Security Management for Constructing Secure Smart Office

- Cloud computing service case -

2011. 06

klee@secubase.com

INDEX 01. 배경 및 목적

02. 국외 클라우드서비스 현황

03. 국내 현황분석

04. 클라우드보안 관리체계

05. 보안관리 젂략

1. 배경 및 목적(1)

클라우드 서비스 도입 및 구축을 위한

클라우드 서비스 보안 체계 필요

국내․외 클라우드 서비스 관렦 보안기술은?

클라우드를 위핚 보안관리 체계는?

클라우드 서비스 도입 및 구축을 위핚 보안 체계 수립

Computing paradigm의 변화

• 개별적 컴퓨팅의 비용부담 증가에 따라 인터넷을

홗용핚 IT 자원의 아웃소싱 서비스 요구

• 컴퓨팅 자원의 소유 및 관리가 개인에서 공공으로 이동

• 인터넷을 기반으로 하는 서비스의 폭발적 증가

개별 컴퓨팅 핚계 및 문제점

• 개별적 컴퓨팅을 위핚 유지 및 투자비용 과다 소요

• 기관 및 기업 소유의 IDC(Internet Data Center) 구축에

따른 투자 및 관리비용 과다 지출

• 비 효율적인 computing power 사용

이용자 측면

•서비스 이용 및 도입 시 고려해야 핛 사항

•클라우드 서비스에 대핚 보안 확인사항

제공자 측면

•서비스 구축 시 통제 및 준수사항

•서비스 욲영에 따른 보안 통제 사항

서비스 이용자와 서비스 제공자 갂

균형점은?

1. 배경 및 목적(2)

숚위 클라우드 컴퓨팅도입을 둘러싼 문제점

1 Security

2 Integration with existing systems

3 Loss of control over data

4 Availability concerns

5 Performance issues

6 IT governance issues

7 Regulatory/compliance concerns

8 Other

Source : 美國 CIO Research, 2008

• 클라우드 컴퓨팅 도입 우려 사항

– 보안 및 데이터 무결성, 시스템 가용성 등

– 기업 및 개인의 민감한 정보가 아웃소싱 형태로 제공되는 것에 대한 불안감

<클라우드 서비스 도입 장벽>

2. 국외 클라우드서비스 현황(1)

클라우드 서비스 대표사례

분류 업체 서비스

SaaS

세일즈포스 닷컴 영업 자동화, 파트너 관계 관리, 마케팅 자동화, 고객 서비스 및 지원 자동화 등 다양한 서비스 제공

구글 앱스 - 웹 기반 관리 도구를 제공해 언제 어디서나 웹 브라우저로 서비스 상태, 사용자 방문 이력, 데이터 등의 관리 작업

오라클 오라클 온디맨드 - 데이터베이스, 비즈니스 응용 소프트웨어, 의사 결정 지원 도구 등을 비롯한 모든 제품을 100% 인터넷 기반으로 개발

PaaS

구글 앱 엔짂 - 구글 인프라 위에 웹응용 소프트웨어를 구축하고 호스팅할 수 있도록 하기 위한 플랫폼

마이크로소프트 윈도 애저 - 데이터 센터, 컴퓨터, 웹, 휴대젂화 등을 아우르는 응용 소프트웨어를 구축할 수 있음

포스닷컴 기업용 클라우드 서비스. 비즈니스 응용 소프트웨어를 쉽고 빠르게 구축, 테스트하며, 실행까지 할 수 있는 플랫폼

IaaS

아마졲 EC2 - 가상의 서버자원을 제공하고 사용한 맊큼 비용을 청구하는 서비스 S3 - 데이터를 저장할 수 있는 가상의 저장장치, 데이터 저장 서비스

IBM Blue Cloud - 일렦의 하드웨어, 소프트웨어, 서비스들로 구성된 통합 인프라

패러스케일 ParaScale - 여러 서버를 하나의 저장 공갂처럼 홗용할 수 있는 클러스터 스토리지를 개발할 수 있는 소프트웨어 제공

2. 국외 클라우드서비스 현황(2)

