Embed Size (px)
Citation preview
전사적전사적 통합보안관리통합보안관리 시스템시스템 구축방법구축방법((Enterprise Security Management system)Enterprise Security Management system)
2
목차
1. 회사소개
2. 배경및필요성
3. ‘통합보안관리’(ESM)의정의
4. ESM 기술동향
5. Real-time Correlation
6. 공격(위협) 수준평가방법
7. 구축사례
8. ESM –기대효과
3
1. 회사소개
보안관리아웃소싱
실시간탐지/대응
정보 자산의위험평가
관리체계현황분석/
문서화
SPiDER-1SpiderTM
BSPiCE(BS7799)
HUSKY서비스
최고의정보보안관리
전문기업
보안 정보공유/분석
보안교육/취약점 분석
4
2. 배경 및 필요성
“우리는방화벽, IDS 를모두도입한상태이니보안상아무런문제가없을것이다.”
보안은도입보다는관리와효과적인운영이더중요합니다.
잘못된방화벽설정관리한계를넘어간방화벽수
잘못된방화벽설정관리한계를넘어간방화벽수
방화벽과 IDS 를믿고보안설정에소홀히해둔 UNIX, NT 서버
를믿방화벽과 IDS 고보안설정에소홀히해둔 UNIX, NT 서버
IDS 의오판관리한계를넘어간 IDS 수
IDS 의오판관리한계를넘어간 IDS 수
5
Internal misuse/attacks내부인에의한공격
Open ports (DNS, WWW, SMTP…)필수적인서비스를위하여 open을해야만하는서비스들
• Firewall 한계성
▶
▶
▶
2. 배경 및 필요성
Inherent limitations (Firewall is not IDS)설정된보안정책에의해접속을통제할따름이며침입종류를
능동적으로감지하여차단할수없다
Configuration errors (human errors)운영상의실수로접속을허가하여침입에악용되는경우가
빈번히발생
▶
6
2. 배경 및 필요성
• 침입탐지(IDS) 한계성(100군데 공군기지 / 2주간 / 2백만 건의 침해탐지 )
(100군데 공군기지 / 2주간 / 2백만 건의 침해탐지 )
수작업 검토Too many false alarms (AFIWC case)▶ 수작업 검토
만2천건의 의심스러운 활동만2천건의 의심스러운 활동IDS evasive methods (shell code, CGI scanners)▶
전문가 검토전문가 검토
Inherent limitations (fragrouter, SeolMa)▶
4건의 실제공격4건의 실제공격
Configuration errors (human errors)▶※ AFIWC(Air Force Information Warfare
Center) case 2000’ 자료 참고
7
3. 통합보안관리의 정의
Attack
Early Warning IncidentAttack assessment/
Analysis
Host Profile/Forensics
Black List Early Warning
지속적이고 상시적인 위험관리(Risk Management) 활동지속적이고 상시적인 위험관리(Risk Management) 활동
통합보안관리란?통합보안관리란?
8
3. 통합보안관리의 정의
대응책구현
보안단위제품
통합보안관리
CERT운영
준수평가
보안정책
위험분석
위험평가
비용효과분석
위험시나리오
대응책선택
• IT 보안관리 모델에있어서의 ESM 위치
9
3. 통합보안관리의 정의
위험관리 (Risk Management)의 예
- 주요 IT 자산의 프로파일 관리화
- 주요 자산 평가에 따른 실시간 분석/추적 및 침해대응 시스템 구축
* 위험관리의 대상은 보안장비가 아니라 보안장비에 의해 보호받는 서비스 시스템 입니다.
예를 들어 외부에서 내부의 시스템으로 파일전송프로토콜(ftp)을 사용하여 접속을 시도하는 경우입니다. 외부 주소(211.45.162.58)에서 내부 주소(211.45.162.86)으로 접속을 시도하였을 때 침입탐지 이벤트로그는 <그림 1>과 같이 나타납니다.
