풍뎅아 공부하자.

보안관제의 방법 변화 

보안 위협 기술은 지속적으로 고도화되어지고 있으며, 기업 및 기관들의 공격 방어 및 관리 방식에도 변화가 일어나고 있습니다.

오늘날의 공격자들은 침입 경로를 수시로 바꾸고, 내부자인양 위장하며, IT 시스템의 취약점을 먼저 간파하는 등 지능화되는 각종 사이버 위협은 방어자를 압박하고 있습니다. 뿐만 아니라 내부 인가자에 의한 정보유출도 빠르게 증가하고 있습니다. 따라서, 분석해야 할 정보가 기하급수적으로 증가하고 있는 만큼 정보들을 능동적이고 자동화된 방식으로 수집·분류·분석하기 위한 대응이 필요해지고 요구되어지고 있습니다.

이러한 요구에 따라 능동적인 보안관제가 필요하게 되었으며, 보안관제의 핵심 구성요소인 시스템, 프로세스, 인력의 진화와 더불어 ‘외부 위협 사전 인지 및 대응(위협 인텔리전스)’과 ‘내부 위험 파악(상황 인지)’에 중점을 두고 최적화된 Rule 을 적용할 수 있도록 합니다. 

인터넷기반 업무에 대한 보안 위협이 증가하게 된 1990년 말 부터 2000년 중반까지 방화벽, 침입방지/탐지시스템(IPS/IDS), 디도스(DDoS) 장비, L7 방화벽, 웹방화벽 등 네트워크 보안 장비 위주의 모니터링과 백신 사용을 통해 네트워크 경계를 넘어오려는 공격 시도를 탐지하고 알려진 공격을 방어하고 로그를 모니터링 하게 되면서 보안관제가 본격적으로 시작되었습니다.

IT 기술의 발전과 환경 변화에 따라 단순한 네트워크 경계에서 벗어나 기업 전반으로 일어나는 모든 사용자 행위와 이벤트를 모니터링하고 통합적으로 관리해야할 필요성을 가지게 되었으며, 다양한 보안 장비에서 생성되는 보안 데이터를 수집해 이를 연관 분석하는 통합보안관리시스템( ESM : Enterprise Security Management)기반의 보안관제가 부각되기 시작했습니다.

보안관제서비스는 패턴 기반의 실시간 탐지를 목적으로 하는 ESM과 통계 위주의 전체 로그 분석을 주된 목적으로 하는 SEM으로 구분되었으나 주로 ESM을 기반으로 본격적으로 성장하게 되었습니다.

이후, 국내에서는 외부의 위협을 내부와 연계해서 모니터링 하는 위협관리시스템(TMS : Threat Management System) 대시보드 형태의 분석화면을 제공하는 종합분석시스템 등이 등장하여 ESM을 보완해주는 역할을 하였으며 해외에서는 2000년 중반부터 SEM(Security Event Management)과 SIM(Security Information Management)이 합쳐진 SIEM(Security Information Event Management) 솔루션이 본격화되어 현재까지 차세대 솔루션(NG-SIEM) 으로 진화하고 있습니다.

클라우드·빅데이터·IoT 등의 이슈로 인해 사이버공격 대상이 점차 확대되면서 보안관제를 통해서 네트워크 뿐만 아니라 엔드포인트, DB, 웹 부분에서의 보안 이벤트를 분석하고 상황에 따른 위험을 감지하고 이에 대한 효과적인 방어까지 커버할 수 있는 서비스까지 요구되는 본격적인 인텔리전스 관제 서비스 시대가 요구되고 있습니다. 

보안관제 시스템 개요 

보안관제에 이용되는 시스템은 IT 자원을 보호하기 위해 외부로부터의 침입을 탐지하고 대응하고 내부로부터의 자료가 유출되는 것을 방지하기 위한 시스템들로 구성되어야 합니다. 

위에서 살펴보았듯이, 보안관제를 위한 대표적 시스템으로는 침입탐지 시스템 (IDS), 침입방지 시스템 (IPS), 침입차단 시스템(FireWall), 위협관리시스템(TMS) 등이 있습니다. 

