
구스토리아의 마라 피자? 생각보다 맛있음

3. 보안 솔루션 종류 및 특징
- 보안 솔루션 종류
- 네트워크 보안 솔루션
- WIPS
- 무선 단말기의 접속을 자동으로 탐지 및 차단하고 보안에 취약한 무선 공유기 탐지
- 무선랜 환경에서의 보안 환경에서의 보안 환경을 탐지하고 대응
- NAC
- 단말기가 내부 네트워크에 접속을 시도할 때 이를 제어하고 통제
- 내부 네트워크가 바이러스나 웜 등의 보안 위협으로부터 안전한 단말기로 이루어질 수 있도록 강제
- 단말기 보안 프로그램이 정상적으로 설치 및 동작하는지 무결성을 검증한 후 최종적으로 접근 허용
- UTM
- WIPS
- 시스템 보안 솔루션
- 엔드포인트 탐지 및 대응 솔루션(EDR)
- 엔드포인트에서 발생하는 악성 행위를 실시간으로 감지하고 이를 분석 및 대응하여 피해 확산을 막는 솔루션
- 엔드포인트에서 실행되는 프로세스 기반의 모든 행위를 지속적으로 모니터링하고 이를 기반으로 탐지하여 알려지지 않은 악성 행위에 대해서도 사전 대응 가능
- 가시성 제공과 엔드포인트에 대한 직접적인 대응 기능 제공
- 스팸 차단 솔루션 — 메일 서버 앞단에 위치하여 프록시 메일 서버로 동작하며 스팸 메일 차단, 바이러스 검사, 본문 검색 기능을 통한 내부 정보 유출 방지 등의 확장 기능
- 보안 운영체제
- 운영체제에 내재한 결함으로 인해 발생할 수 있는 각종 해킹으로부터 보호하기 위해 보안 기능이 통합된 보안 커널을 추가로 인식한 운영체제
- 기본으로 열려있는 취약 서비스를 모두 차단하여 계정 및 서비스 관리에 있어 좀 더 나은 보안 체계를 가지고 운영될 수 있도록 함
- 엔드포인트 탐지 및 대응 솔루션(EDR)
- 컨텐츠/정보 유출 방지 보안 솔루션
- 보안 USB
- 정보 유출 방지 등의 보안 기능을 갖춘 USB 메모리
- 사용자 식별 및 인증, 지정 데이터 암호화 및 복호화, 저장된 자료의 임의 복제 방지, 분실 시 데이터 보호를 위한 삭제 등의 기능
- DRM
- 저작권자가 배포한 디지털 자료나 하드웨어의 사용을 제어하고 이를 의도한 용도로만 사용하도록 제어하는 데 사용되는 모든 기술
- 목적에 따라 2가지 형태
- MP3, E-Book과 같은 디지털 저작물에 대한 보호와 관리를 위한 솔루션으로 파일 자체에 암호를 걸어 권한 없는 사용자 이용 제한
- 기업에서 사용하는 문서 보안 솔루션 — 문서를 저장할 때 암호화(문서 DRM)
- DLP
- 정보의 흐름에 대한 모니터링과 실시간 차단 기능 제공
- 네트워크 DLP — 네트워크를 모니터링하고 정책에 따라 통제
- 단말 DLP — USB 등의 이동식 저장 매체와 출력물 등을 통해 유출되는 것 방지
- 보안 USB
- 보안 관리 솔루션
- 보안 관제
- 개요 — 정보 수집 > 모니터링 및 분석 > 대응 > 보고
- 발전 방향
- 1세대
- ESM 기반 / 장비별 관제
- 알려진 공격에 대한 패턴 매칭
- 임계치 기반
- 악성 코드
- ESM 기반 / 장비별 관제
- 2세대
- SIEM 도입
- 빅데이터 기반의 이벤트 상관 관계 분석
- 시계열 분석
- APT 대응 솔루션
- 파일 이상 행위 분석(샌드박스, EDR)
- Application
- DDoS
- SIEM 도입
- 3세대
- SIEM — 탐지 극대화, 신속하고 정확한 탐지
- Machin Learning / AI
- 시계열 분석, 군집 분석, 공간 분할 분석
- 행위 분석, 내부 위협 분석, 이상 징후 분석
- SOAR
- 보안 관리 정책 및 프로세스 자동화
- 연관된 보안 장비 간 자동화
