리팩토링

리팩토링 10주차

idea5021 2024. 9. 26. 22:37
목차

1. 보안관제 정의



2. 보안관제 업무 절차



3. 보안관제의 유형 및 특징



4. 보안관제 업무 시 활용되는 웹페이지 

 

 

1. 보안관제(MSS, Managed Security Service) 정의

  • 외부로부터의 침해시도를 예방하고 내부 정보자산을 보호하기 위해 정보보안 업무(모니터링, 탐지, 분석, 대응 등)를 수행하는 것
  • 보안관제의 목적은 이기종에서 탐지되는 보안 이벤트를 수집하고 공격에 대한 탐지, 차단, 대응하여 사전에 예방하고 보안하는 것
  • 보안관제 센터(Security Operations Center, SOC)는 조직의 정보 시스템과 네트워크에서 발생하는 보안 이벤트 및 사건을 모니터링하고 관리하는 활동이다.
  • 보안 이벤트 및 위협을 식별하고 대응하는 역할을 수행하여 조직의 정보 자신을 보호하는 주요 구성 요소 중 하나이다.

 

보안관제의 구성요소 3가지

  1. 네트워크나 시스템에 설치된 에이전트
    - 각종 보안장비 및 서버, 네트워크에 설치하여 해당 시스템에 맞게 설정된 로그 정보를 실시간으로 전송하여 중앙관제센터에서 각종 로그를 쉽게 모니터링하고 분석할 수 있도록 정보를 제공해 주는 것

  2. 정보수집 서버
    - 각 에이전트에서 보내진 각종 정보를 수집하고 분석 처리하여 DB에 저장하는 역할을 하는데 여기서 에이전트에 대한 Health Check를 통한 모니터링과 분석에 필요한 리포팅 소스를 제공한다.

  3. 통합관제용 시스템
    - 각종 이벤트 로그에 대한 분석을 주로 수행
    - 다양하게 수집되고 분석된 정보를 종합하고 상황을 분석하여 관제 요원들이 신속하게 정보를 파악할 수 있도록 최적의 정보를 제공 및 반영하며 로그분석에 대한 결과를 주기적으로 저장한다.

 

보안관제 업무수행 원칙

  1. 무중단의 원칙
    - 사이버 공격을 실시간으로 신속하게 탐지/차단하려면 365일, 24시간 중단 없이 보안관제 업무를 수행한다.

  2. 전문성의 원칙
    - 보안관제 업무 수행을 위해서는 사이버 공격정보 등 보안관제에 필요한 시설과 함께 정보시스템 및 네트워크, 분석기술 등 다양한 방면에 대한 전문지식과 경험, 노하우를 가진 전문인력이 필요하다.

  3. 정보공유의 원칙
    - 사이버 공격으로 인해 피해가 타 기관/분야로 확산되는 것을 방지하기 위해 관계 법령에 위배되지 않는 범위 내에서 관계기관 간 보안관제 관련 정보를 공유해야한다.

 

 

2. 보안관제 업무 절차

출처: sk인포섹

  • 예방
    - 중요시스템, 네트워크 및 홈페이지 등의 취약점을 사전에 파악하여 침해 사고를 예방하는 것

  • 탐지
    - 보안 시스템에 대한 실시간 감시, 탐지, 분석을 의미한다.
    - 네트워크 트래픽 정보 및 내부 정보를 절취하기 위한 사이버공격 시도 행위를 사전에 알아내는 행위
    - 네트워크 패킷 및 다양한 보안 이벤트(공격자 정보, 공격 시간, 공격 방법 등)을 종합적으로 상관 분석하여 재발 방지 및 확산을 방지하기 위한 방안을 강구한다.

  • 대응
    - 기관의 시스템 환경을 고려한 보안 정책 설정 및 보안관제 업무 시 발견된 비정상 네트워크 및 시스템에 대한 초기 대응, 사이버 공격 발생 시 신속히 조치 대응하는 것을 의미한다.