보안관제 시스템을 구성하기 위해서는 Network, server, DB, Application 영역으로 구분하고, 해당 영역별로 관련 정보보호 시스템이 담당하게 됩니다. 최근에는 개인정보보호법과 같은 Compliance 관리 영역까지 확장하는 등 다양한 영역에서 발생하는 로그와 이벤트를 기반으로 하는 통합적 보안관제로 요구 및 발전하고 있습니다. 

정보보호 시스템 

‘정보보호시스템’은 정보보호를 위한 관리적·기술적·물리적 수단을 의미하므로, 웹 방화벽 구축, 침입탐지시스템 설치 등과 같이 정보보호 관련 하드웨어(관련 소프트웨어의 설치 포함)의 구축 에 한정되지 않습니다. 즉, 정보보호시스템은 ｢전자정부법｣에 따른 정보시스템, 정보보호진흥법 시행령에 따른 구매정보시스템, 전자공시시스템 등과 같이 ‘하드웨어와 소프트웨어의 조직화된 체계’로서의 시스템 개념보다는 넓은 범위의 개념에 해당한다고 할 수 있습니다.

정보보호 관련하여 유형을 아래와 같이 구분하고 있습니다. 학습하시거나 정부 사업에 제안하시는데 도움이 되시길 바랍니다. (출처 : KISA)

정보보호 시스템은 보호 대상 및 목적에 따라 다양한 종류로 나누어지게 됩니다.

보안관제를 수행함에 있어 정보보호시스템의 기능과 역할을 이해하는것이 중요합니다.

아래 내용은 정보보호시스템을 구분화하여 정리하였습니다. 

보안관제 업무 상세 내용

보안관제의 업무 처리 절차는 예방, 탐지, 대응으로 나눌 수 있으며 그에 따른 상세 내용은 다음과 같이 정리할 수 있습니다. 

보안관제 업무유형 

보안관제 업무유형은 고객의 특성을 고려하여 3가지 유형의 서비스 제공 형태를 가졌습니다. 최근에는 클라우드 관제 분야까지 확대하고 있습니다. 보안관제 업무유형은 IT 환경과 고객의 특성 및 요구 사항에 따라 지속적으로 변화하고 있습니다.
보안관제의 업무 유형은 환경에 따라 다양하게 정의할 수 있으나, 여기에서는 가장 보편적인 몇 가지에 대해서만 정리하고자 합니다. 

일반적으로 보안관제 관련 프로세스를 언급할 때에 업무 프로세스에 대해 도식화하고 설명합니다. 

프로세스 관련하여 서비스와 업무로 구분하였는데,

보안관제 업무 수행 시 정보의 흐름과 연계하여 이해하시면 도움이 될 듯 합니다. 

보안관제 서비스 프로세스

- ‘정보 수집 단계’에서는 이기종의 보안 장비에서 나오는 다양한 보안 데이터를 수집하고 있으며

-  ‘모니터링/분석 단계’에서는 수집된 다양한 보안 데이터(경보 발생에 따른 침해사고 및 해킹 패턴)를 기반으로 분석하고, 생성된 보안 데이터와 내·외부에서 수집된 최신 보안 위협 정보를 상관 분석함으로써 

- ‘대응/조치 단계’에서는 분석된 이벤트에 대한 원인 및 대응책을 마련해 기술적/정책적으로 대응함으로써  

- ‘보고 단계’에서 침해사고 처리 및 장애 처리 결과를 보고 및 공유할 수 있도록 합니다. 

보안관제 업무 프로세스

일반적으로 보안관제 업무 프로세스는 5단계로 구분화하고 있으며, 보안관제 업무를 5단계에 맞춰 수행하고 있습니다. 

그러나 보안관제 업무 프로세스의 5단계에 대한 정의는 표준화되어 있지 않습니다. 

