10. 시스템 보안 운영

1. 시스템 보안 솔루션 운영하기

1-1. 시스템 보안 솔루션 요구사항 분석

1) 시스템 보안 운영 범위

보안 운영 영역	설명	관련 보안 솔루션
서버 보안	정보와 자원이 저장되어 있는 서버의 보안 운영	서버 보안, DB 보안, 세션 로깅 등
PC 보안	사용자의 단말 PC에 대한 보안 운영	통합 PC 보안, 오피스 보안, 시큐어 프린터
보안 관리	스토리지 암호화, 디가우저 등 관리적 보안에 활용되는 보안 운영	스토리지 암호화, 디가우저 등.

① 시스템 보안 운영의 요구 사항 수집 대상

정보화 사업의 추진에 있어서 정보 보호 제도, 정책, 지침 등에 따라 요구되는 정보보호 요구 사항, 수준 등을 확인한다.
  (1) 정보화 사업 추진에 관련된 관련 법령, 훈련, 지침, 정책
  (2) 정보화 사업 추진에 관련된 관련 기업의 정보 보호 규정 및 보안 정책
  (3) 정보화 사업 추진에 관련된 관련 발주 기업의 제안서 내 보안 요구 사항

2) 정보보호 보안 요구사항 범위(공공기간)

① 정보보호 보안 요구사항 범위

시스템 보안 운영의 요구 사항 수집 항목
  (1) 보안 운영 정책
  (2) 보안 운영에 관한 통제 영역, 통제 항목
  (3) 각 통제 항목에 대한 통제 수준
  (4) 보안 운영 정책 및 목적을 이루기 위한 세부 지침

3) 보안 솔루션의 역할

① 보안 솔루션의 개념

보안상 발생하는 기술적인 위험 요소를 방어하기 위한 솔루션으로, 보안 솔루션에 대한 일반적인 구성 요소는 다음과 같으며, 기술적인 레벨에 따라 각 구성 요소를 선별적으로 적용하여야 한다.(보안 솔루션 아케텍처)

② 보안 솔루션의 역할

- 일반 기업 내 보안 업무 담당 인원은 평균 1~2명으로 운영 업무와 보안 업무를 겸직하는 등 보안 인력 리소스가 부족하다.
- 보안 요구 사항을 만족하기 위하여 해당 보안 솔루션을 통하여 해결하려고 하는 상황이 대부분이어서 보안 솔루션에 대한 의존도가 높다.
- 따라서 효율적인 보안 운영을 위하여 보안 솔루션에 대하여 정확한 이해와 운영 노하우(Know-How)가 필요하다.

4) 시스템 보안 운영상 취약점 및 위험

취약점	위협
비인가자의 시스템 접근	- 네트워크를 도청, 위장, 서비스 거부 공격 등으로 시스템 사용 방해  - 운영 체제 변경, 악성 프로그램 설치 등으로 중요 정보 유출
최신 백신 프로그램 미사용	- 바이러스, 인터넷 웜 등에 의한 시스템 사용 불능  - 트로이 목마, 스파이웨어 백도어 등에 의한 중요 정보 유출
웹 서버 보안 관리 부재	- 웹 서버 공격에 의한 서비스 사용 불능  - 웹 서버 공격에 의한 데이터 베이스 내의 중요 정보 유출
이동 컴퓨팅 사용	- 노트북 분실 시 중요 정보  유출  - 외부에서 감염된 노트북 내부 망 연결시 악성코드 배포
사용자 패스워드 미관리	- 패스워드 유출을 통한 비인가자의 시스템 접근 허용  - 패스워드 추측 및 크랙을 통한 사용자 접근 통제 무력화
비인가자의 데이터베이스 접근	- 인증 우회와 불법 사용자 생성을 통한 데이터베이스 불법 접근  - 데이터베이스 내의 의료 정보에 대한 불법 조회, 변조, 유출
매체 취급 미숙	- 필름, 디스크, 출력물, 이동식 저장 장치 등에 의한 의료 정보 유출

 - 조직의 보안 규정에 포함된 보안 요구 사항을 파악한다. 조직의 정보 보호 규정 및 상위 정보 보호 규제 등을 점검하여 정보 시스템 운영에 관련하여 보안 요구 사항을 파악한다. 시스템 보안 운영자는 시스템 보안 영역에 해당하는 보안 요구
사항을 파악한다.

