본문 바로가기
정보보안/정보보안관제사

1. 보안 관제의 정의 및 개념

Velody 2020. 8. 6. 11:46

용어

사이버 공격 : 정보통신 시스템에 저장되어 있거나 정보통신망을 이용하여 소통되는 정보의 절취위변조가용성 등을 저해하는 일체의 행위

 

사이버공격 탐지 : 해킹 시도 및 악성 해킹 프로그램 유포 등과 같은 사이버 공격 시도를 보안관제 시스템을 이용하여 사전에 알아내느 행위이며 아래의 현상을 실시간으로 탐지한다

  • 웜 바이러스(봇 계열, 전자우편 등)
  • DNS 정상작동 여부
  • 홈페이지 단절, 지연, 오류
  • 국가 전산망이 해킹 경유지로 악용되지 않도록 보안취약점을 발굴

탐지결과 분석 : 침해당한 전산망의 관련 로그정보를 수집하여 공격자 정보, 공격시간, 공격방법 등을 알아내고 피해 규모를 파악하는 행위

 

대응 : 아래의 행위로 정의가 가능하다

  • 해킹 사실을 피해기관에 통보
  • 피해 시스템이 정상적으로 운영될 수 있도록 신속하게 전문기술을 제공(정상화 지원)
  • 공격에 사용한 해킹도구 및 기법을 토대로 개발 후 참해 사고 발생을 미연에 방지

수행범위

  1. 협의의 보안관제 : 사이버공격을 탐지하는 활동만을 포함
  2. 광의의 보안관제 : Monitoring & Control (탐지, 분석, 대응)

보안관제 수행원칙

  1. 무중단의 원칙
    • 24시간 365일 중단 없이 보안관제 업무를 수행해야 함
  2. 전문성의 원칙
    • 보안관제에 필요한 시설
    • 전문인력 (프로그램 분석, 포렌식, 해킹기술 등 다양한 방면에 대한 전문가)
  3. 정보공유의 원칙
    • 다른 기관에서 동일한 공격으로 인한 침해사고가 발생할 수 있으므로 정보 공유를 해야한다

법적 근거

2003년 1.25 인터넷 대란을 계기로 2004년 2월에 국가사이버안전센터가 출범하였다.

현재 우리나라의 관제기관은 2가지가 있다.

  1. 중앙행정기관이 설립한 분야별 부문 보안관제센터(예 : 국가사이버안전센터)
  2. 개별기관별로 운영중인 단위 보안관제 센터

보안인의 덕목 

강한 책임감과 윤리의식을 가지고 업무에 종사해야 한다.

 

보안관제요원이 수행하는 업무

  • 실시간 보안관제
  • 웹 취약점 점검 수행
  • 서버 및 네트워크 시스템, 보안시스템 취약점 점검
  • 해킹메일 모의훈련
  • DDoS 공격 대응 모의훈련
  • 침해사고 분석
  • 정보보안 교육
  • 정보보호 기술 교육
  • 무선랜 취약점 점검
  • 각종 보안감사 준비를 위한 보안점검
  • 을지연습 사이버전 대응

세부 수행업무

 

  • 서버/네트워크 취약점 진단
    • 자동스캐너 종류
      • COPS : 유닉스 OS에서 실행하는 시스템 취약점 점검 도구
      • SARA : SATAN을 기반으로 개발되어진 서버/네트워크 취약점 점검 도구
      • SAINT : 네트워크 취약점 적멈도구로써 HTML 형식의 보고서 기능이 있음
      • Nmap : 네트워크 포트 스캔
  • 웹 취약점 점검
    • APP SCAN, Nikto, Acunetix, Zap, Paraos 등
  • 국가사이버안전센터, 과학기술정보통신사이버안전센터 DDoS 공격대응 매뉴얼
    1. 모니터링
      • 네트워크 부하량
      • 보안장비 차단 및 탐지로그
      • 보안장비 시스템 부하량
    2. 공격탐지
      • 네트워크 공격탐지기준 초과
      • 보안장비 공격탐지기준 초과
    3. 초동조치
      • ISP, 유지보수업체 협조
      • NCSC 등 유관기관 통보
      • Null 라우팅, 임계치 조정 등 기본 조치
    4. 분석
      • 비상태 확인 및 정보수집
      • 공격기법, 사고원인 분석
      • 피해범위 파악
      • 공격현황 보고서 작성
    5. 차단조치
      • 네트워크 차단조치 설정
      • 보안장비 차단조치 설정
      • 피해복구 및 보고

ESM vs. SIEM

  • ESM = 보안 솔루션(방화벽, IDS, IPS)의 로그를 수집해 상호연관관계를 분석하여 주로 외부 네트워크로부터의 공격 탐지에 중점을 두고 있다.
  • SIEM = 기존에 ESM이 담당했던 영역에 추가적으로 내부의 정보유출 탐지영역까지 담당하고 있다.

단위 보안장비별 보안관제

  • 네트워크 = IDS, IPS, TMS, DDoS 솔루션, EMS
  • 웹 = WAF
  • 서버 및 네트워크 장비 = SMS, NMS
  • 사용자 컴퓨터 = NAC

'정보보안 > 정보보안관제사' 카테고리의 다른 글

리눅스 로그 종류  (0) 2020.08.24
암호 알고리즘  (0) 2020.08.17

'정보보안/정보보안관제사' Related Articles

티스토리툴바