풍뎅아 공부하자.

일반적으로 보안관제 관련 프로세스를 언급할 때에 업무 프로세스에 대해 도식화하고 설명합니다. 

프로세스 관련하여 서비스와 업무로 구분하였는데,

보안관제 업무 수행 시 정보의 흐름과 연계하여 이해하시면 도움이 될 듯 합니다. 

보안관제 서비스 프로세스

- ‘정보 수집 단계’에서는 이기종의 보안 장비에서 나오는 다양한 보안 데이터를 수집하고 있으며

-  ‘모니터링/분석 단계’에서는 수집된 다양한 보안 데이터(경보 발생에 따른 침해사고 및 해킹 패턴)를 기반으로 분석하고, 생성된 보안 데이터와 내·외부에서 수집된 최신 보안 위협 정보를 상관 분석함으로써 

- ‘대응/조치 단계’에서는 분석된 이벤트에 대한 원인 및 대응책을 마련해 기술적/정책적으로 대응함으로써  

- ‘보고 단계’에서 침해사고 처리 및 장애 처리 결과를 보고 및 공유할 수 있도록 합니다. 

보안관제 업무 프로세스

일반적으로 보안관제 업무 프로세스는 5단계로 구분화하고 있으며, 보안관제 업무를 5단계에 맞춰 수행하고 있습니다. 

그러나 보안관제 업무 프로세스의 5단계에 대한 정의는 표준화되어 있지 않습니다. 

예방 -> 감시/탐지 -> 분석 -> 대응 -> 보고

예방 -> 탐지/분석 -> 대응 -> 포렌식

예방 -> 탐지 -> 분석 -> 대응 -> 관리

예방 -> 탐지 -> 대응 -> 보고 -> 공유 및 개선

사전준비 -> 진단 및 예방 -> 모니터링 및 탐지 -> 분석 및 대응 -> 보고 및 감사

수집 탐지 -> 분석 협의 -> 전파 발령 -> 대응 복구

예방 -> 정보수집 -> 모니터링 -> 대응조치 -> 보고

위에서 나열한 내용은 모두 전문 기관 및 업체에서 정의하고 있는 프로세스입니다. 

저는 보안관제의 역할 중 중요한 요소인 "침해사고에 대한 공유"가 포함되어져야 한다고 생각합니다. 

따라서, 이와 같은 개념을 가진 프로세스에 대해서 설명하고자 합니다. 

예방 : 중요 시스템, 네트워크 및 웹 서비스 등의 취약점을 사전에 파악하여 침해 사고를 예방합니다. 

- 사이버위협 정보를 사전에 공지하여 방어토록 하며, 최신 위협 및 해킹 등 보안동향 정보를 제공하고

- 침입차단시스템, 침입탐지시스템, 웹 방화벽 등 보안 시스템에 대한 보안정책 및 시스템자원의 최적화를 통해 효율적인 사이버공격 탐지를 지원할 수 있도록 합니다. 

탐지 : 보안 시스템에 대한 24시간×365일 실시간 감시 탐지 및 분석을 의미합니다.

- 네트워크 트래픽 정보 및 내부 정보를 절취하기 위한 사이버공격 시도 행위를 사전에 알아내는 행위로서 
- 네트워크 패킷 및 다양한 보안 이벤트(공격자정보, 공격시간, 공격방법 등) 등을 종합적으로 상관 분석하여 재발 방지 및 확산을 방지하기 위한 방안을 강구합니다.

대응 : 기관의 시스템 환경을 고려한 보안 정책 설정 및 보안관제 업무 시 발견된 비정상 네트워크 및 시스템에 대한 초기 대응 그리고 사이버 공격 발생 시 신속히 조치 대응하는 것을 의미합니다.

- 해당 기관의 시스템 환경을 고려하여 보안 정책을 설정하고

- 보안관제 업무 시 발견된 비정상적인 네트워크 및 시스템에 대해 기술적 및 정책적으로 대응할 수 있도록 하며

- 사이버 공격 발생 시 관련 사실을 해당 기관에 통보하고 피해 시스템의 유무 파악 및 정상적으로 운영될 수 있도록 전문 기술 지원과 유사한(동일한) 공격을 방지할 수 있도록 보안관제 업무에 활용할 수 있도록 합니다. 

보고 : 관제 일지, 취약점 정보, 침해 사고 대응 분석 보고서 등을 보고 및 관리합니다. 

- 보안관제 업무 수행 시, 정기보고서(일간/주간/월간) 및 수시보고서를 통해 현재의 상태를 관리하고

- 보안사고 사고 및 장애 발생 시, 관련 처리 보고서를 작성 및 보고함으로써 발생한 사고의 원인, 대응, 결과를 통해 향후 대책을 마련할 수 있습니다. 

공유 및 개선 : 보안관제 주요 업무 중 정보 공유의 원칙에 따라 타 기관에게 정보를 제공합니다. 

- 사이버 공격으로 인한 피해가 타 기관으로 확산되는 것을 방지하기 위하여 관계 법령에 위배되지 않는 범위에서 보안 관제 관련 정보를 공유하고

- 해당 보안 문제가 발생되지 않도록 기술적이고 정책적으로 개선 조치하여 보안 사고가 발생되지 않도록 예방할 수 있도록 합니다. 

