윤태영블로그

하나의 보안 시스템으로 모든 것을 방어할 수는 없다. 다양한 보안 시스템을 통해 사이버 보안 체계를 구축해야 한다.

사이버 보안 체계를 구축하기 위한 보안 시스템으로 어떤 것이 있는지 대표적인 보안 시스템을 바탕으로 알아보자.

< 방화벽 > 

방화벽( Firewall)은 외부로부터 불법적인 접근이나 공격을 방어하기 위해 내부 네트워크와 외부 네트워크가 연결되는 접점에 구축되는 보안 시스템이다. 방화벽은 보안 정책에 따라 비인가 통신은 차단하고 인가된 통신은 허용하는 방식으로 내부 네트워크를 외부 네트워크로부터 보호하는, 네트워크 보안에서 가장 기본이 되는 시스템이다.

1세대 방화벽은 OSI 7 계층 중 전송 계층과 네트워크 계층에서 IP 주소, 포트 번호를 기준으로 접근을 제어하는 패킷 필터 방식을 적용하고 있고, 추가로 NAT,VPN 기능 정도만 지원한다. 하지만 세션 관리나 애플리케이션 내용 분석은 하지 못하므로 정상적인 경로로 유입되는 공격은 막아내지 못한다는 단점이 있다.

2세대 방화벽은 상태 기반 감시 방식으로 통신 세션을 추적하여 1세대 방화벽의 공격 탐지 부분을 강화한 방화벽이다.

최근에는 3세대 방화벽으로 '차세대 방화벽' 이라 하여 애플리케이션 패킷을 분석하여 상세하게 제어할 수 있는 방화벽까지 나와 있는 상태다.

방화벽은 정책의 적용 순서를 고려해야 하며 사용 중인 네트워크에 정책이 바로 적용되기 때문에 보안과 네트워크에 대한 지식과 경험을 갖춘 보안 전문가에게 체계적으로 관리되어야 한다. 

< 네트워크 침입 탐지/차단 시스템 > 

네트워크 침입 탐지/차단(방어) 시스템 Network IDS/IPS에는 공항 검색대의 X-ray 장비처럼 네트워크 패킷 데이터를 분석하여 악성코드,취약점 공격코드,권한 상승, 비정상 접근 등의 공격 데이터를 탐지하는 침입차단시스템인 IDS(Instrusion Detection System)와 여기에 능동적 대응 기능이 추가된 침입차단시스템인 IPS(Intrusion Prevention System)가 있다.

IPS는 IDS 기능을 포함하고 있으므로 IDPS(Intrusion Detection and Prevention System)라고도 하며 IPS 기술이 안정화 되면서 많은 곳에서 IDS보다 IPS를 도입해서 운영하고 있다. 

IDS/IPS는 크게 3가지로 구성되어 있다. 첫째, 센서는 감시하려는 네트워크에 연결되어 패킷을 수집하고 보안 이벤트를 발생시키는 역할을 한다. 둘째, 엔진은 센서에서 수집된 보안 이벤트를 저장하고 정의된 규칙에 따라 경고를 발생 시킨다.

셋째, 콘솔은 보안 이벤트를 확인할 수 있으며 센서나  정책을 수정할 수 있게 되어 있다.

공격을 탐지하는 방식은 기존에 알려진 공격 데이터 패턴이나 유사성을 확인항려 탐지하는 오용 탐지 방식과 정상적인 행위와 비교하여 비정상 행위를 하는 경우 탐지하는 비정상 행위 탐지 방식이 있다. 상업용 IDS/IPS의 경우 대부분 장애에 대한 위험에 대비하여 확실한 공격을 탐지할 수 있는 오용 탐지 방법이 많이 사용되고 있으며 다음 프로세스를 통해 운영된다.

첫째, 정보수집 단계에서는 네트워크 패킷과 세션 정보를 수집한다.

둘째, 정보가공 단계엫서는 수집된 정보에서 필요한 정보만 뽑아 의미 있는 정보로 가공한다.

셋째, 정보분석 단계에서는 오용 탐지 또는 행위 탐지 기법들을 적용하여 공격을 탐지하여 분류한다.

넷째, 보고 및 대응 단계에서는 공격에 대해 콘솔뿐만 아니라 이메일,SMS,SNMP 등을 통해 공격 탐지를 알리면 보안 담당자는 해당 공격을 확인한 후 차단할 수 있다. 만약 IPS를 이용한다면 해당 공격에 대해 정책에 따라 차단할 수 있다.

