티스토리 뷰
보안관제 업무와 써트(CERT)업무에 대하여 정확하게 구분을 짓지 못하는 경우가 많다. 또한 관제업무이기 때문에 단순하게 모니터링 업무만을 하여 경력을 인정받기 어렵다는 인식이 강하다 그렇다면 먼저 보안관제 업무부터 살펴보자.
1. 솔루션 통합 이벤트 모니터링(24시간 365일) - 보안관제 및 운영
- 보안시스템 장애 / 성능 모니터링(alive check)
- 보안 이벤트 통계 정보 제공(Security Dash-Board)
- 보안이벤트 통합 감시
- 정보보호 솔루션 운영(FW, IPS, WAF, NAC, Vaccine, DRM, DLP 등)
2. 사이버침해 대응/분석
- 보안 침해시 공격자 ip/port 차단 수행
- 보안장비 로그 분석
- 웹로그 / 웹방화벽 로그 분석
- 패킷분석 및 침해대응
- 침해 위협이벤트 분석 및 초동대응
3. 취약점 점검
- 시스템, 네트워크 등 정보자산에 대한 주기적인 취약점 점검 서비스
- 지속적으로 시스템의 취약점 존재 여부를 모니터링
- 신규 취약점 발견 시 즉시 대응할 수 있는 체계를 마련
- 취약점 및 원인 분석에 대한 진단 결과 보고서
- 진단 영역 별 주요 원인에 대한 조치 방안 제시
다시한번 위의 내용을 토대로하여 내용을 정리하여 보겠다.
서트(CERT)와 보안관제의 차이 - 관제파트는 실시간 대응과 관련된 업무가 좀더 많은 반면에 서트는 관제에서 탐지된 침해사고를 분석하는 일에 좀더 집중한다. 따라서 기업에 따라 서트담당자들이 관제업무를 같이 병행해서 진행하는 곳도 많다.
보안관제 - 주 업무는 관제 입니다. 보안관제를 위한 ESM(방화벽, 침입탐지시스템(IDS), 가상사설망(VPN) 등 다양한 종류의 보안 솔루션을 하나로 모은 통합보안관리시스템) 등의 시스템을 이용하여 관제대상 고객사의 장비에서 Log나 Resource 정보를 주기적으로 수신하고, 특이사항이 발생할 때 담당자에게 통보를 해주거나 1차적인 대응을 하는 것을 주 업무로 합니다.
서트 - 주 업무는 '침해대응' 입니다. 고객사에 크래킹 사고가 발생하게 되면 침해사고 조사를 하게 되고, 피해내용 확인, 원인분석, 대응방안 전달, 보고서 작성 등을 하게 되며 고객이 의뢰하는 경우 모의해킹 업무도 하게 됩니다.