인터넷 기반 기술과 온라인 서비스들이 증가함에 따라 커지는 네트워크 보안 위협을 대응하기 위한 기업들의 고민이 높아지고 있습니다. 기업의 비즈니스와 서비스 환경에 적합한 정보 보호시스템과 공격을 탐지하고 위협을 분석할 수 있는 전문 인력들에 대한 필요성이 커지는 것입니다.1 이에 많은 기업들이 안전한 네트워크 환경과 안정적인 서비스 제공을 위해 사이버 공격을 보호하기 위한 ‘보안관제’를 수행하고 있습니다. 보안관제는 단순히 해킹이나 외부 공격을 모니터링하고 방어하는 것 이상으로 전문적이고 체계적인 관리를 제공합니다. 나아가 안정적인 인프라 운영을 위해 보안관제를 비롯해 네트워크 운영, 상시 모니터링 등 종합적인 인프라 관리 및 운영을 제공하는 ‘통합관제(Integrated Security Operations Center, Integrated SOC)’ 서비스도 각광받고 있습니다. 위기 상황은 언제 터질지 모르기 때문에 이러한 예방 및 대응 활동은 365일 연중무휴로 지속되야 하는 것입니다. 이번 글에서 기업의 네트워크와 IT 인프라를 위협으로부터 보호하는 보안관제에 대해서 알아보겠습니다.
네트워크 보안의 필요성
인터넷 이용이 높은 오늘날 사이버 해킹, 위조, 공격도 발전하며 복잡해지고 있습니다. PC방, 회사 등의 공용 네트워크를 사용하는 PC에서 보안서버가 구축되지 않은 사이트로 접속할 경우, 개인정보가 타인에게 노출되는 피해를 줄일 수 있습니다. 하지만 보안 서버가 구축된 사이트는 피싱에 의한 피해를 획기적으로 줄일 수 있으며, 기업들 역시 고객의 개인정보를 안전하게 관리하는 기업이라는 이미지를 부각하여 신뢰를 얻을 수 있습니다. 온라인 기반의 서비스와 기술을 활용하는 조직이라며 네트워크 보안은 필수입니다.
보안관제란?
보안관제(Security Operations Center, SOC)는 조직의 정보 시스템과 네트워크에서 발생하는 보안 이벤트 및 사건을 모니터링하고 관리하는 활동입니다. 보안관제는 보안 이벤트 및 위협을 식별하고 대응하는 역할을 수행하여 조직의 정보 자산을 보호하는 주요 구성 요소 중 하나입니다. 조직 내외부에서 수행할 수 있는데 크게 조직 자체의 정보 시스템과 네트워크를 보호하는 내부 SOC와 외부 보안 서비스 공급자가 제공하는 외부 SOC로 나눌 수 있습니다. 외부 SOC를 수행하는 보안관제 서비스 사업자는 클라이언트의 보안 이벤트를 모니터링하고 사고 대응, 보안 관련 조언 등의 서비스를 제공합니다.
보안관제는 산업, 업종별 환경에 맞춰 특화된 솔루션이 있으며, 종류는 조직의 크기, 보안 요구 사항 및 예산 등에 따라 다양하게 나타날 수 있습니다. 최근에는 인공지능 등 최신 기술의 발전과 함께 보안관제도 자동화 시스템도 도입되고 있는 추세입니다.
보안관제의 유형
보안관제는 조직 내부에서 자체적으로 운영하거나 외부 관제 업체를 이용하는 방식으로 나뉩니다. 외부 보안관제는 세부적으로 ‘파견관제’와 ‘원격관제’ 방식으로 구분할 수 있습니다.
- 자체관제 : 자체관제는 조직이 외부 관제 서비스에 의존하지 않고 자체적으로 보안관제 시스템을 구축하고 보안 인력을 운영하는 형태입니다. 자체 관제를 운영하려면 상당한 투자와 전문성이 필요하며, 실제 보안 관제 환경을 구축하고 운영하는 데는 시간과 자원이 소요됩니다. 그러나 자체 관제를 운영하면 조직은 자신만의 보안 관제 활동을 제어하고 사용자 지정 보안 요구 사항을 충족시키는 데 높은 수준의 통제와 유연성을 얻을 수 있습니다.