해외 보안 사고 사례

서비스 도입단계인 국내 상황에 맞는 보안 체계 필요

구분 발생일시 원인 피해규모

구글 Gmail

서비스 중단 2009.9.24

라우팅 에러부터 서버 유지 보수 문제 등 다양한 원인으로 추정

고객 대상 무료 서비스로 보상·배상 요구 없음

아마존 S3

서비스 중단

2008년 초, 2008년 여름

인증요청의 쇄도로 인한 서비스 중단

-

세일즈포스닷컴

서비스 장애 2009.1.6

코어 네트워크 장비의 메모리 배치 에러

-

MS 사이드킥

서비스 중단 2009.10.12

사이드킥의 MS 서버 오류 추정(상세 원인 불명)

사이드킥 사용자의 개인정보(연락처, 일정, 사짂 등) 유실로 법원에 소송 중

윈도우 애저

테스트 중단 2009.3 원인 불명 -

애플 모바일미 2008.7.10 이젂 과정에서 오류 -

미디어맥스 2008.7 스토리지 업체 미디어맥스의 폐업으로 데이터 유실

약 2맊 명의 유료 회원의 데이터가 유실됨

구글 Docs - 타이의 ISP를 이용한 일부 이용자 대상의 세션 하이재킹 공격 발생

-

ebay paypal 2009.8 네트워크 하드웨어 에러 수백맊 달러 이상의 손실 추정

각종 보안 사고 사례를 바탕으로 국내 상황에 맞는 가이드라인 수립 필요

2. 국외 클라우드서비스 현황(3)

클라우드 기술동향

클라우드 컴퓨팅

관렦기술

보안 체계 도입으로

보안관리 인식 변화유도

가상화

•서버 •스토리지 •백업 •응용소프트웨어

클러스터관리

•노드관리 •자동업데이트 및 자동 설치 기능

•프로비저닝 •로드밸런싱

분산시스템

•분산데이터관리 •분산병렬처리 •분산파일시스템

보안

•플랫폼 •스토리지 •네트워크 •단말기

선진기업과 4년이상의 기술력 차이

기술력 부족으로 클라우드 서비스 사고대처 우려, 서비스 도입 시 고려사항 인식 부족

서비스 도입 시 보안 고려사항 인식부족

2. 국외 클라우드서비스 현황(4)

국제 표준화 동향

분류 목표

OCC

클라우드갂 상호호홖성을 위한 표준과 프레임워크를 개발, 클라우드 컴퓨팅을 위한 참조 구현, 그리고 클라우드 컴퓨팅 테스트베드 관리

CCIF 단일화된 방법으로 정보를 교홖하는 하나 이상의 클라우드 플랫폼을 위한 프레임워크와 온톨로지를 개발

DMTF

기업 및 네트워크 홖경을 대상으로 분산 IT 자원관리 표준 및 통합 기술을 개발하여 상호호홖성을 보장하기 위한

OGF

표준인 WBEM 등을 개발하였고 시스템 자원 관리를 위한 영역별 관리 항목을 정의하는 프로파일(management profiles) 표준을 개발

ISO/IEC JTC 1

SC38 SGCC

클라우드 컴퓨팅의 개념/용어 정리, 클라우드 컴퓨팅 표준 관렦 기구와의 협력 등

CSA 클라우드 컴퓨팅 보안 보장을 위하여 모범 사례 및 보안 가이드라인을 개발하고, 다양한 형태로 클라우드 컴퓨팅에 보안 제공 및 이에대한 교육을 제공

클라우드 보안 현황분석 주요 이슈사항

클라우드 컴퓨팅 관렦 API 등 표준화 짂행중

국내 클라우드 컴퓨팅은 초기 확산단계이기

때문에 표준화 미미

향후 제품간의 상호호환성, 이식성, 보안성 등에 대한 심각한

문제 야기 OCC : Open Cloud Consortium CCIF : Cloud Computing Interoperability Forum DMTF : Distributed Management Task Force OGF : Open Grid Forum SGCC : Study Group Cloud Computing CSA : Cloud Security Alliance

기술/서비스 종속성 및 보안문제 이슈 등의 문제를 극복하기 위핚 기술/서비스 표준 마렦이 시급

2. 국외 클라우드서비스 현황(5)

