보안관제 시스템

[나이스준]

1. 보안관제 정의 및 개념

: 보안관제(保安管制) = Security Monitoring & Control

 컴퓨터의 프로그램 수행중에 일어날 수 있는 여러가지 오류에 대비하기위한 감시활동 

2. 보안관제 수행 원칙 

: 사이버 공격은 고도화된 기술을 바탕으로 시간과 장소에 구애받지 않고 진행되고 있는 특성이 있으므로, 보안관제업무는 다음의 원칙을 준수하면서 수행할 때 비로소 많은 성과를 낼 수 있다. 

1) 무중단의 원칙 : 사이버 공격을 실시간으로 신속하게 탐지, 차단하기 위해서는 24시간 365일 지속되어야 한다.

2) 전문성의 원칙 : 시스템 및 네트워크 이론을 포함한 프로그램 분석, 포렌식, 해킹기술등의 다양한 지식을 보유한 인력이 중요하다.

3) 정보공유 원칙 : 사이버 공격은 동일하거나 유사한 공격이 동시 다발적으로 일어나기 때문에 타 기관과 정보를 공유하여 침해대응을 할 수 있다.

3. 보안관제 센터의 업무 수행 내용 

 1. 실시간 보안관제

 2. 웹 취약점 점검 수행

 3. 서버 및 네트워크 시스템, 보안시스템 취약점 점검

 4. 해킹 메일 모의 훈련

 5. DDoS 공격 모의훈련

 6. 침해사고 분석

 7. 정보보안 교육 

 8. 정보보호 기술 교육 

 9 . 무선랜 취약점 점검

 10. 각종 보안감사 준비를 위한 보안 점검

 11. 을지연습 사이버전 대응

구분	내용
실시간 보안관제	홈페이지 위변조 및 공격에 대한 모니터링, 서버/네트워크 장비에 대한 트래픽 추이 및 공격사항 모니터링, 사용자 PC에서 발생되는 악성코드 감염 등 모든 외부로부터의 사이버 위협에 실시간 대응
취약점 점검 수행	2-1 서버/네트워크 취약점 진단 : 자동 스캐너 이용 및 점검 스크립트를 이용한 수동점검을 실시 - 자동 스캐너 종류   COPS : 유닉스 OS에서 실행하는 시스템 취약점 도구   SARA : SATAN을 기반으로 개발되어진 서버/네트워크 추약점 점검 도구   SAINT : 네트워크 취약점 점검 도구로써 HTML 형식의 보고서 기능이 있음    Nmap : 네트워크 포트 스캔 - 수동 점검 방법 : 수동점검은 점검 스크립트를 활용해서 시스템 설정 상태를 손쉽게 확인할 수 있는 방법이다.  2-2 웹 취약점 점검 : 기본적으로 자동스캐너는 웹 취약점을 찾아준다. 웹 취약점을 찾을 수 없는 부분은 실제 프록시 툴을 이용한 수동점검을 실시한다. (자동스캐너 종류 : APP SCAN, Nikto, Acunetix, Zap, Paros 등 ..)
실질적인 모의훈련 실시	악성코드 대응훈련, DDoS 공격대응 모의 훈련 ,종합장애대응 모의 훈련
보안 권고 및 동향 전파	최신 취약점 보완사항, 보안이슈, 유해 IP등에 대한 정보를 관련된 관제연동 기관에 즉각적으로 배포 및 전파한다.
정보수집 및 확인	해킹사이트, 보안 커뮤니티 게시판을 검색하여 기관과 관련된 홈페이지 중 해킹 피해여부를 점검한다.

1. 보안관제 시스템 

보안관제 시스템 개요 

보안관제에 이용되는 시스템은 기본적으로 침입을 탐지하고 대응하기 위한 시스템들이 필요. 

대표적 침입탐지 시스템 (IDS), 침입방지 시스템 (IPS), 침입차단 시스템(FireWall)과 같은 정보보호 시스템을 이용한 방법이 있다. 

최근에는 내부정보 유출 , APT 공격과 같은 지능화된 공격을 탐지하고 대응하기 위해 다양한 시스템에서 발생하는 로그와 이벤트를 활용한 통합 보안관제 전용 시스템을 이용하는 방향으로 관제 시스템이 발전하고 있다. 