- 파견관제 : 파견관제는 조직이 외부 보안 서비스에 보안 관제 활동을 위탁하는 형태를 가리킵니다. 이는 조직이 자체관제를 운영하지 않고 외부 전문가 또는 업체에게 보안 모니터링 및 대응 서비스를 제공받는 방식입니다. 관제 시스템을 구축하고 운영하는 데는 상당한 비용이 소요되는데, 파견관제를 이용하면 이러한 초기 투자와 운영 비용을 절감할 수 있습니다. 파견 관제는 조직의 보안 요구 사항과 리소스에 따라 선택할 수 있는 유용한 옵션일 수 있으며, 외부 전문가의 지식과 경험을 활용하여 보안 위협으로부터 보호할 수 있습니다.
- 원격관제 : IT 시스템 및 네트워크를 원격에서 모니터링하고 관리하는 활동을 가리킵니다. 원격 관제는 대부분 IT 관련 서비스, 보안 관제, 시스템 관리 등 다양한 분야에서 사용됩니다. 원격 관제는 전체 물리적 접근이 어려운 원격 위치에 있는 IT 자산을 효과적으로 관리하고 모니터링하기 위한 유용한 도구 및 기술입니다. 특히 보안 관제 분야에서 원격관제는 보안 이벤트와 위협을 지속적으로 감시하고 대응하는 데 중요한 역할을 합니다.
보안관제 및 인프라 관리의 종합적인 서비스, 통합관제
보안관제와 통합관제는 보안 관리와 위기 대응이라는 점에서 공통된 영역에 있습니다. 통합관제는 IDC 서비스 공급자나 인프라 제공 서비스 기업이 운영하고 있는 인프라 자원을 통합적으로 관리하고 다양한 리소스를 통해 체계적으로 진단한다는 점에서 더 포괄적인 방식입니다.
따라서, 통합관제는 다양한 보안 활동과 정보를 중앙 집중화하여 통합된 관리 및 대응 능력을 제공합니다. 통합관제는 다양한 데이터 소스에서 비롯된 로그, 이벤트 데이터, 트래픽 정보 등을 중앙에서 통합하여 종합적인 보안 상황을 모니터링하고 분석합니다. 통합관제는 최근 보안 환경에서 급격하게 발전하고 있는 접근 방식 중 하나로, 보안 서비스 사업자들은 다양한 기술과 전문 인력을 활용하여 진화된 보안관제 서비스와 함께 네트워크 관리/운영, 고객 서비스 등 인프라에 대한 통합적인 관리 서비스를 제공하고 있습니다.
보안관제의 운영 프로세스
보안관제 센터는 일련의 프로세스를 가지고 운영됩니다. 일반적으로 이벤트 모니터링과 탐지, 분석, 대응, 보고의 과정으로 진행되며 지속적으로 진행됩니다. 이러한 프로세스는 보안 정책 및 법률 요구 사항을 준수하며 보안 위협으로부터 조직을 보호하는데 필수적입니다.
- 모니터링 : 보안 관제는 주기적으로 또는 실시간으로 정보 시스템 및 네트워크의 활동을 모니터링합니다. 로그 파일, 이벤트 데이터, 네트워크 패킷 등 다양한 정보 소스에서 수집한 데이터를 기반으로 활동을 추적하고 분석하며, 보안 이벤트를 식별합니다.
- 이벤트 탐지 : 모니터링된 데이터를 분석하여 이상 징후, 침입 시도, 악성 활동 등의 보안 이벤트를 탐지합니다.
- 사건 분석 : 탐지된 보안 사건을 분석하여 해당 사건의 성격과 심각성을 판단합니다. 이 작업은 보안 분석가에 의해 수행되며, 필요한 경우 추가 정보 수집과 검증을 진행할 수 있습니다.
- 대응 : 보안 사건에 대한 적절한 대응 조치를 계획하고 수행합니다. 대응은 보안 정책과 절차에 따라 이루어지며, 침입 차단, 증거 수집, 시스템 복구 등을 포함할 수 있습니다.
- 사건 보고 : 보안 사건에 대한 보고서를 작성하고 문서화합니다. 보고서는 관련 당국, 상위 관리 및 법률 요구 사항을 준수하기 위한 목적으로 사용됩니다.
보안관제의 발전
오늘날 많은 산업 분야에서 인공지능(AI)을 활용한 서비스를 제공하고 있습니다. 보안관제에서도 AI를 활용한 자동화된 솔루션이 최근 활용되고 있습니다. 자동화된 보안관제는 보안 이벤트와 위협을 탐지, 분석하고 대응하는 데 인공 지능 기술을 활용하는 프로세스입니다. 이러한 접근 방식은 보안 분야에서 중요한 발전을 이루고 있으며, 보안 팀이 빠르게 반응하고 복잡한 보안 환경을 다루는 데 효과적입니다.