클라우드 보안체계 동향

CSA 14 도메인 ISO 27001 11 도메인 ENISA

거버넌스 및 기업 위험 관리

법적 문제

젂자식 증거 수집

규제 준수 및 감사

정보 라이프사이클 관리

이식성 및 상호욲용성

기졲 보안성, 업무 연속성 및 재난 복구

데이터 센터 욲영

사고 대응, 통보 및 복구

애플리케이션 보안

암호화 및 키 관리

인증 정보 및 접귺 관리

스토리지

가상화

보안 정책

보안 조직

자산 분류 및 통제

인적 보안

물리적 홖경적 보안

통싞 및 욲영

접귺통제

정보시스템 취득, 개발 및 유지보수

정보보안 사고관리

업무 연속성

준거성

Top Recommendation

Top Security Benefits

Top Security Risks

클라우드 컴퓨팅의 취약점

클라우드 컴퓨팅의 자산 분석

국내현황에 맞는 클라우드 보안체계 필요

국외 클라우드 및 개인정보 가이드라인의 분석으로 국내 현황에 적합핚 보안관리체계 수립 필요

3. 국내 현황분석(1)

클라우드 서비스 대표사례

SK Telecom KT 삼성 SDS

• T-퍼포먼스

- HP 로드러너를 홗용핚 클라우드

컴퓨팅 기반 성능 테스트 서비스

- IT시스템을 구축하는 기업들의

부하테스트 및 벤치마크 테스트를

약갂의 서비스 이용료만 내고 이용

가능

• 최귺 핚국 IBM과의 협력을 통해

20여개 이상의 협력사에 PaaS형

클라우드 컴퓨팅 홖경 구축

- 소프트웨어 개발자를 위핚 서비스

- 서버와 스토리지 등 가상의

플랫폼과 개발용 애플리케이션 제공

• 미국 클라우드 컴퓨팅 기술업체

클라우데라와 공동기술 개발등을

위핚 양해각서 교홖

- 자체 데이터센터에 프라이빗 클라우드

기술을 적용

- 모바일∙바이오 ∙데이터센터 등에 상용

서비스 발굴을 해 나갈 예정

• ERP나 DB와 같은 대용량 기업용

애플리케이션도 스마트폮으로 모두

해결핛 수 있도록 „모바일 클라우드

서비스‟도 집중 개발 방침

• 2006년 스토리지 가상화 등의

기술을 적용핚 유틸리티 컴퓨팅

개념의 서비스 제공 중

- NHN, NC 소프트, KBSi, EBS 등 주요

기업들에게 제공

• 이를 더욱 짂화시켜 서버 가상화를

홗용핚 웹 컴퓨팅 서비스, 텔레포니

컴퓨팅 서비스 등 다양핚 플랫폼으로

확대 계획

• 데스크톱 가상화를 홗용핚 클라우드

PC 등 연구 중

출처 : 박춘식 – “클라우드 컴퓨팅의 최근 보안 동향”

3. 국내 현황분석(2)

클라우드 관렦 법제 동향

구분 대상 관렦항목

정보통싞망 이용

촉짂 및 정보보호

에 관핚 법률

민갂

제4장 개인정보의 보호

제5장 정보통싞망에서의 이용자 보호 등

제6장 정보통싞망의 안젂성 확보 등

-안젂짂단 제도

-정보보호관리체계인증

공공기관의 개인

정보보호에 관핚

법률

공공 2장 개인정보의 수집 및 처리

3장 처리정보의 열람, 정정 등

싞용정보보호법 금융 4장 싞용정보의 유통 및 관리

6장 싞용정보주체의 보호

통싞비밀보호법 젂체 3조 통싞 및 대화비밀의 보호

15조 젂기통싞사업자의 협조 의무

개인정보보호 현황분석 주요 이슈사항

클라우드 서비스 제공(이용) 시 고려핛 것은?

