보안관제

보안관제란? 

해당 기관이나 기업에 대한 보안점검 등의 예방활동, 보안시스템 운용을 통해 외/내부의 불법 침해시도 및 침해사고에 대한 탐지/분석 활동, 공격차단 및 대책수립의 대응활동등 일련의 정보보호 활동이다.

 

예를 들면 도로에서 음주 운전을 측정하는 경찰들, 또는 회사에 승인된 사람만 들어갈 수 있게하는
스피드 게이트라고 볼 수 있습니다.

음주측정하는 경찰

스피드 게이트

 

보안관제 업무 수행 절차

 탐지/접수 => 초동대응 => 사고조사 => 복구지원=> 결과보고

 

광휘의 보안관제

보안관제 요원이 탐지를 한 후  해결이 불가능 할때는 침해사고대응팀한테 넘겨서 대응함

 (한정된 인원이기 떄문에 나누어진다)

 

국가보안관제 업무 수행 체계

국가보안관제 (국가사이버안보센터)

1단계 국가정보원

- 국가전산망 보안관제 업무 총괄조정 

- 국가안보 사이버공격 탐지.분석.대응

- 국제 공조를 위해 해외 최상위 보안관제 센터와 정보공유 업무 수행

 

2단계 부문관제센터(중앙행정기관(국방부,외교부)) 

- 담당관역에 대한 자율적 보안관제업무 수행

- 소과기관 사고발생시 긴급대응.사고조사.복구 지원

 

3단계 단위관제센터 (각급기관(지자체,교육청))

- 공격 탐지 수집된 정보를 1차 분석하여 친입여부 판단. 초동조치 실시

- 미해결 사고의 경우 부문보안관제센터로부터 기술지원 요청

 

관련 규정 (국가 공공기관에 해당되는 대통령 행정명령)

1. 국가사이버안전관리규정 : 제 10조의2(보안관제센터의 설치 . 운영)

- 중앙행정기관의 장, 지방자체단체의 장 및 공공기관의 장은 사이버공격 정보를 탐지.분석하여 즉시 대응 조치를 할 수 있는 기구(이하"보안관제센터" 라 한다)를 설치 . 운영하여야 한다.

2. 국가정보보안기본지침 : 제7장 사이버위협 탐지 및 대응, 제 1절 보안관제 

3. 정보보안관리실태평가

 

보안관제 시스템

 

-해킹탐지시스템 (Snort 규칙기반 탐지)

- 연동기관 . 망 : 공공기관 및 국가정보통신망 . 과학기술연구망 사용 기관

- 탐지규칙(Snort)기반 시스템

- NCSC생성 탐지규칙을 연동기관 대상 수시 배포

 

악성파일시스템 (Yara 규칙기반 탐지)

- 목적 : 신.변종 악성파일의 탐지

- 파일 기반으로 악성행위를 탐지하는 시스템

- 샌드박스(동적분석), 백신탐지결과 등으로 악성여부조회

 

비정상통신탐지시스템 (AI기반, 비정상 통신 탐지)

- 암호화 통신 대상 머신러닝기반 비정상통신 탐지

- 기존 탐지규칙 기반 보안관제체계의 한계점 극복

- 머신러닝을 통한 미지도 학습수행, 비정상 트래픽 탐지 목표

 

보안관제 탐지규칙

 

인터넷 통신 데이터 

Snort 탐지 규칙의 형태 

Snort 탐지규칙

Header 와 Option으로 나뉘어짐 

스노트(Snort)는 컴퓨터 네트워크에서 이상한 일이 일어나는 것을 감지하고 경고하는 도구입니다. 이것은 네트워크 상의 이상 행동을 알려주는 스냅샷 같은 것으로 생각할 수 있습니다. 스노트가 어떤 일을 하는지를 이해하려면 "규칙"이라고 불리는 것을 알아야 합니다.

규칙은 스노트가 이상 행동을 감지하는 방법을 설명하는 지침입니다. 예를 들어, 만약 누군가가 컴퓨터 네트워크에서 이상한 데이터를 보내려고 하면, 스노트는 그것을 감지할 수 있습니다. 그리고 그 이상한 데이터를 보낸 사람에 대한 경고를 발생시킬 수 있습니다.

스노트의 규칙은 이런 종류의 이상 행동을 탐지하고 보고할 수 있게 해줍니다. 이것은 네트워크의 안전을 유지하는 데 도움을 주며, 해커나 악성 소프트웨어로부터 네트워크를 보호하는 데 사용됩니다.

 

 

보안관제 이벤트 분석

CC어택

CC 어택(캡슐형 컨텐츠 어택)은 웹 사이트나 애플리케이션에서 사용자로 하여금 해킹된 페이지에 접속하도록 유도하는 공격 기법입니다. 

 

youfeng 디도스 어택

유펭 디도스(DDoS) 공격은 악의적인 공격자들이 다수의 컴퓨터를 이용하여 대상 시스템에 과도한 데이터 트래픽을 보내어 그 시스템을 마비시키는 공격입니다. 이로써 웹사이트나 온라인 서비스의 가용성을 저해하며, 대규모 봇넷과 함께 사용되어 보안 위협으로 여겨집니다.

 

poisonivy 디도스 어

Poison Ivy DDoS 공격은 컴퓨터 네트워크를 마비시키는 악의적인 공격 중 하나입니다. 공격자들은 '포이즌 아이비'라는 이름의 악성 코드를 사용하여 다수의 감염된 컴퓨터를 조종하고, 이들을 통해 대상 서버 또는 네트워크에 과도한 트래픽을 보내 시스템을 다운시키려고 합니다. 이로써 대상 시스템의 가용성을 저해하고 서비스 중단을 초래하는 것이 목적입니다. Poison Ivy DDoS 공격은 보안 문제로 여겨지며, 방어 및 대응이 필요합니다.

 

webshell 어

웹 셸 공격은 공격자가 웹 애플리케이션을 통해 원격으로 시스템을 조작하거나 악성 코드를 실행하는 공격으로, 애플리케이션 취약점을 이용하여 보안을 침해합니다. 이로 인해 데이터 유출과 시스템 위험이 발생할 수 있으며, 예방을 위해 취약점 보완과 모니터링이 중요합니다.

 

필수 준수 사항 

 

1. 국가정보보안기본지침 : 제 133조

- 보안관제센터를 운영하는 기관의 장은 제1항에 따른 탐지규칙정보를 [공공기관의 정보 공개에 관한 법률] 

제 9조 1항에 따른 비공개 대상 정보 및 [국가정보자료규정] 제 2조제1호에 따른 국가정보자료로서 취급.관리 하여야한다.

- 제3항 및 제4항에 따라 탐지규칙정보를 배포 받은 기관의 장은 탐지규칙정보를 다음 각호에 해당하는 방법으로 관리하고 매월 1회 이상 보안관리 실태를 점검하여야 한다. 

1. 암호화 저장.전송

2. 인터넷을 통한 평문 송.수신 금지

3. 인터넷 등 외부유출 금지

4. 탐지규칙정보 관리시스템의 원격 접속 금지 

-제 3항 및 제4항에 따라 탐지규칙정보를 배포받은 기관의 장은 탐지규칙정보가 유출된 경우 즉시

그 사실을 국가정보원장에게 통보 하여야한다.