보안관제(SOC)란?
보안관제 직무란?
보안 관제(SOC) 는 Security Operations Center의 약자로, 고객의 정보 기술 자원 및 보안 시스템에 대한 운영 및 관리를 전문적으로 아웃소싱하여 각종 침입에 대해 중앙 관제 센터에서 실시간으로 감시, 분석, 대응하는 서비스이다.
보안관제 수행 3원칙
- 무중단의 원칙
- 사이버 공격은 시간 장소와 상관없이 수시로 발생하므로 보안관제 업무는 중단 없이 수행되어야 한다.
- 전문성의 원칙
- 정보 보안과 관련된 지식과 경험을 갖춘 전문 인력과 첨단 시설을 갖추어야 한다.
- 정보 공유의 원칙
- 사이버 공격으로 인한 타 기관으로부 확산되는 것을 방지하기 위해 관계 법령에 위배되지 않는 범위 내에서 보안 관제 관련 사항을 공유해야 한다.
보안관제(SOC) vs. 침해사고대응(CERT)
보안관제는 실시간으로 보안 위협을 탐지하고 초기 대응에 초점을 맞추며, CERT는 이러한 보안 사건이 발생했을 때 사고 대응, 분석, 복구에 중점을 둔다.
요약하면, SOC는 주로 모니터링과 초동 대응을, CERT는 사후 대응 및 복구를 담당한다.
보안관제 업무 절차
1. 예방
예방은 다음의 세 가지로 정의된다.
- 사전에 취약점을 파악하여 침해 사고를 예방하는 것.
- 사이버 위협의 발생정보를 사전에 공지하고, 최신 위협 및 해킹 등 보안동향 정보를 제공하는 것.
- IPS, IDS, 웹 방화벽 등 보안시스템에 대한 보안 정책 및 시스템 자원의 최적화를 통해 효율적인 사이버공격 탐지를 지원하는 것.
2. 탐지
2-1) 모니터링
- 트래픽 이상 유무 확인
- 홈페이지 위/변조 확인
- 서비스 정상 유무 확인
- 최신 보안 동향 보고 등
2-2) 이벤트(경보) 분석
- 정탐 및 오탐 판단
- 보안장비 차단여부 확인
- 공격유형 및 피해유형 확인
- 보안장비 로그, 웹 로그, 패킷 분석
보안 시스템의 보안 이벤트에 대한 24시간 365일 보안전문인력에 의한 실시간 감시 탐지를 수행하는 단계.
3. 대응
- 침해탐지 및 IP 차단
- 장애 및 이벤트 등록
보안 정책 설정 및 보안 관제 업무 시 발견된 비정상 네트워크 트래픽 및 시스템에 대한 초기 대응, 사이버 공격 발생 시 신속히 대응 조치하는 단계로, 탐지된 이벤트의 정탐/오탐을 판단한 후, 정탐일 경우 IP를 차단하는 게 기본이다.
4. 보고
- 관제 일지, 취약점 정보, 침해사고 대응 분석 보고서 등을 보고
- 침해사고 처리 및 대응 결과의 부서별 전달
- 시스템 정보
- 장애 처리 결과
침해사고가 발생하면 상황전파를 위해 유관부서 담당자나 CERT 등 전파 대상자들에게 상황을 공유하고, 사고 대응/분석 및 복구를 위해 비상소집한다. 이 과정은 '선 보고, 후 조치'나 '선 조치, 후 보고' 과정에 포함된다.
5. 공유 및 개선
보안관제 수행 3원칙 중 '정보 공유' 원칙에 따라 타 기관에게 정보를 제공하여 동일 사례가 발생하지 않도록 예방한다.
보안관제 유형 및 특징
보안관제는 환경에 따라 4가지로 구분할 수 있다. On-premise 환경에서는 원격 관제 / 파견 관제 / 자체 관제, 클라우드 환경에서의 클라우드 관제가 존재한다.
| 환경 | 보안관제 유형 |
| 온프레미스 (On-premise) | 원격 관제 |
| 파견 관제 | |
| 자체 관제 | |
| 클라우드 | 클라우드 관제 |
1. 원격 관제
관제서비스 업체에서 보안관제에 필요한 관제 시스템을 구비하고 대상 기관의 침입차단시스템 등 보안장비 중심으로 보안 이벤트를 중점적으로 상시 모니터링하고 침해사고 발생 시 긴급 출동하여 대응 조치하는 서비스 형태이다.
- 특징
- 일부 단위 보안시스템의 운영 및 관리를 위탁하는 방식
- 통합보안 관제시스템 및 관제인력이 원격에 위치함
- 제한된 범위의 보안 시스템 위탁
- 대상 : 일반 기업, 포탈 업체 등
- 장점
- 파견관제에 비해 저렴한 단가로, 인력 관리 부담이 없음
- 별도의 회선 구축 없이 인터넷망을 통한 관제 수행 가능
- 단점
- 한정된 서비스 제공
- 파견관제 같이 사이트에 특화된 관제 서비스 수행이 어려움
- 침해/장애 발생 시 즉각조치가 어려움
2. 파견 관제
관제 대상기관이 자체적으로 보안관제 시스템을 구축하고 보안관제 전문업체로부터 전문인력을 파견받아 침해/장애 발생 시 즉각적인 관제 업무를 수행하는 형태이다.