예방 -> 감시/탐지 -> 분석 -> 대응 -> 보고

예방 -> 탐지/분석 -> 대응 -> 포렌식

예방 -> 탐지 -> 분석 -> 대응 -> 관리

예방 -> 탐지 -> 대응 -> 보고 -> 공유 및 개선

사전준비 -> 진단 및 예방 -> 모니터링 및 탐지 -> 분석 및 대응 -> 보고 및 감사

수집 탐지 -> 분석 협의 -> 전파 발령 -> 대응 복구

예방 -> 정보수집 -> 모니터링 -> 대응조치 -> 보고

위에서 나열한 내용은 모두 전문 기관 및 업체에서 정의하고 있는 프로세스입니다. 

저는 보안관제의 역할 중 중요한 요소인 "침해사고에 대한 공유"가 포함되어져야 한다고 생각합니다. 

따라서, 이와 같은 개념을 가진 프로세스에 대해서 설명하고자 합니다. 

예방 : 중요 시스템, 네트워크 및 웹 서비스 등의 취약점을 사전에 파악하여 침해 사고를 예방합니다. 

- 사이버위협 정보를 사전에 공지하여 방어토록 하며, 최신 위협 및 해킹 등 보안동향 정보를 제공하고

- 침입차단시스템, 침입탐지시스템, 웹 방화벽 등 보안 시스템에 대한 보안정책 및 시스템자원의 최적화를 통해 효율적인 사이버공격 탐지를 지원할 수 있도록 합니다. 

탐지 : 보안 시스템에 대한 24시간×365일 실시간 감시 탐지 및 분석을 의미합니다.

- 네트워크 트래픽 정보 및 내부 정보를 절취하기 위한 사이버공격 시도 행위를 사전에 알아내는 행위로서 
- 네트워크 패킷 및 다양한 보안 이벤트(공격자정보, 공격시간, 공격방법 등) 등을 종합적으로 상관 분석하여 재발 방지 및 확산을 방지하기 위한 방안을 강구합니다.

대응 : 기관의 시스템 환경을 고려한 보안 정책 설정 및 보안관제 업무 시 발견된 비정상 네트워크 및 시스템에 대한 초기 대응 그리고 사이버 공격 발생 시 신속히 조치 대응하는 것을 의미합니다.

- 해당 기관의 시스템 환경을 고려하여 보안 정책을 설정하고

- 보안관제 업무 시 발견된 비정상적인 네트워크 및 시스템에 대해 기술적 및 정책적으로 대응할 수 있도록 하며

- 사이버 공격 발생 시 관련 사실을 해당 기관에 통보하고 피해 시스템의 유무 파악 및 정상적으로 운영될 수 있도록 전문 기술 지원과 유사한(동일한) 공격을 방지할 수 있도록 보안관제 업무에 활용할 수 있도록 합니다. 

보고 : 관제 일지, 취약점 정보, 침해 사고 대응 분석 보고서 등을 보고 및 관리합니다. 

- 보안관제 업무 수행 시, 정기보고서(일간/주간/월간) 및 수시보고서를 통해 현재의 상태를 관리하고

- 보안사고 사고 및 장애 발생 시, 관련 처리 보고서를 작성 및 보고함으로써 발생한 사고의 원인, 대응, 결과를 통해 향후 대책을 마련할 수 있습니다. 

공유 및 개선 : 보안관제 주요 업무 중 정보 공유의 원칙에 따라 타 기관에게 정보를 제공합니다. 

- 사이버 공격으로 인한 피해가 타 기관으로 확산되는 것을 방지하기 위하여 관계 법령에 위배되지 않는 범위에서 보안 관제 관련 정보를 공유하고

- 해당 보안 문제가 발생되지 않도록 기술적이고 정책적으로 개선 조치하여 보안 사고가 발생되지 않도록 예방할 수 있도록 합니다. 

