보안관제의 방법 변화
보안 위협 기술은 지속적으로 고도화되어지고 있으며, 기업 및 기관들의 공격 방어 및 관리 방식에도 변화가 일어나고 있습니다.
오늘날의 공격자들은 침입 경로를 수시로 바꾸고, 내부자인양 위장하며, IT 시스템의 취약점을 먼저 간파하는 등 지능화되는 각종 사이버 위협은 방어자를 압박하고 있습니다. 뿐만 아니라 내부 인가자에 의한 정보유출도 빠르게 증가하고 있습니다. 따라서, 분석해야 할 정보가 기하급수적으로 증가하고 있는 만큼 정보들을 능동적이고 자동화된 방식으로 수집·분류·분석하기 위한 대응이 필요해지고 요구되어지고 있습니다.
이러한 요구에 따라 능동적인 보안관제가 필요하게 되었으며, 보안관제의 핵심 구성요소인 시스템, 프로세스, 인력의 진화와 더불어 ‘외부 위협 사전 인지 및 대응(위협 인텔리전스)’과 ‘내부 위험 파악(상황 인지)’에 중점을 두고 최적화된 Rule 을 적용할 수 있도록 합니다.
인터넷기반 업무에 대한 보안 위협이 증가하게 된 1990년 말 부터 2000년 중반까지 방화벽, 침입방지/탐지시스템(IPS/IDS), 디도스(DDoS) 장비, L7 방화벽, 웹방화벽 등 네트워크 보안 장비 위주의 모니터링과 백신 사용을 통해 네트워크 경계를 넘어오려는 공격 시도를 탐지하고 알려진 공격을 방어하고 로그를 모니터링 하게 되면서 보안관제가 본격적으로 시작되었습니다.
IT 기술의 발전과 환경 변화에 따라 단순한 네트워크 경계에서 벗어나 기업 전반으로 일어나는 모든 사용자 행위와 이벤트를 모니터링하고 통합적으로 관리해야할 필요성을 가지게 되었으며, 다양한 보안 장비에서 생성되는 보안 데이터를 수집해 이를 연관 분석하는 통합보안관리시스템( ESM : Enterprise Security Management)기반의 보안관제가 부각되기 시작했습니다.
보안관제서비스는 패턴 기반의 실시간 탐지를 목적으로 하는 ESM과 통계 위주의 전체 로그 분석을 주된 목적으로 하는 SEM으로 구분되었으나 주로 ESM을 기반으로 본격적으로 성장하게 되었습니다.
이후, 국내에서는 외부의 위협을 내부와 연계해서 모니터링 하는 위협관리시스템(TMS : Threat Management System) 대시보드 형태의 분석화면을 제공하는 종합분석시스템 등이 등장하여 ESM을 보완해주는 역할을 하였으며 해외에서는 2000년 중반부터 SEM(Security Event Management)과 SIM(Security Information Management)이 합쳐진 SIEM(Security Information Event Management) 솔루션이 본격화되어 현재까지 차세대 솔루션(NG-SIEM) 으로 진화하고 있습니다.
클라우드·빅데이터·IoT 등의 이슈로 인해 사이버공격 대상이 점차 확대되면서 보안관제를 통해서 네트워크 뿐만 아니라 엔드포인트, DB, 웹 부분에서의 보안 이벤트를 분석하고 상황에 따른 위험을 감지하고 이에 대한 효과적인 방어까지 커버할 수 있는 서비스까지 요구되는 본격적인 인텔리전스 관제 서비스 시대가 요구되고 있습니다.
보안관제 시스템 개요
보안관제에 이용되는 시스템은 IT 자원을 보호하기 위해 외부로부터의 침입을 탐지하고 대응하고 내부로부터의 자료가 유출되는 것을 방지하기 위한 시스템들로 구성되어야 합니다.
위에서 살펴보았듯이, 보안관제를 위한 대표적 시스템으로는 침입탐지 시스템 (IDS), 침입방지 시스템 (IPS), 침입차단 시스템(FireWall), 위협관리시스템(TMS) 등이 있습니다.
보안관제 시스템을 구성하기 위해서는 Network, server, DB, Application 영역으로 구분하고, 해당 영역별로 관련 정보보호 시스템이 담당하게 됩니다. 최근에는 개인정보보호법과 같은 Compliance 관리 영역까지 확장하는 등 다양한 영역에서 발생하는 로그와 이벤트를 기반으로 하는 통합적 보안관제로 요구 및 발전하고 있습니다.
정보보호 시스템
‘정보보호시스템’은 정보보호를 위한 관리적·기술적·물리적 수단을 의미하므로, 웹 방화벽 구축, 침입탐지시스템 설치 등과 같이 정보보호 관련 하드웨어(관련 소프트웨어의 설치 포함)의 구축 에 한정되지 않습니다. 즉, 정보보호시스템은 「전자정부법」에 따른 정보시스템, 정보보호진흥법 시행령에 따른 구매정보시스템, 전자공시시스템 등과 같이 ‘하드웨어와 소프트웨어의 조직화된 체계’로서의 시스템 개념보다는 넓은 범위의 개념에 해당한다고 할 수 있습니다.