  ① 조직의 정보 보호 규정 및 지침 등을 점검하여 정보 시스템의 시스템 보안 영역에 해당하는 보안 요구 사항을 도출한다.
  ② 기존 정보화 사업 담당자와 인터뷰를 통하여 기존 정보 보호 현황, 사업의 목적, 비즈니스 모델에 대하여 파악한다.
  ③ 시스템 보안 운영의 보호 대상(정보 자산 등)을 도출한다. 시스템 운영 사업의 목적과 비즈니스 모델을 고려한 정보보호대상을 도출한다.
  ④ 시스템 보안 운영의 보호 대상별 보안 취약점과 위협을 분석한다.
  ⑤ 시스템 보안 운영의 보호 대상별로 분석된 보안 취약점과 위협을 대응할 보안 요구 사항을 도출한다.

5) 시스템 보안 솔루션별 보안 기능

대분류	소분류	기능
보안 관리	기업 보안 관리(ESM)	다양한 보안 시스템과 보안 장비를 연동하여 운영하는 통합 보안 관리 시스템
	위협 관리 시스템 (TMS)	사이버 공격을 예측하고 판단 하여 대응할 수 있는 체계적인 위협 관제 및 대응 시스템
	패치 관리 시스템 (PMS)	보안 취약점을 보완하기 위하여 배포되는 보안 패치 파일을 원격에서 자동으로 설치 관리 해주는 시스템
인증 제품	보안 스마트 카드	핸드폰이나 PC에 삽입해 전자 결제시 신원 인증에 사용
	H/W 토큰	전자 서명 생성 및 검증 등이 가능한 보안 하드웨어 장치
	일회용 비밀번호 (OTP)	로그인시 새로운 패스워드를 생성하는 보안 시스템
Anti-Virus	바이러스 백신	바이러스 월 등 악성 프로그램을 탐지, 치료하는 프로그램
	안티 스파이웨어	스파이웨어 탐지 및 치료 프로그램
Anti-Spam	스팸차단 S/W	스팸 메일 차단 솔루션
보안 운영 체제	Secure OS	운영 체제의 보안 결함으로 인한 해킹을 방지하기 위하여 보안 기능이 추가된 운영 체제
PC보안		PC 방화벽, 암호화, 매체 제어 기능 등을 통합한 PC 보안 제품
DB, 컨텐츠 보안	DB 보안	허가 받지 않은 사용자의 DB 접근을 제한하고 내부자에 의한 DB 유출에 대비하여 접근 제어, 암호화, 감사를 수
	DRM	디지털 콘텐츠에 대한 저작권 보호 솔루션
접근 관리	NAC	비인가 사용자 및 단말의 내부 네트워크로의 접근 제한
	SSO	한 번 인증만으로 전 시스템을 하나의 시스템처럼 사용할 수 있는 시스템
	EAM	정보 자원에 대한 접근 인증과 접근 권한을 관리하는 통합 인증 관리 솔루션
	IAM	ID/PW를 종합적으로 관리해주는 역할 기반의 사용자 계정 관리 솔루션
바이오 인식	지문 인식	개인마다 다른 지문 정보를 이용하여 신분 확인
	정맥 인식	손바닥, 손목 등의 혈관 패턴을 이용하여 신분 확인
	얼굴 인식	카메라로 입력된 얼굴 영상과 DB 얼굴 영상을 비교하여 신분 확인
	다중 인식	여러 가지  인식 기술을 함께 사용하여 인식 성능을 향상시키고 신뢰도를 높이는 인식 기

1-2. 시스템 보안 솔루션 운영

1) 정보 보안 프레임워크

① 정보보안 프레임워크의 정의

기업 업무의 연속성을 위한 네트워크, 시스템 등의 주요 인프라에 대한 위협요인을 사전에 분석하여 예방하고, 위협 요인 발생 시 적절히 대응하기 위한 정책, 프로세스, 기술적 요인의 관계를 나타낸 것이다.
 - 기업 정보 시스템을 안전하게 보호하기 위해서는 체계적인 보안 정책 수립이 이루어져야 한다.
 - 네트워크/시스템 운영자 및 보안 운영 조직 간의 명확한 Role & Responsibility 정립이 필요하다.
 - 하나의 보안 솔루션으로 모든 보안 위협 요소에 대하여 해결할 수 없음을 인지하며, 여러 보안 솔루션을 통합하여 운영하는 노하우가 필요하다.
 - 보안을 단순히 기술적 문제로만 판단하면 안 된다.

