10주차 과제 - 보안관제

10주차 과제 - 보안 관제.pptx

2.21MB

 이번 시간에는 보안관제 업무에 관하여 알아보는 시간이 되겠습니다.

 

 과제 발표에 사용한 ppt 파일을 첨부하겠습니다. 현재 진행하고 있는 과제는 AI 스쿨의 리팩토링 보안직무 과정의 일부입니다. 만약 해당 과정에 더 관심이 있으시다면 AI스쿨의 공식 카페에 방문하여 더많은 정보를 확인해 주시기 바랍니다.

https://cafe.naver.com/itscholar

정보보안전문가 취업카페 스칼라 : 네이버 카페

 보안관제(Security Control)이란, 고객이 가지고 있는 IT 자산들을 사이버공격으로부터 보호하기 위해서 24시간 모니터링, 보안 정책 제공, 침입시도 탐·방지 등의 보안 서비스를 제공하는 일입니다. 이 일은 현대에 나날이 증가하는 사이버 공격에 대응하기 위해 중요성이 점점 증가하고 있습니다. 최근 진행 중인 코로나로 인한 사회적 거리두기로 인해 이런 움직임이 가속화 되고 있습니다.

 [이미지 1]

 이미지는 SANS Institute에서 CIS(Center for Internet Security)에 제시한 핵심 보안 관제 수단입니다. 보안 전문가가 최우선적으로 구현해야 할 20가지 기능을 리스트로 제시한 것입니다. 리스트를 살펴보는 것으로 보안관제에서 어떤 일을 하는지 알아보는 데에 참고할 수 있습니다.

-허가 & 비허가 하드웨어 장치의 목록
-허가 & 비허가 소프트웨어의 목록
-지속적인 취약점 관리
-관리자 권한의 제어된 사용
-모바일 장치, 랩톱, 워크스테이션 및 서버의 하드웨어 및 소프트웨어에 대한 보안 구성
-감사 로그의 유지 관리, 모니터링 및 분석
-이메일 및 웹 브라우저 보호
-맬웨어 방어
-네트워크 포트, 프로토콜 및 서비스의 제한 및 제어
-데이터 복구 기능
-방화벽, 라우터 및 스위치와 같은 네트워크 장치에 대한 보안 구성
-경계 방어
-데이터 보호
-알아야 할 필요성에 따라 접근 제어
-무선 액세스 제어
-계정 모니터링 및 제어
-보안 인식 및 교육 프로그램 구현
-애플리케이션 소프트웨어 보안
-사고 대응 및 관리
-침투 테스트 및 레드 팀 연습



 보안관제 업무에서 하는 주요 역할을 총 4가지입니다. 그 내용은 다음과 같습니다.

 보안 시스템 통합 관리

- 이기종에 대한 Agent를 통한 모니터링 및 관리
- EX) 침입탐지/차단 시스템, 네트워크 자원 관리

 일관성 있는 정책 구현

- 중앙에서 일관성 있고 표준화된 정책을 관리 및 적용하여 보안장비를 향한 위험요소를 최소화 

 신속한 대응 처리

- 365일 24시간 실시간 모니터링을 통해 장애 처리, 업무 중단의 위험요소를 감소

 최적의 보안 체계 운영

- IT 자산을 효과적으로 보안관제할 수 있는 환경 조성

 [이미지 2]

 보안 관제의 업무 절차를 보여주는 이미지입니다. 업무 절차는 정보 수집, 모니터링 및 분석, 대응 및 조치, 보고 로 이루어집니다. 정보 수집 단계에서 먼저 보안 관제를 맡고 있는 곳을 점검하여 보안 장비의 상태, 고객 기업의 네트워크 현황, 시스템 현황 등을 파악하여 사이버 공격 흔적 등을 탐지합니다. 그리고 KISA, 국가 사이버 안전 센터등의 홈페이지를 탐색하여 새로운 유형의 공격이나 현재 유행하고 있는 유형의 사이버 공격 등의 정보를 탐색하여 정리합니다.

 그 다음, 보안장비의 로그, 여러 해킹 공격의 패턴을 분석하고 수집한 정보들에 있는 취약점을 확인하고 홈페이지에서 얻었던 정보들을 종합하여 취약점 분석 등을 실시합니다. 그리고 침해된 자산이 있을 경우 공격이 접근한 IP를 차단한다거나, 웹 페이지에 장애 사항을 정리하여 등록하는 등의 대응을 합니다. 마지막으로 이런 몯느 사항들을 관제일지에 적고 보고를 하게 됩니다.