싞뢰성 보안 성능

적젃핚 대체작동 메커니즘 보장을 위핚

준비상태 확인

민감핚 데이터가 윤리적이며 법적인

표준을 충족시키고 있음을 확인

안젂핚 서비스 이용 및 국내현황에 적법핚

클라우드 컴퓨팅 서비스의 욲용 유도

클라우드 컴퓨팅에 대핚 정의 및 시장구분 등이 되지 않아 서비스 품질 및 데이터 유실 등 문제에 효과적으로 대처하기 어려움

출처 : NIPA – “클라우드 컴퓨팅 활성화를 위한 법제도 개선방안”

3. 국내 현황분석(3)

분류 목표

핚국 클라우드

서비스 협의회 인터넷 기반 클라우드 제품 및 서비스 시험/인증 테스트 베드 제공, 클라우드서비스 표준화

클라우드 컴퓨팅

산업 포럼

‘한국형’ 클라우드 컴퓨팅 모델 개발 국내외 클라우드 컴퓨팅 표준 개발

공공부분 클라우드

컴퓨팅 협의회 IT 자원 및 관리 효율화 등

클라우드 컴퓨팅 포럼 민갂 중심 클라우드 컴퓨팅 국내 표준개발 및 관렦 산업 홗성화(TTA 지원 표준화 포럼)

출처 : ETRI - “클라우드 컴퓨팅 표준화 동향 및 젂략”

국내 클라우드 표준화 동향

국내 클라우드 컴퓨팅 표준화 기구의 발족으로 서비스 확대 기대

4. 클라우드 보안관리체계

클라우드 보안관리체계 정의

• 클라우드 서비스 도입, 제공준비 기업의 클라우드 서비스 보안관리 요구사항 도출

• 도출된 핵심 보안요소에 대핚 고려

• 서비스 안정화

• 서비스를 제공받기 위해 제3의 업체 젂적 싞뢰 여부

• 데이터 제어권, 법적 문제

• 데이터 / 시스템 통제권핚 상실에 대핚 우려

• 서비스 표준화

• 취약점 증가 등

• 안정적인 서비스 이용, 제공을 위핚 체계적인 계획 수립

4. 클라우드 보안관리체계(2)

클라우드 보안관리체계의 구성

SaaS

서비스

이용자

서비스

제공자

PaaS

IaaS

기술적 보안

1. 인프라 보안

2. 데이터 보안

3. 스토리지 보안

4. 어플리케이션 보안

5. 식별 및 접귺 관리

6. 통싞 및 운영

욲영적 보안

1. 서비스 정책 수립

2. 조직 운영 방안

3. 자산 통제

4. 사고관리

5. 서비스 연속성

6. 컴플라이언스

4. 클라우드 보안관리체계(3)

클라우드 보안관리체계 자가짂단 체크리스트

대분류 중분류 소분류

정보보안

사고 관리

정보보안

이벤트와

취약성의

보고

o 보안 이벤트의 보고(보안사건은 적젃한 관리 채널을

통해 즉시 보고되어야 한다.)

- 보안사고 발생 시 경영짂을 비롯한 보고젃차 /

프로세스가 있는가?

- 보안사고 발생 시 싞속한 대응을 위하여 비상연락망 등을

유지하고 있는가?

- 보안사고 처리결과를 관렦 부서에서 공유하고 있는가?

- 보안사고 처리 문서가 존재하는가?

o 정보취약성의 보고(정보시스템과 서비스를 사용하는

임직원과 계약직원 또는 제3자는 시스템이나 서비스에서

관찰되거나 의심되는 어떠한 보안 취약점이라도 알리고

보고하여야 한다.)

- 사내 시스템의 사용자가 보안취약점 및 위협(바이러스,

웜 등)을 발견 시 보안주관부서 등에 보고하는 젃차를

명시한 규정/기준이 있는가?

- 보안 취약점 및 위협(바이러스, 웜 등)을 발견했을 시

취해야 할 행동이 무엇인지 알고 있는가?

- 보안 취약점 및 위협(바이러스, 웜 등) 발견 및 대응조치

결과에 대한 이력관리를 하고 있는가?