2) 정보보안 운영 프로세스

① 시스템 보안 솔루션 운영 업무의 어려움

정보 보호 요구 사항을 만족하기 위하여 다양한 솔루션에 의한 보안 운영을 수행하게 됨에 따라 일관성, 체계성, 전문성 등에 업무 어려움이 발생한다.
  (1) 다양한 솔루션에 의한 운영에 따라 일관적이지 못한 복잡한 정보에 대한 조치가 어렵다.
  (2) 여러 종류의 보안 운영에 관련된 운영 정보의 체계적인 관리가 어렵다.
  (3) 다양한 보안 솔루션 운영에 대한 개별화된 보안 수준 평가로는 전체 통일화된 보안 수준 평가가 어렵다.
  (4) 솔루션별 전문 관리 인력이 필요하나 실질적으로 업무 담당하는 보안 인력이 적고, 비용이 발생한다.

② 시스템 보안의 정보 보안 운영 프로세스

  (1) 정보 보호 대상 현황 파악 : 보호하여야 할 정보 보안 운영의 대상을 파악하고, 우선순위를 분석한다.
  (2) 예방 대응 : 보안 위협과 위험을 사전에 예방하기 위한 예보 대응 활동 정량 지표를 분석하고, 사전에 마련된 예방 대응 조치를 취한다.
  (3) 탐지 대응 : 보안사고 시 탐지하기 위한 탐지 대응 활동 지표를 책정하고, 사전에 마련된 탐지 대응 매뉴얼에 따라 대응 조치를 취한다.
  (4) 업무 정량화 : 보안 업무를 최적화하고 정량화하여 시스템 보안 솔루션에 대하여 관리 지표를 측정하고, 실제 운영 업무를 지속적으로 개선한다.

3) 시스템 보안 개선방안 도출 프로세스

시스템 보안 솔루션 개선 계획(개선 방안) 도출 프로세스

보안 솔루션도 사람에 의하여 개발된 소프트웨어를 기반으로 하기 때문에 보안상의 허점이 존재한다. 특히 여러 보안 솔루션을 도입하여 운영하는 경우, 운영 인력의 전문성 결여 등의 문제로 취약점이 존재하므로 최대한 이를 보완할 수 있는 개선 방안 도출이 필요하다.
  (1) 시스템 구성 분석
현재 시스템의 애플리케이션 구성 요소를 도출하고 운영 중인 보안 솔루션이 있다면 포함하여 구성 요소를 도출한다.
  (2) 보안 위협 도출
보안 솔루션의 구성 요소를 분석하여 위협 타깃을 설정하고 타깃별 발생 가능한 위협들을 마이크로소프트사의 STRIDE 분석 기법과 같은 위협 분석 모델링 기법을 이용하여 위협을 분석한다.
  (3) 보안 취약점 진단
위협 분석 결과로 도출된 내용을 바탕으로 위협 시나리오와 취약성을 진단하기 위한 취약점 점검 항목을 개발하고, 점검 항목별 취약점을 진단한다.
  (4) 개선 방안 수립
보안 취약점 진단 결과로 발견된 접근 제어 정책 모듈의 장애 등의 취약점에 대하여 대응하기 위하여 솔루션 패치 적용 및 윈백(win-back) 등의 조치 방안 및 계획을 수립한다.

4) 보안 취약성 진단 방법론

  (1) 운영 중인 시스템 보안 솔루션의 문제점을 분석한다.
운영 중인 주요 시스템에 대하여 업무 책임자의 사전 승인을 취득한 후 보안 취약점을 찾아 내･외부자 관점에서 침투 테스트를 시도하여 운영 중인 시스템 보안 솔루션의 문제점을 분석한다.
  (2) 운영 중인 시스템 보안 솔루션의 문제점을 보완하기 위한 개선 방안을 수립한다.

환경 분석과 취약점 분석 등의 진단 결과를 바탕으로 보안 목표를 달성할 수 있는 보안경영 체계 수립과 같은 보안 대책 방안을 제시한다. 기술적 보안 대책 마련뿐만 아니라, 보안 경영 체계 수립 등의 종합적인 보안 대책을 마련하기 위하여 보안 마스터플랜 형태로 개선 방안을 수립한다.
  (3) 수립된 시스템 보안 솔루션의 개선 방안의 실효성을 판단하기 위한 검증 계획을 수립하여 수행한다.

