보안학과에서 대부분의 학생들이 보안관제에서 일을 하기 시작하는데요. 모의해킹, 컨설팅 등은 대학을 나와서 하기에는 쌓여있는 지식이 부족한게 가장큰 문제점인거 같습니다. 보안관제에서는 특별한 능력을 요구하지 않습니다. 실제로 c언어도 할줄 모르는데 관제에서 들어가 기초부터 차근차근 쌓고 있는 사람도 있다고 하네요. 정확하 정보는 아니지만 보안관제 초봉은 약 3000정도 된다고 합니다. 꽤 높죠? 그런데 3000정도 나오는이유가 야간근무 때문이라네요.... ㅠ
보안 관제에서 하는일은 크게 다섯가지로 나뉩니다. 무슨일을 하는지 알아봅시다.
(1) 모니터링
- 모니터링은 고객사에서 요구한 URL 및 포트 등 서버에 대해 제대로 된 서비스가 제공되고 있는지를
주시하는 것입니다. 만일 어떤 고객사에서 제공하고 있는 URL이나 포트가 다운되거나 사이트 소스코
드안에 고객사에서도 모르는 스크립트가 삽입되어 있는 경우 이를 실시간으로 발견하여 고객사나
IDC측에 알려 빠른 시간안에 해결 될 수 있도록 보고하는 것이 모니터링의 시작입니다.
(2) 탐지
- 등록된 URL 및 포트모니터링과 동시에 해당 고객사에서 발생되고 있는 공격 이벤트에 대해 관제를
하게 됩니다. 물론 현재 공격 이벤트들은 대부분 패턴 위주나 DDoS와 같은 인계치 값을 설정하여 탐
지하게 되어 있습니다. 그리고 해당 패턴이나 설정된 인계치 값에 맞는 이벤트가 발생하면 이것을 보
여주게 됩니다.
(3) 분석
이것은 두가지로 나뉠 수 있습니다. 첫번째는 이벤트 발생에 따른 오탐과 실제 공격을 구분하는 이벤
트 분석입니다. 이 경우는 이벤트가 발생하였을 경우 RAW데이터나 공격자IP, 포트, 공격대상IP, 포트
등과 해당 이벤트가 어떤 웹어플리케이션 기반에서 발생하는데 현재 해당 고객사도 이벤트가 발생한
것과 동일한 웹어플리케이션 기반인지 등 여러각도로 분석하게 됩니다.
물론 이 경우 또한 실제 공격이라고 판단은 하였지만 %의 확률로 오탐일 경우도 존재합니다.
하지만 현재 IPS나 IDS장비만을 가지고 100% 실제 공격이라고 판단하기란 힘든 점도 있습니다. 관제
를 하는 직원이 다각도로 분석해 공격이다라고 판단하면 이에 대해 조치를 취하고 해당 고객사에 대
응메일과 고객사에서 확인 / 조치하여야 할 사항을 적어 보내게 됩니다.
또 하나는 사고가 난 고객사에 대한 서버점검이나 로그분석을 들 수 있습니다. 모든 공격이 패턴에 잡
히는 것은 아닙니다. 정상적인 접근이라 판단하였지만 나중에 고객사측에서 전화가 와서 해킹을 당했
다고 할 수도 있습니다. 이 경우는 서트에 가까운 업무를 수행하게 됩니다. 서버내 인가되지 않은 특
정 프로세스가 도는지, 웹로그에 어떤 침입흔적이 있는지 알지 못했던 포트가 리스닝 되어 있는지 시
스템로그에서 사용하지 않은 시간대에 접속흔적이 있는지 등을 분석하게 됩니다.
(4) 대응
위 두가지 분석경우에 따른 대응을 하게 됩니다. 이벤트 분석으로 실제 공격이라고 판단하게 된다면
일단 관제팀안에서 취할 수 있는 조치를 취하게 되는데요. 관제팀은 대부분은 방화벽이나 보안장비를
다루게 됩니다.
여기서 IDC와 틀린점이 드러나게 되죠. 기본적으로 IDC와 보안관제에 큰 차이점은 서버 및 네트워크
장비에 대한 관리 및 관제를 하느냐, 보안장비에 대한 관리 및 유지를 하느냐가 있습니다.
해당 이벤트에 대한 공격IP를 방화벽내에서 차단정책을 설정한 후 이에 관련된 고객사에서 할 수 있는
조치사항을 담아 대응메일을 보내게 됩니다. 그 밖에 서버점검의 경우 대응이라 함은 분석을 하여 어
떤 경로로 침입하였고 어떤 파일이 심어져 있는지 등을 파악하여 어떤부분이 취약하니 이에 따른 조
치사항을 적어 고객사에 보고하는 것으로 대응이라 할 수 있겠네요.
(5) 사후처리 / 보고서 작성
사후처리라 함은 이벤트에 대한 패턴 업데이트나 방화벽 정책 정리나 고객사 담당자들을 대상으로 한
보안교육 등이 있습니다. 그리고 보고서 작성은 고객사들을 상대로 한 주간, 월간 등의 정기적인 보고
서 등을 통해 관제기간동안 일어난 사건사고나 장애 등에 대해 보고함으로써 고객사들로 하여금 보안
에 대한 인식 및 조치가 가능하도록 돕게 할 수 있습니다.
이렇게 해서 기본적으로 위 5단계에 걸쳐 보안관제를 이루어지게 됩니다.
최근에는 고객사들의 요청에 의한 모의해킹 및 취약점 점검 등을 통해 이에 따른 조치사항 등을 보고
서를 통해 알려주는 업무를 하는 보안관제업체들도 많아졌습니다.
우리들이 알고 있는 보안관제라 하여 모니터링, 이벤트 탐지 및 대응 등의 기본적 업무 이외에 보안에
관련된 갖가지 업무들을 수행 하는 등 업무폭이 넓어지고 있는 것이지요.
그 밖에 방화벽을 관리하다보니 고객사들의 요청에 의한 정책 설정이나 룰셋 현황 보고 등도 같이 기
본적인 업무에 포함되어 있습니다. 단순히 생각한 관제가 아닌 포괄적인 의미에서 관제라고 생각하시
면 됩니다.
'정보보안' 카테고리의 다른 글
| 보안컨설팅이란? (0) | 2017.05.04 |
|---|---|
| 컴퓨터 대응 침해대응 사고팀 (CERT)란? (0) | 2017.05.03 |
| 해커가 되고싶은 사람들을 위한 정리글 (14) | 2017.04.29 |
| 해커 등급에 대해 알아보자! (0) | 2017.04.29 |
| 해커의 종류와 그 의미 (0) | 2017.04.29 |