안녕하세요 !
클라우드기반 시스템 운영/구축 실무에 대해 정리해보려고 합니다 !
바로 시작하겠습니다.
1. 보안 관제의 개념
보안 관제란 조직의 정보기술 자원 및 보안 시스템을 안전하게 운영하기 위하여 사이버 공격 정보를 탐지 및 분석하여 대응하는 일련의 업무와 사전예방 및 관제시스템 운영에 관한 업무를 말합니다.
1) 무중단의 원칙
사이버 공격을 실시간으로 신속하게 탐지 / 차단하기 위해서 24시간 365일 중단 없이 보안 관제 업무를 수행합니다.
2) 전문성의 원칙
보안관제업무 수행을 위해서는 사이버 공격 탐지 시스템 등 보안 관제에 필요한 시스템과 함께 정보시스템 및 네트워크 이론을 포함한 프로그램 분석, 포렌식, 해킹 기술 등 다양한 방면에 전문지식과 경험, 노하우를 가진 전문 인력이 매우 중요합니다.
3) 정보 공유의 원칙
범 국가차원에서 사이버 공격을 철저하게 탐지 / 차단 / 대응 하기 위해서는 관계 법령에 위배되지 않는 범위 내에서 보안관제 관련 정보가 신속하게 공유되어야 합니다.
2. 보안 관제의 개념
1. 보안 사고 예방을 통한 안전한 서비스 제공
2. 정보 보호 및 개인정보 보호 법 제도 준수
3. 악성 코드 실시간 탐지 및 대응체계 구축
4. 업무 수행 강화를 통한 조직의 IT 정보 자산 보호
- 보안 관제 유형
보안관제는 보안관제 업무를 수행하는 장소와 주체를 기준으로 분류하면 원격관제, 파견관제, 자체관제, 하이브리드 관제로 분류하였고 최근에는 클라우드 관제까지 확대 되었습니다.
1) 원격 관제
개념 : 관제 서비스 업체에서 보안관제에 필요한 관제시스템을 구비하고 대상기관 침입차단 시스템 등 보안장비 중심으로 보안 이벤트를 중점적으로 상시한다. 모니터링하고 침해사고 발생 시 긴급 출동하여 대응 조치하는 서비스 형태입니다.
- 대상 : 일반 기업, 포탈 업체 등
- 특징 : 일부 단위 보안 시스템의 운영 및 관리를 위탁하는 방식과 통합 보안 관제 시스템 및 관제인력이 원격에 위치합니다. 제한적인 범위의 보안 시스템 위탁이다.
- 장점 : 파견관제에 비해 저렴한 단가 인력 관리에 대한 부담이 없습니다. 별도의 회선 구축 없이 인터넷망을 통한 관제.
- 단점 : 한정된 서비스 제공, 파견관제와 같은 사이트에 특화된 관제 서비스의 어려움 발생이다. 침해/장애 발생시 즉각적인 조치가 어렵다.
2) 파견 관제
- 개념 : 관제 대상기관이 자체적으로 보안관제시스템을 구축하고 보안관제 전문업체로부터 전문인력을 파견 받아 침해/장애 발생 시 즉각적인 관제업무를 수행하는 형태입니다.
- 대상 : 공공분야, 금융권
- 특징 : 자체 구축한 보안관제시스템의 운영 및 관리를 위탁하는 방식입니다. 전문 인력이 대상기관에 파견되어 관제 업무 수행. 조직전반 및 산하기관 보안관제 체제 구축을 수행합니다.
- 장점 : 고객사에 특화된 관제 서비스 제공 가능하다. 고객사 정보보호담당자와 관제 인력간의 원활한 의사소통 가능.
침해 / 장애 발생 시 즉각적인 조치가 가능하다. 업무 연속성 및 효율성 증대, 고객사의 현황에 대한 명확한 이해로 추후 사이트의 확장 및 시스템 구성 변경 지원 가능하다.
- 단점 : 인력 관리 필요. 높은 단가.
3) 자체 관제
- 개념 : 보안관제 시스템 및 전문 인력을 자체적으로 구축하고 운영하는 형태이다.
- 대상 : 국정원, 경찰청 등 대규모 통신사
- 특징 : 자체 보안관제시스템의 운영 및 관리를 자체적으로 수행합니다.
- 장점 : 내부기밀유지 및 신속한 사고처리에 우수합니다. 정보보안 관련 기술을 보유할 수 있습니다.
보안관제 업무와 관련해서 연속성을 보장합니다.
- 단점 : 전문성의 결여로 수행 품질이 낮아질 수 있다. 과도한 초기 투자의 예측 어려움. 최신 보안기술/동향 정보 확보의 어려움. 보안 솔루션 운영에 대한 부담. 보안 전문가 양성의 어려움.