국가 사이버 안보 수행 체계 현황

우리나라 사이버 환경에서의 국가 및 공공기관의 보안관제는 「국가사이버안전관리규정」에 의거하여 중앙행정기관, 지방자치단체 및 공공기관의 장은 보안관제센터를 설치· 운영하여야 하며, 이에 따라 국가·공공기관은 정보통신망에 대한  사이버공격을 실시간 탐지·분석하여 즉시 대응조치를 할 수 있도록 보안관제센터를 구축· 운영해야 한다고 명시되어 있습니다. 
또한, 국가 및 공공기관의 보안관제는 각급기관의 단위보안관제, 중앙행정기관의 부문보안관제, 국가사이버안전센터의 국가보안관제로 구성된 3단계 사이버공격 탐지 및 차단 체계를 구축·운영하고 있으며 국가사이버안전센터는 각급기관과 중앙행정기관의 보안관제센터에 사이버 공격을 탐지할 수 있는 기술을 배포하고 국가 안보를 위협하는 사이버공격을 탐지 및 대응하는 역할을 수행해야 한다고 명시되어 있습니다. 

정부는 국가안보실 중심의 사이버안보 컨트롤타워 기능 강화 및 민· 관·군 협력 기반의 국가 사이버안보 수행체계 정립·발전을 국정과제로 수립하였으며, 이를 위하여 사이버안보 비서관을 국가안보실에 두고 있으며, 유관부처 차관급이 참석하는 사이버안보정책조정회 의를 두어 법·제도 개선, 인력양성 추진 등 사이버안보 분야의 주요 정책을 수립·조정하고 있다고 합니다.[출처: 국가정보보호백서 2018]

민간 정보통신서비스 분야 침해사고 대응 공조체계

민간분야에서의 보안관제는 인터넷 침해사고 예방 및 사고 발생 시 신속한 대응과 피해확산 방지를 위해 과학기술정보통신부(구, 미래창조과학부)와 한국인터넷진흥원은 인터넷침해대응센터 운영을 통해 다양한 활동을 수행하고 있습니다. 

또한, 국내외 유관 기관과 정보공유 및 공조대응을 위한 창구역할을 수행하고, 정치·사회적 주요 이슈 발생 시 비상대응체계를 가동하여 대응을 강화하고 있습니다. 

2003년 12월 인터넷침해대응센터가  
개소한 이후로 주요 정보통신서비스제공 사업자(ISP, IDC, 이동통신, MSO 등 기간통신사업자)  및 보안관련 업체/유관기관 등과 침해대응 협력체계를 긴밀히 유지하고 있다고 합니다.(참조 : 한국인터넷진흥원, 2016)

보안관제센터의 설치ㆍ운영에 관한 법적 근거

보안관제 센터에 관한 직접적인 법제도 차원으로는 중앙행정기관, 지방자치 단체 및 공공기관이 적용대상인 
대통령훈령 제316호『국가사이버 안전관리 규정』이 제정되어 시행중이며

- “제4조(사이버안전 확보의 책무),

- 제8조(국가 사이버안전센터),

- 제10조의2 (보안관제센터의 설치ㆍ운영)”에서  구체적인 사항을 언급하고 있습니다.

보안관제 수행 주요업무 및 역할 구분

보안관제 전문업체가 갖추어야 할 기본 스펙

다음 내용은 보안관제 업체가 기본으로 갖추어야 할 사양입니다. 일반적으로 보안관제 업무 수행을 위한 제안 시 해당 내용에 적합 수준을 가리기 위한 기준으로 활용되기도 합니다. 

정보보호 관련 국가기관 및 전문기관 현황

[출처 : 국가정보보호백서, 2019]

정보보호 관련 민간단체 현황

[출처 : 국가정보보호백서, 2019]

보안관제 전문기업 지정 현황(17개 기업, 2019년 기준)

[ 출처 : KISA(인터넷진흥원)]

부문 보안관제센터 운영 현황

지식정보보안 정보보호 전문서비스기업 지정 현황 (2019년 7월 기준, 21개 기업)

[ 출처 : KISA(인터넷진흥원)]

보안관제 개념

보안관제 개념을 살펴보기 앞서, 보안관제란 어떤 업무를 수행하는지에 대해서 정의할 필요가 있습니다.

