[보안이야기#11]정보보안 직무-보안장비 운영(1)

안녕하세요 보안코치 제로썬이에요 :)

 

침해대응(2)에서는 CERT 정의 및 목적, 일반 보안사고, 중대 보안사고, CERT 구성원이 갖춰야 할 능력 등에 대해서 알아봤어요~!!(못 보신 분들은 아래 링크로 보고 와주세요^^)

https://zerotrust.tistory.com/31

[보안이야기#10]정보보안 직무-침해대응(2)

 

네트워크를 하기 위해선 네트워크 장비가 필요하듯이 정보를 보호기 위해서는 보안장비가 필요할텐데요

보안 솔루션 등을 보안성 검토부터 장애 관리, 모니터링, 백업 및복구, 정책 적용, 개선 등 보안장비를 운영하는 전문가라고 합니다. 자 그러면 하나씩 알아 보도록 할까요??

 

보안장비를 제조하는 업체(벤더업체)이 있고, 제조사(벤더사)는 보안장비를 기획 및 설계 후에 개발하여 장비(제품)를 출시하여 판매하게 됩니다.

기업에서는 사이버 공격으로부터 방어(대응)하기 위해서 보안 장비(솔루션)을 도입 검토부터 구축하여 이후 운영 및 관리까지 하게 되는데요.

그렇다면 어떤 보안장비를 도입을 해야 할까요?? 그건 보호대상에 따라 결정합니다.

 

(왼쪽) 시스템(서버 등), (오른쪽) 앤드포인트(PC 등)

보호대상은 크게 구분하자면 시스템(서버 등), 앤드포인트(PC 등)에 대한 공격유형들에 대해 방어하기 위해 솔루션 선택하게 되는 것이죠.

그래서 보호대상과 보호하고자 하는 범위를 아는 것이 무척 중요해요.

 

만약 보호대상과 범위를 모르면 어떻게 될까요??  기업에서 중요한 것은 무엇이고, 대상과 범위를 알지 못한다면 보안을 한다고 해도 구멍이 생길 수 밖에 없게 될거에요.

기준과 그 이유가 있어야지 보안을 하는데 있어서 보안 솔루션 선정,  보안 전략, 방어체계를 견고하게 만들 수 있을거라고 생각해요~! 

 

그러면 어떤 보안 솔루션들이 있는지 아는것이 중요하겠죠? 한번 보도록 할게요~~~

영역별 솔루션 종류

구분	시스템 명
네트워크 영역	침입탐지시스템(IDS) 침입차단시스템(IPS) 방화벽(Firewall) DDoS대응솔루션 TMS(Threat Management System)솔루션 UTM(Unified Threat Management)솔루션 NAC(Network Access Control)
서버 영역	웹방화벽(Web Application Firewall) 보안운영체제(SecureOS) 백신(Anti-Virus)
통합 및 분석	ESM(Enterprise Security Management) 솔루션 TMS(Threat Management System)솔루션 RMS(Risk Management System)솔루션 SIEM(Security Information and Event Management)시스템
기타	사이버대피소

네트워크 영역, 서버 영역, 통합과 분석 등 영역별 보안 솔루션을 구분되어 사용되는데요.

다양한 보안 솔루션에 대한 종류에 대한 설명(내용)입니다.  

보안 솔루션 종류(1)

시스템명	내용
홈페이지 APT 웹쉘공격 탐지 및 차단 시스템	웹쉘 및 홈 디렉토리 설정변경 탐지 악성코드 유포지 URL탐지 웹쉘 탐지 정보 및 이력 저장
정보시스템 서버 접근통제 및 보안감사 시스템	접근통제에 의한 모든 작업 이력 저장 장애 및 보안사고 발생 시 사후 추적 기능
지능형 네트워크 접근통제 시스템 (NAC)	네트워크 접속 단말인증 및 무결성 검증 필수 S/W 설치 및 불법 소프트웨어 삭제 유도
위협관리시스템(TMS)	위협관리시스템으로 유해 트래픽 및 악성코드를 실시간 탐지하는 시스템
방화벽(FW)	침입차단시스템으로 내부 시스템을 보호하기 위해 IP/Port 및 프로토콜 기반으로 내/외부를 접속하는 시스템
침입차단시스템(IPS)	실시간 사이버 공격(웹 해킹, 악성코드 등)에 대해 문자열 방식으로 탐지하여 차단하는 시스템
내부정보유출 방지시스템	사용자 컴퓨터에서 사용하는 메신저 프로그램 사용 차단 및 이메일 송수신 붙임파일 용량 통제 등 내부정보의 유출을 방지하기 위한 시스템
홈페이지 위/변조 감시 시스템	악의적인 사이버공격에 의한 홈페이지 화면 위/변조 사항을 실시간 탐지 및 웹 접속 정상 상태를 모니터링하는 시스템

 

보안 솔루션 종류(2)

