네트워크 보안시스템 구축...

1. 보안관제 시작하기

2. 네트워크 보안시스템 구축과 보안관제를 위한 배경지식

3. 네트워크 보안 실습을 위한 환경 구축

4. 방화벽 구축 : untangle

5. 네트워크 침입 탐지/차단 시스템 : suritaca

6. 호스트 기반 침입 탐지/차단 시스템 : OSSEC

7. 웹 방화벽 : ModSecurity

8. 보안관제 시스템 : ELK(Elasticsearch + Logstash + Kibana)

네트워크 보안시스템 구축과 보안관제

보안 관제 시작하기

보안관제

SK 인포섹 보안 관제 센터

보안관제의 개념

보안의 개념

허락되지 않은 접근, 수정, 노출, 훼손, 파괴 등의 다양한 사이버상의 위협으로부터 정보를 보호하는 것

사이버상의 각종 위협으로부터 정보를 보호하기 위한 다양한 활동

보안관제의 개념

‘Security Monotoring’ or ‘Security Monitoring & Control’

미국의 R.Bejtlich

• 사이버 보안 관제에 대해 ‘네트워크 트래픽 분석 도구를 이용하여 24시간 서버와 네트워크를 통해 통신한 방대한 데이터에서 잠재적인 침입자의 공격 시도를 규명하고 이러한 과정에서 분석된 내용을 토대로 불명확했던 침입 시도를 규명하는 일련의 행위’라고 정의

성의 방어개념과 유사 비인가 접근을 다단계로 차단/검출

침입자를 상시 경계 핵심 자산을 가장 깊은 곳에서 보호

침입자 경계

탐지센서, CCTV, IDS/IPS

근위병 왕 호위

핵심 시설 보안, 서버 보안 DRM

성문관리

단단계출입통제, 다단계

방화벽

보초검문검색

검색체계, Anti-virus,

네트워크 접근 관리

성벽/해자

물리적 보안시설

보안 관제의 개념

보안관제의 수행의 기본 원칙

보안 관제의 영역

보안관제 영역

민간기업

중앙행정기관과 소속기관

지방자치단체와 소속기관

공공기관

보안관제 업무 프로세스

예방 탐지 분석 대응 보고

보안관제의 필요성

윈스 보안관제

이글루시큐리티 보안관제 서비스 프로세스

안랩보안관제

SK 인포섹 보안관제

보안관제 어떻게 하고 있나?

1.25 인터넷 대란(2003) 국가적 차원에서의 대처

슬래머 웜에 감염된 PC가 국내최상의 DNS공격 (대량의 트래픽 발생)

DNS서버 마비

인터넷 망이 불통

2003년 7월 국가 사이버테러 대응체계 구축에 관한 기본 계획 수립

2004년 국가사이버 안전센터 설치

국가 사이버 안전 업무 수행체계도

대통령

국가사이버 안전전략회의

국가사이버 안전대책회의

국가정보원

국가 공공 분야 중앙행정기관

공공기관 지방 자치단체

미래창조과학부

ISP 등 민간분야

국방부

국방분야 각급 부대

국가위기관리실

법정부

보안관제의 유형

유형 설명

자체보안관제

자체적으로 보안 전담 조직을 갖추고, 관제 시스템을 구축하여 운영하는 관제방식 국가기관, 통신사, 대기업 등 보안을 중요시하는 곳이나 자체적으로 내부 네트워크 망을 구성하여 운영하는 곳에서 주로 실시한다.

원격 보안관제

보안 관제 전문 업체와 계약된 범위 내에서 보안 시스템을 구축하고 원격에서 보안관제를 위탁하여 운영 자체적으로 보안관제를 하기 힘들거나 보안 인력이 없는 일반 기업에서 주로 실시

파견 보안관제

자체적으로 관제 시스템을 구축하였으나 보안 관제를 할 수 있는 전담조직이나 보안 인력이 없는 경우 보안관제 전문 업체에서 보안 전문인력을 파견받아 보안 관제를 운영하는 방식

보안관제를 왜 해야 하는가?