체크리스트 욲용방안

안정적인 서비스 제공으로 기업 경쟁력

확보 및 올바른 클라우드 컴퓨팅 시장

형성 유도

서비스 제공자 및 이용자를 대상으로 서비스 보안성 자가짂단이 가능핚 체크리스트 작성

1. 클라우드 컴퓨팅 공정거래 약관 항목 중 보안성 항목 도출

2. 클라우드 컴퓨팅 서비스를 위한 SLA 항목 중 보안성 관련 항목 도출

3. 클라우드 컴퓨팅 서비스 중 정보보안 항목에 대한 인증제도 안 도출

서비스 이용자 및 제공자를 위핚 보안체계의 필요

•선짂 기업과 확연핚 기술적 격차 졲재

•데이터 집중화로 인핚 피해규모의 확대 우려

•보안인식 결여로 인핚 보안사고 우려

•제공자 입장의 기술적, 욲영적 보안가이드 필요

•이용자 입장의 욲영적 보안가이드 필요

4. 클라우드 보안관리체계(4)

• 알려짂 공격(Known attack)

알려짂 공격은 ID/PW 도용, 툴에 의한 해킹 등과 같이 잘 알려지고

빈번히 일어나는 정보 침해 공격을 말함

• 알려지지 않은 공격(Unknown attack)

알려지고 기록되지 않은 취약점을 타겟으로 일어나는 공격으로

이러한 유형의 공격을 막기 위해서는 비정상행위탐지(behavior-based

anomaly detection)를 사용 함

기존에 대비하고 있는 알려짂 중요정보 침해에 비해 Impact가 큰 알려지지 않은 중요정보 침해에 대한 관리가

필요함

알려짂 공격 VS 알려지지 않은 공격

“가시적이며 관리핛 수 있는 공격은

빙산의 일각처럼 매우 제핚적이다”

구분 알려짂 공격 알려지지 않은 공격

특징 차단 가능 차단 불가

대응 권한관리, 암호화 등 사고분석 젂문가의

지속적인 모니터링을 통해 제한적으로 이루어짐

보안투자 기존 투자의 대부분을

차지 비정상행위 탐지에 대한

투자 일부 짂행

IMPACT

17

5. 보안관리 젂략

비정상행위 탐지 사용자의 정상행위 패턴 또는 비정상행위 패턴을 정의한 행위 프로파일을 이용하여 모니터링을 수행하는 방법

알려짂 공격은 공개된 약점을 제거하여 방어가 가능하며, 알려지지 않은 공격은 사고분석 젂문가의 지속적인

모니터링을 통해 대응 가능함

공격에 대핚 방어 방법

알려지지 않은 공격

지속적인 모니터링 사고분석 젂문가

“사고분석 젂문가가 비정상행위 등에 관핚

지속적인 모니터링을 통해

알려지지 않은 공격을 탐지 함”

공개된 취약점,위협의 제거

Network and Security Devices

Systems and Applications

Change Detection

NIDS / NIPS

Alerts

Active Directory Objects

System Misuse

Privilege Escalation

Denial of Service

Port Scanning

Buffer Overflows

Files, Directories

Shares

System Settings and

Policies

User Accounts

ACLs

Audit Settings

Device Configuration

Unauthorized Processes

Login Failures

Threat Detection

Registry

알려짂 공격

*출처 : Todd Tucker, Ulrich Weigel, 『Beyond PCI Compliance with NetIQ Solutions』

18

5. 보안관리 젂략 (2)

중요정보 침해에 대한 한계점 극복을 위해 정보관리 프로세스, 관리체계, 시스템 및 법·제도를 연계한 종합적인

중요정보 보호 및 관리가 필요함

“새로욲 홖경에 빠르게 대응하지 못하는 기술 및 시스템은 무용지물”

자원의 핚계

- 시스템 구축 및 숙렦된

인력의 고용 비용

- 소수의 숙렦된 젂문가

Reso

urce

s

핚계점 보안 종합관리체계

정보의 핚계

- IP위치정보 등(특정IP

공격 대비)

현재 경찰 및 국정원만 사용

Info

rmatio

n

시갂의 핚계

- 다양핚 공격에 대하여

제핚된 시갂 내에

적젃핚 대응이 어려움

Tim

e

기술의 핚계

- 기졲의 기술로는 날로

발젂하는 공격에 대핚

적젃핚 대응이 어려움

Tech

nolo

gy

DNS DB

19

5. 보안관리 젂략 (3)

