보안관제

보안관제의 정의

: 불법 해킹이나 바이러스로부터 네트워크 자원 손상을 막기 위해 실시간 모니터링 하여 즉각 대응할 수 있도록 하는 일련의 활동

 

보안관제의 3가지 원칙

1. 무중단의 원칙

: 365일 24시간 보안관제 업무를 수행하여 공격을 신속하게 대응

2. 전문성의 원칙

: 보안관제 업무 수행을 위해 공격탐지 시스템 및 시설과 함께 전문 지식과 경험, 노하우를 가진 전문인력 필요

3. 정보 공유의 원칙

: 침해 공격은 유사한 공격이 다발적으로 발생하는 특징이 있기 때문에 신속한 정보 공유가 필요하다

 

보안관제 업무 절차

1. 예방

: 보안장비, 모의해킹을 통한 보안 취약점을 보완해 발생 소지가 있는 침해사고를 사전에 예방

2. 탐지

: 예방 단계에서 막지 못하는 침해사고 및 공격을 모니터링을 통해 보안관제가 탐지하는 단계

-> 모니터링 중 침해사고가 발생하면 대응 단계로 넘어간다

3. 대응

: 모니터링 중 발생한 침해사고에 대해 침해사고인지 아닌지에 대해 정오탐 여부를 판단

4. 보고

: 대응한 침해사고에 대한 결과와 과정 등을 보고서를 통해 작성

5. 공유 및 개선

: 침해사고에 대한 보고서를 통해 정보 공유한다

-> 공유한 침해사고는 재발하지 않기 위한 방법을 개선하며 다시 1단계 예방 단계로 넘어가 사이클을 반복한다

 

보안관제의 유형 및 특징

1. 원격 관제

: 보안 시스템의 운용 및 관리를 위탁하는 방식으로 원격 관제하는 방식

-> 원격이다 보니 접근할 수 있는 범위가 제한적이며 주로 일반 기업이나 포탈업체에서 사용하는 방식

2. 파견 관제

: 금융권 또는 공공분야에서 보안시스템 환경을 구축한 뒤, 전문 업체에서 인력만 파견하여 관제하는 방식

-> 현장에서 진행하는 관제이다 보니 문제 발생시 즉시 조치가 가능하다

3. 자체 관제

: 국가기관 또는 대기업에서 사용하는 관제방식으로 자체적으로 보안관제 시스템의 운영 및 관리를 한다

-> 보안 인력 또한 파견이 아닌 자체적으로 교육해서 사용하는 방식으로 업무 진행

4. 하이브리드 관제(이론상 유형)

: 원격과 파견관제의 장점을 합한 서비스

-> 보안 기업의 통합보안관제세턴에서 확보한 위협 정보를 원격으로 제공하여 파견관제의 한계점을 보안

5. 클라우드 관제

: 서버와 DB 등 IT자원을 인터넷 접속을 통해 사용하는 클라우드 환경에 대한 관제

-> 클라우드 내에서 일어나는 보안 위협을 모니터링하여 온프라미스 환경과 동일하게 보안관제 서비스를 받을 수 있다

 

---

보안관제 업무 시 활용하는 웹 페이지

- KISA Whois(한국인터넷진흥원 후이즈)

: 한국 인터넷 진흥원에서 제공하는 Whois 서비스, 국내의 아이피 검색을 할 때 유용하다

- Ipconfig(아이피컨피그)

: KISA Whois에서 찾지 못하는 해외 IP주소를 찾을 수 있다

- Virustotal(바이러스토 토탈)

: 구글의 자회사로 파일의 해시값 또는 URL로 바이러스, 웜, 트라이목마 등을 검사해주는 사이트

-> 검사시 해당 파일 검사결과를 공유하게 되기 때문에 개인정보나 기밀사항 등을 검사할 경우 정보가 노출되니 주의해야 한다

- Zone-h

: 해커들이 웹 해킹한 사이트를 과시하기 위해 올리는 사이트

-> 사이버 해킹 피해를 검색하기 위해 확인하는 사이트로 사용될 수 있다

- Mozilla Observatory(모질라)

: 웹페이지의 보안을 시험해주고 보안 취약점과 개선점 등을 파악하여 보고서를 만들어주는 사이트