“정보보안 모르는 것과 아는 것의 차이는 크다”

보안 시스템을 구축한 이후에도 침해사고 발생

보안사고의 발생 시에 사고의 원인, 상황 등을 파악하지 못함

보안 사고의 예방

똑 같은 공격으로 피해입지 않도록 노력

사고의 유형

기업

개인

악성코드

취약점

분산서비스 공격

기업 기밀정보의 유출 피해

기업비밀정보의 유출

핵심 기술이나 영업 노하우가 경쟁업체로 유출

퇴직자, 경쟁업체 직원, 협력업체 직원에 의한 유출

핵심인재를 스카우트하는 방식으로 기술 유출

원인

• 보안관리와 감독 소홀

• 임직원의 보안 의식이 부족

대처 방안

• 교육 및 수시 모니터링

구분 09년도 10년도 11년도

기술유출경험 14.7% 13.2% 12.5%

기술 유출 횟수 1.8건 1.6건 1.6건

기술 유출 피해금액 (건당)

10.2억원 14.9억원 15.8억원

개인정보 유출 피해

원인

해킹

내부 직원 및 협력사 직원

대표적인 사건

옥션(2008) : 해킹으로 1,863만명의 개인정보 유출

Cyworld(2011) : 해킹으로 3,500만명 개인정보 유출

국민, 농협, 롯데카드 등의 내부자 소행으로 인한 개인정보 유출

일시 기업 피해유형 피해건수

2008년 2월 옥션 해킹 1,863만명

2011년7월 SK컴즈(Cyworld) 해킹 3,500만명

2014년1월 국민, 롯데, 농협카드 내부자 유출(협력업체직원) 2,000만명

2014년3월 KT 해킹 1,200만명

악성코드 감염

특징

가장 빈번하게 발생, 위험도 낮고 피해도 낮으나 지능화되어 높은 피해 발생

대표적 사례

2013년 3월20일 사건

• 주요 언론(KBS,MBC,YTN)의 전산망에 3만대 이상의 PC가 악성코드 감염

• 기업 내 일부 PC를 감염시킨 후에 PMS(패치관리시스템)를 통해 다수의 PC 감염

• 데이터 파일 및 부트 영역 파괴

• 막대한 복구 비용과 시간

한국수력원자력공사 해킹 사건

• APT공격으로 특정목표를 지속적으로 공격을 수행하여 특정목표 지점까지 악성코드를 침투시킴

• 악성 이메일을 이용하여 첨부된 악성코드를 실행시켜 자료 유출

• 지속적인 교육과 정보보안의식 강화

보안 취약점으로 인한 피해

서비스 혹은 시스템에 존재하는 취약점 이용

내부 시스템에 침투하여 데이터베이스 해킹, 홈페이지 변조, 악성코드 유포지

KT 정보유출 사건

KT 홈페이지의 이용대금 조회서비스에서 고객 고유번호 9자리를 무작위로 입력할 수 있게하는 해킹 프로그램을 이용하여 1년 동안 1,200만명의 이름, 주민등록번호, 집주소, 직업, 은행계좌 등의 정보를 알아내어 텔레마케팅업체에 팔아넘김

분산 서비스 거부공격

사건

7.7 Ddos 사건(2009년), 3.4 Ddos 사건(2011년), 아이템베이 Ddos 사건

보안 조직 구성하기

CEO

CISO/CPO

정보보호위원회

정보보호기획팀

- 보안정책기획 - 보안 인증 - 보안 교육 - 보안 감사

개인정보보호팀

- 개인정보관리 - 개인정보

모니터링 - 개인정보

유출방지 활동

정보보안운영팀

- 보안 시스템 운영 - 접근 통제 정책

관리

정보보안대응팀(cert)

- 보안관제 - 침해사고 대응 - 취약점 점검

CPO : Chief Privacy Officer

보안 관제 센터 구축하기

보안시스템의 구축이 보안관제가 아니다.

성곽을 견고하게 쌓아 놓아도 지키는 병사가 없으면?

성을 지키는 병사 보안관제 요원

인터넷 (외부망)

라우터

스위치 허브 (S/W Hub)

DMZ 망



무선 AP 무선망

개발망

업무망

맥스 연구소의 네트워크 구성도

관제 대상을 골라보면 (무엇을 관제해야 하는가?)


라우터


DMZ 망



무선 AP 무선망

개발망

업무망

보안관제망

√

√

√

√

어떻게 보안관제를 해야 하는가?