< 가상 사설망 > 

VPN(Virtual Private Network)은 우리말로 가설 사설망이라고 부르며, 공중망에서 마치 인터넷 전용선을 사용하는 것처럼 통신 구간을 암호화하여 제삼자가 함부로 통신에 접근하지 못하게 하는 기술이다. 주로 기업에서 본사망과 지사망을 연결하거나 출장 중에 업무를 해야 하는 경우 인터넷 회선을 전용선처럼 사용할 수 있다. 이 점을 이용하여 상업적으로 VPN 서비스를 해주는 업체들도 있다.

통신 프로토콜은 현재 3가지 방법이 주로 사용되고 있다. 첫째, L2PT 또는 L2TP라고 불리는 프로토콜로 IPSec 기술을 이용하여 암호화 하고 있으며 대부분 운영체제에서 지원한다. 둘째, OpenVPN 방식은 프로파일 하나만 있으면 쉽게 연결할 수 있다.

OpenVPN은 L2TP 규격을 따르지만 다양한 암호화 알고리즘을 통해 통신을 할 수 있다. 셋째, PPTP로, PPP 기술을 확장한 방식이며  MS-=CHAP와 RC4를 섞어서 암호화한다. PPTP 방식은 MS가 주도해서 만든 기술이지만 대부분 운영체제에서도 작동한다. 하지만 전용선보다는 보안이 취약하고 암호화 통신 과정을 거치기 때문에 상대적으로 속도가 느리다. 또한, 통신 과정이 암호화 된다는 점과 상호 VPN을 이용하면 익명성을 보장한다는 것을 역이용하여 공격자들이 추적을 피하는 방법으로도 VPN을 자주 이용하고 있다.

< DDos 대응 시스템 >

DDos는 공격 대상 사이트에 대량의 트래픽을 보내 네트워크 대역폭을 소비하게 하거나 서버 처리 용량을 과다하게 발생시켜 공격 대상 사이트의 서비스 가용성을 떨어트리는 공격 방식이다. 이런 공격은 1.25 인터넷 대란, 7.7 DDos 대란과 같은 사회적 이슈를 불러일으켰고 현재도 크고 작은 DDos 공격들이 계속 발생하고 있다.

기존에는 방화벽, IPS와 같은 장비로 DDoS 공격의 일정 수준을 방어할 수 있었지만 대량의 DDoS 공격에는 한계가 있었다. 이러한 DDoS 공격에 특화된 방어 네트워크 보안 장비가 DDoS 방어 시스템 이다. DDoS 방어 시스템은 In-Line 방식과 Out-of-Path 방식으로 구축할 수 있다.

In-Line 방식은 DDoS 대응 장비로 유입되는 트래픽을 모니터링 하여 DDoS 공격을 탐지하고 직접 차단하며 가장 많이 구축되고 있는 방식이다. In-Line 방식으로 구성하는 경우 DDoS 대응 장비가 방화벽 앞에 위치하게 된다.

Out- of-Path 방식은 네트워크 구성을 그대로 유지한 상태에서 미러링 장비로 패킷을 미러링 받아 DDoS 차단 장비로 분석하고 해당 DDoS공격을 차단하는 방법이다. 하지만 백본 등의 장비와 연동해서 DDoS 공격을 차단해야 하기 때문에 In-Line 방식보다 구축 비용이 많이 들고 복잡한 것이 단점이다.

< 웹 방화벽 >

웹 방화벽은 웹 애플리케이션의 보안을 위한 보안 시스템으로, 웹 애플리케이션을 운영하면서 발생할 수 있는 SQL Injection,XSS,CSRF 등과 같은 웹 공격을 탐지하고 차단할 수 있다. 이외에도 정보 유출 방지, 부정 로그인 방지, 웹 사이트 위변조 방지 기능도 탑재되어 있어 웹 공격을 효과적으로 방어할 수 있다.

웹 방화벽은 웹 서버 내에서 소프트웨어로 설치되는 형태와 하드웨어로 설치되는 형태가 있으며, 하드웨어로 설치되는 형태는 Reverse Proxy 방식, In-Line 방식으로 구성할 수 있으며 그중 In-Line 방식이 구축하기 편리하여 많은 곳에서 이 방식으로 구축하고 있다.

< 네트워크 접근 제어 시스템 >

네트워크 접근 제어 시스템은 네트워크 접근 제어를 통제하는 보안 시스템이다. PC와 같은 단말기들이 어떤 영역까지 접근할 수 있는지를 정의한 정책에 의해 단말기의 네트워크 접근을 제어하고 통제하여 안전한 네트워크 환경을 보장해 주는 네트워크 보안 솔루션이라 할 수 있다.