정보보호 관련하여 유형을 아래와 같이 구분하고 있습니다. 학습하시거나 정부 사업에 제안하시는데 도움이 되시길 바랍니다. (출처 : KISA)
|
대분류 |
중분류 |
소분류 |
상세내용 |
|
정 보 보 호 제 품 |
보안 관리 |
Ÿ 접근통제 |
· 통합보안시스템(UTM) · 통합보안관리(ESM) · 시스템접근통제 |
|
침입 탐지 |
Ÿ 침입탐지·방지 |
· 침입탐지·방지시스템(IDS, IPS) · DDoS 차단 시스템 · 로그 관리/분석 시스템 · 위협관리시스템(TMS) · APT 대응 시스템 · 스팸 차단 제품(HW, SW) |
|
|
분석·대응 및 복구 |
Ÿ 침해 관리 |
· 취약점 분석 시스템 · 백업/복구 관리시스템 · 디지털 포렌식 시스템(통합) |
|
|
물리보안 및 기타 |
Ÿ 물리보안제품 |
· CCTV 시스템(저장장치, 카메라, 지능형/관제 Solution,주변장비) |
정보보호 시스템은 보호 대상 및 목적에 따라 다양한 종류로 나누어지게 됩니다.
보안관제를 수행함에 있어 정보보호시스템의 기능과 역할을 이해하는것이 중요합니다.
아래 내용은 정보보호시스템을 구분화하여 정리하였습니다.
|
구분 |
시스템 |
세부 기능 |
|
네트워크 보안 시스템
|
침입탐지시스템(IDS) |
외부로부터의 침입에 대응이 아닌 탐지만을 수행합니다. |
|
침입방지 시스템 (IPS) |
실시간 사이버 공격을 탐지 및 차단하는 시스템으로, IDS가 수행하는 탐지 기능뿐만 아니라 차단 기능까지 보유하고 있습니다. |
|
|
방화벽(Firewall) |
침입 차단 시스템으로 내부 시스템을 보호하기 위해 IP및 프로토콜 기반으로 내, 외부를 접속 차단합니다. |
|
|
통합위협관리시스템(UTM) |
방화벽, 안티바이러스SW, 컨텐츠 필터링 등 하나의 패키지로 통합되어 시스템을 관리합니다. |
|
|
지능형 네트워크 접근 통제 시스템 (NAC) |
보안정책에 정의된 단말기에만 네트워크 자원의 이용을 제한하는 방식이며, 필수 S/W 설치 및 불법 소프트웨어 삭제 유도 기능도 포함합니다. |
|
|
가상사설망(VPN) |
사설망을 이용하는 것과 같이 송신수와 수신부 사이에 미리 설정한 암호 및 인증장치를 통해 패킷을 암호화하여 통신하는 기능을 제공합니다. |
|
|
DDoS 공격 대응 장비 |
DDoS 공격 차단에 특화된 시스템 입니다. |
|
|
지능형 지속 위협(APT) 공격 대응시스템 |
시그니처(문자)기반의 정보보호 시스템과는 달리 비정상적인 행위를 판별하여 이상징후를 탐지 및 차단하는 시스템 |
|
|
발신 로깅 |
내부 사용자가 중요 자료 및 메시지를 외부로 전송하는 것을 감시하는 기능을 제공합니다. 예 : E-mail 등을 이용한 데이터 유출검사 등 |
|
|
무선랜 침입 차단 시스템 (WIPS) |
기관 내 비인가 무선 AP 탐지 및 무선랜에 대한 위협을 탐지/차단 하는 시스템입니다. |
|
|
서버보안 솔루션
|
DB 보안 |
중요 데이터에 대한 접근제어 및 암호화를 통해 지정된 사용자에게 작업에 필요한 최소한의 정보만을 제공하도록 합니다. |
|
세션 로깅 |
관리자, 사용자의 시스템 요용 여부 등의 감사를 지원하기 위한 접속 내역 및 작업수행 내역 등의 계정 세션 로그를 감사하는 기능을 가집니다. |
|
|
정보 시스템 서버 접근 통제 및 보안감사 시스템 |
접근 통제에 의한 모든 작업이력을 저장하고 장애 및 보안사고 발생시 사후 추적 가능합니다 |
|
|
응용보안 솔루션 |
웹 방화벽(WAF) |
웹 서비스에 대한 사이버 공격으로부터 웹 서버 등을 보호하기 위한 기능을 가집니다. |
|
웹 스캐너 |
웹 서버 및 웹페이지 등 웹 어플리케이션의 취약점을 분석하는 도구입니다. |
|
|
컨텐츠 보안(DRM) |
다양한 형태로 제공되는 데이터 및 컨텐츠의 불법적 유출과 배포방지 그리고 저작권을 주장할 수 있는 기능을 가집니다. |
|
|
스팸메일 차단 시스템 |