정보보호 시스템 

정보보호 시스템은 무엇을 보호하기 위한 것인지 대상 및 목적에 따라 다양한 종류로 나뉜다. 보안관제를 수행함에 있어 각기 다른 정보보호 시스템의 기능과 역할을 이해하는것도 무척이나 중요하다. 방화벽 ,IPS 등 네트워크 기반의 정보보호 시스템 외에 서버를 보호하거나 사용자 컴퓨터 등 엔드포인트를 보호하는 시스템을 이해하면 악성코드를 방어하는데 정밀하고 다차원적인 방어가 가능하다. 

구분	기능
홈페이지 APT 웹셸공격 탐지 및 차단 시스템	웹셸 및 홈 디렉터리 설정변경 탐지 악성코드 유포지 URL 탐지 웹셸 탐지 정보 및 이력 저장
정보 시스템 서버 접근 통제 및 보안감사 시스템	접근 통제에 의한 모든 작업이력 저장  장애 및 보안사고 발생시 사후 추적 가능
지능형 네트워크 접근 통제 시스템 (NAC)	네트워크 접속 단말인증 및 무결성 검증 필수 S/W 설치 및 불법 소프트웨어 삭제 유도
위협관리 시스템 (TMS)	위협관리 시스템 (Threat Management System)으로 유해 트래픽 및 악성코드를 실시간 탐지하는 시스템
방화벽 (FireWall)	침입 차단 시스템으로 내부 시스템을 보호하기 위해 IP및 프로토콜 기반으로 내, 외부를 접속 차단하는 시스템
침입방지 시스템 (IPS)	실시간 사이버 공격을 탐지 및 차단하는 시스템으로, 악성코드 및 악의적인 바이러스에 대해 문자열 방식으로 탐지하여 차단 * 사람이 건물에 입장할때 1차적으로 얼굴인식으로 현관을 통과하는것이 방화벽의 역활이라면 소지품 검사대에서 엑스레이 검사를 하는것이 침입방지 시스템의 역할
내부정보유출 방지 시스템	사용자 컴퓨터에서 사용하는 메신저 프로그램 사용 차단 및 이메일 송신시 붙임 파일용량 통제등 내부정보의 유출을 방지
홈페이지 위변조 감시 시스템	악의적인 사이버 공격에 의한 홈페이지 화면 위/변조 사항을 실시간 탐지 및 웹 접속 정상상태를 모니터랑 하는 시스템
무선랜 침입 차단 시스템 (WIPS)	기관 내 비인가 무선 AP 탐지 및 무선랜에 대한 위협을 탐지/차단 하는 시스템   - 기관 내의 중요정보를 모바일 기기를 이용하여 전송하는 기능 탐지/차단 ( SNS, 이메일, 인터넷 등)  - 허가없이 설치한 무선 공유기 및 무선장비를 실시간 탐지/차단하여 기관내의 시스템으로 침입하는 등의 외부 사이버 공격을 방어함
DDoS 공격 대응 장비	DDoS 공격에 대한 차단에 특화된 시스템
개인정보유출방지 시스템	컴퓨터에서 주민번호, 여권번호 등 고유 식별정보 및 중요정보가 포함된 문서를 식별하거나 외부유출 시 차단하는 시스템
웹 방화벽(WAF)	웹 서비스에 대한 사이버 공격 차단에 특화된 시스템
해킹메일 차단시스템	악의적인 바이러스 및 악성코드 포함된 메일 수신시에 탐지 및 차단하는 시스템
스팸메일 차단 시스템	일반적인 다량의 메일 수신 및 비정상적인 메일 수신시 차단하는 시스템
지능형 지속 위협(APT)  공격 대응시스템	시그니처(문자)기반의 정보보호 시스템과는 달리 비정상적인 행위를 판별하여 이상징후를 탐지 및 차단하는 시스템
매체제어 시스템	인가된 USB 저장장치, 이동형 저장장치의 연결을 허용하고 기타 비인가 장치는 차단하는 통제 시스템