- 특징
- 자체 구축한 보안관제시스템의 운영 및 관리를 위탁하는 방식
- 전문인력이 대상기관에 파견되어 관제업무 수행
- 조직 전반 및 산하기관 보안관제 체제 구축
- 대상 : 공공분야, 금융권
- 장점
- 고객사에 특화된 관제 서비스 제공 가능
- 고객사 정보보호담당자와 관제 인력 간 원활한 의사소통 가능
- 침해/장애 발생 시 즉각 조치 가능
- 업무 연속성 및 효율성 증대
- 고객사 현황에 대한 명확한 이해로 추후 사이트 확장 및 시스템 구성 변경 등에 지원 가능
- 단점
- 높은 단가, 인력 관리 필요
3. 자체 관제
보안관제 시스템의 구축 및 관제 전문 인력을 양성하여 자체적으로 운영 및 관리하는 관제 형태이다.
- 특징
- 자체 보안관제시스템의 운영 및 관리를 자체적으로 수행
- 기관 자체 정규직, 계약직 보안인력을 통한 관제 업무 수행
- 대상 : 국정원, 경찰청동, 대규모 통신사
- 장점
- 내부기밀유지 및 신속한 사고처리
- 정보보안 관련 기술 보유
- 보안관제 업무에 관한 연속성 보장
- 단점
- 전문성 결여로 수행 품질이 낮을 수 있음
- 과도한 초기 투자의 예측 어려움
- 최신 보안기술/동향 정보 확보의 어려움
- 보안 솔루션 운영에 대한 부담
- 보안 전문가 양성의 어려움
4. 클라우드 관제
서버와 데이터베이스 등 IT 자원을 인터넷 접속을 통해 사용하는 클라우드 환경의 관제이다. 기업은 클라우드 내에서 일어나는 보안 위협을 모니터링하여 온프레미스 환경과 동일한 보안관제 서비스를 받을 수 있다.
- 특징
- 보안관리 영역에 대한 직접 관리 부담 감소
- 모니터링 요원, CERT 등 관제전문인력이 제공하는 보안관제 서비스
- 대상 : 클라우드 서비스 제공 업체(CSP; ex. AWS etc.)
- 장점
- 로컬에 장비 설치 및 유지보수가 필요 없음
- 다양한 레퍼런스 기반으로 고객사 환경에 적합한 유동적으로 보안 관제 환경 구축 가능
- IT 기술 발달로 최적화된 보안 장비를 고객사의 니즈에 최적화된 보안 장비 구축
- 클라우드 글로벌 데이터 센터 보안 관제 서비스 제공 가능
- 단점
- 관제 대상 및 업무 이해가 어렵다
- 리스크가 매우 크다
- 고객의 비즈니스를 이해해야 하는 어려움이 있다.
코로나 19로 원격/재택근무가 늘어나며 클라우드 전환 가속화 등의 현상이 발생하고 있다. 이전과 다른 양상의 보안 이벤트가 대량으로 발생하게 되었고, 기존 보안 방어 체계(인력, 시스템)로는 제대로 대응하기 힘든 상황이다. 때문에 최근 'SOAR(Security Orchestration, Automation Response)'에 대한 관심이 높아지고 있다.
SOAR는 보안 시스템이 제 역할을 할 수 있도록 지원하여 보안관제센터 운영을 효율화할 뿐 아니라, 다양한 보안 위협에 대한 대응 프로세스를 자동화한다. 낮은 수준의 보안 이벤트는 사람의 도움 없이 처리하고, 보안 사고가 발생한 경우 표준화된 업무 프로세스에 따라 쉽고, 더 빠르고, 정확한 대응을 돕는 것이 SOC 플랫폼이다.
참고 출처
- 보안관제 : 역할과 책임 (링크)
- [보안이야기#5]정보보안 직무-보안관제(1) (링크)
- 보안관제의 정의 / 보안관제 업무 절차 / 보안관제 유형 및 특징 (링크)
- 보안관제 업무 내용 및 유형 (링크)
- 현업 실무자가 알려주는 '보안관제' 핵심업무 및 프로세스(의미/역할/구성요소/업무유형) (링크)
'리팩토링 > 2. 보안관제' 카테고리의 다른 글
| 리팩토링 12주차. 악성코드 분석 환경 구성 & 악성코드 샘플링 웹사이트 (1) | 2024.09.24 |
|---|---|
| 리팩토링 11주차. 악성 코드 분석 방법 (1) | 2024.09.10 |
| 리팩토링 10주차. VirusTotal (2) | 2024.09.02 |
| 리팩토링 8주차. 악성 코드 (1) | 2024.08.14 |
| 리팩토링 7주차. Firewall, IDS, IPS, DDoS (1) | 2024.07.29 |