구체적일수는 없지만, 일반적인 개념으로 정의하자면 다음과 같습니다.

관제대상기관의 정보기술 및 다양한 IT자원을 해킹, 바이러스등과 같은 여러 사이버공격으로부터 보호하기 위해 24시간 365일 실시간으로 모니터링을 수행하고 각종 보안이벤트 및 시스템 로그 등을 분석하여 발생되는 문제에 대해 기술 및 정책적으로 대응하는 업무라고 정의할 수 있습니다. 

다음은 보안관제에 대해서 국가에서 운영하는 지침서 및 각 기관에서 정의하고 있는 내용에 대해서 정리하였습니다. 

「국가 전산망 보안관제 지침」에서는 보안관제를 다음과 같이 정의하고 있습니다.

정보통신망을 대상으로 수행되는 사이버 공격정보를 탐지, 분석, 대응하는 일련의 활동이라 정의하고 있습니다.

그리고 보안관제 수행 3원칙으로는 「국가 정보보안 기본지침」,「국가 사이버안전 관리규정」에 무중단의 원칙, 전문성의 원칙, 정보공유의 원칙으로 명시하고 있습니다.

한국인터넷진흥원(KISA)에서 2010년에 발간된 「침해사고대응팀(CERT) 구축/운영 안내서」에서는 인터넷망의 트래픽 이상 유무를 24시간 관찰하고 신종 웜·바이러스 및 해킹 동향을 수집·분석하고, 예·경보 발령을 통해 침해사고에 신속히 대응하는 임무를 수행하는 곳으로 정의하고 있습니다. 

미국의 Richard Bejtlich “Network Security Monitoring” 에 대하여 "네트워크 트래픽 분석도구를 이용하여 24시간 365일 서버와 네트워크를 통해 통신한 데이터에서 잠재적인 침입자의 공격시도를 규명하고 이러한 과정에서 분석된 내용을 토대로 불명확했던 침입시도를 규명하는 일련의 행위"라고 정의하고 있습니다.

국내 연구 논문에서 정의한 내용을 살펴보면

김영진(2010)은 “정보통신망이나 정보시스템에 대한 사이버 공격정보 또는 보안관제 대상 자산의 안전성 판단정보를 탐지. 분석. 대응하는 일련의 활동”이라고 정의하였습니다.

이현도(2012)는 “관제 대상기관의 정보 기술(IT)자원을 사이버공격으로부터 보호하기 위하여 보안 이벤트 및 로그 등을 중앙 관제 센터에서 실시간으로 감시 및 분석, 대응하는 업무”로 정의하였습니다.

정의연(2011)은 "내·외부인에 의한 불법해킹, 또는 각종 유해한 요소로부터 고객이 보유하고 있는 시스템, 네트 워크, 데이터 등의 손상을 막고, 피해 발생 시 원상회복 및 재발 방지를 위한 총체적인 운영관리하는 것"으로 정의하였습니다. 

결론적으로 정리하면

보안관제 업무란, 관제 대상기관의 IT자원을 사이버공격으로부터 보호하기 위하여 보안이벤트 및 로그 등을 실시간으로 감시 및 분석, 대응하는 업무라고 할 수 있습니다.

보안관제의 주요 업무 및 역할

보안관제는 수시로 발생할 수 있는 보안사고에 대응하기 위해 실시간으로 모니터링 및 장애 대응을 위한 분석 등을 수행하는 기본 역할을 가집니다. 

가장 기본적으로는

- PC·서버 등 시스템에 저장되어 있는 자료 및 정보 등에 대해 해킹을 탐지·차단하며
- 네트워크에 장애를 유발시켜 인터넷 서비스 등 정보 통신의 정상적인 운영을 방해하는 공격 행위를 탐지·차단하고
- 악성 코드를 채증·분석하여 탐지 기술(Signature)을 제작 및 정책 마련하여 관제 시스템에 적용함으로써 유사한 악성 코드에 의한 사이버 공격을 미연에 탐지·차단하는 것입니다. 

