9. 보안관제

보안 분야에서 하게 될 업무는 여러 가지가 있다.

이번 글에서는 보안 직무에서 제일 기본이 되는 직무인 보안관제를 알아보겠다.

 

 

---

 

 

보안관제

 

 

보안관제는 여러 가지 의미로 정의할 수 있지만, 사실 가장 중요한 키워드는 '실시간 모니터링'이다.

실시간 모니터링 활동을 통해서 사이버 공격에 대응하는 일련의 활동을 보고 보안관제라고 이야기한다.

 

정의 및 목적

사이버공격 등 정보통신망에서 발생하는 보안 이벤트를

24시간 탐지, 이상징후 분석, 침해사고 대응까지 하는 일련의 활동이다.

즉, 다양한 IT 자산을 모니터링하여 잠재적 보안 위협을 탐지하고,

이에 대한 대응(복구/분석)을 수행하는 프로세스 또한 포함한다.

보안관제 직무
이러한 보안관제 및 사이버 보안 이벤트를 대응하기 위해서 조직은 자체적으로 

SOC(Security Operations Center, 보안 운영 센터), 

CERT(Computer Emergency Response Team, 컴퓨터 비상 대응팀), 

CSIRT(Computer Security Incident Response Team, 컴퓨터 보안사고 대응팀) 등을 

선택적으로 또는 같이 운영할 수 있다. 

 

또는 *보안관제 전문기업에 보안 관제 업무를 위탁할 수 있다.

*보안관제 전문기업 : 국가사이버안전관리규정 제10조의 2에 따른 

국가 공공기관 보안관제 센터 운영을 지원할 보안관제 전문기업 지정(AhnLab, Sk 쉴더스, 이글루시큐리티 등)

 

 

---

 

 

보안관제 수행 원칙

 

 

보안관제의 수행원칙은 "무중단의 원칙, 전문성의 원칙, 정보 공유의 원칙"

총 세 가지의 원칙이 존재한다.

 

무중단의 원칙
변칙적이고 언제 일어날지 모르는 사이버 공격을 지속적으로 탐지 및 대응하기 위해,

24시간 365일 중단 없이 보안관제가 수행되어야 한다.

이를 위해 보안관제 인력을 보유하고 교대근무 체계를 구축한다.

무중단의 원칙은 사람들이 기피하는 성향을 가지고 있다.

 

24시간 365일 중단 없이 일을 보안관제가 수행되어야 한다는 것은

야간과 주말에도 일을 해야 된다는 의미이기에, 규칙적인 삶이 힘들 수 있다.

 

하지만 요즘 보안관제의 근무 형태는 정말 다양하다고 한다.

주간에만 관제를 하고, 야간에는 타 협력 업체라든가 아웃소싱을 통해서 다른 업체에 맡기는 경우도 있다.

 

또한 근무 형태를 더 밸런스 있게 만들 수 있다.

 

예를 들어, 12월은 주간에만 일을 하고 1월 달에는 야간에만 일을 하는 형태이다.

하지만 매일매일 야간이 아니라, 오늘 야간, 내일 그리고 모레 쉬는 형태로 수행을 하는 회사들도 많이 있다.

그리고 제일 대표적인 근무 형태는 오늘 주간, 내일 야간, 다음 이틀은 쉬는 주야비비라고 불리는 형태이다.

 

아무튼 모든 회사들이 24시간, 365일 일을 하는 형태는 아니고,

위와 같은 방식으로 여러 가지 교대 근무 체계를 갖고 있다는 것도 기억하면 좋을 것이다.

전문성의 원칙
보안관제 업무를 위해서는 관련 시설과 함께 정보시스템, 네트워크 이론, 기술 등의 

전문 지식을 가진 전문 인력이 필요하다. 시설 및 인력의 수준에 따라 탐지 정도가 차이가 날 수 있다.

 

정보공유의 원칙
유사한 사이버 공격이 여러 기관에 걸쳐 발생할 수 있기 때문에, 국가 차원에서 사이버 공격을 

탐지 및 대응하기 위해서 관련 법령에 위배되지 않는 범위에서 보안 관제 관련 정보를 공유해야 한다.

 

 

---

 

 

보안관제 업무 프로세스

일반적으로 보안관제 업무 프로세스를 5단계(예방 > 탐지 > 대응 > 분석 > 보고 및 공유)로 구분화한다.

5단계를 거치고, 보고 및 공유 단계를 통해서 다시 예방 단계로 돌아오면서 반복하는 순환 구조로 되어 있다.

 

하지만 보안관제 업무 프로세스는 위와 같이 표준화되어 있는 형태가 아니고,

전문 기관 및 업체마다 상이한 경우가 많다.