- 신/변종 악성 코드, 알려지지 않은 공격 — 제로데이 공격, APT 공격, 랜섬웨어, One-Day Wonder
- 1세대
- 전사적 보안 관리 시스템(ESM)
- 개요 — 다양한 보안 장비에서 발생하는 보안 장비에서 발생하는 로그를 통합적으로 수집 및 관리하여 불법적인 행위에 대응할 수 있도록 하는 통합 보안 관리 시스템
- 구성 요소
- 에이전트 — 관리 대상 보안 장비에 설치되어 규칙에 따른 로그 및 이벤트 데이터를 수집하여 매니저로 전달
- 매니저 또는 엔진 — 에이전트를 통해 수집된 데이터를 저장, 분석하여 그 결과를 콘솔로 전달
- 콘솔
- 매니저에 의해 전달된 정보의 시각적 전달, 상황 판단 및 리포트 등
- 매니저와 에이전트에 대한 제어 및 통제
- 보안 정보 및 이벤트 관리 시스템(SIEM)
- 개요 — 다양한 범위에서 발생하는 로그와 이벤트를 수집하여 빅데이터 기반의 상관 관계 분석을 통해 위협을 사전에 차단하는 통합 보안 관제 솔루션
- 주요 기능
- 데이터 통합 — 데이터 수집 및 분석
- 로그 수집
- 로그 변환 — 로그 표현 형식을 표준 포맷으로 변환
- 상관 관계 분석
- 로그 분류
- 로그 분석 — 여러 개의 로그의 연관성 분석
- 데이터 통합 — 데이터 수집 및 분석
- 알림
- 대시보드
- 보안 오케스트레이션, 자동화 및 대응 시스템(SOAR)
- 개요
- 등장 배경 — 보안 위협에 대한 분석과 대응에 자동화된 프로세스 필요
- 가트너 정의 — SOAR는 SOA, SIRP, TOP을 폭 넓게 포함하는 개념으로 보안 운영에 있어 유입되는 위협에 대해 대응 수준을 자동으로 분류하고, 표준화된 업무 프로세스에 따라 사람과 기계가 유기적으로 협력할 수 있도록 지원하는 대응 플랫폼을 말한다.
- 보안 위협에 대한 자동화된 분석과 대응 환경을 만들어 보안 인력을 효율적으로 운영하면서 분석의 정확도를 높이고 대응 시간을 단축하기 위한 솔루션
- 주요 기능
- SIRP — 보안 사고 대응 플랫폼
- 다양한 보안 이벤트 유형별로 업무 특성에 맞는 업무 프로세스 정의
- 보안 운영 센터(SOC)의 단순하고 반복적인 업무 자동화
- SOA — 보안 오케스트레이션 및 자동화
- 다양한 IT, 보안 시스템을 통합하고 자동화
- SIRP에서 정의한 업무 프로세스 실행 지원
- TIP — 위협 인텔리전스 플랫폼
- 보안 위협을 판단하기 위해 다양한 위협 인텔리전스 활용
- 보안 분석가의 판단 보조
- SIRP — 보안 사고 대응 플랫폼
- 위협 인텔리전스 서비스
- 개요
- 위협 정보를 수집, 분석, 활용하여 생성해내는 증거 기반 정보
- 보안 관제 솔루션과 연계하여 위협에 대한 분석과 대응을 효과적으로 수행할 수 있도록 지원
- 사이버 위협 인텔리전스(CTI)라고도 함
- 알려지지 않은 위협, 지능형 지속 위협과 같은 공격에도 효과적으로 대응 가능
- 주요 정의
- 개요
- 개요
- 패치 관리 시스템(PMS)
- 기업 네트워크에 접속하는 사용자 PC의 운영체제와 각종 애플리케이션에 대한 패치를 기업 보안 정책에 따라 자동으로 설치, 업그레이드함으로써 웜이나 바이러스 공격 등으로부터 기업의 IT 환경을 효과적으로 보호하는 솔루션
- 구성
- 서버 — 패치를 배포하고 기업 보안 정책에 따라 이를 위반한 사용자 PC를 인식하고 이들에게 강제적으로 정책에 맞는 수준의 보안 적용
- 에이전트 — 서버로부터 패치를 적용하고 사용자 PC의 상태를 점검해서 보안 정책 위반 여부 정보를 서버에 제공
- 보안 관제
- 인증 및 암호 솔루션
- 하드웨어 보안 모듈(HSM)
- 암호화된 데이터를 보호하는 암호화 키/디지털 키에 대한 안전한 저장/관리 및 고속의 암호화 처리를 수행할 수 있는 전용 하드웨어 장비
