik

보안관제란?

조직의 정보기술 자원 및 보안 시스템을 안전하게 운영하기 위하여 사이버 공격 정보를 탐지 및 분석하여 대응하는 일련의 업무와 사전 예방 및 관제시스템 운영에 관한 업무

=> 모니터링과 컨트롤 

=> 탐지·분석·대응까지 포함하는 일련의 활동

 

국내 분야별 보안관제센터 역할

국가사이버안전센터 국가차원에서 사업공격에 대한 종합적이고 체계적인 대응 수행
인터넷침해대응센터 국내 민간 전산망 정보보호
- 침해사고 예방을 위한 기술 지원
- 실질적인 침해사고 대응 및 분석, 피해복구 기술 지원
각 부문별 사이버안전센터 사이버 위협으로부터 보안전문인력에 의해 예방, 탐지, 대응 활동을 통하여 정부 및 기관의 주요정보 자산을 보호

 

보안관제 기본원칙

  • 무중단의 원칙 : 사이버 공격을 신속하게 탐지·차단하기 위해 24시간 365일 관제
  • 전문성의 원칙 : 보안관제에 필요한 시스템과 정보시스템 및 네트워크 이론을 포함한 프로그램 분석, 포렌식, 해킹 등 다양한 방면에 전문지식과 경험을 가진 전문 인력이 중요
  • 정보공유의 원칙 : 국가차원에서 사이버 공격을 철저하게 탐지·차단·대응하기 위해 관계 법령에 위배되지 않는 범위 내에서 보안관제 관련 정보를 신속하게 공유

 

보안관제 유형

원격 관제 - 일부 단위 보안시스템의 운영 및 관리를 위탁하는 방식
- 통합보안 관제 시스템 및 관제 인력이 원격에 위치
- 파견관제에 비해 저렴한 단가
- 한정된 서비스 제공, 침해/장애 발생시 즉각적 조치 어려움
파견 관제 - 자체 구축한 보안 관제 시스템의 운영 및 관리를 위탁하는 방식
- 전문인력이 대상기관에 파견되어 관제업무 수행
- 고객사에 특화된 서비스 제공
- 침해/장애 발생시 즉각적 조치 가능
- 높은 단가, 인력관리 필요
자체 관제 - 자체 보안 관제 시스템의 운영 및 관리를 자체적으로 수행
- 내부기밀유지 및 신속한 사고처리에 우수
- 전문성 결여로 수행 품질이 낮아질수있음
- 최신 보안기술/동향 정보 확보 어려움
하이브리드 관제 - 원격+파견 or 원격+자체 형태
- 파견 인력을 통한 의사소통 및 사이트에 특화된 정책 수립
- 침해/장애시 파견 인력을 통한 선 조치 이후 원격관제팀과의 공조 가능
- 파견 인력의 등급에 따른 서비스 퀄리티 편차 발생
클라우드 관제 - 보안 관리 영역에 대한 직접 관리 부담을 줄이고, 관제 전문 인력이 제공하는 보안 관제 서비스를 제공받을 수 있음
- 로컬에 장비 설치 및 유지보수가 필요 없음
- 유동적으로 보안관제 환경 구축 가능
- 관제 대상 및 업무 이해 어려움
- 고객의 비즈니스를 이해해야하는 어려움

 

보안관제 인력의 역할

주간 보안관제 주요업무 - 실시간 모니터링, 탐지 이벤트 분석
- 일일뉴스, 보안이벤트 보고서 작성
- 일일, 주간, 월간, 연간보고서 작성
야간, 주말, 휴일 보안관제 주요업무 - 실시간 모니터링, 탐지 이벤트 분석
- 야간, 주말, 휴일 근무일지 작성
- 해킹 시도시 CERT 발동
보안관제담당자 업무 - 보안관제 조직관리
- 의사결정 산출물에 관한 검토
- 보안관제 범위, 품질, 일정, 위험요소 등 전반관리
전문 업체 관제 인력의 역할 - 24시간 365일 보안관제 서비스 제공
- 최신 정보보호 관련 정보 수집·전파
- 보안관제 대상 보안이벤트 모니터링,추이 파악
- 보안관제 이벤트의 정합성에 대해 주기적으로 검토 및 개선

 

보안관제 업무

보안관제 업무는 침해탐지와 직접적인 관련이 있는 침해사고 탐지 및 대응업무를 중심으로 침해위협 정보 수집 및 관제시스템 운영업무와 더불어 프로젝트 또는 사업관리까지 포함합니다.

 

정보수집 → 모니터링·분석 → 대응·조치 → 보고

  • 정보수집 : 이기종의 보안장비에서 나오는 다양한 보안 데이터 수집
  • 모니터링·분석 : 수집된 다양한 로그를 기반으로 분석, 생성된 보안로그와 내·외부에서 수집된 최신 보안 위협 정보를 상관 분석
  • 대응·조치 : 분석된 이벤트에 대한 원인 및 대응책을 마련하여 기술적·정책적 대응
  • 보고 : 침해사고 처리 및 장애 처리결과를 보고 및 공유

 

보안관제 구성요소

정보를 수집하기 위한 보안관제 시스템과 보안관제 조직으로 구성

네트워크 영역 - IDS(침입탐지시스템)
- IPS/방화벽(침입차단시스템)
- DDOS 대응 솔루션
서버 영역 - WAF(웹방화벽)
- SecureOS
- Anti-Virus(백신)
통합 및 분석 - ESM(Enterprise Security Management)
- RMS(Risk Management System)
- SIEM(Security Information & Event Management)
관제 24시간 365일 이벤트 모니터링·보고·대응 조치 수행
침해대응(CERT) 모니터링으로 확인된 이상 트래픽이나 이벤트에 대해 침해여부 대한 상세분석과 대응조치 수행
정보공유분석센터 유사업무 분야별 사이버 공격과 침해사고에 대해 효과적으로 공동 대응하기 위한 조직

 

보안관제 업무 절차

보안관제 업무 프로세스는 비정상 이벤트 및 트래픽, 홈페이지, 시스템 가용성을 모니터링하고 정오탐 판별 후 보고 및 이력관리를 통해 지속적으로 탐지정책을 고도화시켜 효율적인 실시간 대응을 수행합니다.

(이미지 삽입)

1) 비정상 트래픽을 탐지·분석하여 내부정보유출 차단 및 침입시도 여부 판단

신종 해킹패턴에 대한 분석 => 실시간 대응 활동

2) 보안관제 서비스로 시스템 자산에 가용성 점검으로 연속성 및 안정성 확보

관제시스템 가용성 모니터링 => 위협 이벤트 누락방지 => 시스템 장애 대응 => 안정적인 운영 모니터링

시스템 보안 및 실무/시스템 운영·구축 실무 관련 글
더 보기

티스토리툴바