4) 하이브리드 관제
- 개념 : 원격과 파견관제의 장점을 고루 합한 서비스, 보안 기업의 통합보안관제센터에서 확보한 위협 정보를 원격으로 제공하여 파견관제의 한계점을 보완한다.
- 대상 : 금융기관 등
- 특징 : 원격관제 + 파견관제 또는 원격 관제 + 자체관제의 형태, 필요한 시간에만 원격관제 형태로 관제업무 수행한다.
- 장점 : 원격관제의 장점과 파견관제의 장점이 융합된다. 파견 인력을 통한 의사소통 및 사이트에 특화된 정책을 수립한다. 침해 / 장애 시 파견 인력을 통한 선 조치 이후 원격 관제 팀과의 공조 가능하다. 사이트의 구성 변경, 정책 수립 등 지원한다.
5) 클라우드 관제
- 개념 : 서버와 DB 등 IT 자원을 인터넷 접속 통해 사용하는 클라우드 환경에 대한 관제, 기업은 클라우드 내에서 일어나는 보안 위협을 모니터링 하여서 온프라미스 환경과 동일하게 보안관제 서비스를 받을 수 있습니다.
- 대상 : 금융기관 등
- 특징 : 보완관리 영역에 대한 직접 관리 부담을 줄이고, 모니터링 요원, CERT 등, 관제 전문 인력이 제공하는 보안관제서비스를 제공받을 수 있습니다.
- 장점 : 로컬에 장비 설치 및 유지보수가 필요 없다. 다양한 레퍼런스 기반으로 고객사 환경에 적합한 유동적으로 보안관제 환경을 구축 가능하다. IT 기술 발달로 최적화된 보안 장비를 고객사의 니즈에 최적화된 보안장비 구축과 클라우드 글로벌 데이터 센터 보안 관제 서비스 제공이 가능합니다.
- 단점 : 관제 대상 및 업무 이해가 어렵습니다. 리스크가 매우 큽니다. 고객의 비즈니스를 이해해야 하는 어려움이 있습니다.
6) 보안 관제 시스템 구성 개념
- 통합 보안관제 시스템 영역 --> SIEM ( 분석, 로그 관리 )
- 단위 보안 시스템 --> IDS / IPS , 방화벽, DDoS 대응, NAC 등 , SecureOS, 서버 접근 제어 시스템 등 DB 암호화, DB 접근 통제 등, 보안 서버, 계정 및 권한 관리 등
- 정보 시스템 영역 --> 라우터, L4, L3 스위치, 무선랜 등, 유닉스, 리눅스, 윈도우 등, 오라클, DB2, MySql, MSSQL 등, Web, CRM, ERP 등
7) 보안관제 패러다임의 세대별 변화
1. 단위 보안 관제 ( 1세대 ) --> 단위 보안 솔루션 모니터링, FW / IDS/ WAF/ DDoS 하나씩 따로
2. 통합보안관제 ( 2세대 ) --> 관제 범위 확대, ESM 기반 보완관제
3. 빅데이터보안관제 ( 3세대 ) --> 빅데이터 기반 시나리오 관제, SIEM 기반 보안관제 ( 자동화가 필요하다. )
4. 차세대보안관제 ( 4세대 ) --> 머신러닝기반 이상행위 탐지, SOAR 기반 자동화 대응, 위협정보 관제연동
8) 관제 시스템에 따른 분류
- 네트워크에 대한 유해 트래픽 등 네트워크 공격에 대한 모니터링
: 네트워크를 통해 발생하는 사이버 위협에 대해 침입탐지시스템 ( IDS ), 침입방지시스템 ( IPS ) , 침입차단시스템 ( Firewall ) , 위협 관리 시스템 (TMS) 등을 이용하여 네트워크 유해 트래픽, 홈페이지 공격, 서버 / 네트워크 장비에서의 악성 코드 발생 등 분야별로 사이버 보안 관제를 수행합니다.
- 웹 공격에 대한 모니터링
: 웹 방화벽 (WAF) 의 탐지로그와 웹서버의 웹로그를 분석하여 웹 공격 유무를 실시간으로 모니터링하고, IDS 와 방화벽의 로그를 비교 분석하여 공격을 탐지하기도 한다.
- 서버 및 네트워크 장비에 대한 공격 모니터링
: 서버나 네트워크 장비에서 발생하는 장애 혹은 비정상적 상황에 대해 서버관리시스템, 네트워크 관리 시스템을 통해 수집된 정보와 보안솔루션에 발생된 정보의 연관성을 조사하여 사이버 공격을 조사함.
- 사용자 컴퓨터 모니터링
: 사용자 컴퓨터에서 악성코드에 의해 외부 인터넷상으로 트래픽이 나간다면 네트워크 접근통제시스템 (NAC), APT 시스템, 백신 등을 통해 트래픽을 모니터링 한다.
