보안관제의 발전과정
단위 보안관제 (Perimeter Security) | 1세대
- 관제 범위 : 경계
- 관제 방법 : 단위 보안장비 모니터링
- 보호 대상 : 서버, 중요 데이터
통합 보안관제 (Event Security) | 2세대
- 관제 범위 : 경계, 대상
- 관제 방법 : ESM 기반 모니터링/ 분석
- 보호 대상 : 서버, 중요 데이터
빅데이터 보안관계 (Bigdata Security) | 3세대(현재 가장 많이 사용함)
- 관제 범위 : 경계, 대상, 경유지
- 관제 방법 : SIEM 기반 모니터링/분석
- 보호 대상 : 서버, 중요 데이터
능동형 보안관제 (Intelligence Security) | 4세대
- 관제 범위 : 경계, 대상, 경유지, 외부
- 관제 방법 : AI, SOAR, CTI ,XDR 등
- 보호 대상 : 서버, 중요 데이터, PC
보안관제 전문업체 제도
보안관제 전문기업 심사 제도
만들어진 배경
2003년 1월 25일, 한국에서는 대규모 사이버 공격 사건인 '2003년 1.25 인터넷 대란'이 발생하였습니다.
이 공격은 주로 북한 정권을 비판하거나 북한 도망자들의 정보를 막기 위한 목적으로 이루어진 것으로 알려져 있습니다.
이 사건에서는 다수의 컴퓨터를 조종하여 대한민국 정부와 기업 웹사이트를 공격하고 다운시키는 DDoS 공격이 주로 사용되었습니다. 이로 인해 많은 웹사이트가 마비되는 등 인터넷 이용이 어려운 상황이었습니다. 이 사건을 계기로 한국은 사이버 보안 강화에 노력하고 사이버 공격에 대비하는 능력을 키우는 데 주력하게 되었어요.
그 이후 2003년 7월 국정원을 방문한 故 노무현 대통령은 "국가정보원이 책임을 지고 1.25 인터넷 대란과 같은 사건이 발생하지 않도록 국가정보원이 책임을 져라." 라고 지시 하였습니다. 그래서 국정원은 국가사이버안전센터는 2004년 2월 20일에 개소 하였습니다. 이후 2005년에 만들어진 대통령의 명령(훈령)이 국가사이버안전관리 규정
2009년 7월 7일, 북한은 남한에 대한 대규모 디도스 (분산 서비스 거부) 공격을 실시한 사건이 있었습니다. 이 공격은 남한의 정부 웹사이트와 주요 금융기관, 언론사, 포털사이트 등을 겨냥했으며, 대량의 데이터 요청을 이용하여 이들 웹사이트와 컴퓨터 시스템을 과부하 상태로 몰아가려는 시도였습니다. 이로 인해 대상 웹사이트들은 일시적으로 접속이 불가능하게 되었고, 국내 인터넷 이용자들에게 불편함을 초래했습니다. 북한은 이 디도스 공격을 통해 정치적인 메시지를 전달하거나, 분쟁 상황에서 긴장을 유발하는 수단으로 사용하는 등의 목적으로 활용했습니다. 이 사건은 사이버 공격이 국제 정치와 안보에 미치는 영향을 강조하며, 사이버 보안 및 대비 조치의 중요성을 부각시켰습니다. 그렇게 DDoS 전산망 공격으로 인해 국가공공기관의 보안관제센터의 중요성이 이슈가 되자 2010년 국가사이버안전관리규정 제 10조 2항 보안관제센터의 설치 및 운영이 추가 되면서 보안관제센터가 의무화 되었습니다.
국가 정보보안 기본지침(law.go.kr)
국가 정보보안 기본지침의 제1장은 "총칙"을 다루고 있으며, 정보보안에 대한 기본 원칙과 법적 근거를 제시합니다. 이 장의 주요 내용은 다음과 같습니다:
1. 목적 및 적용 범위: 제1장은 국가 정보보안에 대한 총칙적인 원칙과 지침을 제공하며, 이 지침은 국가 기관 및 조직, 공공기관, 민간기업 등 모든 정보시스템 및 정보자원에 적용됩니다.
2. 정의 및 용어: 이 장에서는 국가 정보보안에 관련된 주요 용어와 정의를 제시하여 이해를 돕습니다. 정보보안 분야에서 사용되는 용어를 명확하게 정의하여 혼동을 방지하고 효율적인 의사소통을 지원합니다.
3. 정보보호 정책 및 계획: 국가 정보보안의 방향성과 전략을 결정하는 정책과 계획의 중요성을 강조합니다. 정보보호 정책은 국가 안보 및 공공의 이익을 보호하고 지원하기 위한 기반을 제공하며, 이를 효과적으로 실행하기 위한 계획을 수립해야 합니다.