- 비밀 정보를 안전하게 저장하고 기기 내부에 프로세스 및 암호 연산 장치가 있어 전자서명 키 생성, 전자서명 생성 및 검증 등 가능
- 플러그인 카드 또는 컴퓨터나 네트워크 서버에 직접 연결되는 외부 장치 형태
- 최근에는 클라우드 HSM
- SSO
- 통합 접근 관리(EAM) — 모든 사용자에 대한 통합 인증과 사용자별/그룹별 접근 권한 통제를 담당하는 권한 관리 솔루션
- 통합 계정 관리(IAM)
- EAM을 보다 포괄적으로 확장한 보안 솔루션
- 조직이 필요로 하는 보안 정책을 수집하고 자동으로 사용자에게 계정을 만들어주며, 사용자는 자신의 위치와 직무에 따라 적절한 계정 및 권한을 부여받고 실시간으로 사용자의 정보의 변경 및 삭제 가능
- 하드웨어 보안 모듈(HSM)
4. 네트워크 보안 장비 운영
- 물리적 네트워크 보안 장비 구성
- 디도스 차단 시스템
- 네트워크 방화벽
- 네트워크 계층의 IP 주소와 전송 계층의 포트 번호, 프로토콜 등을 기반으로 방화벽 룰셋에 따라 패킷 필터링을 수행하는 보안 장비
- 서로 다른 보안 레벨의 네트워크 경로 사이에 위치
- 일반적으로 고가용성 환경 구축을 위해 Active-Standby 또는 Active-Active 방식의 이중화 구성으로 설치
- 이스라엘 보안업체 “체크포인트”에서 방화벽에 상태 검사 기능을 최초로 개발
- 상태 검사 기능 — 방화벽을 통과하는 모든 패킷에 대해 네트워크 및 전송 계층 정보만 보는 것이 아니라 일정 시간 프로토콜별 연결 상태 정보를 유지하여 추적하는 기능
- 연결 상태에 있는 패킷에 대해서는 방화벽 룰셋 검사 없이 모두 허용
- 네트워크 계층의 IP 주소와 전송 계층의 포트 번호, 프로토콜 등을 기반으로 방화벽 룰셋에 따라 패킷 필터링을 수행하는 보안 장비
- SSL 오프로드 장비
- 개요
- SSL 오프로드 기능 — SSL 서버를 대신해서 SSL 트래픽에 대한 모든 암복호화 처리를 수행하는 기능
- SSL 서버 인증서 설치 필요
- 장점
- 장비를 통해 복호화된 트래픽을 이용하여 다양한 네트워크 보안 장비의 탐지 활동에 활용 가능
- 장비를 통해 SSL 관련 처리를 수행하기 때문에 SSL 서버 성능 향상
- SSL 오프로드 장비에 서버 인증서를 설치하여 관리하여 효율적
- SSL-VA — SSL 가시화 장비
- SSL 트래픽에 대한 암복호화 처리에 특화된 전용의 어플라이언스 장비
- 어플라이언스 — 범용 목적의 불필요한 기능을 제거하고 특정 목적에 최상의 성능을 위해 최적화된 장비
- 전용 하드웨어(ASIC)와 OS 및 응용 프로그램이 내장된 장비
- 일반적으로 추가적인 설치가 불필요하고 설정 이후 바로 사용 가능
- L7-Switch
- 애플리케이션 수준의 패킷 스위칭 장비
- 애플리케이션 분석을 통한 패킷 탐지, SSL 오프로드 기능, 서버 부하 분산(SLB), 장애 조치 등의 다양한 기능
- 개요
- IDS
- 개요
- 시그니처, 임계치 등에 따라 공격 탐지
- NIDS인 경우 미러링 모드로 설치
- 침입 탐지 방식 — 오용 탐지, 이상 탐지
- 탐지할 데이터 수집원 — 호스트 기반 IDS, 네트워크 기반 IDS
- 침입 탐지 방식에 따른 구분
- 오용 탐지
- 시그니처 기반, 지식 기반
- 상대적으로 오탐률이 낮음
- 새로운 공격 탐지 불가능
- 알려진 공격 패턴에 대한 지속적인 갱신 중요
- 이상 탐지
- 행위 기반, 통계 기반
- 알려지지 않은 새로운 공격을 탐지하여 미탐률 낮음
- 정상 행위와 공격 행위를 구분하는 임계치 설정의 어려움으로 오탐률 높음
