2.
보안관제서비스 종류와 구성
앞서 1장에서 보안관제서비스 정의, 동향을 비롯한 구성요소와 프로세스 등에 대해 알아 보았다. 지금부터는 현재 국내 주요 보안관제서비스 업체들의 보안관제서비스 상품의 종류가 어떠한 것이 있는지 살펴 보고 앞서 살펴 본 보안관제서비스 개념에 비교하여 각 특징과 전체 서비스가 어떻게 구성 되었는지도 함께 알아볼 것이다.
①. 관제서비스 종류
보안관제서비스는 의심스러운 행위, 악의적인 스캔, 권한 없는 접근, 웹 어플리케이션의 오용 및 내부자의 남용에 대해 24x7x365 동안 실시간 사고 대응을 제공하는 것으로 이야기하거나 기업이 취약점과 위협을 실시간으로 방어하고 탐지하며 대응하는 것을 돕도록 인력, 프로세스, 기술 및 전문지식을 제공하는 것으로 말할 수 있다. 따라서 관제서비스 상품들도 이 기준에 맞게 구성이 되어있다.
i 관제서비스 내용
관제서비스 정의에 충실할 수 있도록 관제서비스를 제공하는 업체들이 해당 내용으로 서비스 상품을 구성하여 제공하고 있다(표.2.1 참조). 기초적인 이벤트 모니터링 및 보고서 제공에서부터 대고객 응대 및 장애처리를 위한 24시간 Help Desk 운영과 더불어 CERT, 장애처리 서비스와 침해사고 분석을 위한 보안장비 로그보관서비스도 제공하며 또 부가적으로 각종 전문지식을 제공하기 위한 보안 컨설팅과 보안포털 서비스까지 제공을 한다. 또한 침해사고에 의한 고객의 정보자산의 손실에 대한 금전적 보상을 위해 SLA[1]에 따른 보험서비스까지 포함하는 경우도 있다.
[표.2.1] 관제서비스 기본 제공 서비스 내용(원격관제)
|
넷시큐어 |
A사 |
I사 |
|
l
모니터링 서비스 l
원격제어 서비스 l
사전 보안 컨설팅 l
Reporting 서비스 l
보험서비스 l
Help Desk 운영(24H) l
CERT,장애처리 서비스 l
보안포탈 서비스 l
Secure-mailing |
l
통합 이벤트 모니터링 l
Reporting 서비스 l
장애처리 서비스 l
Help Desk 운영(24H) |
l
ISAC 서비스 l
Reporting 서비스 l
통합 이벤트 모니터링 서비스 l
Help Desk 운영(24H) l
정보보호인프라 구축 l
CERT 서비스 |
※ 각 회사 홈페이지 내용 발췌
이러한 서비스 내용을 포함하여 보안관제서비스 고객에게 제공되는 서비스 상품의 종류는 구체적으로 보안관제 장비 또는 관제 대상으로 구분되어 있다(표.2.2 참조). 인터넷 접근제어 서비스를 원하면 침입차단시스템(F/W) 서비스를 선택하고 네트워크 트래픽 중 위해 패킷 등을 탐지하는 서비스가 적합하다고 하면 침입탐지(IDS) 서비스를 제공받는 상품으로 서비스를 신청하면 되는 것이다. 즉, 보안관제서비스를 제공받고자 하면 현재 달성해야 되는 정보보호 수준 또는 목표가 무엇인가에 따라 해당되는 서비스를 선택하고 그 서비스에 포함되어야 할 내용이 무엇인지 협의해서 관제서비스를 제공받아야 하는 것이다. 예를 들면, 주요 정보시스템이 웹 서버와 이-메일 서버인 어떤 기업이 관제서비스를 제공받고자 하는데 한정된 보안관련 예산으로 가장 효과적인 서비스 상품을 선택하고자 하는 상황이라면 우선 운영되고 잇는 정보시스템의 활용도와 업무와 연계성을 살펴 봐야 한다. 이 기업에서 사용하고 있는 웹 서버에서 제공되는 기능은 단순한 기업의 소개만 제공할 뿐, 회원가입과 게시판 및 커뮤니티 기능이 없지만 이-메일 서비스는 기업 내외부 업무를 처리하는데 적극적으로 활용되는데 증가하는 스팸 메일로 인한 업무 효율성 저해와 가끔 발생하는 웜/바이러스를 포함한 외부메일로 인한 심각한 업무 장애까지 발생하고 있는 상황이라면 웹 침입차단(Web 보안 또는 Web 위/변조) 서비스를 제공받기보다는 ‘바이러스 월 서비스’를 선택하는 것이 합리적이라 할 수 있다.
