[정보보안 정책] - 정보보호 솔루션

* 목차

[1]. 정보보안 시스템 구성
[2]. 정보보안 솔루션 구분
[3]. 정보보안 솔루션 종류
[4]. 정보보안 솔루션 운영 고려사항

---

[1]. 정보보안 시스템 구성

☑️ 보안 솔루션

- 일반 기업이나 정부 공공기관 등에서 보안을 강화하기 위해 실제 사용하는 상용 소프트웨어 혹은 하드웨어 제품

- 보안 정책에 따른 기술적 보호 조치 수행

 

[2]. 정보보안 솔루션 구분

구분	정의 및 목적	기술 구성 요소
네트워크 보안	- 인가되지 않은 노출, 변경, 파괴로부터 네트워크 서비스·정보 보호 - 암호화, 전자서명, 접근통제 등 보안 메커니즘 활용한 정보보안 시스템 구축	- 방화벽 - IDS (침입 탐지 시스템) - IPS (침입 방지 시스템) - DDoS 대응 - WAF (웹 방화벽) - VPN (가상 사설망) - NAC (접근 제어) - WIPS (무선 침입 방지 시스템) - 망분리 보안
시스템 보안 및 보안 관리	- 비인가 접근으로부터 네트워크, 시스템, 응용 서비스 보호 - 보안 이벤트 보고, 암호키 분배 제어, 접근 권한 관리 등 제공 - 다양한 보안 솔루션의 통합 플랫폼 운영	- 서버 접근 통제 - 취약점 분석 시스템 - PMS (패치 관리 시스템) - TMS (위협 관리 시스템) - SIEM (통합 보안 관제 시스템)
엔드포인트 보안	- 엔드포인트(IT기기 및 단말)의 보안 수준을 향상시켜 외부 공격 대응 - 컴퓨터, 노트북, 스마트폰, IoT 단말 포함	- 악성코드/랜섬웨어 대응 - EDR (엔드포인트 위협 탐지 및 대응) - 모바일 단말 보안
데이터 보안	- 디지털 콘텐츠 불법 복제·유통 방지 기술적·관리적 수단 제공 - 내부 기밀 정보 유출 탐지 및 차단	- DB 보안/DB 암호화 - DLP (데이터 유출 방지) - DRM (디지털 저작권 관리) - 문서 중앙화 - 보안 USB - 출력물 보안 - 메일 보안 - 개인정보 비식별화 - 개인정보 접속 기록 관리

 

[3]. 정보보안 솔루션 종류

☑️ 방화벽

• 미리 정해진 정책(규칙)에 의해 허용하거나 차단하는 소프트웨어 혹은 하드웨어 기반 솔루션
• IP주소와 포트를 기준으로 신뢰하지 않는 외부의 공격으로부터 내부 보호
• 서비스를 위해 열어놓은 포트를 제외한 나머지 포트 차단, 접근 제어 기능 제공
• 감사 로그 및 운영 로그 유지 필요
• 정상적인 트래픽만 허용하여 네트워크 상의 보안 사고나 외부의 불법적인 트래픽 차단
  ex) port 80 open, 나머지 포트로 접근하는 경우 차단
       허용된 IP 주소(211.10.5.1~211.10.10.100) 외 접속 차단
       외부 IP 주소에서 내부 웹 서버 IP 주소로 포트 80(웹 서비스)을 사용하여 접속
       내부 IP 주소에서 내부 서버 IP 주소로 포트 22(SSH 서비스)를 사용하여 접속
       외부 IP 주소에서 내부 서버 IP 주소로 포트 22를 사용하여 접속할 경우, 차단

-  방화벽 규칙 예

	Source IP 주소	Source 포트	Destination IP 주소	Destination 포트	정책
1	Any	Any	Any	Any	차단
2	Any	Any	192.168.0.0 ~ 192.168.255.255	80	허용
3	192.168.0.0 ~ 192.168.255.255	Any	127.0.0.1	25	허용

 

☑️ 침입 탐지 시스템 (IDS)

