정보보안기사

[정보보안기사(실기)] SECTION 13 보안 장비 운영 (2)

tnvori 2026. 6. 14. 21:48

구스토리아의 마라 피자? 생각보다 맛있음

3. 보안 솔루션 종류 및 특징

  1. 보안 솔루션 종류
  2. 네트워크 보안 솔루션
    1. WIPS
      • 무선 단말기의 접속을 자동으로 탐지 및 차단하고 보안에 취약한 무선 공유기 탐지
      • 무선랜 환경에서의 보안 환경에서의 보안 환경을 탐지하고 대응
    2. NAC
      • 단말기가 내부 네트워크에 접속을 시도할 때 이를 제어하고 통제
      • 내부 네트워크가 바이러스나 웜 등의 보안 위협으로부터 안전한 단말기로 이루어질 수 있도록 강제
      • 단말기 보안 프로그램이 정상적으로 설치 및 동작하는지 무결성을 검증한 후 최종적으로 접근 허용
    3. UTM
  3. 시스템 보안 솔루션
    1. 엔드포인트 탐지 및 대응 솔루션(EDR)
      • 엔드포인트에서 발생하는 악성 행위를 실시간으로 감지하고 이를 분석 및 대응하여 피해 확산을 막는 솔루션
      • 엔드포인트에서 실행되는 프로세스 기반의 모든 행위를 지속적으로 모니터링하고 이를 기반으로 탐지하여 알려지지 않은 악성 행위에 대해서도 사전 대응 가능
      • 가시성 제공과 엔드포인트에 대한 직접적인 대응 기능 제공
    2. 스팸 차단 솔루션 — 메일 서버 앞단에 위치하여 프록시 메일 서버로 동작하며 스팸 메일 차단, 바이러스 검사, 본문 검색 기능을 통한 내부 정보 유출 방지 등의 확장 기능
    3. 보안 운영체제
      • 운영체제에 내재한 결함으로 인해 발생할 수 있는 각종 해킹으로부터 보호하기 위해 보안 기능이 통합된 보안 커널을 추가로 인식한 운영체제
      • 기본으로 열려있는 취약 서비스를 모두 차단하여 계정 및 서비스 관리에 있어 좀 더 나은 보안 체계를 가지고 운영될 수 있도록 함
  4. 컨텐츠/정보 유출 방지 보안 솔루션
    1. 보안 USB
      • 정보 유출 방지 등의 보안 기능을 갖춘 USB 메모리
      • 사용자 식별 및 인증, 지정 데이터 암호화 및 복호화, 저장된 자료의 임의 복제 방지, 분실 시 데이터 보호를 위한 삭제 등의 기능
    2. DRM
      • 저작권자가 배포한 디지털 자료나 하드웨어의 사용을 제어하고 이를 의도한 용도로만 사용하도록 제어하는 데 사용되는 모든 기술
      • 목적에 따라 2가지 형태
        • MP3, E-Book과 같은 디지털 저작물에 대한 보호와 관리를 위한 솔루션으로 파일 자체에 암호를 걸어 권한 없는 사용자 이용 제한
        • 기업에서 사용하는 문서 보안 솔루션 — 문서를 저장할 때 암호화(문서 DRM)
    3. DLP
      • 정보의 흐름에 대한 모니터링과 실시간 차단 기능 제공
      • 네트워크 DLP — 네트워크를 모니터링하고 정책에 따라 통제
      • 단말 DLP — USB 등의 이동식 저장 매체와 출력물 등을 통해 유출되는 것 방지
  5. 보안 관리 솔루션
    1. 보안 관제
      • 개요 — 정보 수집 > 모니터링 및 분석 > 대응 > 보고
      • 발전 방향
        • 1세대
          • ESM 기반 / 장비별 관제
            • 알려진 공격에 대한 패턴 매칭
            • 임계치 기반
          • 악성 코드
        • 2세대
          • SIEM 도입
            • 빅데이터 기반의 이벤트 상관 관계 분석
            • 시계열 분석
            • APT 대응 솔루션
            • 파일 이상 행위 분석(샌드박스, EDR)
          • Application
          • DDoS
        • 3세대
          • SIEM — 탐지 극대화, 신속하고 정확한 탐지
          • Machin Learning / AI
            • 시계열 분석, 군집 분석, 공간 분할 분석
            • 행위 분석, 내부 위협 분석, 이상 징후 분석
          • SOAR
            • 보안 관리 정책 및 프로세스 자동화
            • 연관된 보안 장비 간 자동화
          • 신/변종 악성 코드, 알려지지 않은 공격 — 제로데이 공격, APT 공격, 랜섬웨어, One-Day Wonder
    2. 전사적 보안 관리 시스템(ESM)
      • 개요 — 다양한 보안 장비에서 발생하는 보안 장비에서 발생하는 로그를 통합적으로 수집 및 관리하여 불법적인 행위에 대응할 수 있도록 하는 통합 보안 관리 시스템
