1. 보안관제 시작하기

보안 관제란?

관제 라는 단어의 사전적 의미는“필요에 따라서 강제적으로 관리하여 통제한다”라는 뜻입니다.

여기에 보안이라는 단어를 더하게 되면 “보안을 강제적으로 관리하여 통제한다” 라는 의미가 됩니다.

 

 

보안 관제의 유형별 사용처

보안 관제 체계가 잘 운영되고있는 공공, 국방 분야를 제외한 민간 기업들에서는 유형별로 아래의 표와 같이 사용처를 나눌수    있습니다.

유형	사용처
자체 보안	국가 기관, 통신사, 대기업 등 보안을 중요시 하는곳
원격 보안	자체 관제가 힘들거나 보안 인력이 없는 기업
파견 보안	자체 관제시스템을 구축은 하였지만 전담 조직, 인력이 없는곳

 

 

보안 관제는 왜 필요한가?

뉴스만 보아도 알 수 있듯이 정보 보안 사고는 끊임없이 나오고있습니다. 이에 기업들은 정보보안 강화를 위해

예산을 늘리는 등 강화를 하지만 보안 제품만 도입하고 사후 운영이 제대로 되지 않는 경우도 많다고 합니다.

또한 기본적인 보안 시스템조차 없는 중소기업들은 공격을 받으면 어떤 경로로, 또는 공격 받은 상황을 모를수도 있습니다.

이러한 사고를 예방, 탐지, 대응 등을 통하여 대비할 수 있어야 합니다.

이러한 대비책이 없을 경우 보안의 3요소인 기밀성, 무결성, 가용성이 침해되어 기업에 막대한 피해를 가져올 수 있습니다.

 

 

보안 조직 구성

이러한 보안을 제대로 하기 위해서는 전담 전문 조직이 필요합니다.

상황에 따라 달라질 수 있지만 아래와 같은 구성이 권장이라고 합니다.

CEO(최고 경영자) 직속으로 CISO(정보보호 최고책임자)/CPO(개인정보보호 책임자)를 둡니다.

CISO와 CPO는 겸직으로 융합형 전문가가 하는 형태가 가장 적합 하고

이러한 책임자 아래로 분야별로 위의 그림과 같이 팀을 구성합니다.

 

관제 대상

주요 대상으로는 분류된 네트워크 망에서 발생된 이벤트와 악성코드 감염 정보등이 관제의 대상이 됩니다.

아래는 가상으로 구성해 놓은 네트워크 구성도입니다.

위의 망에서 'O'표시로 쳐놓은 위치에 보안 시스템들이 위치하여 각 회선에서 수집된 이벤트를 보안 관제망에 전송하게됩니다.

위의 망에서는 어떻게 보안관제가 이루어질까요? 망에 보안장비들을 추가시켜 보겠습니다.

이런식으로 제 임의대로 위치에 보안 장비들을 위치시켜보았습니다. 스위치에서 IDS에 들어가는 선은 각각의

스위치에서 들어가는거라고 생각해 주시면 되고 스위치 앞단에 TAP(Test Access Port)라는 포트 미러링 장비가

들어갈 수 있습니다. 또는 TAP대신 스위치에 포트 미러링 기능을 사용할수도 있습니다.

 

다음으로 IDS의 트래픽 모니터링 기법으로 미러링 방식과 인라인 방식이 있는데 위의 망에서는 미러링 방식을

사용하여 구성하였습니다. 다른 방식인 인라인 방식은 망에 직접적으로 물려 트래픽이 IDS를 통과하는 방식인데

직접적으로 물려있다보니 네트워크 속도에 영향을 미칠 수 있습니다.

 

이러한 트래픽을 보안 관제망에서는 ESM(통합 보안 관리) 시스템으로 이벤트 분석이 이루어지면서 관제가 이루어 지게 됩니다.

 

보안관제 솔루션

ESM(Enterprise Security Management)은 방화벽, IPS/IDS, VPN, 서버, 라우터등 다양한 장비에 연동되어

보안 업무를 신속하게 처리 할 수 있습니다.

 

또 다른 솔루션으로는 RMS, TMS가 있습니다.

 

RMS(Risk Management System)는 위험 관리 시스템으로 내부에서 새로이 발생하는 취약점과 위협이 발생하는

기점을 스캐너 기반으로 위협을 분석, 취약점 인지 및 각종 자산들에 대한 위험 요소를 평가 합니다.

전체적으로 효율적로 시스템을 운영해 주는 보안 솔루션입니다.

 

TMS(Thread Management System)는 정규화된 보안 이벤트만 처리할 수 있는 ESM의 한계점을 보완하고

네트워크 트래픽 모니터링 및 분석 기능을 제공, 외부 위협 정보와 비교 후 위협 단계별로 대응 할 수 있도록 합니다.

전체적으로 공격에 의한 피해 확산을 줄이는 목적을 갖춘 솔루션입니다.

 

침해사고 대응 프로세스

침해사고에 신속하고 정확한 대응을 위해서는 각각의 상황에 적절한 보안 솔루션을 계층형으로 배치 해야합니다.

총 4가지의 단계로 아래와 같습니다.

1. 예방 단계

- 공격을 사전에 막는 단계

- 외부 유입 공격을 막는 것이 중요

- 구성원 들에게 정보보호 교육을 시행 → 조직 보안 의식↑

 

2. 탐지 및 분석

- 방화벽을 통과한 공격 모니터링 하여 탐지 분석하는 단계

- IDS가 대표적 장비

- 이 단계부터는 파일 단위까지 분석가능 해야함

 

3. 대응 단계

- 공격을 당할 경우 공격 받은 위치, 공격자를 확인 후 차단 하는 단계

- 보안 담당자가 IPS등을 이용하여 차단하고 분석

 

4. 포렌식

- 공격 당한 시스템의 디지털 증거 수집, 보존 하는 단계

 

위협 경보 단계별 대응

공격의 수준을 평가 후 단계적으로 경보를 발령하는 단계로 총 5단계로 나뉘게 됩니다.

단계	설명
정상	- 상황 : 위험도가 낮은 악성코드와 취약점 탐지한 상황 대응 : 보안 정책 점검 후 위협요소 차단 / 최신 보안 패치 등 지속적인 모니터링 필요
관심	- 상황 : 위험도가 높은 악성코드와 취약점 출현한 상황 대응 : 내부 인원들에게 상황 전파 / 장애가 발생하지 않는 수준에서 포트 차단, 위협 점검 및 보안 패치
주의	상황 : 관심 단계에서 피해가 발생한 상황 대응 : 관심 단계의 대응과 사이버 보안 기관들에게 협조를 받아 위협제거
경계	상황 : 주의 단계에서 피해가 커지는 상황 대응 : 모든 정보 자산을 지속적 점검 / 정보 자산을 최소화 하여 운영
심각	상황 : 국가 및 다수의 국가 기관 등 주요 정보 통신망에서 장애가 생긴 상황 대응 : 감염 시스템을 물리적으로 네트워크에서 분리 등 즉각적 보안 조치를 요함

 

정리

보안 관제는 기술적으로 탐지해서 방어하는 것이 목표이고 사람으로 인해 발생하는 보안사고는 탐지가 어려우니

조직의 구성원들의 정보보안 의식 교육 등을 하여 보안의식을 강화해야 합니다.

 

 

 

이상으로 1장이 끝나게 되었습니다.

먼저 책을 읽고 중요하다 싶은건 체크 후 나중에 한글 파일로 정리한 뒤 블로그에 올리는 방식으로 하려고 하는데

시간이 많이 걸리는게 흠인것 같습니다.