• 네트워크를 통한 공격을 탐지하기 위한 장비
• 내부 네트워크에 대한 해킹이나 악성코드 활동을 탐지하며, 데이터 수집, 데이터 필터링과 축약, 침입 탐지, 책임 추적 및 대응 기능 제공
• 데이터 수집, 정제, 분석 및 탐지, 결과 보고 절차에 따라 동작
• 침입 시도 탐지 시, 관리자 알림 제공 (직접적인 차단 기능 미제공)
• 전달되는 패킷 내용을 분석하여 정상적인 요청인지 판단
• 예) 스캐닝: 시스템의 상태와 취약점을 찾고자 여러 패킷을 보내고 그에 대한 응답을 수집
• DoS, DDoS: 가용성을 해치고자 선내는 일련의 공격
• 침투 공격: 허가받지 않은 방법을 동원하여 시스템 자원과 권한 획득으로 데이터 변조 시도

- 탐지 기법

	오용탐지	이상탐지
방법	패턴 매칭 시그니처, 지식 기반	임계치 초과 통계, 행위 기반
장점	오탐률 낮음	새로운 공격 탐지 가능
단점	새로운 공격 탐지 불가 시그니처 업데이트 필요	오탐률 높음 임계치 설정이 어려움

 

☑️ 침입 방지 시스템 (IPS)

• 네트워크 패킷을 분석하여 공격 시그니처를 찾아내 비정상적인 트래픽을 제어
• 수동적인 방어 개념의 방화벽이나 침입탐지시스템(IDS)과 달리 침입 경고 이전에 공격을 중단
• 서버의 비정상적인 행동에 따른 정보 유출을 자동 탐지하여 차단함으로써 인가자의 비정상 행위를 통제
• 시스템 및 네트워크 자원에 대한 다양한 형태의 침입 행위를 실시간 탐지 및 분석 후 비정상으로 판단된 패킷을 차단해 네트워크 위협을 사전에 방지

- Firewall, IDS, IPS 비교

	Firewall	IDS	IPS
패킷 차단	O	X	O
패킷 내용 분석	X	O	O
오용 탐지	X	O	O
오용 차단	X	X	O
이상 탐지	X	O	O
이상 차단	X	X	O

☑️ DDoS 대응

• 대량의 트래픽을 전송해 시스템을 마비시키는 DDoS 공격 차단
• 대량으로 유입되는 트래픽을 신속하게 분석해 유해 트래픽 여부를 판단
• 유해 트래픽을 필터링하여 보호 대상 네트워크의 가용성과 안정성, 서비스의 연속성을 보장

☑️ 웹 방화벽 (WAF)

• 일반적인 방화벽과 달리 웹 어플리케이션의 특성을 고려하여 설계
• HTTP/HTTPS 프로토콜을 분석하여 웹 어플리케이션에서 발생할 수 있는 보안 위협을 탐지하고 차단

☑️ 가상 사설망 (VPN)

• Internet과 같은 Public Network를 이용하여 Private Network 구성
• 회사 내부 데이터 통신의 경우, 인터넷과 구별된 별도의 임대 회선을 사용해 전용선으로 통신(고비용)
• 기존의 전용선을 이용한 Private Network에 비해 훨씬 저렴한 비용으로 연결성이 뛰어난 안전한 망 구성
• 인터넷망 또는 공중망을 사용하여 둘 이상의 네트워크를 안전하게 연결하기 위해 가상의 터널을 만들어 암호화된 데이터를 전송할 수 있도록 만든 네트워크
• PPTP, L2TF, IPSec, SSL 등의 암호화 프로토콜을 사용하여 기밀성 보장
• 주로 넓은 지역에 분포된 지사들 간의 인트라넷 이용, 원격 근무 사용자들의 안전한 원격접속에 활용
• ex) 회사 외부에서 VPN 에이전트가 설치된 PC를 통해 사용자 인증을 거친 후, 회사 내부 시스템 접속

☑️ 네트워크 접근 제어 (NAC)