더 나아가

수시적으로 변화하는 악성코드와 공격패턴 등에 대한 정보 수집 및 분석 활동뿐만 아니라 네트워크에 구축된 장비의 현황 파악과 네트워크 트레픽을 분석하고, 국내외적으로 발생하고 있는 보안 현황에 대한 정보 수집 및 분석 등을 통한 보안 정책 설정 등을 수행합니다.

다음은 보안관제 주요 역할에 대해 정리하였습니다. 

보안관제 수행 기본 3 원칙

1. 무중단의 원칙 : 사이버 공격은 시간과 장소에 상관없이 수시로 발생하므로 24시간 365일 중단 없이 수행되어야 함

2. 전문성의 원칙 : 보안관제에 필요한 시설과 함께 정보시스템 및 네트워크 이론을 포함한 분석 기술 등 IT와 보안에
                       관련된 전문 지식과 경험, 노하우와 기술력을 갖춘 보안 관제 인력과 첨단 시설을 갖추어야 함

3. 정보 공유의 원칙 : 사이버 공격으로 인한 피해가 타 기관으로 확산되는 것을 방지하기 위하여 관계 법령에 위배되지
                           않는 범위에서 보안 관제 관련 정보를 공유하여야 함

보안관제 구성 3요소

1. 네트워크나 시스템에 설치된 에이전트

에이전트는 각종 보안 장비 및 서버, 네트워크에 설치되어 해당 시스템에 적합한 설정에 따라 로그 정보를 중앙 관제 센터에 실시간 전송하는 역할을 수행합니다. 이렇게 전송된 각종 정보는 관제 센터에서 모니터링 및 분석하는데 기초 자료로 사용됩니다. 

2. 정보 수집 서버

정보 수집 서버는 각 에이전트에서 보내진 각종 정보를 수집하고 분석 처리하여 DB에 저장하는 역할을 합니다. 또한, 에이전트에 대한 Health Check(확인 작업)를 통한 모니터링과 분석에 필요한 각종 리포팅 소스를 제공합니다. 

3. 통합 관제용 시스템

각종 이벤트 로그에 대한 분석을 수행합니다. 다양하게 수집되고 분석된 정보를 종합하고 분석하여 관제요원들이 상황에 정보를 파악할 수 있도록 최적의 정보를 제공하며, 정책 등을 반영할 수 있도록 합니다. 또한, 로그 분석에 대한 결과를 주기적으로 저장함으로써 효율적인 관제 업무를 수행할 수 있도록 합니다. 

서론

IT 기술의 급변과 발달로 인해 우리 주변의 환경이 편리해지고 있는 반면에 보안에 대한 중요성과 관심이 극대화되어가고 있습니다. 개인적 차원을 넘어서 국가적 관심에서 접근하고 있으며, 기업 및 공공적 측면에서의 보안에 대한 인식 변화에 대응 방안이 변화하고 있습니다. 암호화 알고리즘에 대한 관심이 해킹 및 보안 관제로 변화하고 있습니다. 이러한 이유는 웹(WEB)의 인프라적 측면에서의 발달로 인한 것으로 보여집니다. 

이에 따라 보안을 전공하는 또는 전공하고자 하는 많은 학습자들이 보안관제에 대한 관심을 가지고 있습니다. 

저 또한 학습자의 한 사람으로써 보안관제에 대해서 공부하고 자료를 공유하고자 합니다. 

먼저, 국가사이버안전관리규정 에 따르면 “보안관제”란 조직의 정보기술 자원 및 보안 시스템을 안전하게 운영하기 위하여 사이버 공격 정보를 탐지 및 분석하여 즉시 대응하는 일련의 업무를 말한다.'라고 정의하고 있습니다. 

그리고 “보안관제 전문업체”란 국가사이버안전관리규정 제10조의2에 따라 중앙행정기관, 지방자치단체 및 공공기관의 보안관제 업무를 안전하고 신뢰성 있게 수행할 능력이 있다고 인정되는 자를 말한다.'라고 정의하고 있습니다. 