 보안관제에서 있는 주요 업무들은 방금 업무 절차들에서도 나왔듯이 예방, 탐지, 분석, 대응, 보고라는 5가지로 이루어져 있습니다. IT 자산이 공격에 노출되기 전에 예방하고, 365일 24시간 실시간으로 들어오는 공격을 탐지하고, 이렇게 하는 탐지활동 중에 일어난 보안 이벤트들을 분석하여 재발 방지 및 확산 방지를 위한 방안을 연구하고, 사이버 공격이 일어난 경우 신속하게 대응하며, 이런 모든 일들을 사후에 보고하는 것이 그것입니다.



 다음은 보안관제의 업무 유형입니다. 업무 유형은 크게 두 가지로 나뉘는데 온프레미스(On Premise)와 클라우드입니다.



 온프레미스는 전통적인 방식으로 하는 보안 관제 시스템입니다. 기업이 서버를 자체적으로 보유하고 운용하는 경우를 뜻하며 틀리우드 환경이 등장하기 전까지는 모든 기업이 사용하는 일반적인 방식이었습니다. 이 온프레미스는 세가지 방식으로 나뉘는데 원격관제, 파견관제, 자체관제가 그것입니다.

 원격관제는 관제업체에서 보안관제 시스템을 구축하고 서비스를 받는 기업의 보안장비에 원격으로 접속해 이벤트를 관리하는 방식입니다. 장점으로는 저렴하고, 인력 관리도 쉽고, 인터넷 회선을 별도로 구비할 필요도 없다는 점이 있지만, 서비스 제공 자체가 어려운 편이고 특화 서비스를 제공하기도 여의치 않습니다. 그리고 즉각적인 대응이 힘들다는 점도 존재합니다.

 파견관제는 기업이 보안관제 시스템을 구축한 뒤 보안 관제 업체에서 전문 인력을 파견받아 관제업무를 실행하는 방식입니다. 장점으로는 특화적인 서비스를 제공할 수 있고 즉각적인 대응이 가능하다는 점이 있지만 비용이 비싸고 인력관리도 어려운 점이 단점입니다.

 자체관제는 기업이 관제 시스템과 전문 인력을 스스로 구축하고 운영하는 것입니다. 이 경우 내부 기밀을 유지하기 편하고, 사고 처리가 더 빠르며 기업 내부의 타 부서들과 더 긴밀한 협력이 가능하다는 장점이 있지만 보안 전문 업체를 사용하는 것에 전문성이 떨어질 가능성, 초기 투자가 비싸다는 점, 보안업계의 최신 트랜드 파악에도 어려움을 겪을 수 있으며 인력 양성이 매우 어렵다는 점이 발목을 잡습니다.




 클리우드 보안은 클라우드 환경에 적용되는 보안관제 시스템입니다. 일반적으로 클라우드 서비스를 제공하는 기업에서 같이 시행하는 이 서비스는 보안관제 서비스가 유동적이고, 하드웨어 의존성도 낮으며 고객사의 요청에 최적화된 서비스다 가능하다는 장점을 가졌지만, 클라우드 기술 자체가 가진 리스크, 업무 이해 난이도가 높은점, 고객사의 요청에 최적화를 해주는 것이 어려운 점이 단점입니다.



 마지막으로 정보보안계에서 사용하는 웹페이지를 몇 가지 짚어보고 가겠습니다.

 Whois 는 한국 인터넷 진흥원이 제공하는 인터넷주소의 등록 및 할당 정보 검색 서비스입니다. 이중 IP 주소 검색기능은 국내 IP에 한해서이지만 상세 주소도 검색할 수 있을 정도로 정확하기에 현업인들도 자주 사용합니다.

 Ipconfig 는 IP주소를 확인하는 사이트로 상술한 Whois에서 찾지 못하는 해외 IP 주소를 찾는데 주로 사용됩니다.

 Mozilla Observatory 는 웹페이지의 보안을 시험해주고 보안 취약점과 개선점등을 파악하여 보고서를 만들어주는 사이트입니다.

 VirusTotal 은 파일을 검사하여 악성코드가 들어가있는지 판별하는 사이트입니다.