      • 구성 요소
        • 에이전트 — 관리 대상 보안 장비에 설치되어 규칙에 따른 로그 및 이벤트 데이터를 수집하여 매니저로 전달
        • 매니저 또는 엔진 — 에이전트를 통해 수집된 데이터를 저장, 분석하여 그 결과를 콘솔로 전달
        • 콘솔
          • 매니저에 의해 전달된 정보의 시각적 전달, 상황 판단 및 리포트 등
          • 매니저와 에이전트에 대한 제어 및 통제
    3. 보안 정보 및 이벤트 관리 시스템(SIEM)
      • 개요 — 다양한 범위에서 발생하는 로그와 이벤트를 수집하여 빅데이터 기반의 상관 관계 분석을 통해 위협을 사전에 차단하는 통합 보안 관제 솔루션
      • 주요 기능
        • 데이터 통합 — 데이터 수집 및 분석
          • 로그 수집
          • 로그 변환 — 로그 표현 형식을 표준 포맷으로 변환
        • 상관 관계 분석
          • 로그 분류
        • 로그 분석 — 여러 개의 로그의 연관성 분석
      • 알림
      • 대시보드
    4. 보안 오케스트레이션, 자동화 및 대응 시스템(SOAR)
      • 개요
        • 등장 배경 — 보안 위협에 대한 분석과 대응에 자동화된 프로세스 필요
        • 가트너 정의 — SOAR는 SOA, SIRP, TOP을 폭 넓게 포함하는 개념으로 보안 운영에 있어 유입되는 위협에 대해 대응 수준을 자동으로 분류하고, 표준화된 업무 프로세스에 따라 사람과 기계가 유기적으로 협력할 수 있도록 지원하는 대응 플랫폼을 말한다.
        • 보안 위협에 대한 자동화된 분석과 대응 환경을 만들어 보안 인력을 효율적으로 운영하면서 분석의 정확도를 높이고 대응 시간을 단축하기 위한 솔루션
      • 주요 기능
        • SIRP — 보안 사고 대응 플랫폼
          • 다양한 보안 이벤트 유형별로 업무 특성에 맞는 업무 프로세스 정의
          • 보안 운영 센터(SOC)의 단순하고 반복적인 업무 자동화
        • SOA — 보안 오케스트레이션 및 자동화
          • 다양한 IT, 보안 시스템을 통합하고 자동화
          • SIRP에서 정의한 업무 프로세스 실행 지원
        • TIP — 위협 인텔리전스 플랫폼
          • 보안 위협을 판단하기 위해 다양한 위협 인텔리전스 활용
          • 보안 분석가의 판단 보조
      • 위협 인텔리전스 서비스
        • 개요
          • 위협 정보를 수집, 분석, 활용하여 생성해내는 증거 기반 정보
          • 보안 관제 솔루션과 연계하여 위협에 대한 분석과 대응을 효과적으로 수행할 수 있도록 지원
          • 사이버 위협 인텔리전스(CTI)라고도 함
          • 알려지지 않은 위협, 지능형 지속 위협과 같은 공격에도 효과적으로 대응 가능
        • 주요 정의
    5. 패치 관리 시스템(PMS)
      • 기업 네트워크에 접속하는 사용자 PC의 운영체제와 각종 애플리케이션에 대한 패치를 기업 보안 정책에 따라 자동으로 설치, 업그레이드함으로써 웜이나 바이러스 공격 등으로부터 기업의 IT 환경을 효과적으로 보호하는 솔루션
      • 구성
        • 서버 — 패치를 배포하고 기업 보안 정책에 따라 이를 위반한 사용자 PC를 인식하고 이들에게 강제적으로 정책에 맞는 수준의 보안 적용
        • 에이전트 — 서버로부터 패치를 적용하고 사용자 PC의 상태를 점검해서 보안 정책 위반 여부 정보를 서버에 제공
  6. 인증 및 암호 솔루션
    1. 하드웨어 보안 모듈(HSM)
      • 암호화된 데이터를 보호하는 암호화 키/디지털 키에 대한 안전한 저장/관리 및 고속의 암호화 처리를 수행할 수 있는 전용 하드웨어 장비
      • 비밀 정보를 안전하게 저장하고 기기 내부에 프로세스 및 암호 연산 장치가 있어 전자서명 키 생성, 전자서명 생성 및 검증 등 가능
      • 플러그인 카드 또는 컴퓨터나 네트워크 서버에 직접 연결되는 외부 장치 형태
      • 최근에는 클라우드 HSM
    2. SSO
    3. 통합 접근 관리(EAM) — 모든 사용자에 대한 통합 인증과 사용자별/그룹별 접근 권한 통제를 담당하는 권한 관리 솔루션
    4. 통합 계정 관리(IAM)
      • EAM을 보다 포괄적으로 확장한 보안 솔루션
      • 조직이 필요로 하는 보안 정책을 수집하고 자동으로 사용자에게 계정을 만들어주며, 사용자는 자신의 위치와 직무에 따라 적절한 계정 및 권한을 부여받고 실시간으로 사용자의 정보의 변경 및 삭제 가능

