보안정보
전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.
이글루시큐리티의 보안관제방법론 – 관제기술에 관리를 더하다
2019.08.06
17,461
1. 개요
“방법론(Methodology)”이라는 용어는 다양한 분야에서 사용된다. 위키백과에 따르면 방법론은 아래와 같이 정의 된다.
정보보호 분야 종사자라면 “보안관제방법론” 이라는 단어를 무수히 접해 봤을 것이다. 보안관제사업을 위한 제안 발표 시 항상 듣는 질문은 “제안사의 보안관제방법론을 설명해 보십시오”일 것이다. 보안관제방법론을 간단히 정의하자면 “보안관제업무를 하기 위한 절차 또는 방법”이라고 정의할 수 있다.
그러나 막상 “우리회사의 보안관제 방법론은 무엇입니까?” 이라는 질문에 막힘 없이 대답하기는 쉽지 않을 것이다. 분명 외부의 공격에 대한 예방 활동을 수행하고, 공격에 대한 실시간 탐지 및 대응, 그리고 분석 업무 등 보안관제업무를 수행하는 절차에 대해서는 잘 알고 있고 항시 업무를 수행하고 있지만, 이러한 업무들을 “보안관제방법론"이라는 형태로 정리하고 표현하는 것은 또 다른 일일 것이다.
금번 기고에서는 지금까지 보안관제 한 길만 묵묵히 걸어온 이글루시큐리티 보안관제방법론에 대한 설명을 통해 보안관제방법론이 무엇인지, 보안관제방법론이 실제 보안관제업무에 어떻게 활용되는지 알아보고자 한다.
2. SOC 구성 요소
보안관제방법론이 존재하는 목적이 바로 SOC(Security Operation Center)이기에, 보안관제방법론을 설명하기 위해서는 SOC에 대한 설명을 먼저 해야만 한다. SOC는 사이버상에서 발생하는 이상 현상을 사전에 탐색하고 침해 사고를 대응하는 조직을 의미한다. 우리나라에서는 보안관제센터, 사이버안전센터, 통합보안관제센터 등 다양한 이름으로 불리고 있으며, 사이버 공격의 최전방에서 24x365 실시간 대응을 수행하고 있다.
이러한 SOC를 구성하는 3대 요소로 사람(People), 프로세스(Process), 기술(Technology)이 있으며, 각각의 요소들이 조화를 이루며 침해를 예방하고, 탐지하고, 대응을 하게 된다. 사람은 말 그대로 보안관제요원을 포함한 관련 인원과 그 인원에 대한 교육 등 활동 등을 포함하며, 기술은 보안관제를 수행하기 위한 정보보호시스템 및 관련 기술이다. 프로세스는 SOC를 운영하고 보안관제를 수행 하기 위한 보안관제프로세스를 포함한 다양한 절차들이 될 것이다.
[그림 1] Building Blocks of a SOC
출처 : Building a World-Class Security Operations Center A Roadmap, SANS(2015.5)
SOC를 구성하는 3대 요소 중 무엇 하나 중요하지 않은 것이 없으나, 어떠한 프로세스를 수립하여 SOC를 운영하느냐에 따라 같은 수준의 보안관제 전문인력, 같은 수준의 정보보호시스템으로도 침해 대응의 수준이 달라질 수 있을 것이다. 보안관제전문업체들은 이를 위해 각자의 Knowhow를 바탕으로 고유의 보안관제프로세스를 수립하고, 이를 통해 “보안관제방법론”을 개발하여 SOC와 보안관제업무에 적용한다.
3. NIST Cybersecurity Framework
이글루시큐리티의 보안관제방법론을 소개하기에 앞서, “NIST Cybersecurity Framework(이하 NIST CSF)”를 설명하고자 한다. NIST CSF는 수많은 국내외 정보보호 관련 업무 종사자들이 관심을 가지고 있으며 자사의 보안관제프로세스에 적용하고 있는 것으로 알려진 이미 검증 된 보안 Framework이다.
NIST CSF가 만들어진 배경은 다음과 같다. 2013년 출범한 2기 오바마 정부는 취임 직후부터 주요 기반시설이 사이버공격에 노출되는 사고를 겪었고, 미국 내 사이버보안 강화를 위한 주요 기반시설 사이버보안 전략 재정비의 필요성이 제기되었다. “주요 기반시설의 사이버보안 강화(Improving Critical Infrastructure Cybersecurity)”라는 제목으로 발표 된 “오바마 행정명령(Executive Order 13636)”에서 주요 기반시설의 보안 체계 구축을 위한 사항들을 명시하고 있고, 이 중 하나가 사이버보안 프레임워크 개발 및 보급이다. 사이버보안 프레임워크는 NIST(국립표준기술연구소, 미국) 주도로 개발하였으며, 사이버보안 시스템 구축을 위한 기술 표준, 방법, 구축 단계 및 절차 등을 설정하였다. 2018년 현재 V1.1이 개발 및 배포 되었으며, 미국 내 주요 기관 및 기업의 서비스(AWS, MS Azure 등)에 적용 되어 활용되고 있다.
