보안관제 개념 및 주요 업무

보안관제 개념

 

보안관제 개념을 살펴보기 앞서, 보안관제란 어떤 업무를 수행하는지에 대해서 정의할 필요가 있습니다.

 

구체적일수는 없지만, 일반적인 개념으로 정의하자면 다음과 같습니다.

 

관제대상기관의 정보기술 및 다양한 IT자원을 해킹, 바이러스등과 같은 여러 사이버공격으로부터 보호하기 위해 24시간 365일 실시간으로 모니터링을 수행하고 각종 보안이벤트 및 시스템 로그 등을 분석하여 발생되는 문제에 대해 기술 및 정책적으로 대응하는 업무라고 정의할 수 있습니다. 

 

 

다음은 보안관제에 대해서 국가에서 운영하는 지침서 및 각 기관에서 정의하고 있는 내용에 대해서 정리하였습니다. 

 

「국가 전산망 보안관제 지침」에서는 보안관제를 다음과 같이 정의하고 있습니다.

정보통신망을 대상으로 수행되는 사이버 공격정보를 탐지, 분석, 대응하는 일련의 활동이라 정의하고 있습니다.

 

그리고 보안관제 수행 3원칙으로는 「국가 정보보안 기본지침」,「국가 사이버안전 관리규정」에 무중단의 원칙, 전문성의 원칙, 정보공유의 원칙으로 명시하고 있습니다.

 

한국인터넷진흥원(KISA)에서 2010년에 발간된 「침해사고대응팀(CERT) 구축/운영 안내서」에서는 인터넷망의 트래픽 이상 유무를 24시간 관찰하고 신종 웜·바이러스 및 해킹 동향을 수집·분석하고, 예·경보 발령을 통해 침해사고에 신속히 대응하는 임무를 수행하는 곳으로 정의하고 있습니다. 

 

미국의 Richard Bejtlich “Network Security Monitoring” 에 대하여 "네트워크 트래픽 분석도구를 이용하여 24시간 365일 서버와 네트워크를 통해 통신한 데이터에서 잠재적인 침입자의 공격시도를 규명하고 이러한 과정에서 분석된 내용을 토대로 불명확했던 침입시도를 규명하는 일련의 행위"라고 정의하고 있습니다.

 

국내 연구 논문에서 정의한 내용을 살펴보면

 

김영진(2010)은 “정보통신망이나 정보시스템에 대한 사이버 공격정보 또는 보안관제 대상 자산의 안전성 판단정보를 탐지. 분석. 대응하는 일련의 활동”이라고 정의하였습니다.

 

이현도(2012)는 “관제 대상기관의 정보 기술(IT)자원을 사이버공격으로부터 보호하기 위하여 보안 이벤트 및 로그 등을 중앙 관제 센터에서 실시간으로 감시 및 분석, 대응하는 업무”로 정의하였습니다.

 

정의연(2011)은 "내·외부인에 의한 불법해킹, 또는 각종 유해한 요소로부터 고객이 보유하고 있는 시스템, 네트 워크, 데이터 등의 손상을 막고, 피해 발생 시 원상회복 및 재발 방지를 위한 총체적인 운영관리하는 것"으로 정의하였습니다. 

 

결론적으로 정리하면

 

보안관제 업무란, 관제 대상기관의 IT자원을 사이버공격으로부터 보호하기 위하여 보안이벤트 및 로그 등을 실시간으로 감시 및 분석, 대응하는 업무라고 할 수 있습니다.

 

보안관제의 주요 업무 및 역할

 

보안관제는 수시로 발생할 수 있는 보안사고에 대응하기 위해 실시간으로 모니터링 및 장애 대응을 위한 분석 등을 수행하는 기본 역할을 가집니다. 

 

가장 기본적으로는

- PC·서버 등 시스템에 저장되어 있는 자료 및 정보 등에 대해 해킹을 탐지·차단하며
- 네트워크에 장애를 유발시켜 인터넷 서비스 등 정보 통신의 정상적인 운영을 방해하는 공격 행위를 탐지·차단하고
- 악성 코드를 채증·분석하여 탐지 기술(Signature)을 제작 및 정책 마련하여 관제 시스템에 적용함으로써 유사한 악성 코드에 의한 사이버 공격을 미연에 탐지·차단하는 것입니다. 

 

더 나아가

수시적으로 변화하는 악성코드와 공격패턴 등에 대한 정보 수집 및 분석 활동뿐만 아니라 네트워크에 구축된 장비의 현황 파악과 네트워크 트레픽을 분석하고, 국내외적으로 발생하고 있는 보안 현황에 대한 정보 수집 및 분석 등을 통한 보안 정책 설정 등을 수행합니다.

 

다음은 보안관제 주요 역할에 대해 정리하였습니다. 

항목	역할
보안시스템 통합관리	이기종에 대한 Agent 를 통한 모니터링 및 관리  ex)침입 탐지/차단 시스템, 네트워크 자원관리 등
일관성 있는 정책 구현	일관되고 표준화된 정책을 중앙에서 통합 관리 및 적용함으로써 보안장비에 대한 위험요소를 최소화
신속한 대응 처리	24 *365 일 실시간 모니터링, 장애처리, 업무 중단에 대한 위험요소 감소  ㆍ침해사고에 대한 사전 예방활동 강화
최적의 보안체계 운영	정보 자산에 대한 효과적인 보안관제 할 수 있는 환경 구성

 

보안관제 수행 기본 3 원칙

 

1. 무중단의 원칙 : 사이버 공격은 시간과 장소에 상관없이 수시로 발생하므로 24시간 365일 중단 없이 수행되어야 함

2. 전문성의 원칙 : 보안관제에 필요한 시설과 함께 정보시스템 및 네트워크 이론을 포함한 분석 기술 등 IT와 보안에
                       관련된 전문 지식과 경험, 노하우와 기술력을 갖춘 보안 관제 인력과 첨단 시설을 갖추어야 함

3. 정보 공유의 원칙 : 사이버 공격으로 인한 피해가 타 기관으로 확산되는 것을 방지하기 위하여 관계 법령에 위배되지
                           않는 범위에서 보안 관제 관련 정보를 공유하여야 함

 

 

 

보안관제 구성 3요소

 

 

1. 네트워크나 시스템에 설치된 에이전트

에이전트는 각종 보안 장비 및 서버, 네트워크에 설치되어 해당 시스템에 적합한 설정에 따라 로그 정보를 중앙 관제 센터에 실시간 전송하는 역할을 수행합니다. 이렇게 전송된 각종 정보는 관제 센터에서 모니터링 및 분석하는데 기초 자료로 사용됩니다. 

 

2. 정보 수집 서버

정보 수집 서버는 각 에이전트에서 보내진 각종 정보를 수집하고 분석 처리하여 DB에 저장하는 역할을 합니다. 또한, 에이전트에 대한 Health Check(확인 작업)를 통한 모니터링과 분석에 필요한 각종 리포팅 소스를 제공합니다. 

 

3. 통합 관제용 시스템

각종 이벤트 로그에 대한 분석을 수행합니다. 다양하게 수집되고 분석된 정보를 종합하고 분석하여 관제요원들이 상황에 정보를 파악할 수 있도록 최적의 정보를 제공하며, 정책 등을 반영할 수 있도록 합니다. 또한, 로그 분석에 대한 결과를 주기적으로 저장함으로써 효율적인 관제 업무를 수행할 수 있도록 합니다.