4. 네트워크 보안 장비 운영

  1. 물리적 네트워크 보안 장비 구성
    1. 디도스 차단 시스템
    2. 네트워크 방화벽
      • 네트워크 계층의 IP 주소와 전송 계층의 포트 번호, 프로토콜 등을 기반으로 방화벽 룰셋에 따라 패킷 필터링을 수행하는 보안 장비
        • 서로 다른 보안 레벨의 네트워크 경로 사이에 위치
        • 일반적으로 고가용성 환경 구축을 위해 Active-Standby 또는 Active-Active 방식의 이중화 구성으로 설치
      • 이스라엘 보안업체 “체크포인트”에서 방화벽에 상태 검사 기능을 최초로 개발
        • 상태 검사 기능 — 방화벽을 통과하는 모든 패킷에 대해 네트워크 및 전송 계층 정보만 보는 것이 아니라 일정 시간 프로토콜별 연결 상태 정보를 유지하여 추적하는 기능
        • 연결 상태에 있는 패킷에 대해서는 방화벽 룰셋 검사 없이 모두 허용
    3. SSL 오프로드 장비
      • 개요
        • SSL 오프로드 기능 — SSL 서버를 대신해서 SSL 트래픽에 대한 모든 암복호화 처리를 수행하는 기능
        • SSL 서버 인증서 설치 필요
      • 장점
        • 장비를 통해 복호화된 트래픽을 이용하여 다양한 네트워크 보안 장비의 탐지 활동에 활용 가능
        • 장비를 통해 SSL 관련 처리를 수행하기 때문에 SSL 서버 성능 향상
        • SSL 오프로드 장비에 서버 인증서를 설치하여 관리하여 효율적
      • SSL-VA — SSL 가시화 장비
        • SSL 트래픽에 대한 암복호화 처리에 특화된 전용의 어플라이언스 장비
        • 어플라이언스 — 범용 목적의 불필요한 기능을 제거하고 특정 목적에 최상의 성능을 위해 최적화된 장비
          • 전용 하드웨어(ASIC)와 OS 및 응용 프로그램이 내장된 장비
          • 일반적으로 추가적인 설치가 불필요하고 설정 이후 바로 사용 가능
      • L7-Switch
        • 애플리케이션 수준의 패킷 스위칭 장비
        • 애플리케이션 분석을 통한 패킷 탐지, SSL 오프로드 기능, 서버 부하 분산(SLB), 장애 조치 등의 다양한 기능
    4. IDS
      • 개요
        • 시그니처, 임계치 등에 따라 공격 탐지
        • NIDS인 경우 미러링 모드로 설치
        • 침입 탐지 방식 — 오용 탐지, 이상 탐지
        • 탐지할 데이터 수집원 — 호스트 기반 IDS, 네트워크 기반 IDS
      • 침입 탐지 방식에 따른 구분
        • 오용 탐지
          • 시그니처 기반, 지식 기반
          • 상대적으로 오탐률이 낮음
          • 새로운 공격 탐지 불가능
          • 알려진 공격 패턴에 대한 지속적인 갱신 중요
        • 이상 탐지
          • 행위 기반, 통계 기반
          • 알려지지 않은 새로운 공격을 탐지하여 미탐률 낮음
          • 정상 행위와 공격 행위를 구분하는 임계치 설정의 어려움으로 오탐률 높음