외부 출발지 주소
내부 목적지 주소
사용된 내용 (ftp)
<그림 1> 침입탐지 이벤트 로그 예
10
3. 통합보안관리의 정의
▶ 위험관리의예 (계속)
접속을 시도한 내용(ftp)
외부 출발지주소
내부 목적지주소
접속시도결과(허용)
<그림 2> 침입차단 시스템 이벤트 로그 예
11
3. 통합보안관리의 정의
▶ 위험관리의예 (계속)
<그림 2>에서와 같이 내부 목적지 주소의 시스템으로 접속이 시도된 결과 허용된 것을 확인할 수있습니다. 이러한 결과는 네트워크 전체의 침입차단 여부를 결정하는 과정에서는 허용된 것을확인할 수 있지만 실제 내부 목적지 시스템(211.45.162.86)에서의 접속결과 및 접속 후 상황에대해서는 알 수 없습니다.예를 들면 파일전송프로토콜(ftp)로 접속하는 사용자 아이디와 패스워드가 시스템에서 인증하는과정에서 실패 또는 성공할 수 있기 때문입니다.
이에대한 결과를 확인하기 위해서는 내부 목적지 시스템(211.45.162.86)의 시스템 이벤트 로그를추적할 필요가 있습니다.
다음의 <그림 3>에서와 같이 이에 대한 최종 결과를 확인할 수 있습니다.
#/var/adm> cat lastguest ftp 211.45.162.58 Mon Jul 30 14:05 - 14:06 (00:01)root pts/7 gamma Mon Jul 30 14:17 still logged in
접속한 사용자아이디
접속한 외부주소 접속한 시간
<그림 3> 시스템 이벤트 로그의 예
즉, 외부주소(211.45.162.58)에서 내부주소(211.45.162.86)로 “guest” 라는 사용자 아이디를사용하여 파일전송프로토콜(ftp)을 1분간 사용한 것을 확인할 수 있습니다.
12
3. 통합보안관리의 정의
Network DeviceSecurity Event
Firewall SecurityEvent IDS Security
Event
Server SecurityEvent
Application SecurityEvent
Desktop SecurityEvent
Role-baseAdministration
Escalation & Automation
Real-Time Event Correlation & Analysis
단위 업무보안관리자
전사보안
ESM SYSTEM
• 통합보안관리흐름도
13
3. 통합보안관리의 정의
• 통합보안관리단계별구축모델
Gathering/Inputting
Event Monitoring&Analysis
ResponseManagement
이상징후 탐지의즉시성
정확한 분석과대응책 제시
보안 Event증거 확보 및 분류
정확한 실시간Event
Collection
필수 보안 Event로 축약
유용한 정보만수집
IT Enterprise Security Monitoring & Management
보안 Event와대응결과
자동 Reporting
조기 경보 체계구축
경보전파 및 공지
14
4. ESM 기술동향
User & Policy ManagementUser & Policy Management
▶보안또는관리정책에따른사용자및 Access 관리중심▶인증또는 Single Sign-On의기능을포함▶초기 ESM 의측면이많이반영되어시스템관리적측면이강함
Vulnerability & Threat AssessmentVulnerability & Threat Assessment
▶네트워크및시스템의취약점, 위험요소들을분석하고모니터링하는관리도구의형태
▶제품에따라분석또는정책관리, 모니터링및경보(Alert) 등의특성지님▶최근의 ESM 주류를이룸▶기존보안제품들과의통합 (Integration)이활발히진행
15
4. ESM 기술동향
• User & Policy Management 제품군
사용자 / password 관리, File Access / Attribute, Login 등 호스트 기반의취약점 점검 및 Repotring
Enterprise Security ManagerAxent
대형 사업장에 적합하도록 설계(100,000 이상의 사용자)
Security Administration Manager (SAM)
Schumann Security Software
바이오메트릭, 스마트카드 등 지원AccessMaster Single Sign-On