NIST CSF는 프레임워크 코어(Framework Core), 프레임워크 적용 단계(Framework Implementation Tier), 프레임워크 프로파일(Framework Profile) 등 세 부분으로 구성 된다. 프레임워크 코어는 사이버보안 활동을 식별(Identify), 보호(Protect), 감지(Detect), 대응(Respond), 복구(Recover) 등 다섯 개의 기능으로 구분하며 하위 카테고리에서 구체적인 사이버보안 활동 및 기술표준 등을 제시한다.
[표 1] NIST CSF Core Structure – 출처 : NIST
프레임워크 적용 단계는 사이버보안 리스크에 대한 인지 수준을 1) 부분적(Partial), 2) 리스크 인지(Risk Informed), 3) 반복적 리스크(Repeatable), 4) 적응(Adaptive) 등 네 단계로 분류 하며 단계별로 사이버보안 활동 내용을 제시한다. 프레임워크 프로파일은 코어에서 분류된 활동 별로 각 조직의 보유 역량과 리스크 감소를 위해 요구되는 목표 역량을 비교할 수 있는 도구를 제시한다. 이처럼 사이버보안 프레임워크는 주요 기반시설의 업무 및 보안 현황 등을 구분함으로써 위험 요인의 식별·탐지·관리 프로세스 지침으로 기능하게 하였다.
4. 이글루시큐리티 보안관제방법론(IGMSM-IGLOO SECURITY Management Security Methodology)
정보보호전문업체인 이글루시큐리티는 본사에 있는 원격관제센터를 운영하며 확보한 원격보안관제의 Knowhow, 각각의 고객사에서 파견보안관제를 수행하며 터득한 Knowhow를 종합하여 자체적인 보안관제방법론을 개발하고 지속적으로 발전시켜왔다. NIST CSF 발표 이후, 국내에서 가장 먼저 보안관제센터의 운영에 NIST CSF를 적용시켰을 뿐만 아니라 그 효율성을 지속적으로 연구하였다. 그리고 연구 결과를 바탕으로 NIST CSF를 기반으로 한 “이글루시큐리티 보안관제방법론(IGMSM-IGLOO SECURITY Management Security Methodology)”을 개발∙배포∙활용하였다.
NIST CSF의 프레임워크 Core는 사이버보안 활동을 식별(Identify)-보호(Protect)-감지(Detect)-대응(Respond)-복구(Recover) 등 다섯 개의 기능 항목으로 구성하고 있다. 그러나 SOC를 운영 함에 있어 또 하나의 중요한 요소는 “관리(Management)”이다. 보안관제업무의 특성 상, 별도의 공간에 전문화 된 인력이 투입되어 정보보호활동을 수행함에 있어 이를 어떻게 관리할 것인지에 대한 요구사항은 지속적으로 도출 되었다. 특히 국내 공공기관의 사이버안전센터의 경우 정보보호전문업체와의 계약을 통해 전문인력을 통한 위탁운영(파견보안관제)을 수행하고 있기에 인력 관리, 센터 수준 관리, 내부 시스템 운영, 인증 등 다양한 부분에서 보안관제업무의 영역이 확장되어 가고 있다.
축적된 보안관제 및 SOC운영의 경험을 바탕으로 이글루시큐리티의 보안관제방법론(이하 보안관제방법론)은 NIST CSF를 기반으로 한 5가지의 기능 항목에 “관리(Management)”항목을 포함하여 식별-예방-탐지-대응-복구-관리의 6 단계의 프로세스로 구성되었다.
[그림 2] 이글루시큐리티 보안관제 프로세스 – 출처 : 이글루시큐리티 보안관제방법론
6단계의 프로세스는 각기 운영 기능과 관리기능으로 분류하였다. 운영기능(Operating Function)은 “식별(Identify) ▶ 예방(Protect) ▶ 탐지(Detect) ▶ 대응(Respond) ▶ 복구(Recover)”의 시간의 흐름에 따라 보안관제센터에서 정보보호 활동을 수행할 수 있도록 하고, 관리기능(Management Function)은 보안관제센터 운영 전반에 걸친 운영관리 활동을 수행할 수 있도록 정의하였다.
