한줄요약:
보안 관제 - 보안관제의 기본 정의부터 시작하여 실무에 사용되는 인프라, 솔루션, 그리고 실제 공격에 대응하는 시나리오까지 체계적으로 배웠습니다.
오늘 공부한 내용:
-
### **[보안관제 수업 총정리]**
#### **1. 보안관제의 핵심 개념**
* **정의:** 조직의 정보 시스템을 사이버 공격으로부터 보호하기 위해 **24시간 365일 실시간으로 모니터링**하고 대응하는 업무입니다.
* **3요소:** 전문 **인력(People)**, 체계적인 **프로세스(Process)**, 그리고 이를 지원하는 **기술/시스템(Technology)**의 조화가 필수적입니다.
* **기본 흐름:** 탐지 및 분석 → 초동 조치 → 사후 대응 및 보고의 사이클을 가집니다.
#### **2. 보안 인프라와 주요 장비**
* **네트워크 구성:** 외부 접점인 **DMZ 구간**과 보호 대상인 **내부망**을 분리하여 보안 장비를 배치합니다.
* **주요 솔루션:**
* **방화벽(Firewall):** 접근 제어의 기본.
* **IDS/IPS:** 네트워크 침입 탐지 및 차단.
* **WAF(웹 방화벽):** 웹 서비스 타겟 공격(SQL Injection 등) 전문 방어.
* **로그(Log):** 모든 장비가 남기는 기록이며, 보안관제 분석의 가장 기초적인 데이터가 됩니다.
#### **3. 통합 분석 시스템, SIEM**
* **SIEM의 역할:** 수많은 보안 장비의 로그를 하나로 모아 **상관분석(Correlation)**을 수행하는 '보안의 브레인' 역할을 합니다.
* **탐지 효율화:** * **정탐(True Positive)**과 **오탐(False Positive)**을 구분하여 실제 위협을 가려냅니다.
* **화이트리스트/블랙리스트** 관리를 통해 불필요한 알람을 줄이고 관제 효율을 높입니다.
#### **4. 공격 시나리오와 대응 전략**
* **공격 단계 이해:** 공격자의 **정찰(Reconnaissance)** 단계부터 **침투 및 권한 상승**까지의 과정을 시나리오로 구성하여 탐지 정책을 세웁니다.
* **정책 수립:** 특정 수치 이상의 트래픽을 잡아내는 **임계치(Threshold) 설정**과 특정 공격 코드를 식별하는 **패턴 매칭** 기법을 활용합니다.
* **최종 목표:** 탐지된 위협에 대해 논리적인 근거를 바탕으로 분석 보고서를 작성하고 재발 방지 대책을 수립하는 능력을 기릅니다.
공부한 내용:
1교시
### **1. 보안관제(Security Monitoring)의 정의**
보안관제란 사이버 공격에 대비하여 정보 시스템과 네트워크를 **24시간 365일 중단 없이 모니터링**하고, 침해 사고 발생 시 신속하게 대응하는 업무를 의미합니다.
### **2. 보안관제의 3대 요소**
수업에서는 보안관제가 원활하게 이루어지기 위해 필요한 세 가지 핵심 요소를 강조합니다.
* **인력 (People):** 전문적인 지식을 갖춘 보안관제 인력.
* **프로세스 (Process):** 사고 대응 및 분석 절차.
* **기술/시스템 (Technology):** SIEM(통합보안관제시스템), IDS/IPS 등 보안 장비 및 솔루션.
### **3. 주요 업무 흐름 (Cycle)**
보안관제는 크게 다음과 같은 순서로 진행됩니다.
* **탐지 및 분석:** 보안 장비에서 발생하는 이벤트(로그)를 실시간으로 모니터링하여 공격 여부를 판단합니다.
* **초동 조치:** 위협이 확인되면 즉시 공격 IP 차단 등 추가 피해를 막기 위한 조치를 취합니다.
* **사후 대응 및 보고:** 발생한 사고의 원인을 상세히 분석하고 보고서를 작성하여 재발 방지 대책을 세웁니다.
2교시
### **1. 보안 장비의 배치와 네트워크 구성**
보안관제를 효율적으로 수행하기 위해 네트워크 상에 보안 장비들을 어떻게 배치하는지 설명합니다.
* **DMZ 구간:** 외부에서 접근 가능한 웹 서버 등을 배치하며, 이를 보호하기 위한 방화벽 설정이 중요합니다.