Single Sign-On을 위한 각종 기능 제공
AccessMaster Security PolicyBull Soft
사용자관리, 인증, 접근통제, 바이러스, 암호화 등 제공
eTrustCA
많은 Platform과 Application 지원CONTROL-SABMC Software주 요 특 징제 품 명개 발 사
16
4. ESM 기술동향
• Vulnerability & Threat Assessment 제품군
정책설정, 모니터링, 경보 및 분석 등
보안 통합 관리SPiDER-1IGLOO Security
통합 이벤트 분석/관리e-sentineleSecurity통합보안 정보 관리netForensicsnetForensics
보안정책에 설정 및 이에 따른 AuditNetwork Security ManagerIntellitactics
OPSEC 기반의 자사 침입차단, 침입탐지 등 통합관리
Provider-1CheckPoint
주 요 특 징제 품 명개 발 사
17
4. ESM 기술동향
정보의 공유와 분석을 통하여 상시 전사적 위험(위기)관리 체계 구축
기술적기술적 관점에서관점에서 관리체계적관리체계적 관점으로관점으로 이동이동 (1.25 (1.25 사태에서사태에서 극명하게극명하게 증명됨증명됨))
단위 보안제품위주
통합보안관리체계
정보공유/분석/전파체계
완성도
완성도
주요내용
주요내용
0%
100%
• 요구 기능별 보안 제품 전문화
• 기능별 제품예
FirewallIDSOthers
• 제품별 전문화로 관리의 어려움
• 보안 정보(이벤트)간 연계분석
• 상관관계 분석
• 분석결과의 전파와 대응부분약점
• Data Mining 등을 통한 정보상관분석
• 침해사고 분석 시스템(Computer Forensics)
• 사고 예방기능 강화
• 전파 및 대응 프로세스 강화
18
4. ESM 기술동향
• Interface 표준화방향
▶해외동향
- OPSEC(Open Platform for Security) : Check Point 사의표준화기구. LEA, ELA, SAM, CVP, OMI 등
- IAP (Intrusion Alert Protocol)- Active Security : Network Associates
▶국내동향
- ESM API 표준화 : 인터넷보안기술포럼(ISTF) –정보통신부적용구현- SAINT : 국내업체간컨소시엄-기타
* 상호연동 (Integration) : Firewall과 IDS간의연동
19
4. ESM 기술동향
• ESM 관리대상
▶ Network 장비 : Router, Switch ▶ System▶ Firewall▶ Intrusion Detection System(IDS) ▶ Access Control▶ Anti-Virus▶ VPN ▶ Scanner
20
4. ESM 기술동향
• Normalization / Rule base event collection. 각각의 Event 정규화. Filtering 조건에의한 Event 수집
HeartbeatConnect
Source Node
User
Service
AdditionalData
FWMEF-Message
CreateTime
Sensor
Classification
CreateTime
AdditionalData
Sensor
Target Node
User
Service
<침입차단시스템 로그의 표준 예>
21
4. ESM 기술동향
• Risk Classification Methodology. 각보안제품별탐지패턴분석. 탐지된위험/취약점에대한분류방법론. 시스템에따른위험도의설정기준정립
<침입탐지 유형 분류의 예>
22
4. ESM 기술동향
“ESM은 Tool이 아니라 컨텐츠로 진화하고 있다.”“ESM은 Tool이 아니라 컨텐츠로 진화하고 있다.”
보안관리자
보안이벤트수집관리
통합보안관리시스템
외부 전문가 자문이벤트DB
위협/사건 취약성DB
외부 분석 자료 활용
이상 징후 관련 이벤트 탐지
사용자
예/경보발령
물리적보안 관리
IDS
대응 관리
내부망PC보안
Firewall
23
5. Real-Time Correlation
Correlation 이란 ?Correlation 이란 ?