5) 시스템 보안 진단 절차

절차	설명	핵심
① 대상 식별	인터넷 등 외부로부터의 접근에 노출되어 있으며, 침해 위험성이 높은 공새 서버 등의 정보 자산과 정보 자산을 보호하기 위하여 운영 중인 보안 솔루션 등을 분석 대상으로 선정한다.	위험도, 자산 평가
② Inventory scanning	보안 취약점 진단 대상 서버의 ip address등 개략적인 정보를 확인한다.	서버 정보 스캐닝
③ 취약점 점검	네트워크를 통한 시스템 자원에 대한 임의 접근 가능성 등 취약점을 분석하며, 진단에는 상용 공개용 각종 도구를 활용한다.	취약성 체크 도구
④ 상세 취약점 점검	시스템의 파일 취약점 및 시스템 보안 솔루션의 설정 잘못 등을 이용하여 루트 권한 획득 등의 취약점을 점검한다. 진단은 상용, 공개용 및 각종 공개 도구를 통하여 수행한다.	상세 취약성 체크
⑤ 보고서 작성	이전 단계를 통하여 파악된 대상 시스템 보안 취약점 및 대응책에 대한 보고서를 작성한다.	요약 정리

6) 단계별 보안 대책

 - 보안 진단 시 나타난 보안 취약점을 해결하고 장차 발생할 수 있는 보안 위협을 감소시키기 위한 보안 대책을 수립한다. 향후 보안 대책을 과제로 선정하여 제시하고 각 과제에 대한 개요, 목적, 추진 목표, 세부추진 단계, 예상 기간, 기대 효과 등에 대한 내용이 포함되어야 한다. 각 과제들은 일반적으로 중요도, 긴급성, 선행 작업 필요 유무등을 고려하여 3단계로 구분하여 추진한다.

  (1) 1단계(보안 인프라 구축 및 개선) 보안 대책을 수립한다.

보안 경영 체계의 인프라 구축 및 개선을 위한 단계이다. 기술적인 보안 대책을 구현하기 전에 반드시 구축되어 있어야 하는 관리적인 부문을 중심으로 과제를 수행한다.
    (가) 보안 정책, 지침, 절차 등 관련 통합 및 개선 작업
    (나) 보안 업무를 전담한 조직의 구성 및 조직들 간의 역할과 책임의 명확화 
    (다) 보안에 대한 종업원의 인식 제고를 위한 교육 및 훈련
    (라) 정기적인 보안 감사 실시
    (마) 위험이 높은 것으로 판단되는 부분에 대한 즉각적인 기술적 대응책 구현 
    (바) 효과적인 보안 경영 체계 운영을 위한 정보 시스템 보안 관리 방안 마련

  (2) 2단계(전사적인 보안 시스템 구축) 보안 대책을 수립한다.

1단계에서 구축된 기본적인 보안 인프라 구조 위에 주로 기술적인 대응책들을 각 분야별로 구현하고 이를 전사에 확대함으로써 조직의 보안 경영 체계를 완성한다. 
    (가) 1단계에서 작성된 전사 차원의 관련 문서들을 기초로, 각 부서에 알맞게 관련 절차들을 수정하는 업무를 수행한다.
    (나) 출입 통제 시스템을 전사적 차원에서 층별, 부서별로 확대하는 등 물리적 보안을 강화한다.
    (다) 인터넷 보안 아키텍처 구축과 이를 기반으로 하는 방화벽을 도입하는 서버 및 네트워크 보안 강화를 위한 보안 솔루션을 도입 및 개선한다.

  (3) 3단계(감사 및 유지 관리) 보안 대책을 수립한다.

1, 2단계에서 추진된 과제들을 계속적으로 유지, 점검 및 관리할 수 있는 체계 구축에 중점을 둔다.
    (가) 보안 관리 체계에 대한 모니터링 및 정기적인 보안 감사를 수행한다. 
    (나) 보안 개선 사항을 검토 후 적용한다.
    (다) 보안 침해 사고 예방 및 대응 활동을 수행한다.

1-3. 시스템 보안 솔루션 개선 작업

1) 보안 취약성 진단 및 조치 절차

 - 보안 솔루션 관리 및 보호
효과적으로 기업 정보 시스템을 보호하고, 지속적으로 정보 보호 수준을 높은 수준으로 유지하기 위해서는 보안 취약성 진단을 수행하여 자산이 가지고 있는 취약성에 대한 위협을 인지하여 대응 조치를 수행하여야 한다. 또한 위협(공격)에 대한 경향을 파악 및 분석하여 사전 예방 활동을 수행하여야 한다. 이를 반복하여 프로세스 튜닝을 계속적으로 수행하여야 한다.

  (1) 보안 취약성 진단의 개념

정보 시스템이 지니고 있는 보안상의 문제점을 파악하고 내･외부 침해 행위로 인하여 발생할 수 있는 위험 수준을 진단하는 작업을 말한다.