* **내부망 보호:** 외부의 침입으로부터 내부 시스템(DB, PC 등)을 분리하여 보호하는 구조를 배웁니다.
### **2. 핵심 보안 솔루션의 이해**
수업에서 중요하게 다루는 주요 보안 장비들은 다음과 같습니다.
* **방화벽 (Firewall):** 네트워크 통로의 관문 역할을 하며, 설정된 정책에 따라 트래픽을 허용하거나 차단합니다.
* **IDS/IPS (침입 탐지/차단 시스템):** 악성 패킷을 실시간으로 감시하고 공격 패턴을 탐지하여 차단합니다.
* **WAF (웹 방화벽):** 일반 방화벽이 막지 못하는 HTTP/HTTPS 기반의 웹 공격(SQL Injection, XSS 등)을 전문적으로 방어합니다.
### **3. 로그(Log) 수집의 중요성**
모든 보안 장비는 활동 내역을 '로그'로 남깁니다. 보안관제 요원은 이 로그를 통해 어떤 공격이 시도되었는지 분석합니다.
* **정탐(True Positive):** 실제 공격을 정확히 탐지한 경우.
* **오탐(False Positive):** 공격이 아닌데 공격으로 잘못 탐지한 경우(관제 업무의 효율성을 위해 이를 줄이는 것이 핵심입니다).
3교시
### **1. SIEM(Security Information and Event Management)의 역할**
여러 보안 장비(방화벽, IPS, 웹 방화벽 등)에서 발생하는 수많은 로그를 한곳으로 모아 분석하는 SIEM 시스템을 설명합니다.
* **로그 통합:** 서로 다른 형식의 로그를 표준화하여 수집합니다.
* **상관분석 (Correlation):** 단일 로그로는 알 수 없는 위협을 여러 장비의 데이터를 조합하여 찾아냅니다.
### **2. 보안관제의 단계별 대응 절차**
실제 침해 사고 발생 시 관제 요원이 따르는 절차를 상세히 다룹니다.
* **이벤트 탐지:** SIEM에서 설정된 룰(Rule)에 의해 위협 알람이 발생합니다.
* **초동 분석:** 해당 위협이 실제 공격인지(정탐) 아니면 정상적인 서비스 이용인지(오탐)를 판단합니다.
* **티켓 생성 및 전파:** 정탐으로 확인된 경우, 관련 부서에 상황을 공유하고 대응을 요청합니다.
### **3. 관제 규칙(Rule) 설정 및 최적화**
효율적인 관제를 위해 '룰셋(Rule-set)'을 관리하는 법을 배웁니다.
* **화이트리스트(Whitelist):** 정상적인 트래픽이 공격으로 탐지되지 않도록 예외 처리하는 방법.
* **블랙리스트(Blacklist):** 알려진 악성 IP나 공격 패턴을 등록하여 즉각 차단하는 방법.
4교시
보안관제 4교시 수업 영상에 대한 요약 내용입니다.
### **1. 공격 시나리오 기반의 탐지 (Scenario-based Detection)**
단편적인 이벤트 분석을 넘어, 공격자가 시스템에 침투하기 위해 시도하는 일련의 과정을 이해하는 법을 배웁니다.
* **정찰(Reconnaissance):** 공격 대상의 취약점을 파악하기 위한 포트 스캐닝 등의 전조 현상을 탐지합니다.
* **침투 및 권한 상승:** 취약점을 이용해 내부망으로 진입하고 관리자 권한을 획득하려는 시도를 분석합니다.
### **2. 탐지 정책(Policy) 수립 실무**
효과적인 보안관제를 위해 보안 장비에 적용할 정책을 기획하는 과정을 설명합니다.
* **임계치(Threshold) 설정:** 초당 접속 횟수나 패킷 발생량 등을 기준으로 이상 징후를 판단하는 기준을 정합니다.
* **패턴 매칭:** 알려진 공격 코드나 특정 문자열이 포함된 패킷을 식별하는 정규표현식 활용법을 다룹니다.
### **3. 사고 분석 및 소명 요청**
탐지된 이벤트가 실제 공격인지 확인하기 위해 시스템 담당자에게 확인을 요청하거나 로그를 대조하는 절차를 배웁니다.
* **비정상 행위 판단:** 평소와 다른 시간대나 위치에서의 대량 데이터 전송 등을 식별합니다.