▶서로다른종류의 Device Event 간의상호연관성분석▶같은종류의여러 Device Event 간의상호연관성분석▶한 Device Event 내의 발생하는패턴또는 연관성분석
Internet
침입경로/공격수법/알려진 패턴 등
24
5. Real-Time Correlation
Correlation 수행시점에 따른 분류Correlation 수행시점에 따른 분류
▶ Real-Time Correlation▶ Near Real-time Correlation ▶ Batch Correlation주) 분류 기준 : 실시간으로 수집되는 이벤트가 DB(또는 File)로 변환되는 과정의 어느 시점에 Correlation이
이루어지는가에 따라 분류 (붉은색이 SPiDER-1의 유형)
Correlation 수행주체에 따른 분류Correlation 수행주체에 따른 분류
▶ Centralized Correlation ▶ Distributed Correlation주) 분류 기준 : Correlation을 수행하는 물리적인 주체에 따라 분류 (붉은색이 SPiDER-1의 유형)
25
5. Real-Time Correlation
Real Time Correlation 의 한계적 요소
성능(Performance)성능성능((Performance)Performance)- 처리성능 저하를 방지하기위해 어떤 알고리즘을 적용하는가? - Correlation을 위해 필요한 Resource는?
- 처리성능 저하를 방지하기위해 어떤 알고리즘을 적용하는가? - Correlation을 위해 필요한 Resource는?
조합 가능한 변수의 가능성조합조합 가능한가능한 변수의변수의 가능성가능성 - 조합 가능한 Correlation 변수의 갯수는?- 조합 가능한 Correlation 변수의 갯수는?
시나리오의 설정 가능성시나리오의시나리오의 설정설정 가능성가능성 - 시나리오에 따른 Correlation Rule의 생성이 가능한가?(IDS에서 불법적인 접근이 발견되고, 해당 시스템에 접근이허용되고, 그 시간대에 주요 파일이 변조된 경우의 탐지)
- 시나리오에 따른 Correlation Rule의 생성이 가능한가?(IDS에서 불법적인 접근이 발견되고, 해당 시스템에 접근이허용되고, 그 시간대에 주요 파일이 변조된 경우의 탐지)
결과의 유용성결과의결과의 유용성유용성 - Correlation 결과는 유용한가?- 또 다른 False positive를 양산하지는 않는가?
- Correlation 결과는 유용한가?- 또 다른 False positive를 양산하지는 않는가?
주요주요 항목항목 Check ListCheck List
26
5. Real-Time Correlation
Single Level Correlation
▶한 Device Event 내의 발생하는패턴또는 연관성분석- 특정 패턴에 의한 분석, 임계치 설정에 따른 분석 가능
- Correlation의 필수 항목은 기간(Duration)과 발생횟수(Count)
Multi Level Correlation
▶서로다른종류의 Device Event 간의상호연관성분석- 이기종 Device 간의 관계적 요소 분석
- 발생순서에 따른 인과적 요소 분석
▶같은종류의여러 Device Event 간의상호연관성분석- 동종 Device 간의 동시적, 통계적 요소 분석
- 발생성향을 통한 이상징후 탐지 분석
27
5. Real-Time Correlation
Anti-Virus
System Resource
Firewall
IDS
System Event
File Integrity
관계적요소
Source IP,Dest IP,Port
인과적요소
Date,Duration시나리오
통계적요소
Date, 요일, 시간대
Access Control
TypeType
ActionAction
Log-on/offLog-on/off User right changeUser right change ftp ftp System System Application Application
Status Status
Virus List Virus List
Status Status
CPU CPU Memory Memory Disk Disk Process Process Network (Inbound)
