정보보안 / 보안관제(1/4) - 정의 및 업무절차

https://zerotrust.tistory.com/15

[보안이야기#5]정보보안 직무-보안관제(1)

퍼온 내용 입니다.

 

안녕하세요 보안코치 제로썬이에요 :)

 

오늘은 여러분들에게 정보보안 직무에 대해 소개 해주려고 해요~!!

 

보안 직무는 다양하게 있는데요 정보보안 분야 일을 하고 싶으나, 정작 어떤 직무가 있고, 어떤 업무를 하는지 정확하게 모르는 경우를 많이 봐왔는데요. 10년 전보다는 훨씬~~많이 알려지긴 했어도 여전히 부족한건 어쩔수 없는것 같아요 제가 여러분들에게 보안 직무 이해하실 수 있도록 도와 드리겠슴돠!

 

자 그러면 시작해볼게요~  아래 보시는거와 같이 정보보안 직무가 다양하게 있는것을 보실 수 있죠?? 

보안 직무에 대한 중요한 내용을 이야기 해드릴게요.(혹시 보시면서 부족하시다고 생각하는 부분이 나올 수도 있고, 조금 더 알고 싶은 내용 있으시면 댓글 달아주시면 추가 해드릴게요~)

정보보안 직무 종류

정보보안 직무를 이야기 해보면 가장 많이 말하는 직무는 보안관제, 침해대응, 취약점 진단, 모의해킹 등이 있을거라고 생각해요. 각 직무별 어떤 업무와 기술 이해하고 익혀야 하는지 알게 된다면 정보보안 분야 일을 하는데 약간 더 다가갈 수 있을겁니다!! 

 

첫번째는 보안관제에 대해서 이야기 해볼게요!

보안관제에 대한 인식이 예전에도 안좋았고? 요즘에도 안좋은 것 같아요~ 뭐 여러 이유가 있겠지만 기본적으로 교대근무이기 때문에 일하는 시간이 밤, 낮이 바뀌어서 바이오 리듬?이 깨져서 몸이 안좋아진다, 남들이 쉴때 나는 일한다 등 다양하게 보안관제에 대한 안좋은 인식을 가지고 말을 듣곤 합니다.

단순하게 보안관제 일이 안좋다는 사람들이 말을 듣고 편견을 가지는 것보다 보안관제를 충분히 이해하고 접근하면 더 좋지 않을까 생각합니다~

아래 내용들은 저의 주관적인 내용이 들어가 있기 때문에 참고적으로 봐주세요.^^

 

1. 보안관제

“보안관제”는 사이버 위협 공격으로부터 정보자산을 보호하기 위해 24시간 365일 실시간 모니터링, 탐지, 분석, 대응하는 서비스이다! 라고 정의할 수 있어요

모니터링, 판단, 상황전파

보안관제는 업무 범위에 따라 일하는 곳마다 다르지만 자세한 업무는 다르지만 전체적인 큰 흐름은 아래와 같아요

1.보안관제는 24시간 동안 교대근무를 하며, 실시간 모니터링, 이벤트 처리 합니다.

2. 이벤트 판단(정탐/오탐) 후 정탐일 경우 차단 조치 또는 공격재현 결과 성공일 경우 초동 대응를 합니다.

3. 공격으로부터 성공이 되었다면 상황전파 대상자(CERT, 보안 담당자 등)들에게 상황전파를 합니다. 

 

보안관제는 365일 24시간 보호하는 대상(홈페이지 등)으로 유입되는 트래픽 중에 정상과 비정상적인 패킷을  구분을 하기 위해 보안 시스템(IDS, IPS, WAF 등) 정책에 따라 탐지로그를 이벤트화 하는데요. 이벤트 기준은 위험도가 높은 공격 또는 정탐과 오탐이 발생되는 정책을 이벤트를 통해 판단할 수 있도록 하기 위함이죠.(판단이 필요한 정책을 이벤트를 만들죠) 

보안관제 핵심은  "실시간으로 모니터링을 하고 이벤트를 판단(정탐/오탐)하고 공격이 성공됐을 경우 상황전파를 한다."입니다. 

 

조금 더 자세하게 이야기 해볼게요~~

크게 4가지로 보안관제 업무 절차를  구분할  수 있는데요.

 

1. 정보수집

• 보안 시스템
• 네트워크
• 서버

정보수집 단계에서는 크게 "보안 시스템", "네트워크", "서버" 에서 정보(로그 등)을 수집하게 되는데요.

정보수집을 해야 분석을 할 수 있는거 아니겠습니까?!!?!(너무 당연한 말인가요?ㅎㅎ)  

다양한 데이터 수집을 하게 되는데 호스트와 네트워크 두 가지 기반으로 수집하게 됩니다.

 

  1-1) 호스트(Host) 기반 데이터 수집

• 시스템 날짜와 시간
• 시스템에서 현재 동작 중인 어플리케이션
• 현재 연결이 성립된 네트워크 상황
• 현재 열려진 포트
• 알려진 소켓 상에서 대기하고 있는 어플리케이션
• 네트워크 인터페이스의 상태
• 메모리 정보
• 현재 열려진 파일
• 시스템 패치 상황

  1-2) 네트워크(Network) 기반 데이터 수집

• IDS/IPS 로그
• 네트워크 모니터링 기록
• 라우터 로그
• 방화벽 로그
• 인증서버 로그
• 백신탐지 로그
• 웹 방화벽 로그
• DDoS 로그
• 패킷분석시스템 로그

호스트 기반과 네트워크 기반으로 데이터 수집되어 이벤트, 경보를 발생 시키도록 만들어 모니터링 및 분석하게 됩니다.