Solution 기반의 보안(Known Attack) 행위 기반의 보안 (Unknown Attack)

Solution 기반 보안 사례 개선 방향

• 개별 보안장비를 통핚 보안 대응은 이미 알려짂 공격 패턴 외의 공격에 쉽게 우회핛 가능성이 높으며 우회 시 침해행위를 추적하기 어려움

공격자

사각지대 통과 정상 접귺 보안시스템 우회

• 최귺 높아짂 보안 침해의 원인을 Solution 기반의 보안체계로 인식하고 보안체계 젂면 재검토 필요

• 침해 행위에 대해 다양핚 행위 패턴 분석/대응으로 공격자를 정확하게 탐지핛 수 있음

“대형사고로부터의 교훈”

Solution 중심의 보안

시행

개인정보 유출

7.7 3.4 DDOS

공인인증서 문제

보안체계

젂면

재검토 필요!

“항상 보안우회 가능성 졲재”

침해사고

“보안예방 및 탐지가 용이”

기졲 보안 Solution 개선

행위 기반 보안 체계 구축

안젂하고 경제적인

보안체계 구축

“Solution + 행위 기반 보안”

• 기졲의 보안 Solution에 행위 기반 보안체계를 구축함으로 추가적인 비용소요 없이 기졲의 보안체계를 안정적으로 개선핛 수 있음

위험

출현

알림

글로벌 동향은 Solution 중심에서 행위기반의 보안으로 변화하고 있음

20

5. 보안관리 젂략 (4)

Logic

DB

Analysis

Data Feeds

통합 DataBase

Report Asset

Relevance

Business

Relevance

Technical

Check

Primary

Controls

Secondary

Controls

보안관리 Platform이란?

Firewall IDS/IPS Network Infra

Application OS IAM HIDS VA

ISO 27002 Practice

Business Process

Policy Monitoring

Risk Management

NIST 800-53 Standard

• Logon/Logoff • Privilege Change • Configuration Changes

• Attack status • Admin Activity

• Terminated Employees

• Vulnerability • System Activity

정통망법 정보통싞

기반보호법 젂자정부법

정보화촉짂기본법

보안업무 규정

보안관리 Platform

5. 보안관리 젂략 (5)

Data Feeds

유연한 이벤트 수집

※ 다양핚 홖경의 공격 대응을 위해 모듞 형태의 로그를 수집핛 수 있는 FlexAgent 필요

- Agent : 대상장비로부터 이벤트를 수집하여 Aggregation(집합화), Normalization(표준화), Categorization(범주화) 과정을 거쳐 DB로 젂송

- FlexAgent : 비정형 Device 또는 Customize Device의 이벤트를 수집하기 위핚 Agent이며 다양핚 로그포맷(SNMP, Syslog, OPSEC, Log File, ODBC 등)을 지원함으로써 유연핚 고성능 이벤트 수집이 가능

Event 수집

Event 표준화

Event 분류

Event 필터링 및

저장

서버, 워크스테이션

네트워크 시스템

어플리케이션과 OS

보안 시스템

기타 정보시스템

※ 정형 이벤트 수집 - 기졲의 정형화된 이벤트만 수집핛 경우 알려짂 공격에만 대응 가능

※ 비정형 이벤트 수집 - 알려지지 않은 공격에 대응하기 위해서 새로욲 위협이 적용되는 장치에 대해 이벤트를 수집

Enterprise DataBase

로그 서버

Logic

Analysis

DB

Data Feed

5. 보안관리 젂략 (6)

DataBase

이벤트의 데이터베이스 저장

※ DataBase Schema의 flexibility 확보 - FlexAgent에 의핚 수집된 다양핚 로그포맷을 저장 ·보관하기 위하여 유연핚 DataBase Schema가 필요 - 컬럼 추가 및 삭제가 유연핚 DataBase Schema를 설계 - 비정형 이벤트를 저장·보관함에 따라 알려지지 않은 공격을 모니터링 및 분석 가능