- 통합 보안관제 시스템을 이용한 보안관제
- 다수의 시스템으로부터 수집괸 정보를 종합적으로 분석하는 통합 보안관제 시스템을 이용하는 방법
- 주로 ESM 에 방화벽, IDS, WAF 등 보안 장비에서 발생하는 이벤트를 종합적으로 수집 / 분석하여 신속하게 공격을 탐지한다.
- 최근에는 기존 ESM 을 통한 모니터링 뿐만 아니라 내부적인 보안 정책 준수, 응용시스템 및 클라이언트 단말에서 생성되는 이벤트 및 로그 분석까지 포함하는 전체 정보시스템 관제를 위해 주로 SIEM 을 구축하여 연동한다.
: 서버나 네트워크 장비에서 발생하는 장애 혹은 비정상적 상황에 대해 서버관리시스템, 네트워크 관리 시스템을 통해 수집된 정보와 보안솔루션에 발생된 정보의 연관성을 조사하여 사이버 공격을 조사한다.
- 통합 보안 관제 시스템을 이용한 보안 관제
: 다수의 시스템으로부터 수집된 정보를 종합적으로 분석한다.
3. 보안 관제 구성 요소 ( 보안 관제 시스템 측면 )
1) 전송 : 에이전트
- 에이전트 : 각종 보안 장비 및 서버, 네트워크에 설치 되어 해당 시스템에 적합한 설정에 따라서 로그 정보를 실시간으로 관제 센터에 전송한다. ( 비싸다. )
- 포트 포워딩 : 보안 장비 / 서버 포트 약속 -> 편하다. 하루 트래픽 양 분석 필요 ( 트래픽 넘어가면 로그 수집 안된다. 관제 X )
2) 저장 : 정보 수집 서버
- 저장 기관 중요 - 권장 기간은 1년이다.
3) 분석 : 통합관제용 시스템
보안 관제 업무 절차
1) 모니터링
- 비정상 이벤트 탐지 : IDS / IPS , F/W , WAF
- 비정상 트래픽 : DDoS
-> 상관 분석 모니터링
- 홈페이지
- 시스템 가용성
2) 정탐 / 오탐 / 장애 / 작업
3) 기관 / 담당자 보고 - 조직 관리 / 이력 관리 ( 산출물 )
4. 이벤트 처리 절차도 작성
1) 현업 부서
- 신고 : 보안관제 팀에서 모든 것을 모니터링 할 수 없다.
- 상황에 맞춰서 대응한다.
2) 보안 관제
- 신고 접수 -> 로그 확인 : 행위 시점 확인 가능 -> 보고
- 신고 접수되거나 침해 탐지되었을 때, 무조건 네트워크 분리해달라고 현업 부서에게 요청한다.
- 침해 대응 팀이 있으면 요청 or 없으면 본사의 CERT 팀에 지원을 요청한다. 즉, 상세 분석 ( 침해 대응 )
- 모니터링 -> 정탐이면 초기 분석 / 오탐이면 예외처리 확인 ( 예외처리 적용 시 정책 관리 대상 또는 이력 대상에 기록한다. )
3) 침해 대응 : 사고가 터졌을 때 출동해서 대응한다.
- 해당 침해된 서버에 가서 로그 모두 받아서 분석을 실시한다. 2 ~ 3일 후에 보고한다.
4) 보안 진단
- 분석 지원
- 개선 가이드와 같이 대응 지원
5. 보안 관제 시스템 운영 업무
1) 업무 절차
- 모니터링 -> 티켓 처리 시스템 -> 올라오는 티켓 발생 /점수 -> 정탐 / 오탐 판별한다.
- 티켓 처리 시스템 : 스플렁크 , Q - Radar : API 연결한다.
2) 이상 징후 탐지 고도화
- 최신 공격 기법 자료 수집 및 분석
3) 관제 미처리 오류 이벤트
- 교육 강화 , 크로스 체크하여서 이상 여부 확인 , 자체 모의 훈련 실시
4) 시스템 장애 발생
- 빠른 조치를 위해서 전파하는 것이 임무이다. ( 장애를 처리하는 일을 하는 게 아니다. )
- 어떤 상황에 어떤 프로세스를 내렸다 올리는지 확인이 필요하다.
- 프로세스 내렸다 올리는 긴급 처방은 가능하다.
- 빠르게 유지 보수하는 엔지니어에게 연락한다.
끝
'클라우드 기반 시스템 운영 및 구축 실무' 카테고리의 다른 글
| 클라우드 기반 시스템 운영 / 구축 실무 [세 번째 정리] (0) | 2024.06.10 |
|---|---|
| 클라우드 기반 시스템 운영 / 구축 실무 [ 두 번째 정리 ] (1) | 2024.05.31 |
