보안관제란?

작성자: 하늘과인연, 편집: 엔시스

보안관제란?

팀블로거가 되고 나서 첫 포스팅을 무엇으로 할까...

고민을 참 많이 했습니다.

그리고나서 드디어 주제를 정했네요.

그것은 바로 제가 느낀 보안관제에 대한 것입니다.

보안을 시작하는 분들이라면 첫걸음으로 관제팀이나 서트팀으로 시작하려는 분들이 많이 계실

것이라 생각됩니다.

컨설팅이나 모의해킹, 분석팀으로 들어가려니 기본적인 지식이 부족하다고 느끼기 때문이겠죠.

물론 첫 직장으로 컨설팅이나 모의해킹 등의 분야로 가시는 분들 또한 있습니다만

보안이란 무엇인가..보안은 어떤 시스템으로 돌아가고 보안에 대한 기본적인 지식부터 쌓기 위해선
 
역시 관제나 서트파트부터 시작하는 것이 안전하고 좋은 점이 있는 것은 사실입니다.

그럼 보안관제란 무엇일까요?

기본적으로 현재 보안관제시장에서는 관제라고 해서 단순히 모니터링만 한다고 생각하면 큰

오산입니다. 이제는 통합관제시스템화 되어 가고 있기 때문이죠.

현재 보안관제시장에서 대표적으로 뽑을 수 있는 관제회사라 한다면

안랩보안관제, 이글루씨큐리티, SK인포섹, KCC시큐리티 등을 들 수 있을 것입니다.

각 회사들마다 자체적인 개발 혹은 라이센스를 취득하는 등의 방법으로 관제솔루션을 구축해

관제서비스를 제공하고 있는데요.

[이글루씨큐리티 보안관제솔루션]


[SK인포섹 보안관제솔루션]


[KCC시큐리티 보안관제솔루션]

그렇다면 보안관제의 업무프로세스는 어떻게 돌아가게 될까요?

개인적인 생각으로 기본적인 보안관제라 함은 다음 5단계로 분류할 수 있을 것입니다.

(1) 모니터링

(2) 탐지

(3) 분석

(4) 대응

(5) 사후처리 / 보고서 작성

이제 위 5단계에 대해 간략하게 설명하도록 하겠습니다.

(1) 모니터링

- 모니터링은 고객사에서 요구한 URL 및 포트 등 서버에 대해 제대로 된 서비스가 제공되고 있는지를
 
주시하는 것입니다. 만일 어떤 고객사에서 제공하고 있는 URL이나 포트가 다운되거나 사이트 소스코

드안에 고객사에서도 모르는 스크립트가 삽입되어 있는 경우 이를 실시간으로 발견하여 고객사나

IDC측에 알려 빠른 시간안에 해결 될 수 있도록 보고하는 것이 모니터링의 시작입니다.

(2) 탐지

- 등록된 URL 및 포트모니터링과 동시에 해당 고객사에서 발생되고 있는 공격 이벤트에 대해 관제를
 
하게 됩니다. 물론 현재 공격 이벤트들은 대부분 패턴 위주나 DDoS와 같은 인계치 값을 설정하여 탐

지하게 되어 있습니다. 그리고 해당 패턴이나 설정된 인계치 값에 맞는 이벤트가 발생하면 이것을 보

여주게 됩니다.

(3) 분석

이것은 두가지로 나뉠 수 있습니다. 첫번째는 이벤트 발생에 따른 오탐과 실제 공격을 구분하는 이벤

트 분석입니다. 이 경우는 이벤트가 발생하였을 경우 RAW데이터나 공격자IP, 포트, 공격대상IP, 포트

등과  해당 이벤트가 어떤 웹어플리케이션 기반에서 발생하는데 현재 해당 고객사도 이벤트가 발생한
것과 동일한 웹어플리케이션 기반인지 등 여러각도로 분석하게 됩니다.

물론 이 경우 또한 실제 공격이라고 판단은 하였지만 %의 확률로 오탐일 경우도 존재합니다.