  (2) 보안 취약성 진단의 목적

- 안티바이러스 제품의 경우 악성 프로그램에 대한 사후 조치 보안 제품인 반면, 사전에 침해 사고를 예방할 수 있는 적극적 보안 행위이다.
- 정보 시스템의 가용성 및 무결성을 보장할 수 있는 보안 운영 기법이다.

  (3) 보안 취약성 진단 및 조치

기업 정보 시스템의 운영 환경에 맞게 보안 취약성 진단 주기를 적정 수준으로 조정하여 지속적으로 취약성 정보를 관리하여야 한다.

  (4) 위협 인지 및 대응

단순한 공격 탐지(Attack)가 아니라 정보 시스템에 존재하는 취약성을 파악한 후, 해당 정보 시스템의 취약성에 대한 공격을 탐지하여 Attack에 대한 Impact Analysis를 수행한다.

  (5) 최근 공격 경향 분석

2) 침해사고 분석 7단계

 - 침해사고 분석 절차 
정보 보호 침해 사고

① 정보 보호 침해 사고의 정의

  (1) 법적인 정의
정보통신망 이용촉진 및 정보 보호 등에 관한 법률 제2조 1항 7조에 따라 해킹,  컴퓨터 바이러스, 논리 폭탄, 메일 폭탄, 서비스 거부 또는 고출력 전자기파 등에 의하여 정보통신망 또는 이와 관련된 정보시스템을 공격하는 행위로 인하여 발생한 사태이다.
  (2) 실무에서의 정의
해킹, 컴퓨터 바이러스 유포에 한정하지 않고, 모든 전자적인 공격 행위 및 그 결과에 따라 발생한 각종 피해를 포함한다.

② 정보 보호 침해 사고의 유형

  (1) 침해 행위에 따른 유형
-비인가된 시스템 접근 및파일 접근:바이러스,트로이잔,웜,백도어,악성 코드 등의 공격 
- 비인가된 네트워크 정보 접근: 네트워크 정보 수집을 포함
- 비인가된 서비스 이용: 네트워크 서비스의 취약점을 이용하여 서비스를 무단 이용 
- 서비스 방해 및 거부: 네트워크 및 시스템의 정상적인 서비스 마비 또는 파괴시키는 
서비스 방해 등
  (2) 피해 유형에 따른 유형

 

<침해 사고 분석 절차_7단계>

  ① 사고 대응 전 준비 과정
사고가 발생하기 전 침해 사고 대응팀과 조직적인 대응을 준비한다.

    (가) 사고 대응 체제의 준비
효율적인 사고 대응을 위한 준비 단계에서는 범조직적인 전략과 대처 방안을 개발.
      (1) 사고 대응 체제의 준비 과정
      (2) 침해 사고 대응팀의 준비
      (3) 전무가 조직을 구성하고 시스템 네트워크 관리자와 긴밀한 협조 관계를 구성
  ② 사고 탐지
정보 보호 및 네트워크 장비에 의한 이상 징후를 탐지한다. 
    (가) 사고 탐지 영역
IDS, 최종 사용자, 네트워크 관리자, 시스템 관리자, 보안, 인사부 
    (나) 사고 탐지 징후
      - 관리자가 생성하지 않은 계정 발견
      - 유휴 상태 및 디폴트 계정의 로그인 시도
      - 서비스 미제공 시간 동안의 시스템 활동
      - 출처 불명의 파일 또는 프로그램 발견
      - 설명할 수 없는 권한 상승
      - 로그 파일 및 내용의 삭제
      - 시스템 성능 저하
      - 시스템 충돌
      - IDS가 탐지한 원격 접속
  ③ 초기 대응
초기 조사를 수행하고 사고 정황에 대한 기본적인 세부 사항을 기록한다. 
    (가) 침해 사고 대응팀 소집
    (나) 사고 정황 수집 및 기록
네트워크와 시스템의 정보들을 수집하여 발생한 사건의 유형 식별과 영향 평가를 포함한 기본적인 사항을 기록한다.
  ④ 대응 전략 수립
환경의 전체적인 고려 사항을 반영하여 적절한 대응 전략을 수립 후 적절하게 대응한다.
  ⑤ 사고 조사
호스트 기반 증거와 네트워크 기반 증거로 나누어 조사한다. 
    (가) 사고 데이터 수집
    (나) 사고 데이터 분석

  ⑥ 보고서 작성
  ⑦ 복구 및 해결 과정
조직의 위험 우선순위 식별에 따라 복구 절차를 사전에 마련하고, 마련된 절차에 따라 복구 및 사후 조치를 취한다.