Network (Inbound) (Ou
Networktbound) Ban
Network(Outbound)
Totaldwidth
TotalBandwidth Session Session
Accept, Drop, Close, NAT, Proxy, Exchange, Encrypt, Decrypt, Error, Warning, Information
Success, Fail, Logoff User-.User, User->Root Conn, Discon Error, Warning, Information
Threshold, Duration, Count
Virus Name Lists
Create, Delete, Update
Clean files only,cLean/treated files only, Keep infected files, Delete infected files, Remediless virus
CategoryCategory Priority Priority Signature Signature
Information Gathering,Intrusion Attack,Denial of Service,Others
High, Medium, Low, InformationVulnerabilities Probing,
Access Attempts 등12가지 분류
Signature Lists
StatusStatusInvaild Password, Access Denied, Enable Account, Disable Account, Update Fail, Logout,Start/Shutdown, Permit, Update success, Trace, Setuid changed, Insufficient Auth
28
5. Real-Time Correlation
▶ Single Level Correlation
Internet
통합보안관제시스템
관제용 콘솔
보안관제센터
DMZ
VIRUS방역시스템로그/Alert
WWW
DNS
주요 서버군
Local Network
A 지사
NetworkB 지사
Network
라우터로그
방화벽로그
IDS로그/Alert
시스템 로그
각 단위 Device별로 발생 패턴 및이상징후 분석
Agent
29
5. Real-Time Correlation
▶ Multiple Level Correlation
Internet
ESMManager
Console
보안관제센터
DMZ
VIRUS방역시스템
로그
WWW
DNS
주요 서버군
Local Network
A 지사
NetworkB 지사
Network
라우터로그
방화벽로그
IDS로그
시스템 로그
1
2
3 이기종 Device간의인과적 요소 분석(번호는 연관되는 순서)
동종 Device간의통계적 요소 분석(발생순서는 무관함)
Agent
30
6. 공격(위협)수준 평가 방법
Definition
상호독립적으로수집된정보를분석하여포괄적인위협의수준을
판단해내는기술(정량적인수치로변환하는기술) * EMERALD (Event Monitoring Enabling Response to Anomalous Live Disturbance)
* MIRADOR : CRIM (Cooperative Module for Intrusion Detection System)
•사용되는기술
▶ Data Mining ▶ Data Fusion ▶ Dataware Housing ▶ Expert System ▶ Neural Networks
31
6. 공격(위협)수준 평가 방법
ISS
취약점점검결과, 침입탐지이벤트 Mapping 을통한공격수준평가
Riptech
-공격의심각성 (Attack Severity) -> Level 화-공격의적극성 (Attack Aggression)
TPS (Threat Prioritization System)
이벤트종합위험도= 공격의적극성 * 공격성공가능성 * 공격대상시스템가치
32
6. 공격(위협)수준 평가 방법
IGLOO 공격평가 메카니즘
공격의 평가조건 변수 (예외 공격 조건 인정)
공격(Attack)
공격(Attack) 공격의 반복성 공격의 지역성
블랙리스트 전과
유무
공격대상
(Target) 유무
공격대상
자산가치 (Asset Value)
공격평가 레벨(위험수위)의 증가