- 오용 탐지
- 탐지할 데이터 수집원에 따른 구분
- 호스트 기반 IDS
- 호스트에 설치되어 호스트의 정보를 수집하여 탐지 활동 수행
- tripwire — 호스트 파일 시스템의 무결성을 검사하는 오픈소스 HIDS
- 네트워크 기반 IDS
- 네트워크 트래픽을 수집하여 탐지 활동 수행
- Suricata — 스노트의 단점을 보완한 오픈소스 NIDS
- 호스트 기반 IDS
- NIDS 설치 위치에 따른 장단점
- 개요
- 침입 방지 시스템(IPS)
- 공격 탐지 및 차단
- 실시간 차단을 위해 인라인 모드로 설치
- APT 대응 시스템
- 네트워크 트래픽을 통해 유입되는 실행 파일, 문서 파일 등을 추출, 평판 조회 및 가상 머신 기반의 샌드박스 환경에서 해당 파일을 직접 실행하여 악성 여부를 판단하는 보안 장비
- 분석이 완료될 때까지 엔드포인트 파일 실행 보류
- 악성 파일로 판단될 경우 삭제
- 네트워크 포렌식 장비
- 설치된 네트워크 구간을 통과하는 모든 트래픽을 수집하고 분석할 수 있는 장비
- 침해 사고 분석 및 내부 감사 등에 활용
- 대용량 스토리지 필요
- WAF
- 웹 애플리케이션 공격에 대응하기 위해 웹 트래픽의 웹 컨텐츠를 분석하고 탐지 및 차단할 수 있는 기능이 있는 보안 장비
- 웹 컨텐츠에 포함된 난독화된 스크립트를 해제하여 분석
- 웹 공격에서 사용되는 요청 파라미터 패턴 분석
- 웹 공격을 탐지하고 차단
- 정보 유출 방지, 부정 로그인 방지, 웹사이트 위변조 방지 등
- 정보 유출 방지 — 개인정보가 웹 게시판에 게시되거나 개인정보가 포함된 파일 등이 웹을 통해 업로드 및 다운로드 되는 경우에 대해 탐지하고 대응
- 부정 로그인 방지 — 비정상적인 접근에 대한 제어
- 웹 애플리케이션 공격에 대응하기 위해 웹 트래픽의 웹 컨텐츠를 분석하고 탐지 및 차단할 수 있는 기능이 있는 보안 장비
- 물리적 네트워크 구간 — 접근 통제 관점의 구간 구분
- 네트워크 보안 장비 설치 모드
- 인라인 모드
- 물리적 네트워크 경로상에 설치되어 연결된 네트워크를 통과하는 모든 트래픽이 거쳐가도록 하는 모드
- 장비에 장애가 발생할 경우 전체 네트워크 장애로 확산될 수 있는 위험성
- 미러링 모드
- 패킷 차단 기능이 없는 탐지 목적의 장비에 적용하는 모드로 네트워크 경로를 벗어난 곳에 위치
- 전체 네트워크 가용성에 영향을 주지 않으면서 패킷 탐지 가능
- 실제 패킷 차단 어려움
- 탐지 트래픽이 TCP 통신인 경우 TCP Reset 방식을 통해 공격 행위로 탐지된 TCP 연결의 중단 지원
- 인라인 모드
5. 보안 솔루션 취약점
- 계정 관리
- 보안 장비 default 계정 변경
- 보안 장비 default 패스워드 변경
- 보안 장비 계정별 권한 설정
- 보안 장비 계정 관리
- 접근 관리
- 보안 장비 원격 관리 접근 통제
- 보안 장비 보안 접속
- 세션 타임아웃 설정
'정보보안기사' 카테고리의 다른 글
| [정보보안기사(실기)] SECTION 15 침해 사고 유형별 시나리오 (1) (0) | 2026.06.26 |
|---|---|
| [정보보안기사(실기)] SECTION 14 시스템 점검 도구 (0) | 2026.06.16 |
| [정보보안기사(실기)] SECTION 13 보안 장비 운영 - Snort, iptables (0) | 2026.06.13 |
| [정보보안기사(실기)] SECTION 12 클라우드 컴퓨팅 보안 (0) | 2026.06.11 |
| [정보보안기사(실기)] SECTION 11 데이터베이스 보안 (0) | 2026.06.10 |