[표.2.2] 관제서비스 상품 종류(원격관제)
|
넷시큐어 |
A사 |
I사 |
|
l
SCC-F l
SCC-I l
SCC-PLUS l
SCC-V(안티바이러스) l
SCC-VW(바이러스 월) l
SCC-SB l
SCC-WF(웹 침입차단) l
SCC-IPS(침입방지) l
SCC-VPN(IPSec VPN) l
SCC-SVPN(SSL VPN) |
l F/W 관제서비스, l VPN 서비스 l IDS 관제서비스 l IPS 관제서비스 l WEB 보안서비스 l VirusWall 관제서비스 l 취약점 점검 및 보안 Clinic 서비스 |
l F/W 관제서비스 l IDS 관제서비스 l IPS 관제서비스 l Web F/W 관제서비스 l 보안 Clinic
서비스 l Web 위/변조
l Web 해킹 자동 진단 관제서비스 l NMS/SMS 서비스 |
그리고 보안관제서비스는 제공형태에 따라 원격관제와 파견관제 서비스로 나누어 볼 수 있는데 앞서 살펴 본 원격관제 서비스 상품의 내용과 다르게 파견관제 서비스의 경우, 인력이 파견될 기업의 정보보호 인프라에 따라 제공하는 서비스의 내용이 달라지는데 파견관제서비스를 받고자 하는 기관/기업 등은 보안운영 전반에 대한 위탁을 하고자 하기에 보안 컨설팅을 실시하고 이를 기반으로 한 보안기획을 하여 보안인프라를 구축한 후에 지속적인 보안운영 서비스를 제공하는 형태이다(표.2.3, 표.2.4 참조).
[표.2.3] 파견관제 서비스 상품 종류
|
보안 운영 |
1.Firewall, IDS/IPS, VPN 등의 보안시스템 운영 (가용성관리, 변경관리, 보안정책 관리 등) |
|
보안 기획 |
1. 보안 시스템 도입/구축 전략 수립 |
|
2. 보안 교육 |
|
|
보안 컨설팅 |
1. 취약성 진단 |
|
2. 모의해킹 |
|
|
3. 웹 서비스 보안진단 |
|
|
보안 인프라 구축 |
1. 보안솔루션 구축 |
|
2. 정보보호체계수립 |
|
|
3. 개인정보보호 등 |
[표.2.4] 파견관제 서비스 상품 내용
|
보안관제 |
24X7X365 실시간 보안 이벤트
모니터링 침해사고 상황전파
및 1차 대응 |
|
침해사고 대응 |
침해사고 원인 분석 및 대응 사후 조치 등 재발
방지 |
|
침해사고 예방 |
보안 취약점 분석 및 정보 제공 침해사고 확산 예방 |
|
대외 기관 협조 |
보안 위협 동향 접수 및 전파 신변종 웜/바이러스 백신 의뢰 |
|
보고서 제공 |
정기 서비스 보고서 보안 이슈에 관한
비정기 보고서 |
ii 네트워크 회선 형태에 따른 분류
보안관제서비스는 네트워크 회선 인프라 형태에 따라 1)공용서비스, 2)전용서비스로 도 구분할 수 있다. 각각의 서비스는 다음과 같이 정의할 수 있는데 독립된 장소에 단독으로 회선을 임대하여 운영하는 기관/기업이 아닌 주로 IDC[2]에 입주하여 정보자산을 운영하는 고객들을 대상으로 한다.
-
공용서비스
하나 이상의 기관/기업이 특정 서비스 또는 트래픽 별로 그룹화하여 동일한 보안서비스가 제공되는 것으로 공용 침입차단 및 안티바이러스 서비스가 IDC 서버호스팅 서비스와 함께 비교적 경제적 가격으로 제공되는 형태를 말한다.
[그림.4.1] 보안관제 공용서비스 개념도
-
전용서비스
독자적으로 네트워크 회선을 임대하여 사용하는 기관/기업들이 자체 보안강화를 위하여 독립된 보안서비스 형태로 제공되는 것을 말한다.
[그림.4.2] 보안관제 전용서비스 개념도
②. 관제서비스 구성 절차
지금까지 관제서비스 상품과 그 특징을 알아 보았다. 그런데 관제서비스를 도입할 때 단순히 주로 이용하는 정보서비스와 부합되는 관제서비스 상품을 선택할 수도 있고 기관/기업의 정보관리체계에 따라 보안관제서비스를 체계적으로 수립하고 서비스를 공급받을 수 있는데 이때 기관/기업의 요구사항은 천차만별이며 그에 따른 최적화된 보안관제서비스 관리방안을 개별적으로 도출하여 보안관제프로세스 및 대응체계를 수립하여 제공할 수도 있다. 표.2.5는 이와 같은 사항을 일목요연하게 정리한 것으로 환경분석, 체계수립, 관제서비스 적용 및 운영이라는 각각의 단계에 따라 실시해야 되는 업무와 그에 따른 관련문서들을 대응시켜 놓은 것이다.