그렇지만 대부분은 비슷한 느낌으로 정의하고 있다.

 

예방
중요시스템, 네트워크, 웹 서비스 등의 취약점을 사전에 파악하여 침해 사고를 예방하며,

IDS, IPS, 방화벽 등 보안 시스템에 대한 보안 정책 및 시스템 자원의 최적화를 할 수 있다.

 

예방 단계는 그동안 탐지, 대응, 분석, 보고 및 공유했던 내용들을

예방 단계에 적용을 해서 재발되지 않게끔 하는 과정도 포함된다.

 

또한 주기적으로 실제로 사고가 일어났다는 가정을 하고 담당자별로 역할을 지정하여 모의 훈련을 진행한다.

이러한 과정은 실제로 사건 사고가 뭔가 이제 생겼을 때 좀 더 빠르게 조치할 수 있을 것이다.

 

탐지

보안 시스템에 대한 24시간 365일 실시간 탐지 및 분석한다.

 

아무리 예방을 열심히 해도, 기술의 발전과 함께 공격 기술도 여러 형태가 생기기 때문에,

탐지 단계를 통해서 실시간 탐지 및 분석을 한다.

 

대응

보안관제 업무 시 발견된 비정상 네트워크 및 시스템에 대한 초기대응과

사이버공격 발생 시 신속히 조치하고 대응한다.

 

탐지 및 분석을 통해 공격으로 확인된 것들을 빠르게 대응하는 것이다.

대응을 통해서 사건 사고가 커지지 않도록 하는 것이 중요하다.

분석

보안시스템 로그, 네트워크 패킷 및 다양한 보안이벤트 등을

종합적으로 상관 분석하여 재발 방지 및 확산을 방지하기 위한 방안을 강구한다.

 

대응 후에 분석을 하는 것이다.

분석을 통해 악성 코드라는 것이 밝혀지면, 해당 악성 코드에 대한 분석 등을 통해

탐지할 수 있는 탐지 패턴을 만드는 방안 등을 강구하는 것이다.

보고/공유
관제일지, 취약점 정보, 침해사고대응 분석보고서 등을 보고 및 관리한다.
또한 정보 공유의 원칙에 따라 타 기관에게 정보 제공한다.

 

실제 탐지 대응 분석했던 내용들을 보고서로 작성하여,

재발되지 않도록 하고 다른 기관들에게도 공유하는 것이다.

 

 

이러한 보안관제 프로세스를 정의하고 프로세스를 반복하여, 

보안관제 업무성과 평가, 관세 시스템 고도화, 개선, 업무 연속성 강화를 기대할 수 있다.

 

---

 

 

보안관제 유형 및 특징

 

 

환경과 고객의 특성 및 요구 사항을 고려하여 업무 유형이 지속적으로 변화하고 있지만,
보편적으로 2가지(온프레미스 관제, 클라우드 관제) 유형으로 제공된다.

 

그리고 온프레미스 관제는 원격관제, 파견관제, 자체관제 3가지 관제가 존재한다.

 

나중에 온프레미스와 클라우드 환경을 자세히 비교해 볼 예정이지만,

클라우드가 유연성이 더욱 편리하다는 장점이 있다.

 

과거보다는 클라우드가 많이 늘어나긴 했지만, 생각보다 클라우드가 비용이 많이 들어가기 때문에, 

아직까지는 온프레미스와 클라우드 사이에서 많은 기업들이 고민하고 있는 상황이라고 볼 수 있다.

 

하지만 클라우드는 물리적인 공간이 필요 없기 때문에 비용적인 측면을 장기적으로 봤을 때,

온프레미스 환경 보다 비용이 덜 들어간다.

 

 

원격관제

 

텍스트 그대로 원격으로 관제 서비스를 수행하는 관제를 의미한다.

아무래도 원격으로 수행을 하기 때문에 문제가 발생했을 때, 지원이 한정적이다.

 

직접 현장에서 근무를 하는 형태라면 모든 서비스를 이용해서 빠르게 전체적으로 지원할 수 있지만,

원격으로서는 지원할 수 있는 내용들이 한정적인 것이다.

 

정의

보안 관제 기업, 업체가 보안관제에 필요한 관제 시스템을 구비하고, 관제가 필요한 대상 기관의 보안 도구(IDS, IPS 등)를

중심으로 보안 이벤트를 24시간 365일 상시 모니터링하고, 침해사고 발생 시 긴급 출동하여 대응 조치하는 형태이다.

 

특징

관제 인력이 원격으로 위치하면서 대상 기관의 일부 단위 보안 시스템의 운영 및 관리를 위탁하는 방식.

 

원격으로 확인을 한다는 것 자체가 관제 기관에서 봐야 할 대상들이 지정이 되어 있을 것이다.  