Function UI |
Function |
Category UI |
Category |
Informative References | |
ID |
Identify |
ID.AM |
Asset Management |
자산관리 |
NIST CSF(Ver1.1) NIST SP 800-53 Rev.4 C2M2 CIS CSC 1, 2 COBIT 5 ISA 62443 ISO/IEC 27001:2013 K-ISMS 정보통신기반보호법 |
ID.BE |
Business Environment |
비즈니스 환경분석 | |||
ID.GV |
Governance |
법적 요건 | |||
ID.RA |
Risk Assessment & Management |
위험식별 및 관리 | |||
PR |
Protect |
PR.VA |
Vulnerability Assessments |
취약점 진단 | |
PR.DT |
Cyber Drill & Awareness Training |
모의침투 및 인식훈련 | |||
PR.SH |
Security information System Hardening |
보안시스템 최적화 | |||
PR.PP |
Processes and Procedures |
대응체계 수립 | |||
PR.IS |
Information Sharing |
정보공유 | |||
DE |
Detect |
DE.EC |
Event Collection |
보안이벤트 수집 | |
DE.CM |
Security Continuous Monitoring |
지속적인 모니터링 | |||
DE.CA |
Correlation Analysis |
상관 분석 | |||
DE.PH |
Detect Policy Hardening |
탐지 프로세스 관리 및 정책 최적화 | |||
RS |
Respond |
RS.IA |
Incident Analysis |
침해사고 분석 | |
RS.IP |
Incident Process |
침해사고 대응 | |||
RS.CO |
Communication |
상황전파 | |||
RS.MI |
Mitigation |
확대방지 | |||
RS.IM |
Improvements |
개선 | |||
RC |
Recover |
RC.RP |
Recovery Planning |
복구계획 | |
RC.IM |
Improvements |
개선 | |||
RC.CO |
Communication |
커뮤니케이션 | |||
MG |
Management |
MG.SL |
SLA |
서비스수준관리 | |
MG.MP |
Manual & Process |
지침/절차 개정 | |||
MG.MS |
Management |
보안관제체계 | |||
MG.WS |
Working System |
근무체계 | |||
MG.SE |
SOC Evaluation |
보안관제센터 평가 | |||
MG.CE |
Certification |
인증 | |||
MG.AC |
Access Control |
시스템 운영/접근제어 |
[표 2] 보안관제방법론 프레임워크 – 출처 : 이글루시큐리티 보안관제방법론
보안관제방법론은 6개의 기능을 바탕으로 각 기능의 업무를 로직모델(Logic Model) 표현한 28개의 세부활동(카테고리, Category), 세부활동을 바탕으로 SOC에서 수행해야 할 업무를 나열한 108개의 상세활동(서브카테고리, Subcategory)로 구성 된다. 각각의 세부활동은 보안관제업무를 수행하기 위한 TASK들로 구성되어 있으며, 상세활동은 이러한 세부활동들을 수행하기 위한 여러 업무들을 세세하게 풀어 설명하고 있다.
[그림 3] 보안관제방법론 구성 – 출처 : 이글루시큐리티 보안관제방법론
5. 보안관제표준문서
“구슬이 서 말이라도 꿰어야 보배”라는 속담이 있다. 아무리 훌륭한 보안관제방법론이 있더라도 이를 현장에서 제대로 활용할 수 없다면 그 보안관제방법론은 가치가 없을 것이다. 보안관제방법론에서 표현한 프레임워크와 프로세스, 그리고 로직모델을 잘 활용하기 위해서는, SOC에서 보안관제 업무를 수행하는 인원들이 보안관제방법론이 의미하는 바를 잘 이해하고, 이를 현장에 적용하여 활용할 수 있어야 한다.
이를 위해 보안관제방법론은 각각의 기능 및 세부활동에서 발생하는 각각의 업무들을 지침의 형태로 문서화 시킨 “보안관제표준문서”를 포함하고 있다. 보안관제표준문서는 보안관제방법론의 각 기능에 해당하는 업무를 도식화 하여 표현한 “기능문서(Function, Level1)”, 기능의 각 항목에 대해 SOC 기준의 수행 방안을 설명하여 지침 형태로 구성한 “매뉴얼(Manual, Level2)”, 매뉴얼의 부속 문서이며 실제 SOC에서 사용할 수 있는 관리문서로 구성 된 “첨부(Appendix, Level3)”로 구성 되어 있다. 보안관제방법론과 보안관제표준문서는 별개의 문서가 아닌 하나의 세트로서, 보안관제방법론이 개정될 시 보안관제표준문서 역시 관련 된 내용이 포함되거나 수정되는 형태로 발전 된다. 역으로 보안관제표준문서의 내용에 대한 수정이 필요할 시, 보안관제방법론의 검토 및 개정 작업을 수행 한다.