• 엔드포인트 단말기가 회사 내부 네트워크에 접속을 시도할 때, 제어 및 통제
• 네트워크 내에서 사용자 및 기기들의 접근 통제
• 허가되지 않은 기기 또는 악성코드에 감염된 PC, 모바일 단말기 등이 회사 네트워크에 접속되는 것을 원천적으로 차단하여 시스템 전체를 보호
• 사용자 인증 수행 후, 무결성 점검
• 최신 패치 설치 강제화 기능 제공

☑️ 무선 침입 방지 시스템 (WIPS)

• 무선(전파)을 이용하는 통신 네트워크상에서의 위협으로부터 보호
• 인증, 키 교환 및 데이터 암호화 등을 통해 구현

☑️ 망분리 보안

• 조직에서 사용하는 네트워크를 내부망과 외부망으로 구분하고 각 망을 격리함으로써 외부 위협으로부터 내부망 보호
• 한쪽 방향으로만 데이터를 전달할 수 있게 함으로써 보안 유지
• 망간 자료 전송 솔루션, 웹 게이트웨이 등이 해당

☑️ 모바일 단말 보안

• 모바일 서비스(모바일 오피스, 모바일 뱅킹, 모바일 전자화폐 등)에서 발생할 수 있는 위협(바이러스 공격, 개인정보 유출 등)으로부터 보호
• 무선 컴퓨팅과 관련된 위협으로부터 스마트폰, 태블릿, 랩톱 등의 무선 장치를 보호
• 악성 앱이 설치되는 것을 방지하는 솔루션이나 설치되어 있는 앱을 위·변조하여 위협을 가하는 공격에 대한 방어를 하는 위·변조 방지 솔루션 등이 해당

☑️ 엔드포인트 위협 탐지 및 대응

• 컴퓨터와 모바일, 서버 등 단말에서 발생하는 악성코드, 랜섬웨어, 바이러스를 실시간으로 감지하고 이를 분석 및 대응하여 피해 확산 예방
• 기존 백신이 A위협, B위협을 각각 모니터링했다면, EDR은 통합적으로 이를 탐지하고 관리할 수 있는 역할까지 하게 돼 보안 사각지대 감소
• 최근 랜섬웨어 등 신종 보안 위협이 갈수록 진화하는 추세이며, 정해진 사이버 공격 패턴만으로는 이를 감지하기가 쉽지 않아 종합적인 대응을 수 있는 EDR 필요성 증대

☑️ 서버 접근 통제

• 네트워크, 서버, IT 인프라 운영 시스템으로의 모든 접속과 작업을 통제하고 관리
• 작업 모니터링, 로그 기록 저장 등을 통해 시스템 운영 및 관리
• 시스템 접속 권한 제한을 통해 권한 내 정보 접근 허용

☑️ 취약점 분석 시스템

• 악성코드 민감도, 안전하지 않은 소프트웨어 설정, 열린 포트 같은 컴퓨터 시스템의 알려진 취약점들을 분석하기 위해 사용

☑️ 패치 관리 시스템

• 시스템의 보안 취약점을 보완하기 위하여 배포되는 보안 패치 파일을 원격에서 자동으로 설치하여 관리
• 보안 패치의 미적용으로 인해 발생할 수 있는 각종 피해를 예방
• 패치 설치를 권고하여 설치를 유도하거나, 필요 시 강제 설치를 통해 관리

☑️ 악성코드/랜섬웨어 대응

• 바이러스, 웜, 트로이목마, 스파이웨어와 같은 독립적인 실행 파일(악성코드)이나 스크립트, 콘텐츠 등 다양한 형태로 제작되는 악성 소프트웨어를 통해 발생할 수 있는 위협으로부터 시스템을 보호
• 사용자 PC의 자료를 인질로 몸값을 요구하는 악성코드인 랜섬웨어로부터 데이터를 보호하고 복구하는 기능이 포함된 보안 솔루션

 

[4]. 정보보안 솔루션 운영 고려사항

1. 관련 법규 준거성 확보를 위해 통제 항목 설정

2. 로그 보관 및 설정 변경 이력에 대한 증적 유지

3. 장애 혹은 보안사고 발생시 대응 절차 마련