1차 : 방화벽

2차 : IDS를 통해 모니터 (미러링과 TAP 장비 이용, 인라인 방식)


라우터 스위치 허브 (S/W Hub)

방화벽 네트워크 망 TAP

IDS 보안관제

망

보안관제센터 구축 시 고려 사항

얼마나 효율적으로 보안 시스템을 관리하고 분석할 수 있는가?

원활한 유지보수, 안정성, 연속성

구 분 고려 사항

관제 상황실 (Control Center)

과제 상황판 구성 및 인테리어 공사 디자인 공조 시설, 소방 시설, 전기 및 통신 시설 배치 출입 통제 프로세스 확립, CCTV, 관제시스템 운영장비

통합보안관리시스템 (ESM)

보안 시스템 현황 및 모니터링 대상 파악 향후 기능을 확장하여 운용 가능 여부 확인

통합 로그 분석 시스템 (SIEM)

로그 수집이 필요한 대상 시스템 파악 보안 이벤트를 수집, 저장 할 수 있는 스토리지 확보 보안 이벤트 분석을 위한 분석 시스템 확보

방화벽(Firewall) 네트워크 트래픽의 부하량을 측정해서 방화벽 도입

침입 차단 시스템 (IDS/IPS)

네트워크의 어느 부분에 구축해야 효과적으로 침입 탐지/차단이 가능한지 확인

네트워크 접근제어 시스템(NAC)

사용자 및 단말기에 대한 네트워크 접근 통제 방식 확인

보안 관제 센터의 운영

보안관제 상황실의 구성

24시간 365일 운영체제

피로감을 덜어 줄 수 있는 환경으로 구성

소음을 방지하여 관제 업무에 집중 할 수 있도록

방염 처리된 벽체에 소방 시설 및 공조 시설

관제 영상 장비(55” TV 6대)

수납장

TV

42인치 이상 사용

FULL HD(1920 * 1080) 지원 , HDMI 단자 지원

벽체에 고정할 수 있는 Wall Bracket은 각도 조정이 쉽도록

4개 이상의 영상을 출력할 수 있는 그래픽 카드

TV TV TV

TV TV TV

케이블 배선 구멍

보안 관제 솔루션

방화벽

IDS/IPS (Intrusion Detection/Prevention System)

ESM(Enterprise Security Management)

각 솔루션을 상호 연동하여 다양한 보안위협에 대응하도록 관리

VPN(Virtual Private Network)

RMS(Risk Management System)

보안 조직이 작고, 스캐너를 기반으로 위협 분석, 취약점 인지 및 각종 자산들에 대한 위험 요소를 평가하여 효율적으로 시스템을 운영

TMS(Threat Management System)

제로 데이와 같은 신규 공격 및 정규화된 보안 이벤트만 처리할 수 있는 ESM의 한계점을 보완하여 각종 사이버 공격을 탐지하고 네트워크 모니터링 및 분석기능을 제공

외부 위협 정보와 비교하여 위협 단계별로 대응하여 피해 확산을 줄일수 있도록 한다.

보안관제 실무

사이버 보안 침해 사고 대응 프로세스

예방(Protect)

명확하게 인지 될 수 있는 공격을 사전에 막는다.

방화벽

탐지 및 분석(Detection/Analysis)

방화벽을 통과한 공격을 모니터링하여 탐지하고 분석

IDS

대응(Response)

공격을 당한 경우 공격을 받은 위치를 찾아내서 공격자의 확인 및 조치

포렌식(Forensic)

침해사고를 당한 시스템에 존재하고 있는 디지털 증거를 수집하고 보존

향후 법적 증거를 확보할 수 있도록 조치

사이버 위협 경보 단계별 업무 대응

국가안전사이버센터의 사이버위기 경보 단계

단계 설명

정상 위험도가 낮은 악성코드와 보안 취약점이 탐지되고 있는 상태 서버, 네트워크, 보안 장비의 보안 정책을 점검하여 위협요소를 차단하고 최신 보안 패치, 백신 업데이트를 유지하고 지속적으로 보안 모니터링한다.