NAC는 다양한 인증 방식을 지원하며 802, 1x, VLAN,ARP를 이용하여 네트워크 접근 제어를 할 수 있다.

< 통합 위협 관리 시스템 >

통합 위협 관리 시스템(UTM, Unified Threat Management) 은 Firewall, IDS/IPS, VPN, Anti-Virus,Spam Filter, Content Filter 등의 다양한 보안 기능들을 하나로 패키지화하여 다양한 보안 위협에 대응할 수 있게 한 네트워크 보안 장비이다. UTM을 통해 다수의 보안 장비를 관리,통합 해주는 효과를 기대할 수 있다.  하지만 UTM을 도입하기 전에 UTM 의 모든 기능을 다 사용해도 문제가 없는지 충분히 테스트를 거쳐야 한다. UTM은 보통 방화벽을 대체하여 구성되기 때문에 방화벽이 위치한 자리에 UTM을 구성하여 구축할 수 있다.

< 보안 관제를 위한 ESM과 SIEM >

방화벽 ,침입 탐지시스템, VPN 등 다양한 보안 시스템이 등장한 이후 기업 내에 다수의 보안 시스템이 도입되어 운영되기 시작했다. 이러한 상황에서 보안 관리자가 보안에 대한 업무 이외에 다수의 보안 시스템을 관리하는 것에는 한계가 있었다.

이에 효율적으로 다수의 보안 시스템을 관리할 수 있도록 도와주는 보안 솔루션인 통합 보안 관리 시스템(ESM, Enterprise Security Management)이 나타나게 되었다. ESM은 주로 기업에서 운영하는 보안 시스템( 방화벽,IDS,IPS,VPN 등), 서버, 네트워크 장비(라우터)를 상호 연동해서 보안 시스템을 효율적으로 운영할 수 있도록 도와주는 보안 관제 솔루션 이다.

ESM은 각종 보안 장비에서 발생한 이벤트 수집, 관리, 정보 , 대응 등을 통합하여 관리함으로써 보안 사고 발생 시 효율적으로 대처할 수 있도록 도와주며 점차 그 보안 범위가 확대되고 있다. ESM을 도입할 때 고려할 사항으로는 수집되는 로그를 분석하기 위해 어느 정도 고성능 서버가 필요한지와 로그가 어느 정도인지가 있으며, 이를 고려하여 대용량 스토리지를 구축해야 한다. 최근에는 다양한 보안 이벤트를 빅데이터 기반 보안 정보 이벤트 관리 시스템 SIEM, Seccuriry Infomation Event Management 를 통해 장기적인 관점에서 보안 위혐을 보다 심층 분석하고 대응할 수 있도록 도와주는 SIEM이 좀 더 주목받고 있다. 

네트워크를 이해하지 못하고 네트워크 구성과 보안을 한다면 마치 모래성 위에 성을 쌓는 것과 같다 라고 할 수 있다.

[네트워크 기본 이론]

자신이 회사의 네트워크 담당자인 상황에서 네트워크 장애가 발생했다고 가정하면 과연 네트워크 장애 발생 원인이 무엇인지 그리고 어디에서 발생되고 있는지를 찾고 설명할 수 있는가? 보안 담당자라면 해커의 공격으로부터 회사 네트워크를 보호하고 침해사고 발생 시 공격자의 흔적을 찾아내어 침해사고 대응 보고서를 작성할 수 있는지 스스로 질문을 던져보도록하자.

이에 대한 답이 어렵다면 네트워크 보안 장비에 대한 기본적인 이론이 제대로 갖춰지지 않은 상태라고 할 수 있다.

 왜 우리는 이론을 배워야 하는가? 실무 경험만으로 얻은 것은 다수의 시행착오를 발판으로 경험을 쌓은 형태이다.

이는 보안의 3요소 중 가용성 측면에서 네트워크에서 발생하는 다양한 장애 현상을 계속 경험하면서 문제를 해결해 나가는 것이므로 큰 비용이 발생하고 신뢰도를 떨어지게 하는 문제가 있다. 반면, 이론을 통해 어떠한 원리를 알게 되면 실수를 최소화하면서 근본적인 문제 해결 과정에서 더 좋은 답을 찾아낼 수 있기 때문에 우리는 네트워크의 기본 이론과 네트워크 보안을 하기 위한 다양한 보안 장비들의 특성들을 잘 이해해야 한다.

[네트워크 유형]

네트워크 유형은 규모와 거리에 따라 크게 LAN, MAN, WAN 등으로 구분 된다. 