하지만 현재 IPS나 IDS장비만을 가지고 100% 실제 공격이라고 판단하기란 힘든 점도 있습니다. 관제

를 하는 직원이 다각도로 분석해 공격이다라고 판단하면 이에 대해 조치를 취하고 해당 고객사에 대

응메일과 고객사에서 확인 / 조치하여야 할 사항을 적어 보내게 됩니다.

또 하나는 사고가 난 고객사에 대한 서버점검이나 로그분석을 들 수 있습니다. 모든 공격이 패턴에 잡

히는 것은 아닙니다. 정상적인 접근이라 판단하였지만 나중에 고객사측에서 전화가 와서 해킹을 당했

다고 할 수도 있습니다. 이 경우는 서트에 가까운 업무를 수행하게 됩니다. 서버내 인가되지 않은 특

정 프로세스가 도는지, 웹로그에 어떤 침입흔적이 있는지 알지 못했던 포트가 리스닝 되어 있는지 시

스템로그에서 사용하지 않은 시간대에 접속흔적이 있는지 등을 분석하게 됩니다.

(4) 대응

위 두가지 분석경우에 따른 대응을 하게 됩니다. 이벤트 분석으로 실제 공격이라고 판단하게 된다면
 
일단 관제팀안에서 취할 수 있는 조치를 취하게 되는데요. 관제팀은 대부분은 방화벽이나 보안장비를
다루게 됩니다.

여기서 IDC와 틀린점이 드러나게 되죠. 기본적으로 IDC와 보안관제에 큰 차이점은 서버 및 네트워크
 
장비에 대한 관리 및 관제를 하느냐, 보안장비에 대한 관리 및 유지를 하느냐가 있습니다.

해당 이벤트에 대한 공격IP를 방화벽내에서 차단정책을 설정한 후 이에 관련된 고객사에서 할 수 있는
조치사항을 담아 대응메일을 보내게 됩니다. 그 밖에 서버점검의 경우 대응이라 함은 분석을 하여 어

떤 경로로 침입하였고 어떤 파일이 심어져 있는지 등을 파악하여 어떤부분이 취약하니 이에 따른 조

치사항을 적어 고객사에 보고하는 것으로 대응이라 할 수 있겠네요.

(5) 사후처리 / 보고서 작성

사후처리라 함은 이벤트에 대한 패턴 업데이트나 방화벽 정책 정리나 고객사 담당자들을 대상으로 한
 
보안교육 등이 있습니다. 그리고 보고서 작성은 고객사들을 상대로 한 주간, 월간 등의 정기적인 보고

서 등을 통해 관제기간동안 일어난 사건사고나 장애 등에 대해 보고함으로써 고객사들로 하여금 보안

에 대한 인식 및 조치가 가능하도록 돕게 할 수 있습니다.

이렇게 해서 기본적으로 위 5단계에 걸쳐 보안관제를 이루어지게 됩니다.

최근에는 고객사들의 요청에 의한 모의해킹 및 취약점 점검 등을 통해 이에 따른 조치사항 등을 보고

서를 통해 알려주는 업무를 하는 보안관제업체들도 많아졌습니다.

우리들이 알고 있는 보안관제라 하여 모니터링, 이벤트 탐지 및 대응 등의 기본적 업무 이외에 보안에
관련된 갖가지 업무들을 수행 하는 등 업무폭이 넓어지고 있는 것이지요.

그 밖에 방화벽을 관리하다보니 고객사들의 요청에 의한 정책 설정이나 룰셋 현황 보고 등도 같이 기

본적인 업무에 포함되어 있습니다. 단순히 생각한 관제가 아닌 포괄적인 의미에서 관제라고 생각하시

면 됩니다.

 

PS. 보안관제에 대해 쓴 글은 제가 보안관제를 하면서 느낀 업무에 대한 생각입니다.

물론 다른 보안관제 업무를 수행하시는 분들에 따라 다소 차이는 있을 수 있겠지만 제가 쓴 업무에서

크게 벗어나지는 않을 것이라 생각합니다. 혹시 위 글을 읽고 다른 생각을 가지고 계신 분이 있으시다

면 덧글을 달아주시기 바랍니다.


이미지 출처 : SK인포섹, KCC시큐리티, 이글루시큐리티 홈페이지