[book] "보안관제 실무가이드" Note-Taking
[book] 보안관제 실무가이드 공부기록
[book] "보안관제 실무가이드" Note-Taking
해당 포스트는 학습 목적으로 작성되었으며 «차세대 정보보호 인재 양성을 위한 보안관제 실무가이드»을 참고하여 작성하였음을 알려드립니다.
보안관제 구성요소
개요
보안관제는 크게 보안관제시스템과 보안관제 조직으로 구성된다. 보안관제시스템을 세부적으로 분류하면 정보보호시스템, 정보보호시스템의 정보를 수집하기 위한 에이전트, 정보(로그·이벤트) 수집서버, 분석서버로 구분하기도 한다.
보안관제 구성 시스템
| 구분 | 시스템 명 |
|---|---|
| 네트워크 영역 | 침입탐지시스템(IDS), 침입차단시스템(방화벽), DDoS 대응솔루션, TMS, UTM, NAC |
| 서버 영역 | 웹방화벽(WAF), 호스트 침입탐지시스템(H-IDS), 보안운영체제(SecureOS), 백신(Anti-Virus) |
| 통합 및 분석 | ESM, TMS, RMS, SIEM |
| 기타 | 사이버대피소 |
보안관제 상세활동
보안관제 활동은 예방 → 탐지 → 대응 3단계로 구성
| 업무 구분 | 활동 | 내용 |
|---|---|---|
| 예방 | 보안패치 | 서버·네트워크·응용프로그램 등에 발생된 보안취약점에 패치를 통해 제거하는 활동 |
| 취약점 점검 | 시스템 및 네트워크에 주기적인 취약점 점검 및 조치 활동 | |
| 정책관리 | IDS·IPS·F/W·N/W 장비 등 보안정책 적용 활동 | |
| 탐지 | 모니터링 | 침입로그, 시스템 로그 등 각종 이벤트에 대한 확인 활동 |
| NMS, Alert | 네트워크 및 시스템에서 제공하는 예경보 탐지 활동 | |
| 시스템 장애 이벤트 | 각종 시스템 장애에서 발생되는 경보에 대한 탐지 활동 | |
| 관리적 이벤트 | 기타 관리에 필요한 각종 이벤트에 대한 탐지 활동 | |
| 대응 | 웜·바이러스 | 웜, 바이러스, 백도어, 악성 봇 등 악의적인 프로그램 감염에 대한 대응 |
| 스캐닝 | 악의적인 의도로 시설에 관련된 정보를 수집하는 활동 | |
| 침해사고 | 주요 시스템에 불법적인 접근을 시도하여 권한을 획득하는 활동 | |
| 기타 사고대응 | 정상적인 활동에 대한 대응 활동 (사이버 시위 등) |
주요 단위(보안) 시스템별 기능
| 구분 | 기능 |
|---|---|
| 침입방지시스템(IPS) | 실시간 사이버 공격을 탐지 및 차단하는 시스템으로, 악성코드 및 악의적인 바이러스에 대해 문자열 방식으로 탐지하여 차단 |
| 내부정보유출 방지시스템 | 메신저 프로그램 사용 차단 및 이메일 송신 시 첨부파일 용량 통제 등 내부정보의 유출을 방지하기 위한 시스템 |
| 홈페이지 위·변조 감시 시스템 | 악의적인 사이버공격에 의한 홈페이지 화면 위·변조 사항을 실시간 탐지 및 웹 접속 정상 상태를 모니터링하는 시스템 |
| 무선랜 침입 차단시스템(WIPS) | 기관 내 비인가 무선 AP 탐지 및 무선랜에 대한 위협을 탐지·차단하는 시스템 |
| DDoS 공격대응 장비 | DDoS 공격에 대한 차단에 특화된 시스템 |
| 개인정보유출방지 시스템 | 주민번호, 여권번호 등 고유식별정보 및 중요정보가 포함된 문서를 식별하거나 외부유출 시 차단하는 시스템 |
| 웹방화벽(WAF) | 웹 서비스에 대한 사이버 공격 차단에 특화된 시스템 |
| 해킹메일 차단시스템 | 악의적인 바이러스 및 악성코드가 포함된 메일 수신 시 탐지 및 차단하는 시스템 |
| 스팸메일 차단시스템 | 일반적인 다량의 메일 수신 및 비정상적인 메일 수신 시 차단하는 시스템 |
| 지능형지속위협(APT) 대응 시스템 | 시그니처 기반이 아닌 비정상적인 행위를 판별하여 이상 징후를 탐지 및 차단하는 시스템 |
| 매체제어시스템 | 인가된 USB 저장장치·이동형 저장장치의 연결을 허용하고, 비인가된 장치에 대해서는 차단 등의 통제 |
주요 단위 시스템별 모니터링 사례
네트워크 유해트래픽 모니터링: IDS, IPS, 방화벽, TMS, DDoS 대응솔루션, ESM 등을 이용하여 네트워크 유해트래픽, 홈페이지 공격, 서버·네트워크 장비에서의 악성코드 발생 등을 분야별로 모니터링한다.
웹 공격 모니터링: WAF의 탐지 로그와 웹서버의 웹 로그를 분석하여 웹 공격 유무를 실시간으로 모니터링한다. IDS와 방화벽의 로그와 비교 분석을 통해 공격을 탐지하기도 한다.
서버·네트워크 장비 공격 모니터링: SMS(서버관리시스템)·NMS(네트워크관리시스템)를 통해 수집된 정보와 보안솔루션에서 발생된 정보의 연관성을 조사하여 사이버 공격을 분석한다.
사용자 컴퓨터(엔드포인트) 모니터링: 사용자 컴퓨터에서 악성코드가 발견되어 외부 인터넷으로 트래픽이 나간다면 보안시스템에서 탐지되며, 엔드포인트 단말기에서는 백신 등을 통해 악성코드를 탐지·차단한다.
보안관제 업무 수행 원칙
| 원칙 | 내용 |
|---|---|
| 무중단의 원칙 | 사이버 공격은 시간과 장소에 구애받지 않으므로, 교대근무체계 구축 등을 통해 24시간 중단 없이 수행 |
| 전문성의 원칙 | 사이버 공격을 실시간으로 탐지·분석·차단하려면 전문기술력을 갖춘 인력과 첨단시설을 갖추어야 함 |
| 정보공유의 원칙 | 피해가 타 기관·분야로 확산되는 것을 방지하기 위해, 관계 법령 범위 내에서 기관 간 보안관제 관련 정보를 공유 |
Related Posts
References
This post is licensed under CC BY 4.0 by the author.