AI 기반으로 하는 보안관제 시스템은 대규모 데이터를 수집하고 이를 기반으로 기계 학습 모델을 훈련시킵니다. 이러한 기계 학습 모델은 정상적인 활동과 이상 징후를 구별하고, 알려진 위험 패턴을 탐지하는 데 사용됩니다.
또한, 실시간으로 정보 시스템 및 네트워크 활동을 모니터링하며, 이상 징후와 악성 활동을 탐지합니다. 위협 지능 데이터베이스를 활용해 최신 보안 위협과 새로운 공격 패턴에 대비가 가능합니다. 여기에 머신러닝 알고리즘은 로그 및 이벤트 데이터를 분석하고, 비정상적인 패턴을 식별하여 경고 알람을 수행합니다. 위기 대응 과정에서도 자동화된 시스템이 위협을 탐지한 후 자동으로 대응 조치를 취할 수 있습니다. AI 기반의 시스템이 자체 학습 및 개선 능력을 가지며, 새로운 데이터와 경험을 토대로 모델을 지속적으로 향상시킵니다. 이를 통해 시스템은 시간이 지남에 따라 더욱 정확한 탐지와 대응 능력을 개발합니다.
결과적으로 자동화된 보안 관제는 보안 이벤트를 빠르게 탐지하고 대응하는 데 큰 도움을 줍니다. 또한, 사람의 개입을 줄이고 반복적인 작업을 자동화함으로써 보안 팀의 효율성을 향상시키고 시스템을 실시간으로 감시할 수 있습니다. 그러나 이러한 시스템은 계획적인 설정과 모니터링이 필요하며, 실제 보안 전문가의 역할과 조화를 이루어야 합니다.
다우 IDC 보안관제 서비스
기업의 IT 시스템 운영에 필요한 최첨단 인프라와 운영 서비스를 제공하는 다우IDC는 고객들이 안정적인 인프라 환경에서 비즈니스를 할 수 있도록 보안관제 서비스를 제공하고 있습니다. 다우IDC의 보안관제는 단독 네트워크 보안 관제 서비스로 금융권 정보시스템 보안 운영 노하우를 기반으로 ▲24시간, 365일 관제 및 운영 지원 ▲네트워크 제안 ▲장기/단기 보고서 제공 ▲정보 보안 시스템 구축 등의 솔루션을 제공합니다. 따라서, 보안 장비의 자체 구축과 운영이 부담이거나, 신규 네트워크 구성 시 보안 환경 구축이 필요한 경우 및 24시간 전문인력을 통하 보안이 필요한 고객들에게 적합합니다.
보안은 기업의 비즈니스 연속성 유지에 필수적인 부분입니다. 모든 영역에서 네트워크 기반으로 운영되고 있는 오늘날, 보안관제는 조직의 데이터와 자산을 보호하며 무단 침입과 손상을 방지합니다. 보안관제의 중요성에 대한 기업들의 인식도 높아지면서 AI, 빅데이터를 적용한 자동화된 보안관제 기술도 최근 도입되고 있는 추세입니다. 하지만
사이버 공격 기술 역시 진화1하고 있기 때문에 지속적인 역량 개발, 혁신적인 기술 도입, 효과적인 프로세스 개선, 투자의 최적화, 협업 및 정보 공유 등 꾸준한 발전과 고민이 필요합니다.
세줄 요약
- 보안관제는 조직의 정보 시스템과 네트워크 보안을 모니터링하고 관리하는 조직으로 보안 이벤트 및 위협을 식별하고 대응하는 역할을 수행하여 조직의 정보 자산을 보호하는 일련의 과정
- 인프라 및 네트워크 제공 서비스 기업들은 인프라 관리까지 수행하는 통합관제 서비스를 제공함
- 기술의 고도화로 보안관제도 인공지능을 활용한 자동화된 보안관제가 최근 도입되고 있음
해당 콘텐츠는 저작권법에 의해 보호받는 저작물로 다우기술에 저작권이 있습니다.
해당 콘텐츠는 사전 동의없이 2차 가공 및 영리적인 이용을 금하고 있습니다.
Featured images via gettyimages
References
1. [보안칼럼]보안관제 서비스의 중요성, 전자신문, 2022.04.12
