보안 장비 운영 능력

안녕하세요 ! 

 

이번 글에서는 보안 장비 운영 능력에 대해서 글을 써보도록 하겠습니다. 

 

 

 

 

1. SIME ( Security Information and Event Management ) 

 

1) 주요 역할 : 다양한 보안 장비에서 발생하는 로그와 이벤트를 수집, 분석, 그리고 상관 관계를 파악해서 보안 사고를 탐지하고 대응하는데 사용된다. 로그 수집과 분석, 알림 관리 및 탐지 룰 설정이 중요한 업무입니다. 

 

2) 필요한 용어 : 

 

- 로그 ( Log ) : 시스템 및 네트워크 장비에서 발생하는 다양한 이벤트 정보. 

 

- 상관 분석 ( Correlation ) : 여러 로그 데이터를 종합하여서 특정 공격 패턴이나 이상 행동을 탐지하는 기법이다. 

 

- 룩업 ( LookUp ) : 로그에서 특정 값을 찾아서 분석하는 기능이다. 

 

- 쿼리 ( Query ) : 데이터베이스에서 원하는 정보를 추출하기 위한 명령어이다. 보안 로그 분석에 자주 사용된다. 

 

 

2. IDS / IPS (Intrusion Detection System/Intrusion Prevention System)

 

 

1) 주요 역할 : 네트워크 상의 침입 시도를 탐지하고 이것을 방지하는 역할을 합니다. IDS 는 탐지 기능만 제공하고, IPS 는 탐지 후 자동으로 차단하는 기능을 추가로 제공합니다. 

 

2) 필요한 용어 : 

 

- 스노트 ( Snort ) : 네트워크 침입 탐지 및 방지 기능을 제공하는 오픈 소스  IDS / IPS 이다. 

 

- 시그니처 기반 탐지 ( Signature-based Detection ) : 이미 알려진 공격 패턴을 기반으로 한 탐지 기법이다. 

 

- 행위 기반 탐지 ( Behavior-based Detection ): 비정상적인 네트워크 행위를 탐지하는 기법이다. 

 

- 차단 정책 ( Block Policy): 탐지된 위협을 자동으로 차단하는 정책 설정이다. 

 

 

3. 방화벽 ( Firewall ) 

 

 

1) 주요 역할: 내부 네트워크와 외부 네트워크 사이의 트래픽을 필터링하여 승인된 트래픽만 허용하고, 비인가된 트래픽을 차단합니다. 다양한 규칙을 설정하여 허용할 트래픽과 차단할 트래픽을 정의하는 것이 중요합니다.

 

2) 필요한 용어:

 

- NAT (Network Address Translation): 내부 사설 IP를 외부에서 접속 가능하게 변경해 주는 기술이다.

 

- 포트 필터링(Port Filtering): 특정 포트로의 트래픽을 허용하거나 차단하는 방식이다.

 

- 패킷 필터링(Packet Filtering): 트래픽의 IP, 포트, 프로토콜을 기반으로 트래픽을 제어이다. 

 

- 상태 기반 필터링(Stateful Inspection): 트래픽의 상태를 추적하여 필터링하는 기술로, 더 정교한 방어 제공이다. 

 

 

 

4. WAF ( Web Application Firewall ) 

 

1) 주요 역할 : 엡 애플리케이션을 대상으로 하는 공격을 차단하는 방화벽 입니다. 

SQL 인젝션, XSS 등의 웹 공격을 탐지하고 차단하는데 사용됩니다. 

 

2) 필요한 용어 : 

 

- SQL 인젝션 ( SQL Injection ) : 웹 애플리케이션의 취약점을 이용하여서 악의적인 SQL 구문을 삽입하는 공격 기법이다. 

 

- XSS (Cross-Site Scripting): 웹 페이지에 악성 스크립트를 삽입하여 다른 사용자에게 전달되는 공격이다. 

 

- 룰셋 ( Ruleset ) : WAF 가 탐지 및 차단할 공격 유형을 정의한 규칙 모음이다. 

 

- SSL 복호화 ( SSL Decryption ) : SSL 로 암호화된 트래픽을 복호화하여서 분석하는 기술이다. 

 

 

5. DLP ( Data Loss Prevention ) 

 

1) 주요 역할 : 기업 내부의 중요한 데이터를 보호하고 외부로 유출되지 않도록 감시 및 차단하는 솔루션이다. 이메일, 파일 전송, USB 저장소 등 다양한 경로를 통해서 유출되는 데이터를 탐지하고 차단한다. 

 

2) 필요한 용어 : 

 

- 정책 기반 관리 : 특정 데이터의 유출 경로와 관련된 규칙을 설정하고 관리하는 방식이다. 

 

- 콘텐츠 필터링 : 파일이나 이메일의 내용에 대한 분석을 통해서 민감한 정보를 탐지하고 차단하는 기술이다. 

 

- 탐지 예외 설정 : 특정 상황에서 탐지를 제외하거나 무시하는 설정이다. 

 

 

6. 안티바이러스 솔루션 ( Antivirus ) 

 

1) 주요 역할 : 악성코드 ( 바이러스, 트로이 목마, 랜섬웨어 등 ) 을 탐지하고 제거하는 보안 솔루션이다. 주로 실시간 감시 기능을 통해서 위협이 발생하면 즉시 경고하거나 자동으로 차단하는 역할을 한다. 

 

2) 필요한 용어 : 

 

- 실시간 감시 : 시스템에서 발생하는 파일 생성 및 실행을 실시간으로 모니터링 하여서 악성 행위를 탐지하는 기능이다. 

 

- 휴리스틱 분석 : 알려지지 않은 악성코드를 탐지하기 위해서 파일의 동작을 분석하는 기법이다. 

 

- 격리 : 탐지된 악성 코드를 즉시 삭제하지 않고 안전하게 분리하여서 보관하는 방식이다. 

 

 

7. NAC ( Network Access Control ) 

 

1) 주요 역할 : 네트워크에 접속하는 모든 장치를 관리하고 허가되지 않은 장치의 접속을 차단하는 솔루션이다. 기업 네트워크에서 보안 위협이 되는 장치나 사용자 접근을 방지합니다. 

 

2) 필요한 용어 : 

 

- 인증 : 네트워크에 접근하는 사용자가 허가된 사용자임을 확인하는 절차이다. 

 

- 접근 제어 : 특정 사용자가 네트워크 자원에 접근할 수 있도록 권한을 부여하는 방법이다. 

 

- 격리 네트워크 : 보안 검증을 통과하지 못한 장치를 격리하여서 일반 네트워크와 분리하는 방법이다. 

 

 

 

 

 이러한 장비들은 개별적으로 또는 통합되어서 사용됩니다. 각 장비의 특성과 기능을 충분히 이해해야 합니다. 

 

 

끝