보안관제

기업의 각종 보안 이벤트 및 시스템 로그 등을 관제 센터 에서 실시간으로 모니터링하고, 나아가 철저한 분석을 통해 발생한 문제점에 대해 대응책을 제시하여 미래보안사고를 예방하는 기능을 수행

보안관제의 구성 요소

  1. 에이전트
    정보는 관제 센터에서 모니터링 및 분석에 사용.
    각종 보안 장비 및 서버, 네트워크에 설치되어 해당 시스템에 적합한 설정에 따라 로그 정보를 실시간으로 관제센터에 전송.
  2. 정보수집 서버
    에이전트에 대한 확인 작업을 통해 모니터링 과정 및 분석과정에 요구되는 각종 리포팅 소스를 제공.
    각각의 에이전트에서 보낸 다량의 정보를 수집 및 처리하여 데이터베이스에 저장하는 역할을 수행.
  3. 통합관제용 시스템
    각종 이벤트의 로그 분석을 수행하며 다양한 정보를 종합적으로 분석하는 것은 물론 상황에 따라 분석하여 관제담당자들을 지원

보안관제의 유형

환경 보안관제 유형
온프레미스 파견관제
원격관제
자체관제
클라우드 클라우드 관제
  1. 원격관제
    업체가 보안관제에 필요한 관제시스템을 스스로 구비하여 대상기관의 침입차단시스템 등 보안장비 중심의 보안 이벤트에 대하여 상시 모니터링을 수행하는 서비스
  2. 파견관제
    대상기관이 직접 자체적으로 보안관제 시스템을 구축하여 관제 업체로부터 전문 인력만 파견 받아 관제 업무를 수행
  3. 자체관제
    보안관제시스템의 구축 및 관제 전문 인력을 양성하여 자체적으로 운영 및 관리하는 관제 형태
  4. 클라우드 관제
    서버와 데이터베이스등 IT자원을 인터넷 접속을 통해 사용하는 클라우드 환경에 대한 관제
    기업은 클라우드 내에 서 일어나는 보안위협을 모니터링하여 온프라미스 환경과 동일하게 보안관제 서비스를 제공받음

보안관제 프로세스

예방

  • 사이버위협 정보를 사전에 공지하여 방어토록 하며, 최신 위협 및 해킹 등 보안동향 정보를 제공
  • 침입차단시스템, 침입탐지시스템, 웹 방화벽 등 보안 시스템에 대한 보안정책 및 시스템자원의 최적화를 통해 효율적인 사이버공격 탐지를 지원

탐지

  • 네트워크 트래픽 정보 및 내부 정보를 절취하기 위한 사이버공격 시도 행위를 사전에 알아내는 행위
  • 네트워크 패킷 및 다양한 보안 이벤트(공격자정보, 공격시간, 공격방법 등) 등을 종합적으로 상관 분석하여 재발 방지 및 확산을 방지하기 위한 전략 수립

대응

  • 해당 기관의 시스템 환경을 고려하여 보안 정책을 설정
  • 보안관제 업무 시 발견된 비정상적인 네트워크 및 시스템에 대해 기술적 및 정책적으로 대응
  • 사이버 공격 발생 시 관련 사실을 해당 기관에 통보하고 피해 시스템의 유무 파악 및 정상적으로 운영될 수 있도록 전문 기술 지원

보고

  • 보안관제 업무 수행 시, 정기보고서(일간/주간/월간) 및 수시보고서를 통해 현재의 상태를 관리
  • 보안사고 사고 및 장애 발생 시, 관련 처리 보고서를 작성 및 보고함으로써 발생한 사고의 원인, 대응, 결과를 통해 향후 대책 수립

공유 및 개선

  • 사이버 공격으로 인한 피해가 타 기관으로 확산되는 것을 방지하기 위하여 관계 법령에 위배되지 않는 범위에서 보안 관제 관련 정보를 공유
  • 해당 보안 문제가 발생되지 않도록 기술적이고 정책적으로 개선 조치하여 보안 사고가 발생되지 않도록 예방

보안관제의 수행원칙

  1. 무중단의 원칙
    사이버 공격을 신속히 탐지 및 차단하기 위해서는 24시간 365일 중단없이 보안관제 업무를 수행
    특히, DDoS 공격과 같이 정보시스템이나 네트워크의 가용성을 저해하거나 마비시키는 사이버 공격 또는 해킹공격은 실시간으로 신속하게 탐지 및 대응하는 것이 필수적
    이를 위해 보안관제센터 운영 기관 또는 민간 보안관제 업체는 적정 수의 보안관제 인력을 보유하여 교대근무 체계를 구축

  2. 전문성의 원칙
    보안관제 업무 수행을 위해서는 사이버 공격정보 탐지시스템 등 보안관제에 필요한 시설과 함께 정보시스템 및 네트워크 이론을 포함한 프로그램 분석, 포렌식, 해킹기술 등 다양한 방면에 대한 전문지식과 경험, 노하우를 가진 전문인력이 매우 중요
    보안관제 시설 및 인력의 전문성 수준에 따라 사이버 공격정보를 탐지하는 정도에 차이 발생

  3. 정보공유의 원칙
    사이버 공격은 동일하거나 유사한 공격이 여러 기관에 걸쳐 동시 다발적으로 발생하는 특성
    때문에 어느 한 기관이나 기업에서 보안관제를 완벽하게 수행하여 공격을 사전에 탐지·차단한다고 하더라도 다른 기관에서는 동일한 공격으로 인한 침해사고가 발생 할 수 있음
    따라서 범 국가차원에서 사이버 공격을 탐지하고·차단하기 위해서는 관계 법령에 위배되지 않는 범위 내에서 보안관제 관련 정보가 신속하게 공유되어야함

Reference

https://m.blog.naver.com/skinfosec2000/221116097157

https://sungks.tistory.com/243

'보안관제' 카테고리의 다른 글

정적 분석 도구 실습  (1) 2023.12.20
동적분석, 정적분석  (1) 2023.12.07
Virustotal  (1) 2023.11.25
악성코드  (1) 2023.11.11
탐지 분류  (0) 2023.11.11

+ Recent posts

티스토리툴바