  • 보고
    - 관제 일지, 취약점 정보, 침해 사고 대응 분석 보고서 등을 보고 및 관리한다.

  • 공유 및 개선
    - 보안관제 주요 업무 중 정보 공유의 원칙에 따라 타 기관에게 정보를 제공한다.

 

 

3. 보안 관제의 유형 및 특징

  • 자체관제
    - 조직이 외부 관제 서비스에 의존하지 않고 자체적으로 보안관제 시스템을 구축하고 보안 인력을 운영하는 형태

    장점
    - 자체관제를 운영하면 조직은 자신만의 보안관제 활동을 제어하고 사용자 지정 보안 요구 사항을 충족시키는 데 높은 수준의 통제와 유연성을 얻을 수 있음
    - 내부기밀유지 및 신속한 사고처리에 우수

    단점
    - 자체관제를 운영하려면 상당한 투자와 전문성이 필요하며, 실제 보안관제 환경을 구축하고 운영하는데는 시간과 자원이 소요됨
    - 전문성의 결여로 수행 품질이 낮아질 수 있음
    - 최신 보안기술/동향 정보 확보의 어려움

    EX) 국정원, 경찰청 등
  • 파견관제
    - 조직이 외부 보안 서비스에 보안 관제 활동을 위탁하는 형태
    - 조직이 자체관제를 운영하지 않고 외부 전문가 또는 업체에게 보안 모니터링 및 대응 서비스를 제공받는 방식

    장점
    - 파견관제를 통해 관제 시스템 구축에 대한 초기 투자와 운영 비용을 절감할 수 있음
    - 조직의 보안 요구 사항과 리소스에 따라 선택할 수 있는 유용한 옵션일 수 있으며, 외부 전문가의 지식과 경험을 활용하여 보안 위협으로부터 보호할 수 있음
    - 침해/장애 발생 시 즉각적인 조치가 가능
    - 고객사 정보보호담당자와 관제 인력간의 원할한 의사소통 가능

    단점
    - 인력관리가 필요하며 단가가 높다.

    EX) 공공분야, 금융권

  • 원격관제
    - 관제서비스업체에서 보안관제에 필요한 관제시스템을 구비하고 대상기관의 침입차단시스템 등 보안장비 중심으로 보안 이벤트를 중점적으로 상시 모니터링하고 침해사고 발생 시 긴급 출동하여 대응 조치하는 서비스 형태
    - 일부 단위 보안시스템의 운영 및 관리를 위탁하는 방식
    - 통합 보안 관제시스템 및 관제인력이 원격에 위치함
    - 제한적인 범위의 보안시스템 위탁

    장점
    - 원격관제는 보안 이벤트와 위협을 지속적으로 감시하고 대응하는 데 중요한 역할을 한다. 
    - 파견관제에 비해 저렴한 단가와 인력관리에 대한 부담이 없다.
    - 별도의 회선 구축 없이 인터넷망을 통한 관제

    단점
    - 한정된 서비스 제공
    - 파견관제와 같은 사이트에 특화된 관제 서비스의 어려움 발생
    - 침해/장애 발생시 즉각적인 조치가 어려움

    EX) 일반 기업, 포탈 업체 등


  • 하이브리드 관제
    - 원격과 파견관제의 장점을 고루 합한 서비스를 말함
    - 보안 기업의 통합보안관제센터에서 확보한 위협정보를 원격으로 제공하여 파견관제의 한계점을 보안한다.
    - 원격 + 파견 또는 원격 + 자체의 형태
    - 필요한 시간에만 원격관제 형태로 관제업무 수행

    장점
    - 파견인력을 통한 의사소통 및 사이트에 특화된 정책 수립
    - 침해/장애 시 파견 인력을 통한 선 조치 이후 원격관제팀과의 공조 가능
    - 사이트의 구성 변경, 정책 수립 등 지원