1 2 3 4 5 6 7 8 9 10
공
격
의
대
상
공격평가 레벨 (1~10 )
33
6. 공격(위협)수준 평가 방법
- 공격평가 레벨 설정 예
공격유형공격의반복성
공격의지역성
전과유무
예외로 인정되는공격들 목록
공격대상 없음
공격평가 레벨 증가
공격대상의
자산가치
34
6. 공격(위협)수준 평가 방법
- 공격수준 평가에 따른 모니터링 예
35
7. 구축사례
• 통계및분석보고서작성을위한구축사례. LG카드, 삼성카드, 대검찰청등
PC 사용자PC 보안툴설치& 구현
…
내부IDS
Mail Server
Network IDS
SPiDER-1 Manager
L4 Switch
L4 Switch Firewall-1
F/W1
PC 사용자PC 보안툴설치& 구현
…
FW2
SPiDER-1 Console
L4 Switch
Web Server
DNS Server
메일보안
36
7. 구축사례
• 실시간대응및관제를위한구축사례. 데이콤, KTF, 신한은행, 국민카드, 동부화재등
Internet Internet
고객
A AA A
내부Network
침입탐지 침입탐지
A
A A
A A
A
그룹웨어서버
Cache서버
침입탐지
모니터링
바이러스월Mail/DNS서버그룹웨어서버
가정
주요 업무 서버
침입탐지
A
직원용인터넷
L4L4
L4L4
전단방화벽
후단방화벽
Router Router 전단방화벽
후단방화벽
통합보안관제시스템
관제용 콘솔
보안관제센터
CM
PSTNRAS
고객
37
7. 구축사례
• 침해대응및정보공유시스템을위한구축사례
. KISA, 금융 ISAC 등
사고접수- 전화/FAX- E-Mail- Homepage
사고접수,
취약성 DB 외
<정보분석/대응 LEVEL>
<정보수집/추출 LEVEL>
CERT(침해대응)
< 침해사고 공동대응 >
보고서- Homepage- E-Mail- 지침
ESM(관제)
점검도구
운영 시스템
물리적보안
보안 제품
Network ScannerSystem ScannerDistribute ScannerVirus Scanner
침입차단시스템침입탐지시스템바이러스방역
침입차단시스템침입탐지시스템가상사설망시스템해킹추적시스템EAM자원관리시스템
카드출입문홍채인식 시스템지문인식 시스템CCTV
< 정보 흐름 >
38
8. ESM - 기대 효과
정보보호 수준향상 활동
• 위험분석 결과를초보적으로 반영
• 임직원 스스로정보보호 활동 참여
• 위험분석, 감사지적사항 정기적 반영
• 수준향상을 위한 활동정례화 및 제도화
• 정보보호 정책 결정에참여
• 조직내 확산을 위한적극적인 지원
• 기업 내부 통제의중요 요소로 간주
• 정기적인 정보보호안건 의결
• 전담부서와 관련부서간의 유기적인업무협조
• 대외에 안전한기업이미지 부각
• 최고경영진에게정례적 업무보고
• 예상 위험에 대한정기 분석 및 평가
• 사고에 대한 법적대응 방안 연구
• 사고예방 차원의위험관리프로세스의 완성
• 예방: 위험분석을 통한투자 적절성 파악
• 손실: 비용대비효과분석의 정례화
• 예방: 투자 적절성에대한 정당성 인식
• 손실: 비용의 점진적인감소 현상 대두
• 보안도구에 의존하는경향
• 필요성은 인식하나자원 투자는 기피
• 정보보호 체계 구현의필요성 인식
• 인식제고 교육 지지
• 정보보호 전담자 선임• 사고시의 중앙 통제
부족
• 경영층에 대한보고채널 마련경영진께 보고
• 정보보호 평가 수행
• 사고 예방을 위한분석 및 해결책 모색
• 대응절차의 구현
• 예방: 보안도구중심으로 최소화된비용 투입
• 손실: 관리부실/ 분석
어려움
• 예방: 사고예방을 위한중장기 계획 수립
• 손실: 비용대비 효과분석 실시
• 정보보호 교육프로그램 시행
• 인식제고 프로그램시행
• 필요성에 대한인식부재
• 사고 발생시 원인을다른 요인으로 전가
• 사고 예방보다 사고복구에 치중
• 시스템 운영 부서의모든 책임으로 인식
• 예방보다는 손실위주의 관리로반복적인 복구 비용발생
• 조직화된 활동 및 계획
부재• 활동의 필요성에 대한
인식부재
• 전담부서의 필요성에대한 인식부재
• 시스템 관리자가임시적으로 대응
• 초보적인 사고통계수집 능력
• 전담부서에 사고 보고
성숙 단계
I. 암흑기(Uncertainty)
II. 태동기(Awakening)
IV. 성숙기(Wisdom)