일반적인 다량의 메일 수신 및 비정상적인 메일 수신시 차단하는 시스템 입니다. |
|
|
패치관리시스템(PMS:Patch Management System) |
중앙시스템으로부터 관리 PC에게 보안 패치를 자동으로 함으로써 해킹 등 인터넷 침해사고에 대응할 수 있습니다. |
|
|
해킹메일 차단시스템 |
악의적인 바이러스 및 악성코드 포함된 메일 수신시에 탐지 및 차단하는 시스템입니다. |
|
|
홈페이지 위변조 감시 시스템 |
악의적인 사이버 공격에 의한 홈페이지 화면 위/변조 사항을 실시간 탐지 및 웹 접속 정상상태를 모니터랑 하는 시스템입니다. |
|
|
PC 보안 솔루션 |
통합 PC 보안 |
인가된 작업외 실행 불가능하도록 설정하거나, 단말자체의 보안성 강화를 위해 자원통제 및 매체제어 등 기능을 제공합니다. |
|
Office PC 보안 |
사무용 단말자체의 보안성 강화를 위한 백신, 키로깅 방지 기능 등을 지원합니다. |
|
|
내부정보유출 방지 시스템 |
사용자 컴퓨터에서 사용하는 메신저 프로그램 사용 차단 및 이메일 송신시 붙임 파일용량 통제등 내부정보의 유출을 방지합니다. |
|
|
개인정보유출방지 시스템 |
컴퓨터에서 주민번호, 여권번호 등 고유 식별정보 및 중요정보가 포함된 문서를 식별하거나 외부유출 시 차단합니다. |
|
|
매체제어 시스템 |
인가된 USB 저장장치, 이동형 저장장치의 연결을 허용하고 기타 비인가 장치는 차단하는 등 통제 기능을 가집니다. |
|
|
Secu Print |
인쇄된 정보의 비인가적 유출 방지 및 관리를 위한 출력물을 관리합니다. |
|
|
보안관리 솔루션
|
저장장치 암호화 |
HDD, CD/DVD, USB 등 저장매체 내 저장 데이터 암호화 기능을 제공합니다. |
|
포렌식(Forensics) |
공격 및 침입에 대한 정보를 파악하여 사고 대응을 지원하는 시스템 분석 및 추적 기능을 제공합니다. |
|
|
디가우저(Degausser) |
자기를 이용하여 HDD 등 저장장치의 물리적인 데이터 폐기 기능을 제공합니다. |
|
|
보안관제 솔루션
|
통합보안관리시스템(ESM : Enterprise Security Management) |
IDS, IPS, Firewall 등의 보안 솔루션을 하나로 통합관리 시스템으로, 솔루션간 상호 연동을 통해 전체 정보통신시스템에 대한 보안 정책을 수립할 수 있습니다. |
|
위협관리 시스템 (TMS : Threat Management System) |
유해 트래픽 및 악성코드를 실시간 탐지하고 상관관계 분석을 통한 종합적인 위협분석뿐만 아니라 취약성 정보, 조기 예경보 전송 및 실시간 대응 시스템을 통합하는 체계적인 사이버 위협에 대한 관제 및 대응 시스템입니다. |
|
|
위험관리시스템(RMS : Risk Management System) |
기업 비즈니스의 연속성 보장을 위해 자산분석 및 식별을 시스템화하여 해당 자산의 보안상태 파악 및 보안성 향상 등 자동화를 지향하는 시스템입니다. |
|
|
홈페이지 APT 웹셸공격/탐지 및 차단 시스템 |
웹셸 및 홈 디렉터리 설정변경 및 악성코드 유포지 URL을 탐지하고 웹셸 탐지 정보 및 이력을 관리합니다. |
|
|
네트워크 모니터링 시스템(NMS : Network Mornitoring System) |
네트워크 장비의 실시간 모니터링 및 관리를 통해 서비스 단절을 최소화하고 트래픽 정보수집 및 분석 등의 기능을 제공합니다. |
'학습분야(IT) > 보안관제 관련' 카테고리의 다른 글
| 보안관제 업무 내용 및 유형 (0) | 2019.09.11 |
|---|---|
| 보안관제 서비스 및 업무 프로세스 (0) | 2019.09.06 |
| 보안관제 센터 운영의 근거 (1) | 2019.09.06 |
| 보안관제 지정제도 및 지정 전문업체 (0) | 2019.09.02 |
| 보안관제 개념 및 주요 업무 (0) | 2019.09.02 |