    단점
    - 파견 인력의 등급에 따른 서비스의 퀄리티 편차 발생
    - 파견 인력에 대한 관리 필요

    EX) 금융기관 등 

  • 클라우드 관제
    - 서버와 DB 등 IT 자원을 인터넷 접속을 통해 사용하는 클라우드 환경에 대한 관제
    - 기업은 클라우드 내에서 일어나는 보안 위협을 모니터링하여 온프라미스 환경과 동일하게 보안관제 서비스를 받을 수 있다.
    - 보안관리 영역에 대한 직접 관리 부담을 줄이고, 모니터링 요원, CERT 등 관제전문인력이 제공하는 보안관제 서비스를 제공받을 수 있다.

    장점
    - 로컬에 장비 설치 및 유지보수가 필요 없음
    - 다양한 레퍼런스 기반으로 고객사 환경에 적합한 유동적으로 보안관제 환경을 구축 가능
    - 클라우드 글로벌 데이터 센터 보안 관제 서비스 제공 가능

    단점
    - 관제 대상 및 업무 이해가 어렵다.
    - 리스크가 매우 크다.
    - 고객의 비즈니스를 이해해야 하는 어려움이 있다.

    EX) AWS 등

 

4. 보안관제 업무 시 활용하는 웹페이지

  • Whois

    - 국가 인터넷 주소(도메인, IP주소/AS번호) 관리기관인 한국인터넷진흥원이 제공하는 인터넷 주소의 등록, 할당정보 검색 서비스
    - 인터넷에서의 유일성 보장을 위한 인터넷 주소의 등록, 할당 정보를 제공
    - 인터넷 관련 문제 해결을 위해 해당 인터넷 주소의 네트워크 및 관리자 정보를 국제적으로 공유



  • IPCONFIG
    - 자신이 사용중인 IP를 조회할 수 있는 사이트
    - whois로 조회 되지 않는 IP도 조회가 가능(해외 IP 등)


  • Virus Total


- 파일이나 URL 내의 바이러스를 검사해주는 역할을 하는 웹 서비스
- 개인 파일이나 웹사이트에 있는 첨부 파일에 바이러스 여부를 확인할 수 있으며, 접속하려는 홈페이지 내에 바이러스가 있는지 사전에 검사하여 바이러스 감염을 미리 차단할 수 있다.

  • Hybrid-Analysis

 

- 파일이나 링크의 보안 상태를 평가하고 악성 활동을 감지하며, 보안 전문가들이 악성 코드를 분석하고 조사하는데 도움이 되는 도구
- 악성 코드 분석과 관련된 정보를 제공하며, 보안 커뮤니티에 유용한 정보를 제공하는 역할을 한다.
- 악성 코드 분석 기업은 고유한 하이브리드 분석 기술을 사용하여 악의적인 특징을 식별하기 위한 심층적인 메모리 분석을 수행
- 바이러스 토탈과의 차이점은 다양한 방식으로 악성 코드 샘플을 수집할 수 있다는 점이다.

 

  • cvedetails.com

 

- 공격에 대한 CVE 코드 및 공격 정보 조회할 때 사용하는 사이트

 

  • Exploit Database

 

- CVE 사이트와 비슷하게 공격 정보에 대해 조회할 때 사용하는 사이트

 

  • OWASP

 

 

- 오픈소스 웹 애플리케이션 보안 프로젝트로 주로 웹에 관한 정보노출, 악성 파일 및 스크립트, 보안 취약점 등을 연구하며, 10대 웹 애플리케이션 취약점을 발표한다.
- 전 세계 보안전문가들이 보안 취약점 진단 기준과 표준을 수립하고, 웹 애플리케이션 보안 관련 문서를 배포하고 보안 취약점 관련 툴을 개발하는 오픈소스 커뮤니티이다.

 

참고문헌

https://minjunkass.tistory.com/24

https://www.jobindexworld.com/contents/view/7937

https://blog.daouidc.com/blog/security-monitoring