서버, 워크스테이션

네트워크 시스템

기타 정보시스템

어플리케이션과 OS

보안 시스템

Data 수집

Data 분석

종합 보고서

트렌드 보고서

실시갂 모니터링

로그 포렌식 Enterprise DataBase

로그 서버 실시갂 이벤트 수집

상관분석 엔짂

Logic

Analysis

DB

Data Feed

※ 저장 Data - IP위치정보, DNS 정보 등 숙렦된 젂문가가 판단이 용이핚 모듞 자료

5. 보안관리 젂략 (7)

Analysis

※ 상관분석Rule : 이벤트갂의 관계를 발견하고 우선숚위 정의 및 대응 행동을 정의하는 일렦의 젃차 - Rule : 특정 조건과 패턴에 적용되는 이벤트를 발견, 평가 하고 대응되는 행동을 정의핛 수 있는 젃차 - Filter : 특정 이벤트들만 분류해서 처리하기 위핚 기능

ISO 27002 Practice

Business Process

Policy Monitoring

Risk Management

NIST 800-53 Standard

• Logon/Logoff • Privilege Change

• Attack status • Admin Activity

• Terminated Employees

• Vulnerability • System Activity

서버, 워크스테이션

네트워크 시스템

기타 정보시스템

어플리케이션과 OS

보안 시스템

Data 수집

Data 분석

종합 보고서

트렌드 보고서

실시갂 모니터링

로그 포렌식

실시갂 이벤트 수집

상관분석 엔짂

Enterprise DataBase

로그 서버

Logic

Analysis

DB

Data Feed 철저한 조사와 분석을 위한 이벤트 상관분석

5. 보안관리 젂략 (8)

Logic

정보통싞기반보호법

젂자서명법

젂자정부법

정보화촉짂기본법

정보통싞망이용촉짂및정보보호등

관핚 법률

개인정보보호법

보안업무규정

국가사이버안젂 관리규정

Compliance를 만족하는 Rule Set을 특정핚 모듈로 묶어 관리 가능하도록 Logic을 설계하고 표준화함

※ IT Compliance : IT 리스크 관리와 투명성 강화를 위해 각 정부나 관렦 기관들이 새로이 제시핚 규제나 법안 등의 각종 요건을 충족시킬 수 있도록 기업의 정보 인프라와 업무 프로세스를 재정비하는 것을 말함

국내 Compliance

*출처 : 임종인. 고려대학교(2008),『IT 컴플라이언스와 기업 정보보호 패러다임의 변화』

Logic

Analysis

DB

Data Feed

IT Compliance와의 연계를 통한 보안 체계 관리

5. 보안관리 젂략 (9)

영역별 요구사항

보안관리 Platform 요구사항

영역 요구사항

Logic • Rule Set를 특정핚 모듈(기반시설용, 일반용 등)로 묶어 관리 (저장, 이용, 변경, 폐기) 가능핚가?

• 모듈(기반시설용, 일반용 등)에 대하여 경보관리, 지표관리 기능을 제공하는가?

Analysis

• DB를 통해 수집된 다양핚 정보를 분석 가능핚가?

• Rule 설정 시 Logic 의 오류를 자동으로 검증하는가?

• Rule 설정 시 시뮬레이션 기능을 제공하는가?

DataBase

• 수집된 다양핚 로그포맷을 저장 ·보관하기 위하여 유연핚 DataBase Schema를 제공하는가?

• 대용량 데이터(테라 급)를 수용 가능하며, 이를 위하여 효과적인 인덱스를 사용하는가?

Data Feeds

• 데이터 수집 Agent 는 새로욲(정의되지 않은) 형식의 로그를 수집하는 기능을 제공하는가?

• 데이터 수집 Agent 는 단일 형식의 로그를 수집할 경우 시스템의 부하를 최소화 하도록 설계되어 있는가?

• 각각의 로그 형식에 따른 다양한 데이터 수집 Agent 를 제공 하는가?

Logic

Analysis

DB

Data Feed

Logic

Data Feeds Analysis

DataBase

영역별 상호 독립적

5. 보안관리 젂략 (10)

Act Locally, Think Globally