      • 탐지할 데이터 수집원에 따른 구분
        • 호스트 기반 IDS
          • 호스트에 설치되어 호스트의 정보를 수집하여 탐지 활동 수행
          • tripwire — 호스트 파일 시스템의 무결성을 검사하는 오픈소스 HIDS
        • 네트워크 기반 IDS
          • 네트워크 트래픽을 수집하여 탐지 활동 수행
          • Suricata — 스노트의 단점을 보완한 오픈소스 NIDS
      • NIDS 설치 위치에 따른 장단점
    5. 침입 방지 시스템(IPS)
      • 공격 탐지 및 차단
      • 실시간 차단을 위해 인라인 모드로 설치
    6. APT 대응 시스템
      • 네트워크 트래픽을 통해 유입되는 실행 파일, 문서 파일 등을 추출, 평판 조회 및 가상 머신 기반의 샌드박스 환경에서 해당 파일을 직접 실행하여 악성 여부를 판단하는 보안 장비
      • 분석이 완료될 때까지 엔드포인트 파일 실행 보류
      • 악성 파일로 판단될 경우 삭제
    7. 네트워크 포렌식 장비
      • 설치된 네트워크 구간을 통과하는 모든 트래픽을 수집하고 분석할 수 있는 장비
      • 침해 사고 분석 및 내부 감사 등에 활용
      • 대용량 스토리지 필요
    8. WAF
      • 웹 애플리케이션 공격에 대응하기 위해 웹 트래픽의 웹 컨텐츠를 분석하고 탐지 및 차단할 수 있는 기능이 있는 보안 장비
        • 웹 컨텐츠에 포함된 난독화된 스크립트를 해제하여 분석
        • 웹 공격에서 사용되는 요청 파라미터 패턴 분석
      • 웹 공격을 탐지하고 차단
      • 정보 유출 방지, 부정 로그인 방지, 웹사이트 위변조 방지 등
        • 정보 유출 방지 — 개인정보가 웹 게시판에 게시되거나 개인정보가 포함된 파일 등이 웹을 통해 업로드 및 다운로드 되는 경우에 대해 탐지하고 대응
        • 부정 로그인 방지 — 비정상적인 접근에 대한 제어
  2. 물리적 네트워크 구간 — 접근 통제 관점의 구간 구분
  3. 네트워크 보안 장비 설치 모드
    1. 인라인 모드
      • 물리적 네트워크 경로상에 설치되어 연결된 네트워크를 통과하는 모든 트래픽이 거쳐가도록 하는 모드
      • 장비에 장애가 발생할 경우 전체 네트워크 장애로 확산될 수 있는 위험성
    2. 미러링 모드
      • 패킷 차단 기능이 없는 탐지 목적의 장비에 적용하는 모드로 네트워크 경로를 벗어난 곳에 위치
      • 전체 네트워크 가용성에 영향을 주지 않으면서 패킷 탐지 가능
      • 실제 패킷 차단 어려움
      • 탐지 트래픽이 TCP 통신인 경우 TCP Reset 방식을 통해 공격 행위로 탐지된 TCP 연결의 중단 지원

5. 보안 솔루션 취약점

  1. 계정 관리
    1. 보안 장비 default 계정 변경
    2. 보안 장비 default 패스워드 변경
    3. 보안 장비 계정별 권한 설정
    4. 보안 장비 계정 관리
  2. 접근 관리
    1. 보안 장비 원격 관리 접근 통제
    2. 보안 장비 보안 접속
    3. 세션 타임아웃 설정