[표.2.5] 단계 별 보안관제 서비스 수립절차 내용
|
구분 |
업무항목 |
상세 업무 |
관련문서 |
|
환경 분석 |
현황조사 및 범위 검토 |
Ÿ 요구사항 정의 Ÿ 보안관제 범위 정의 Ÿ 보안관제 일정 수립 |
Ÿ 요구사항 분석서 Ÿ 보안관제 일정표 Ÿ 정보자산 현황 Ÿ 서비스범위 정의서 |
|
체계 수립 |
보안관제 상세항목 파악 |
Ÿ 정보보호시스템 현황파악 Ÿ 정보시스템 현황 파악 Ÿ 보안성 검토 |
Ÿ 자산리스트 Ÿ 보안성 검토보고서 Ÿ 보안성 검토 대응보고서 |
|
운영프로세스 수립 및 검토 |
Ÿ 관제프로세스 수립 Ÿ 이벤트 레벌 정의 Ÿ 침해대응절차 수립 Ÿ 보고체계 수립 Ÿ 취약점진단/모의진단 Ÿ 비상연락망 수립 Ÿ 유지보수 절차 수립 |
Ÿ 업무 대응 프로세스 Ÿ 업무 대응 절차도 Ÿ 비상연락망 |
|
|
관제 서비스 적용 및 운영 |
정보보호 시스템관리 |
Ÿ 네트워크 구성 최적화 Ÿ 정책 최적화 Ÿ 시그니쳐 최적화 Ÿ 유지보수 Ÿ 장애관리 |
Ÿ 네트워크 구성도 Ÿ 정책리스트 Ÿ 시그니쳐 리스트 Ÿ 정책/시그니쳐 변경관리 보고서 Ÿ 정기점검보고서 Ÿ 장애대응보고서 |
|
이벤트 모니터링 |
Ÿ 위험/공격 유형별 이벤트 탐지 Ÿ 공격대상 별 이벤트 현황 Ÿ 블랙리스트 등록 및 경고메일 발송 |
Ÿ 이벤트 분석 보고서 Ÿ 이벤트 현황보고서 Ÿ 블랙리스트관리대장 |
|
|
침해사고 대응 |
Ÿ 침해사고 대응 및 보고 |
Ÿ 침해사고 대응보고서 |
|
|
요청처리 및 업무관리 |
Ÿ 정책요청관리 Ÿ 취약점 진단 및 모의진단 |
Ÿ 정책/시그너쳐 관리대장 Ÿ 취약점 진단 보고서 Ÿ 모의진단 보고서 |
|
|
업무보고 |
Ÿ 정기 비정기 업무보고 |
Ÿ 일일/주간/월간 보고서 Ÿ 비정기 보고서 |
보통 일반적인 기관/기업은 정보인프라 환경과 정보관리체계가 일반적이라는 가정하에 표준적인 관제서비스를 제공받는 것이고 그렇지 않은 기관/기업에 대해서는 표.2.5를 기준으로 환경분석 후 기관/기업 환경에 적합한 체계를 수립하고 수립된 체계에 따라 관제서비스를 적용/운영하는 형태를 띤다.
이렇게 적용 및 운영이 되는 보안관제서비스는 앞서 1장에서 언급한 것과 같이 여러 프로세스로 구성되어 있다. 대표적으로 1)보안관제프로세스, 2)침해대응프로세스로 구분할 수도 있지만 추가적으로 3)통합보안관제 운영프로세스, 4)모니터링프로세스, 5)취약점진단 프로세스 등으로 상세히 나누어 볼 수 있다.
이 중 1~4의 프로세스는 보안관제서비스를 제공하는 업체에서 주로 발생하는 프로세스이지만 취약점진단 프로세스는 고객(기관/기업)의 정보시스템(정보자산)을 대상으로 발생하는 프로세스이기에 조금 더 자세히 기술하고자 한다. 아래 표.2.6은 취약점진단 프로세스 중 ‘시스템 분석 절차’ 예시 항목인데 시스템 분석은 시스템 백업, 점검(자동/수동), 결과협의와 하드닝(Hardening) 수행 순으로 진행된다. 이런 절차로 점검된 정보시스템에 대해 관제서비스가 제공되고 정기적/비정기적인 주기로 고객의 정보자산을 대상으로 해당 프로세스를 적용하여 보안관제서비스 품질을 보장하고 있다.
[표.2.6] 시스템 분석 절차(예시)
|
시스템 백업 |
DB 백업 |
|
주요 설정파일 백업 |
|
|
전체 백업 |
|
|
시스템 기본정보 관리 |
|
|
자동 및 수동 점검 |
계정 및 패스워드 점검 |
|
불필요 서비스 삭제 |
|
|
공유 파일 해제 |
|
|
DoS 및 필터링 정책 점검 |
|
|
최신 패치 유무 점검 |
|
|
감사로그 검사 |
|
|
결과협의 |
분석결과에 대한 문제점 인식 |
|
결과에 대한 Hardening 실시 때 운영 애플리케이션의
장애발생 가능성 점검 |
|
|
적용 범위 파악 및 해결방안 모색 |
|
|
결과 적용 기간 및 방법, 일정 협의 |
|
|
하드닝 수행 (예시: Windows 계열
웹서버) |
서비스팩 설치 |
|
Hot Fix 설치 |
|
|
IE 및 애플리케이션 업그레이드 |
|
|
IIS Lock Down 설치 |
|
|
Hardening 수행: 취약성 분석 결과에 대한 초치사항 이행 |
댓글 없음:
댓글 쓰기