구분 |
방법론 |
기능문서 (Function, Level1) |
매뉴얼 (Manual, Level2) |
첨부 (Appendix, Level3) |
비고 |
방법론 매핑 |
보안관제방법론 |
기능(Function) |
세부활동(Category) 상세활동(SubCategory) |
| |
문서단계 |
보안관제방법론 문서 |
기능 설명 문서 |
세부활동 설명 문서 |
관련 부속 문서(별첨/붙임) |
|
문서예시 |
보안관제방법론 문서 |
IG.SOC-010 식별 |
IG.SOC-011 자산관리매뉴얼 |
[붙임1] 정보통신망 구성도 [붙임2] 정보자산 관리목록 |
|
[그림 4] 보안관제표준문서 구성 – 출처 : 이글루시큐리티 보안관제방법론
보안관제 업무를 수행하다 보면, 공공∙금융∙기업∙통신∙교육 등 각각의 SOC마다의 특성이 반영 된 보안 관련 이슈가 발생할 수 밖에 없고, 이 모든 상황에 완벽하게 들어맞는 맞춤형 관리체계를 하나의 표준으로 제공하는 것은 불가능에 가까울 수 밖에 없다. 그러나 수많은 사이트에서의 다년간의 경험을 바탕으로 어떠한 이슈들이 존재하는지에 대해서는 예측이 가능하고, 이러한 내용들을 통해 “보안관제업무”의 표준에 가까운 “보안관제방법론” 및 “보안관제표준문서”를 도출해 내었다. 이러한 부분은 다년간의 보안관제 경험을 갖춘 정보보호전문업체만이 할 수 있는 영역이라 생각한다.
이를 통해 도출한 “보안관제방법론”과 “보안관제표준문서"를 활용한다면 각각의 SOC에서의 업무 정의(프로세스∙정책∙지침∙절차 등)를 포함한 다양한 보안관제업무 수행 시 실질적인 도움이 되리라 판단 된다.
6. 마무리
본 기고에서 이글루시큐리티의 보안관제방법론과 이를 보안관제업무에 어떻게 활용할지에 대해 간단히 소개를 하였다. 보안관제방법론은 한 번 만들어져서 배포하고 잊혀지는 문서가 아닌, 실제 보안관제업무에서 활용하고, 피드백을하고, 개선하고, 또다시 배포하는 과정을 통해 진화하는 문서이다. 이를 위해서는 보안관제방법론을 관리하는 부서 뿐만 아니라, SOC에서 보안관제업무를 수행하는 현업 부서의 활용 및 피드백이 가장 중요하다.
보안관제방법론은 회사의 보안관제업무와 관련 된 사상이 담긴 문서이면서도, IT 및 보안관제업무의 트렌드에 맞춰 지속적으로 발전하는 문서이다. 따라서 보안관제방법론은 자사의 보안관제보다 빠르게 나아갈 수도, 아니면 자사의 보안관제 수준보다 뒤쳐질 수도 있다. 이는 오롯이 보안관제방법론을 지속적으로 개발하는 부서의 몫일 수 있다.
그러나 결국 보안관제방법론 안에 담겨 있는 모든 내용들의 근간은, 보안관제업무를 수행하는 현업 부서와 소속 인력들의 오랜 기간의 노력과 Knowhow의 결실이다. 이러한 부분이 없다면 아무리 멋있어 보이는 보안관제방법론을 만들더라도 겉만 번지르르하고 실속이 없는, 이론과 현장이 따로 노는 방법론이 될 수 밖에 없다.
현장에서의 적극적인 활용과 피드백, 현장의 목소리에 귀 기울여 발전시키는 전담부서의 협업을 통해, 쌓여가는 회사의 역사만큼 농익어가는 보안관제방법론으로 거듭날 것을 기대한다.
7. 참고자료
[1] Building a World-Class Security Operations Center A Roadmap
https://www.rsa.com/en-us/offers/sans-building-a-world-class-security-operations-center
[2] NIST Cybersecurity Framework
https://www.nist.gov/cyberframework/new-framework
[3] 미국 오바마 정부 2기의 사이버보안 강화 정책
http://www.kisa.or.kr/public/library/IS_View.jsp?mode=view&p_No=158&b_No=158&d_No=215
[4] 이글루시큐리티 보안관제방법론(IGMSM - IGLOO SECURITY Management Security Methodology)