시스템 명	내용
무선랜 침입 차단시스템(WIPS)	기관 내 비인가 무선 AP탐지 및 무선랜에 대한 위협을 탐지/차단하는 시스템
DDoS 공격대응 장비	DDoS공격에 대한 탐지/차단에 특화된 시스템
개인정보유출방지 시스템	PC에서 주빈번호, 여권번호 등 고유식별정보 및 중요정보가 포함된 문서를 식별하거나 외부유출 시 차단하는 시스템
웹 방화벽(WAF)	웹 서비스에 대한 사이버 공격 탐지/차단에 특화된 시스템
악성메일 차단시스템	악의적인 바이러스 및 악성코드 포함된 메일을 수신 시에 탐지/차단 시스템
스팸메일 차단시스템	일반적인 다량의 메일 수신 및 비정상적인 메일을 수신 시 차단하는 시스템
지능형지속위협(APT) 공격 대응시스템	시그니처 기반의 정보보호시스템과는 달리 비정상적인 행위를 판별하여 이상징후를 탐지 및 차단 시스템
매체제어 시스템	인가된 USB 저장장치, 이동형 저장장치의 연결을 허용하고 기타 비인가된 장치에 대해 차단 등 하는 통제 시스템

 

정보보안 공부를 해보셨다면 한번쯤을 들어보셨던 보안 솔루션도 있고, 처음 보신 장비도 있을텐데요.

익숙한(?) 보안 솔루션을 구성한다고 했을 때

예를 들어 웹 서비스(홈페이지)가 보호대상이라면 보안 솔루션은 DDoS대응장비, 침임탐지시스템(IDS), 침입차단시스템(IPS), 웹방화벽(WAF) 등 통해서 DDoS(서비스거부), 웹 공격으로부터 탐지 및 차단하게 됩니다.

 

다양한 보안 솔루션 중에서 보호하고자 하는 대상과 어떤 공격으로부터 대응할 것인지 솔루션을 선정하고 도입하는데 검토를 하게 되는데요.

보안 솔루션이 기본적으로 갖춰야 하는 것이 무엇이 있을까요??

 

보안 솔루션 갖춰야 할 요소(하드웨어(성능), 소프트웨어(기능), 운영(정책))

하드웨어(성능)가 뒷받침 되어야 하고 소프트웨어(기능)이 제대로 동작이 되어야 하고 보안솔루션 운영(정책, 설정 등)하는 운영자 또는 담당자가 솔루션을 운영을 잘 할 수 있도록 설계되어 있어야 한다고 생각하는데요.

위 3가지는 보안 솔루션을 담당하고 운영한다면 중요하다고 생각한 이유는

소프트웨어(기능)이 아무리  좋아도 하드웨어(성능)이 뒷받침되지 않으면 제대로 처리되고 수행될 수 있을까요??  하드웨어(성능)은 좋은데 기능이 안된다면요??

둘다 다 좋은데  보안 솔루션 운영하는 사람으로써 기능을 잘 활용해야 하는 입장이기 때문에 복잡하거나 어렵게 설계되어 있다면 잘 사용할 수 있을까요?

그래서 3박자가 참 중요하다고 생각한 이유입니다~! ㅎㅎ

 

보안 솔루션 도입부터 구축 그리고 운영까지에 대한 절차

보안 솔루션 도입부터 구축까지에 대한 흐름을 보도록 할게요.

01. 보호대상 및 범위 파악

02. 공격유형에 대한 대응방안(보안솔루션 도입 등) 수립

03. 보안 솔루션(제조사) 검색 및 검토 : 국내산이냐 외국산이냐...

04.  보안 솔루션 종류 및 기능 등 확인 

05. 제조사 솔루션 문의(솔루션 소개 자료 등) 및 견적서 요청  

06. 기술미팅 일정 잡고 기술미팅을 통한 솔루션 핵심 기능 등을 들은 이후 질의응답 

07. 솔루션에 대한 테스트 및 보안성 검토(기준 등) 

08. 보안 솔루션(A, B) 기능 등 비교, 비용 등 

09. 업체 및 보안 솔루션 최종 선정 후 해당 내용을 최종 의사결정자에게 보고(솔루션 구축 계획 등) 

10. 보안 솔루션 구축 등에 대한 발주 및 계약서 체결

11. (제조사)보안 솔루션 구축 및 솔루션 교육 수행

12. 보안 솔루션 구축 완료 보고서 및 운영 안정화를 위하 보안 솔루션 운영안 작성 후 보고

13. 보안 솔루션 운영 및 관리(안정화 → 체계화 → 고도화)  

 

전체적인 흐름에 대한 맥락을 이해하시면 좋겠어요~! (맥락 이해하기!!)

 

다음 글에서는 보안 장비 담당자가 하는 역할에 대해서 조금 더 알아보아요~~

 

오늘도 글을 봐주셔서 감사하고요!

 

좋은 하루 되세요!!~~^^

 

---

참조 : 보안관제 실무가이드