4. 법적 근거와 책임: 정보보호와 관련된 법적 근거와 책임에 대해 다룹니다. 국가 정보보안은 법적 근거에 따라 수립되며, 정보보호에 대한 책임은 관련 법령과 규정에 따라 분명히 정해져 있어야 합니다.
5. 규정 준수 및 교육: 국가 정보보안에 대한 규정 준수와 정보보호 인력의 교육이 중요하다고 강조합니다. 정보보안 규정을 준수하고, 정보보호 인력을 꾸준히 교육하여 정보자산을 보호하고 위협으로부터 안전하게 유지할 수 있도록 합니다.
"보안관제"라 함은 사이버공격을 실시간으로 즉시 탐지 및 분석, 대응하는 일련의 활동을 말한다.
"보안관제센터"라 함은 일정한 수준의 시설 및 장비와 이를 운영하기 위한 전문 또는 전담인력을 갖추고 보안관제업무를 수행하는 조직을 말한다.
국가사이버안전관리규정
"국가사이버안전관리규정"은 국가의 사이버 안전 및 정보보호를 관리하고 지원하기 위한 규정입니다. 이 규정은 국가 정보통신망 및 컴퓨터 시스템의 안전과 안정성을 확보하고, 사이버 공격 및 위협으로부터 국가 정보자산을 보호하는 데 중점을 둡니다.
1. 목적: 이 규정의 주요 목적은 국가 정보자산의 보호, 사이버 위협 대응, 사이버 안전 확보, 관리체계의 구축, 국가사이버안전기본계획 수립과 추진 등을 통해 국가사이버안전을 지원하고 관리하는 데 있습니다.
2. 용어의 정의: 규정에서 사용되는 주요 용어와 정의를 명확하게 제시하여 통일된 이해와 의사소통을 돕습니다. 정보보호 및 사이버 안전과 관련된 용어와 개념을 명확히 정의합니다.
3. 관련 법령 및 규정: 이 규정은 국내 법령 및 규정과 연계되어 국가사이버안전기본계획, 사이버 위기 대응 방안, 정보보호 정책 등을 수립하고 추진하는 기반을 제공합니다.
4. 국가사이버안전기본계획: 이 규정은 국가사이버안전기본계획의 수립과 추진을 강조하며, 국가사이버안전위원회의 역할 및 기능을 설명합니다.
5. 사이버 위기 대응: 국가사이버안전 위기 발생 시 대응체계를 구축하고 사이버 위기 대응을 위한 조치와 프로세스를 기술합니다. 사이버 공격 및 사이버 위협에 대한 신속한 대응을 강조합니다.
6. 정보보호 교육 및 훈련: 정보보호에 관한 인력의 교육, 훈련, 그리고 인증과 관련한 사항을 다루며, 국가사이버안전에 필요한 인력 양성을 지원합니다.
7. 사이버 위험 평가 및 감사: 사이버 위험 평가와 감사를 통해 국가 정보자산의 취약점을 파악하고 개선 조치를 시행합니다.
보안관제센터를 운영하는 기관의 장은 필요한 경우에는 과기정통부장관이 지정하는 보안관제전문업체의 인원을 파견받아 보안관제업무를 수행하도록 할 수 있다. 이경우 보안관제전문업체의 지정 . 관리 등에 필요한 사항은 과기정통부장관이 국가정보원장과 협의하여 정한다.
사이버안보업무규정
국가정보원장은 정부 차원에서 사이버공격 . 위협을 즉시 탐지 . 대응하기 위하여 정부보안관제체계를 구축 . 운영해야 한다.
전자금융감독규정
금융회사 및 전자금융업자와 관련된 해킹 등 전자적 침해행위 정보를 탐지/분석하여 즉시 대응 조치를 하기위한 기구
("금융권 통랍 보안관제센터")의 운영
보안관제 전문기업 지정 등에 관한 공고
"보안관제"란 조직의 정보기술 자원 및 보안 시스템을 안전하게 운영하기 위하여 사이버 공격 정보를 탐지 및 분석하여 즉시 대응하는 일련의 업무를 말한다.
"보안관제 수행실적"이란 제1호의 업무를 수행한 실적을 말한다. 다만, 장비 납품 등 부대사업은 실적금액에서 제외한다.
보안관제 전문기업
보안관제 전문업체 심사 평가
1. 로그 및 이벤트 모니터링: 로그 및 이벤트 데이터를 실시간으로 모니터링하고 이상 활동 또는 침입 시도를 식별합니다.
