[리팩토링_9주차] 보안관제

보안관제 업무란?

IT자원을 사이버 공격으로 부터 보호하기 위하여 보안 이벤트 및 로그 등을

실시간으로 감시 및 분석,대응하는 업무로서 즉, IT자원의 보호가 주 목적인 업무

 

---

보안관제 수행 3원칙 

무중단 

: 사이버 공격은 시간과 장소에 상관없이 수시로 발생하므로 24시간 365일 중단 없이 수행되어야 함

그렇기 때문에 이를 위해 적정 수의 보안관제 인력을 보유하여 교대 근무체계를 구축하여야 한다.

 

전문성

: 보안관제에 필요한 시설과 함께 정보시스템 및 네트워크 이론을 포함한 분석 기술 등

IT와 보안에 관련된 전문 지식과 경험, 노하우와 기술력을 갖춘 보안 관제 인력과 첨단 시설을 갖추어야 함

보안관제 시설 및 인력의 전문성의 수준에 따라 사이버공격을 탐지 및 대응하는 능력의 차이가 발생 할 수 있다.

 

정보공유

: 사이버 공격으로 인한 피해가 타 기관으로 확산되는 것을 방지하기 위하여

관계 법령에 위배되지 않는 범위에서 보안 관제 관련 정보를 공유하여야 함

왜냐하면 사이버공격은 유사한 공격이 여러 기관에 동시다발적으로 발생하는 특성이 있기 때문에

범국가적인 차원에서 정보공유가 신속하게 되어야 피해규모를 줄일 수 있기 때문이다.

 

 

---

보안관제 업무절차

예방

- 중요시스템, 네트워크 및 홈페이지 등 취약점을 사전에 파악하여 침해 사고를 예방한다.

- 사이버위협의 발생정보를 사전에 공지하여 방어하도록 하고, 최신 위협 및 해킹 등 보안동향 정보를 제공한다.

- 침입차단시스템, 침입탐지시스템, 웹 방화벽 등 보안시스템에 대한 보안정책 및 시스템 자원의 최적화를 통해 효율적인 사이버공격 탐지를 지원한다.

 

탐지

- 보안전문인력에 의한 실시간 감시 탐지 및 분석을 의미 한다.

- 보안시스템 로그, 네트워크 패킷 및 다양한 보안이벤트 등을 종합적으로 상관 분석하여 재발 방지 및 확산을 방지하기 위한 방안을 강구한다.

- 예방 단계에서 막지 못하는 침해사고 및 공격을 모니터링을 통해 보안관제가 탐지 모니터링 중 침해사고가 발생하면

대응 단계로 넘어간다.

 

대응

- 비정상 네트워크 및 시스템에 대한 초기대응, 사이버공격 발생시 신속히 조치 대응하는 것을 의미한다.

- 해당 기관의 시스템 환경을 고려하여 보안 정책을 설정하고,  보안관제 업무 시  발견된  비정상적인 네트워크 및 시스템에 대해  기술적 및 정책적으로 대응하게 된다.

 

보고

- 관제일지, 취약점 정보, 침해사고대응 분석보고서 등을 보고 및 관리하는 부분을 의미한다.

- 보안사고 및 장애 발생 시 , 관련 처리 보고서를 작성 및 보고함으로서 발생한 사고의 원인 , 대응,  결과를 통해 향후 대책을 마련 할 수 있게 된다.

 

공유 및 개선

- 보안관제 주요 업무 중 정보 공유의 원칙에 따라 타 기관에게 정보를 제공하는 것

- 사이버 공격으로 인한  피해가 타 기관으로 확산되는 것을 방지하기 위하여 관계 법령에 위배되지 않는 범위에서 보안 관제 관련 정보를 공유한다.

- 해당 보안 문제가 발생되지 않도록 기술적이고, 정책적으로 개선 조치하여 보안 사고가 발생되지 않도록 예방한다.

 

 

---

 

원격관제

- 일부 단위 보안시스템의 운영 및 관리를 위탁

- 통합보안 관제시스템 및 관제인력이 원격에 위치함

- 제한적인 범위의 보안시스템 위탁

- 대상: 일반기업, 포탈 업체 등

 

파견관제

- 자체 구축한 보안관제 시스템의 운영 및 관리를 위탁

- 전문인력이 대상기관에 파견되어 업무 수행

- 조직 전반 및 산하기관 보안관제 체제 구축을 수행

- 대상: 공공분야, 금융권 등

 

자체관제

- 보안관제시스템 및 전문인력을 자체적으로 구축하고 운영한다.

- 기관자체 보안인력으로 관제업무 수행

- 대상: 국정원, 경찰청, 대규모 통신사 등

 

클라우드 관제

- 서버와 DB등 IT자원을 인터넷 접속을 통해 사용

- 보안관리영역에 대한 직접관리 부담을 줄이고, 모니터링 요원, CERT 등 관제 전문인력이 제공하는 보안 관제서비스를 제공 받음

- 대상: 클라우드 서비스를 제공하는 업체 대상

 

 

---

보안관제 업무 시 활용 사이트 

Whois

도메인을 소유한 사람을 찾는 데 사용할 수 있다.

피싱 또는 맬웨어 배포에 사용되는 웹사이트의 소유자 식별과 같은 보안 사고 조사에 유용할 수 있다.

 

 

 

 

IPConfig

 

IPConfig는 Windows 시스템에 대한 네트워크 인터페이스 구성 정보를 표시하는 데 사용되는 명령줄 도구입니다.

각 네트워크 인터페이스에 대한 IP 주소, 서브넷 마스크 및 기본 게이트웨이를 표시할 수 있습니다.

이 정보는 네트워크 연결 문제를 해결하고 네트워크 리소스에 대한 무단 액세스와 같은 잠재적인 보안 문제를 식별하는 데 유용할 수 있습니다.

 

 

VirusTotal

 

VirusTotal은 여러 바이러스 백신 엔진을 사용하여 파일 및 URL에서 맬웨어를 검색하는 데 사용되는 웹 페이지이다.

의심스러운 파일이나 URL이 악성으로 알려져 있는지 확인하는 데 사용할 수 있습니다. 이 정보는 악의적인 이메일 첨부 파일이나 피싱 웹사이트와 같은 잠재적인 보안 위협을 식별하는 데 유용할 수 있습니다.

보안관제 업무를 하면서 도움이 되는 사이트이기는 하나 100% 맹신을 하면 안되는 걸 주의해야 됨

 

 

Krcert

 

국가 제공 정보보호 서비스 사이트

침해사고 신고 및 컴퓨터 시스템 및 네트워크 보안, 보안 사고 보고 및 대응에 대한 정보 및 모범 사례를 제공합니다.

 

 

 

9주차_보안관제.pptx

0.86MB