그 대상들이 IDS, IPS와 같은 보안 도구이며, 여기서 노출되는 결과들을 보는 형태이다.

 

즉, 대상 기관에서 구축해 놓은 것들을 바탕으로 모니터링하는 것이기에,

대상 기관에서 만들어 놓은 것을 우리가 대신해서 원격으로 봐준다는 것이다

 

대상

일반 기업, 포탈 업체 등

 

장점

전문인력을 직접 파견받는 파견관제에 비해 저렴하며, 인력 관리에 대한 부담이 없다.

또한 인터넷 망을 통한 관제이기에, 별도의 회선 구축이 필요 없다.

 

아무래도 직접 인원을 파견하는 형태가 아니고,

원격 근무 형태이기에 인건비적인 부분이 많이 들어가지 않는다.

 

이러한 이유로 보통 일반적인 형태의 작은 기업들, 포탈업체, 학원, 쇼핑몰 등이 원격 관제를 선호하는 것이다.

 

단점

비교적 한정된 서비스 제공을 할 수 있기에, 침해/장애 발생 시 즉각적인 조치가 어렵다.

통보는 즉시 가능하나 조치를 위한 인력 수급이 필요한 것이다.

 

 

 

파견관제

 

온프레미스 관제 형태 중에서 60~70% 이상 가장 많은 비중을 차지하고 있다.

즉, 관제가 필요한 기관에서 파견관제를 가장 선호하고 이용하는 것이다.

 

파견관제는 본사에서 근무를 하는 것이 아닌, 파견 대상 기관에서 직접 근무하는 형태이다.

보안관제에 해당하는 채용공고를 보면 "~ 지역에서 근무 가능한 자"와 같은 내용을 볼 수 있다.

 

정의

대상 기관이 자체적으로 보안 관제 시설 및 시스템을 구축하고,

보안관제 전문 기업, 업체로부터 전문 인력을 파견받아 즉각적인 관제 업무를 수행하는 형태이다.

 

특징

자체 구축한 보안관제시스템의 운영 및 관리를 위탁하는 방식으로,

전문인력이 대상기관에 파견되어 관제업무 수행, 조직전반 및 산하기관 보안관제 체제 구축을 수행한다.

 

대상

공공분야, 금융권 등

 

장점

- 고객사에 특화된 관제서비스 제공 가능

- 고객사 정보보호담당자와 관제 인력 간의 원활한 의사소통 가능

- 침해/장애 발생 시 즉각적인 조치가 가능

- 업무 연속성 및 효율성 증대

- 고객사의 현황에 대한 명확한 이해로 추후 사이트의 확장 및 시스템 구성변경 등에 있어 지원 가능

 

아무래도 보안 전문 인력이 직접 현장에서 근무하는 형태이기 때문에,

문제가 발생했을 때 즉각적으로 지원할 수 있고 전사적인 서비스를 이용할 수 있다는 큰 장점을 가진다.

 

즉, 문제가 발생하더라도 빠른 조치를 통해서 피해가 커지지 않도록 할 수 있기에,
공공기관, 금융기관, 대기업과 같이 큰 회사 및 기관들이 파견관제를 매우 선호한다.

 

단점

휴무 및 교체 등 인력 관리가 필요하며, 인력이 직접 파견되기 때문에 비교적 높은 비용이 발생한다.

 

 

 

자체관제

 

앞서 알아본 형태와는 달리 외부에서 보안에 경력이 있는 사람을 채용하고,

그 인원을 통해 자체적으로 관제 서비스를 하는 것이다.

 

정의

자체적으로 보안관제 시설 및 시스템 구축, 관제 전문 인력 양성을 통해 직접 운영 및 관리하는 형태.

 

특징

조직 자체 정규직, 계약직 보안인력을 통해서 보안관제시스템의 운영 및 관리를 자체적으로 수행한다.

 

대상

일반적으로 내부에 있는 정보가 유출되어서는 안 되는 특징을 가지는 회사들이 자체 관제를 선호한다.

국정원, 경찰청, 사이버 수사대, 국립과학수사연구원, 대규모 통신사 등

 

장점

내부기밀유지 및 신속한 사고처리에 우수하며, 정보보안 관련 기술을 보유할 수 있다.

 

단점

과도한 초기 투자의 예측이 어려우며, 보안 솔루션 운영에 대한 부담이 있을 수 있다.

또한 보안 관제 전문 기업보다 비교적 보안 전문가 양성의 어려움이 존재한다.

 

 

클라우드 관제

 

클라우드 상에 존재하는 가상의 장비를 모니터링하는 형태이다.