V. 완성기 (Benevolence)
평가항목
III. 계몽기(Enlightenment)
• 임직원의 일부만빈번히 발생되는문제에 대한 대책의필요성 인식
경영진의이해와 자세
(Management Under-standing and
Attitude)
전담부서의상태
(Security Organization Status)
정보보호예산관리
(Security Economics)
정보보호 수준향상 활동
(Security ImprovementActions)
사고대응능력
(Incident Handling)
주) ISPM (Information Security Program Maturity Grid) : 카네기 멜론 대학의 Software Capability Maturity Model (CMM)을 바탕으로 정보보호 성숙 모델 개발
39
8. ESM - 기대 효과
. 보안관리정책/절차의정립
. 예방적보안관리체계수립
. 효율적인보안관리를통한위험감소체계정립
통합보안관리(ESM)시스템보안침입차단시스템 침입탐지시스템
통합관리연계분석
시스템접근제어
네트워크접근제어
네트워크침입탐지
위험 분석 흐름
위험수위
정책 수정
40
8. ESM - 기대효과(ROI분석)
1) 산출 기본 환경 가정
사업장 규모 : F/W, IDS, A/V 등 복수개의 보안솔루션 사용중관련 인원 : Network 및 보안 담당자 3명 기준 (간접비를 포함한 인건비 :60,000,000원/년)근무시간 : 일일 9시간 근무중 8시간 보안 관련 업무에 소요기타 : 내부 지원 담당자 1명 (인건비 : 45,000,000원/1년), 보안 및 기술지원 업무 담당
보안 담당자 일일 보안 관련 업무 소요 시간 비중 (단위:시간)
개별 통합 개별 통합
업무 소요시간 2.6 0.6 0.6 2.2 1.0 0.4 0.3 0.3
업무 비중율 32.0% 8.0% 7.0% 28.0% 12.5% 5.0% 3.8% 3.8%
실업무 소요 비중(순위) 3 4 5 6
업무 중요도(권장 순위) 2 3 6 1
신규 취약성분석 및 조치
보안기획정책 수립및 관리
기타 업무구분
4
1 2
보고서 산출모니터링/로그분석
5
““보안보안 정책정책 관리관리 및및 수립수립”” 업무가업무가 가장가장 중요함에도중요함에도 불구하고불구하고 실업무실업무 환경에서의환경에서의 보안보안 담당자들은담당자들은
대부분의대부분의 시간을시간을 중요도중요도 떨어지는떨어지는 업무에업무에 소요하고소요하고 있음있음. .
41
8. ESM - 기대효과(ROI분석)
2) 종합 현황 분석 (기본 가정에 근거)
업무별 소요 비용 산출 및 시간 증감치(단위:천원, 시간)
구분 ESM 前 ESM 後 증감치
소요 금액(年) 소요 시간(日) 소요 금액(年) 소요 시간(日) 증감금액
보안업무 개별 모니터링/로그분석 87,771 2.6 26,331 0.8 -61,440
통합 모니터링/로그분석 21,943 0.6 6,583 0.2 -15,360
개별 보고서 산출 19,200 0.6 5,760 0.2 -13,440
통합 보고서 산출 76,800 2.2 23,040 0.7 -53,760
신규 취약성 분석 및 조치 34,286 1.0 10,286 0.3 -24,000
보안기획 13,714 0.4 23,314
기타 업무 10,286 0.3 17,486
정책 관리 및 수립 10,286 0.3 30,857
IT경비 ESM 인프라 구축 비용 400,000 400,000
42
8. ESM - 기대효과(ROI분석)
3) 종합 현황 분석 (기본 가정에 근거)
ESM 솔루션 도입후 절감할 수 있는 연간 비용은 168,000,000원
ESM 솔루션 도입후 절감할 수 있는 일일 업무 시간은 4.9 시간
ESM 솔루션 신규 도입후 손익분기점은 28.6개월
중요 기대 효과
무형적인 요소(피해 대처 시간 지연에 따른 손실, 사고로 인한 실 손실액등)의일일 피해 추정치는 “ = ((연간 예상 매출액/365)*피해 일자) + α“
총손일 추정액은 ESM 신규 도입 비용의 10배 이상 규모로 예측
ESM 도입에 따라 기존 보안 업무의 70% 비용 및 시간 절감 효과
보안 관리 업무중 가장 중요한 “보안 정책의 수립 및 관리”에 집중 가능
기존 업무의 분석 및 신규 사업 기획 수립등 미래지향적 업무에 집중 가능