그럼 보안관제의 필요성 및 개념에 대해서 살펴보도록 하겠습니다. 

배경 및 필요성

오래전부터 우리의 생활과 밀접하게 반응하는 것 중에 IT에 대한 많은 변화가 있었으며, 긍정적인 측면과 마찬가지로 컴퓨터 범죄가 급속도로 증가하게 되었습니다. 인터넷 기반의 기술 향상으로 인터넷을 쉽게 접하고 생활환경 속에 있는 다양한 시스템을 통해 누구나 쉽게 컴퓨터 시스템에 접근할 수 있게 되었습니다. 

즉, IT가 발달하면서 개방적인 특성을 가진 인터넷이란 매체를 통한 비즈니스가 확대되어지게 되었고, 웹을 통한 보안 사고가 발생하게 되었습니다.

이를 뒷받침하는 것 중에, KISA(한국인터넷진흥원)의 "2019년 상반기 악성코드 은닉사이트 탐지 동향 보고서" 내용 중 '2019년 상반기에 악성코드 유포지 탐지 및 조치 현황' 내용을 통해 알 수 있습니다. 

* 악성코드 은닉사이트란 이용자 PC를 악성코드에 감염시킬 수 있는 홈페이지로, 해킹을 당한 후 악성코드 자체 또는 악성코드를 유포하는 주소(URL)를 숨기고 있는 것을 말합니다. 

뿐만 아니라, 특정 업종이 아닌 다양한 업종에까지 보안적 침해 사고가 발생되고 있습니다.

즉, 기업이나 공공기관을 대상으로 하는 것이 아니라, 개인적 측면에서도 그 누구도 마음 편히 제3자 입장에서만 바라볼 수 없다는 뜻이기도 합니다. 

보안관제 중요성 

정부는 2009년 7월 DDoS 공격 이후 국가 사이버 위기 종합대책을 수립하고 국가사이버안전관리규정에 제10조 2항에 보안관제센터의 설치·운영을 신설하고 개정함에 따라 중앙행정기관 및 공공기관과 기업들은 사이버 침해 대응을 위해 전문 보안관제 기업에 보안관제 업무를 위탁하거나 자체 보안관제 센터를 운영하고 있습니다. 

그러나, 이러한 조치에도 불구하고 2011년 3월 DDoS공격과 2011년 4월 농협 전산망 마비, 2013년 3월 금융방송사 사이버 공격, 2014년 12월 한국수력원자력 내부문서 유출, 2015년 서울 메트로 해킹, 2016년 7월 인터파크 개인정보 절취 등 공공기관과 기업에 해킹사고는 위협수준이 높아지고 지속적으로 발생되고 있습니다.

이에 중앙행정기관 및 지방자치단체, 공공기관과 기업들은 사이버 침해사고 대응을 위해 보안관제 업무를 강화하고 있으며 신종 사이버위협에 대한 탐지, 대응 역량이 정보시스템과 데이터를 보호하는데 핵심 요소가 되었고 보안관제 업무의 중요성은 더욱 높아지고 있습니다. 

보안관제 담당자는 사이버위협이 존재하는 환경에서 이상징후 탐지와 보안시스템에서 발생하는 이벤트를 분석하는 역무를 수행하고 있습니다.

다양한 시스템의 연계로 인하여 복잡하게 설정되어 있는 시스템을 체계화 시킬 뿐만 아니라, 환경 및 사용에 따라 적절하게 설정하여 시스템을 운영 및 통제해야 합니다..

보안관제 시스템은 네트워크, 방화벽, 운영서버, DB 서버의 효율적인 관리를 위해서 웹 방화벽, IPS, DDOS 장비를 이용한 모니터링에 이벤트 분석 및 탐지에 대해서 대응해야 하며, APT 공격 및 개인정보 유출을 통해 정보 유출과 같은 공격에 대응을 해야 합니다.

즉, 전문적인 정보 시스템의 지식과 함께 많은 정보 기반 지식을 바탕으로 보안관제에 대한 이해 및 시스템을 운영할 수 있어야 할 것입니다.