 

정의

온프레미스 환경에서의 관제 유형들과는 달리, 서버와 DB 등 IT 자원을 인터넷 접속을 통해 사용하는

클라우드 환경 내에서 일어나는 보안 위협을 모니터링하는 등의 클라우드 관제 형태이다.

 

대상

클라우드 서비스를 제공하는 업체(AWS 등)

 

특징 및 장점

장시간의 시스템 구축, 유지보수, 확장성 문제 등이 단점이 존재하는 온프레미스 환경을 보완할 수 있는

클라우드 환경에서도 온프레미스 환경과 동일하게 보안관제서비스를 제공받을 수 있다.


단점

고객의 비즈니스를 이해해야 하는 어려움이 있으며,

클라우드 특성상 온프레미스 환경 관제보다 리스크가 크다고 할 수 있다.

 

 

---

 

 

보안관제 웹 페이지

 

 

보안관제 업무 시 여러 웹 페이지를 사용하여,
시스템 감시 및 탐지 등에 도움이 될 수 있다.

WHOIS / ipconfig

보안 관제 업무 중 실시간 모니터링을 하면서 패킷의 IP와 포트 번호를 제일 먼저 보게 된다.

 

그럼 그 IP가 정말로 안전한 IP 인지, 해외 IP 인지 등을 파악을 해야 하기 때문에,

IP를 좀 더 상세하게 조회할 수 있는 WHOIS, ipconfig 등의 사이트를 이용할 수 있다.

 

또한 특정 도메인의 소유자, 등록자, 등록일 등을 확인

 

WHOIS는 국내 IP를 조회하는 데 더 특화되었다 보니, 가끔 해외 IP가 조회되지 않는 경우들이 있다.

그래서 해외 IP를 조회하고자 할 때, ipconfig라는 사이트를 많이 이용한다. 

http://후이즈검색.한국

http://ipconfig.kr/

IPCONFIG.CO.KR , IPCONFIG.KR

 

 

VirusTotal

다양한 안티바이러스 엔진을 활용하여 파일, 도메인, IP 및 URL의 악성코드 스캔 결과를 확일할 수 있는 웹 사이트이다.

 

다운로드한 파일 또는 수신한 링크의 안전성을 평가하고, 악성코드에 감염된 지 여부를 확인할 수 있다.

또한 스캔한 IP가 현재 악성인지, 과거에 악성 이력이 존재했었는지도 파악할 수 있다.

관제 업무에서 정말 많이 이용하는 웹 사이트이며, 악성코드 분석, 포렌식, 악성 URL 식별 등에서 사용될 수 있다.

https://www.virustotal.com/gui/home/upload

VirusTotal

 

 

Shodan

추후에 참해대응을 알아보면서 자세히 다룰 예정이다.

공개된 인터넷에 연결된 디바이스 및 시스템

(인터넷상 서버, 컴퓨터, 웹 카메라, 스마트홈 장비 등)에 대한 정보를 검색할 수 있는 서비스이다.

 

검색창에 검색하고자 하는 장비의 특정 포트, 프로토콜 등의 정보를 입력하면,

해당 장비의 웹 서버가 작동하고 있는 장비들을 검색할 수 있다.

Ex) ”port:80” 입력 시, 해당 포트 80을 사용하는 웹 서버에 대한 정보 검색 가능.
Ex) "protocol:https" 입력 시, HTTPS 프로토콜을 사용하는 장비들에 대한 결과를 얻을 수 있음.

Shodan은 장비들의 IP 주소, 사용 중인 포트, 서비스 버전, 운영체제 버전, 웹 서버 정보 등 이외에도 다양한 정보를 수집한다. 

이러한 정보를 수집하기 위해 인터넷에 연결된 장비들의 IP 주소, 포트를 스캔하고, 

연결이 성공하면 그 장비의 정보를 수집하는 형태이다. 

 

침해대응에서 많이 활용하는 웹 사이트이며,

특정 포트나 프로토콜을 사용하는 시스템을 식별하고, 보안 취약성을 평가하고, 조사할 수 있다는 점에서
취약한 시스템 검색 및 취약점 조치, 사이버 공격 표적 식별, 보안 평가 등에서 사용된다.

 

https://www.shodan.io/

Shodan

 

 

위와 같은 도구들을 효과적으로 활용하여 보안관제 업무를 보다 효율적으로 수행할 수 있다. 
그러나 항상 합법적인 목적으로 사용해야 하며, 개인 정보 보호와 윤리적인 측면을 고려해야 한다.

 

 

---

 

 

악성코드 분석에 대한 내용을 들어가기 전에,

위에서 잠시 알아보았던 Virustotal에 대해 다음 글에서 좀 더 자세히 알아볼 예정이다.