다양하거나 데이터가 많을 수도 있고 적을 수도 있는데요, 많다고 좋은것도 아니고 적은것이 좋은것도 아니게 되는데요(그래서 뭐가 좋다는데?!)

빅데이터 분석은 다양하고 정보와 많은 데이터를 분석할 수 있기 때문에 연관성, 상관성, 지난 데이터 확인 등 할 수 있는 것들이 많지만 그만큼 데이터를 읽고 쓰려면 분석하는 시스템이 뒷받침되어야 하겠죠...

그러면 시스템에 대한 비용이 올라갈 수 밖에 없는 슬픈 현실을 맞아?버립니다. 그리고 빅데이터를 분석하지 못하면 무쓸모이기도 한거죠....... 정보수집되는 없으면 아예 분석조차 못할 수도 있고, 지난 데이터를 못보거나 연관성, 상관성을 할 수 없어서 공격 및 피해 등에 대한 파악하는데 한계가 될 수 있죠...

그래서 뭐가 좋은가요? 그런건 없어요....ㅎㅎ

선택하자면 다양하고 많은 정보를 수집 하는게 좋겠죠~~ 보호하고자 하는 대상과 범위에 따른 전략에 따라 다르다고 생각해요.

 

2. 모니터링 및 분석

• 이벤트(or 경보) 분석
  • 보안장비 로그, 웹 로그, 패킷 분석
  • 정탐 및 오탐 판단
  • 보안장비 차단여부 확인
  • 공격유형 및 피해유형 확인
• 모니터링
  
  • 트래픽 이상유무 확인
  • 홈페이지 위/변조 확인
  • 서비스 정상유무 확인
  • 최신 보안 동향 보고 등

서비스(홈페이지 등)이 정상적으로 동작되는지, 홈페이지가 위/변조 되었는지, 최신 보안 동향(언론 동향을 본다고도 하죠)을 상시적으로 확인합니다.

트래픽 이상유무 모니터링은 "DDoS 공격"을 대비할 수도 있고, 갑자기 서비스(서버) 네트워크 문제로 트래픽이 증가될 수도 있는 것에 대해 트래픽량에 대한 증감을 확인하고 로그도 보기도 하는것이죠.

 

3. 대응 및 조치

• 침해탐지 IP 차단
• 장애 및 이벤트 등록
• 보고(보안 담당자에게) 및 대응지시

대응은 기본적으로 공격자IP를 차단하기 위해서 탐지된 이벤트를 정탐/오탐을 판단 후 정탐일 경우 IP를 차단하는게 기본적으로 합니다.(물론 IP차단도 안한 곳이 있을 수도 있지만..)

트래픽 이상징후에 대한 모니터링 시 장애가 발생할 경우와 이벤트 발생이 필요한 로그를 이벤트 등록 필요하게 되는데요.

 

예를 들어 이벤트 분석하는 시스템 장애가 발생했다고 가정 해볼게요~ 이벤트가 발생되지 않아 처리 못하는 상황이겠죠?? 그 사이에 공격이 안들어 왔을까요?? 공격이 유입될 수도 있고, 안들어왔을 수도 있는데요.

이벤트를 분석하는 시스템이 장애나거나 시스템 업데이트 시에 보안관제에서는 "수동 이벤트 처리 및 등록" 한다고 하는데요

수동 이벤트 처리는 보안장비(IDS 등)에서 위험도가 높은 공격에 대한 정책(패턴)을 경보를 발생 시켜서 로그 분석하는걸 말하는데요. 이벤트 분석 시스템이 복구가 되면 수동으로 처리 했었던 이벤트(로그)에 대해 이력을 남기기 위해 수동 이벤트 등록을 하는 것이죠. 이벤트 발생 시켜 분석을 할 수 있도록 하는 시스템이 있어요(대표적으로 SIEM입니다.)

 

침해사고가 발생되면 상황전파로 통해 관련 유관부서 담당자, CERT, 보안 담당자 등 상황전파 대상자들에게 문자 또는 연락해서 상황을 공유하여 사고에 대응/분석 및 복구하기 위해 비상소집을 하게 됩니다.

해당 내용을 공유하기 위해서는 타임테이블과 초동분석 보고서(요약)가 있으면 최소하게 필요한 정보는 공유할 수 있어요.

어떤 공격 유형, 피해 유형, 분석 및 대응 등에 대해서 보안 담당자에게 보고를 하게 되는데 이것을 우리는 "선 보고 후 조치" 또는 "선 조치 후 보고"를 한다고 말해요. 만약 권한이 없고, 보안 담당자만 권한이 있을 경우 선 보고를 하도록 되어 있으나, 상황에 따라 선 조치 후 보고를 할 수 있어야 합니다.(운영하는 곳마다 상이함(담당자 성향에 따라 다름))

4. 보고

• 보고 및 이력관리
  • 침해사고 처리 및 대응결과 → 부서별 전달 
  • 시스템 정보
  • 장애처리 결과 

장애 또는 침해사고가 발생될 경우 처리 및 대응 결과에 대해서 관련된 유관 부서에 공유해요.

 

뭔가 급 마무리하는 듯 하지만....오늘은 여기까지 입니다. ㅎㅎ

보안관제 직무에 대해서 알아봤는데 여러분들은 어떠셨을까 궁금하네요~ 

 

오늘도 좋은 하루 되세요 :)