서론

IT 기술의 급변과 발달로 인해 우리 주변의 환경이 편리해지고 있는 반면에 보안에 대한 중요성과 관심이 극대화되어가고 있습니다. 개인적 차원을 넘어서 국가적 관심에서 접근하고 있으며, 기업 및 공공적 측면에서의 보안에 대한 인식 변화에 대응 방안이 변화하고 있습니다. 암호화 알고리즘에 대한 관심이 해킹 및 보안 관제로 변화하고 있습니다. 이러한 이유는 웹(WEB)의 인프라적 측면에서의 발달로 인한 것으로 보여집니다. 

이에 따라 보안을 전공하는 또는 전공하고자 하는 많은 학습자들이 보안관제에 대한 관심을 가지고 있습니다. 

저 또한 학습자의 한 사람으로써 보안관제에 대해서 공부하고 자료를 공유하고자 합니다. 

먼저, 국가사이버안전관리규정 에 따르면 “보안관제”란 조직의 정보기술 자원 및 보안 시스템을 안전하게 운영하기 위하여 사이버 공격 정보를 탐지 및 분석하여 즉시 대응하는 일련의 업무를 말한다.'라고 정의하고 있습니다. 

그리고 “보안관제 전문업체”란 국가사이버안전관리규정 제10조의2에 따라 중앙행정기관, 지방자치단체 및 공공기관의 보안관제 업무를 안전하고 신뢰성 있게 수행할 능력이 있다고 인정되는 자를 말한다.'라고 정의하고 있습니다. 

그럼 보안관제의 필요성 및 개념에 대해서 살펴보도록 하겠습니다. 

배경 및 필요성

오래전부터 우리의 생활과 밀접하게 반응하는 것 중에 IT에 대한 많은 변화가 있었으며, 긍정적인 측면과 마찬가지로 컴퓨터 범죄가 급속도로 증가하게 되었습니다. 인터넷 기반의 기술 향상으로 인터넷을 쉽게 접하고 생활환경 속에 있는 다양한 시스템을 통해 누구나 쉽게 컴퓨터 시스템에 접근할 수 있게 되었습니다. 

즉, IT가 발달하면서 개방적인 특성을 가진 인터넷이란 매체를 통한 비즈니스가 확대되어지게 되었고, 웹을 통한 보안 사고가 발생하게 되었습니다.

이를 뒷받침하는 것 중에, KISA(한국인터넷진흥원)의 "2019년 상반기 악성코드 은닉사이트 탐지 동향 보고서" 내용 중 '2019년 상반기에 악성코드 유포지 탐지 및 조치 현황' 내용을 통해 알 수 있습니다. 

* 악성코드 은닉사이트란 이용자 PC를 악성코드에 감염시킬 수 있는 홈페이지로, 해킹을 당한 후 악성코드 자체 또는 악성코드를 유포하는 주소(URL)를 숨기고 있는 것을 말합니다. 

뿐만 아니라, 특정 업종이 아닌 다양한 업종에까지 보안적 침해 사고가 발생되고 있습니다.

즉, 기업이나 공공기관을 대상으로 하는 것이 아니라, 개인적 측면에서도 그 누구도 마음 편히 제3자 입장에서만 바라볼 수 없다는 뜻이기도 합니다. 

보안관제 중요성 

정부는 2009년 7월 DDoS 공격 이후 국가 사이버 위기 종합대책을 수립하고 국가사이버안전관리규정에 제10조 2항에 보안관제센터의 설치·운영을 신설하고 개정함에 따라 중앙행정기관 및 공공기관과 기업들은 사이버 침해 대응을 위해 전문 보안관제 기업에 보안관제 업무를 위탁하거나 자체 보안관제 센터를 운영하고 있습니다. 

그러나, 이러한 조치에도 불구하고 2011년 3월 DDoS공격과 2011년 4월 농협 전산망 마비, 2013년 3월 금융방송사 사이버 공격, 2014년 12월 한국수력원자력 내부문서 유출, 2015년 서울 메트로 해킹, 2016년 7월 인터파크 개인정보 절취 등 공공기관과 기업에 해킹사고는 위협수준이 높아지고 지속적으로 발생되고 있습니다.

이에 중앙행정기관 및 지방자치단체, 공공기관과 기업들은 사이버 침해사고 대응을 위해 보안관제 업무를 강화하고 있으며 신종 사이버위협에 대한 탐지, 대응 역량이 정보시스템과 데이터를 보호하는데 핵심 요소가 되었고 보안관제 업무의 중요성은 더욱 높아지고 있습니다. 

보안관제 담당자는 사이버위협이 존재하는 환경에서 이상징후 탐지와 보안시스템에서 발생하는 이벤트를 분석하는 역무를 수행하고 있습니다.

다양한 시스템의 연계로 인하여 복잡하게 설정되어 있는 시스템을 체계화 시킬 뿐만 아니라, 환경 및 사용에 따라 적절하게 설정하여 시스템을 운영 및 통제해야 합니다..

보안관제 시스템은 네트워크, 방화벽, 운영서버, DB 서버의 효율적인 관리를 위해서 웹 방화벽, IPS, DDOS 장비를 이용한 모니터링에 이벤트 분석 및 탐지에 대해서 대응해야 하며, APT 공격 및 개인정보 유출을 통해 정보 유출과 같은 공격에 대응을 해야 합니다.

즉, 전문적인 정보 시스템의 지식과 함께 많은 정보 기반 지식을 바탕으로 보안관제에 대한 이해 및 시스템을 운영할 수 있어야 할 것입니다.