관심 위험도가 낮은 악성코드 및 보안 취약점으로 피해가 발생한 상태 내부 구성원들에게 공지하여 상황을 전파하고 내부 시스템에 장애가 발생하지 않는 수준에서 포트 차단 및 해당 위협에 대한 점검 및 보안 패치를 수행한다.

주의 위험도가 높은 악성코드 및 보안 취약점으로 피해가 발생한 상태 내부 구성원들에게 공지로 상황을 전파하고 내부 시스템에 장애가 발생하지 않는 수준에서 포트 차단 및 모든 시스템들의 보안 점검 및 보안 패치를 수행한다. 사이버 보안 관련 기관들에게 협조를 받아 위협제거 활동을 수행한다.

경계 위험도가 높은 악성코드 및 보안 취약점으로 피해가 커지는 상태 내부 구성원들에게 다양한 채널로 ‘경계’ 단계를 전파하고 모든 정보 자산에 대해 지속적으로 점검을 실시하며 정보 자산을 최소화하여 운영한다.

심각 국가 및 다수의 국가 기관 등의 주요 정보 통신망에서 장애가 생긴 경우 심각단계 발령 내부 구성원들에게 다양한 채널로 ‘심각’단계를 전파하고 모든 정보 자산에 대해 점검하고, 감염된 시스템을 물리적으로 네트워크에서 분리하는 등 즉각적인 보안 조치를 취해야 한다.

보안관제 센터 인력 구성

보안관제 근무 요령

• 보안 관제 근무자는 다음의 근무 내용, 근무 수칙, 근무 현황표를 숙지하여 보안 관제에 임하여야 한다.

보안관제 센터 근무 조 편성

• 보안 관제 센터 근무는 실시간 보안 관제를 담당하는 관제 운영 요원, 침해 사고 실시간 대응을 담당하는 CERT 요원, 보안 이벤트에 대한 정밀 분석을 수행하는 분석 담당으로 나누어 근무 조를 편성 운영한다.

• 보안 관제 근무자의 근무 일정표는 기본적으로 2인 1조 1팀 혹은 5인 1조 1팀으로 하고 주간 관제 운영 근무자의 경우 주 5일 근무를 기준으로 한다.

• 야간 관제 운영 근무자는 4조 3교대 근무 방식으로 진행하며 교대 근무 주기는 3개월 단위(야간 근무 2개월,주간 근무 1개월)로 하고, 공휴일 등 연휴 시 별도의 근무표를 작성하여 운영한다.

• 보안 관제 센터 구축 및 인력에 대한 운영은 각 기관의 특성에 맞게 정하는 것이 바람직하다.

• 교대 순환 주기는 1~2일의 짧은 주기부터 2~4주에 이르기까지 다양하게 할 수 있으나, 1주일 단위 순환 주기는 피하도록 한다.

• 교대 순환 방향은 주간 근무→야간 근무→오전 퇴근→비번 순으로 하는 것이 상대적으로 피로감을 덜 느끼고 적응하기도 쉽다.

• 이외의 근무 방식으로 오전 근무→오후 근무→야간 근무→비번 순으로 피로감은 없지만 너무 잦은 근무는 휴식 시간을 보장받지 못하기 때문에 교대 근무자에게 충분한 휴식이 필요하며, 교대 주기는 기관의 특성에 맞게 조정해야 한다.

사이버 침해사고 대응 프로세스

사이버 침해사고

사고에 대해 감추는 것 보다 피해유형에 따라 처리

국내 공공기관 : 국가사이버안전센터

민간 : 한국인터넷 진흥원, 인터넷침해대응센터

경찰청 사이버 안전국 사이버 범죄 신고

사이버 범죄 신고

담당관서 지정

담당관서 접수

경찰 수사 진행 등 사건

처리

정식사건접수

경찰서방문요청

반려(비형사 사건)

개인 정보보호 침해사고 대응 흐름도(KISA 개인정보침해신고센터)

보안 관제 보안 장비에서 발생하는 보안 이벤트 모니터링 ()

고려사항

보안 조직

보안 관제 센터 구축 이미 구축된 관제 센터의 벤치마킹

이벤트의 처리

대응 프로세스

조직 구성원에 대한 의식 강화 보안 교육

보안은 “사람이 먼저다~~~”

네트워크 보안시스템 구축...

Documents