2. 네트워크 트래픽 분석: 네트워크 트래픽을 모니터링하여 악성 트래픽, 이상 행위 또는 대량 데이터 이동을 검출합니다.
3. 취약점 스캐닝 및 패치 관리: 시스템과 소프트웨어의 취약점을 스캔하고 즉시 패치 또는 업데이트를 적용하여 보안 취약성을 최소화합니다.
4. 악성 코드 탐지 및 방어: 바이러스, 웜, 트로이 목마 및 기타 악성 코드를 탐지하고 차단하는 방어 메커니즘을 구축합니다.
5. 접근 통제 및 권한 관리: 시스템에 접근하는 사용자와 권한을 철저히 관리하고 비인가 접근을 방지합니다.
6. 사용자 교육과 훈련: 조직 내에서 보안 정책 및 절차를 이해하고 준수하도록 사용자를 교육하고 훈련합니다.
7. 위기 대응 및 복구 계획: 사이버 공격 또는 보안 사고 발생 시 적절한 대응 및 복구 계획을 마련하고 테스트합니다.
8. 외부 위협 인텔리전스 수집: 외부 위협에 대한 정보를 수집하고 분석하여 잠재적인 위협에 대비합니다.
9. 보안 이벤트 분석과 보고: 보안 이벤트를 신속하게 분석하고 관련 당국 및 관리자에게 보고합니다.
10. 물리적 보안: 서버 및 네트워크 장비를 물리적으로 안전한 장소에 설치하고 접근을 제한합니다.
11. 정책 및 규정 준수: 조직의 보안 정책과 관련 규정을 준수하고 필요한 감사 및 검증을 수행합니다.
12. 사용자 행동 감시: 사용자의 행동을 모니터링하여 이상 행위나 보안 위협을 식별합니다.
13. 시스템 백업과 복원: 중요한 데이터와 시스템을 주기적으로 백업하고, 복원 계획을 마련하여 데이터 손실을 최소화합니다.
14. 신속한 대응: 보안 이벤트나 침입 시도에 신속하게 대응하고 적절한 조치를 취하여 피해를 최소화합니다.
보안관제 센터 구축 및 문제점
보안관제의 문제점
보안관제의 주요 문제점은 다음과 같습니다:
1. 알림 피로와 거짓 양성률 상승: 지속적인 로그 및 이벤트 모니터링으로 인한 알림 피로와 함께, 과도한 거짓 양성 경보가 발생합니다. 이로 인해 실제 위협을 식별하는데 시간이 오래 걸리고, 보안 인력의 주의력이 흐트러질 수 있습니다.
2. 고급 위협의 변화: 공격자들은 더 정교한 기술과 은닉 메커니즘을 사용하여 공격을 수행합니다. 이에 대응하기 위해서는 고급 위협을 탐지하고 분석하는 능력을 높이는 것이 중요합니다. 하지만 고급 위협의 정교성으로 인해 대응이 어려워졌습니다.
3. 인력 부족과 교육 수요: 보안 관제 팀은 높은 역량을 요구하는데, 이를 충족시키는 보안 전문가의 부족이 있습니다. 또한, 보안 관제 팀원들은 지속적인 교육과 역량 강화가 필요하며, 이에 투자되어야 합니다.
4. 데이터 폭증과 분석 어려움: 클라우드 및 빅데이터 환경에서 발생하는 대량의 데이터를 효과적으로 수집, 분석하고 해석하는 것이 어렵습니다. 데이터의 폭증으로 인해 보안 이벤트를 분석하고 판단하는 데 시간이 소요될 수 있습니다.
5. 신속한 대응과 복구의 어려움: 신속한 보안 사고 대응 및 효과적인 복구를 위한 계획과 자원이 부족한 경우가 많습니다. 이로 인해 보안 사고의 피해가 확대될 수 있습니다.
6. 외부 위협의 다양성: 외부 공격자들은 다양한 기술과 전술을 사용하여 공격을 시도하며, 이에 대비하는 것이 중요합니다. 외부 위협은 지속적으로 진화하므로, 다양한 형태의 위협에 대응할 수 있는 능력이 필요합니다.
AI 보안관제
AI보안관제의 필요성은 빠르게 진화하는 사이버 위협에 대응하기 위한 핵심적인 요소입니다. 인공지능은 대규모 데이터를 분석하고 이상 징후를 탐지하는 데 뛰어난 능력을 발휘하며, 실시간으로 보안 이벤트를 모니터링하고 대응할 수 있습니다. 이로써 보안관제는 더욱 효과적으로 고급 위협을 탐지하고 신속하게 대응할 수 있으며, 기업과 조직의 정보자산을 효과적으로 보호하는 데 필수적입니다.