LAN (Local Area Network)

작은 범위의 네트워크망으로 Ethernet, Token Ring, FDDI 형태로 구축할 수 있으며,

아래의 그림과 같이 구성된다. 

Star 구성 : 중앙에서 Point - to - Point 방식으로 연결된다. 문제가 발생하면 해결하기 쉬운 구성이다.

하지만, 구성 비용이 많이 들고 중앙에서 장애가 발생하면 연결된 모든 장치에 영향을 미친다. 

Bus 구성 : 하나의 회선에서 다수의 노드들에 메세지가 전파되고 수신지 노드가 자신의 메세지만 처리하는 방식.

구성 비용이 적게 들며 가장 많이 사용 된다.

Ring 구성 : 노드 간의 연결을 최소화하는 방식. 전송되는 데이터가 링을 통해 전달되므로 전송 지연 시간이 길어지고 하나의 노드라도 장애가 생기면 전체 네트워크망이 영향을 받게 된다.

가장 많이 구축 되는 형태는 Ethernet 형태로 동축 케이블, UTP 케이블을 전송 케이블로 이용하여 네트워크를 연결한다. 

MAN (Metropolitan Area Network)

LAN보다 크고 WAN보다 작은 중간 정도 범위의 네트워크망.

대학교나 한 도시 규모의 네트워크를 MAN이라고 부른다. 대표적으로 케이블 인터넷을 예로 들 수 있다.

WAN (Wide Area Network)

원거리 통신망이라고 하며 국가 단위와 같이 넓은 지역을 연결하는 네트워크.

WAN 구축 방식

< 기업 기밀 정보 유출 피해 > 

기밀 정보 유출의 주요 경로

• 퇴직자: 퇴직자들이 기업의 기밀 정보를 외부로 유출하는 경우가 많다.
• 경쟁업체 직원: 경쟁 업체의 직원이 기술 정보를 취득하기 위해 다양한 방법을 시도한다.
• 협력업체 직원: 협력 업체와의 거래 과정에서 기밀 정보가 유출될 수 있다.

기술 유출의 주요 방식

• 핵심 인재 스카우트: 경쟁 업체가 핵심 인재를 스카우트하여 기술을 유출하는 방식이 가장 흔하다.
• 중요 자료 복사 및 유출: 중요한 자료를 복사하여 유출하는 사례도 자주 발생한다.

기술 유출의 원인 및 대응

• 보안 관리 및 감독의 허술함: 보안 관리가 충분히 이루어지지 않거나 감독이 허술한 경우가 많다.
• 임직원의 보안 의식 부족: 임직원들의 보안에 대한 인식 부족이 큰 문제다.
• 예방책: 정보 유출을 예방하기 위해 보안 강화에 지속적으로 투자하고, 구성원들에게 정기적인 보안 교육을 실시하며, 수시로 모니터링하는 것이 필요하다.

< 출처 : 중소기업 기술보호 실태조사 > 

< 개인정보 유출 피해 > 

2008년 옥션 개인정보 유출 사건

• 사건 개요: 2008년 2월, 옥션에서 1,863만 명의 개인 정보가 해킹으로 유출되는 사고가 발생했다. 이는 국내 온라인 쇼핑몰 중 가장 큰 규모의 개인정보 유출 사건이었다.
• 영향: 이 사건은 온라인 시장에 대한 신뢰도에 큰 타격을 주었으며, 개인정보 보호에 대한 경각심을 불러일으켰다.

2011년 싸이월드 개인정보 유출 사건

• 사건 개요: 한때 대한민국을 대표하는 SNS였던 싸이월드에서 해킹을 통해 약 3,500만 명의 사용자 개인정보가 유출되었다.
• 결과: 이 사건은 싸이월드의 매출 감소와 사용자 이탈로 이어졌으며, 사용자들의 소송까지 발생하는 등 싸이월드에 큰 타격을 입혔다.

롯데, 농협 카드 개인정보 유출 사건

• 사건 개요: 내부자에 의한 개인정보 유출 사건이 롯데와 농협 카드에서 발생했다.
• 결과: 이들 기업은 영업정지 3개월이라는 중대한 처벌을 받았으며, 이로 인해 기업의 순이익이 감소하는 등의 경제적 손실을 입었다.

< 악성코드 감염으로 인한 유출 피해 >

악성코드 감염은 현대 사이버 보안의 가장 빈번하고 심각한 위협 중 하나다. 위험도가 낮은 악성코드라도 피해를 줄 수 있으며, 특히 위험도가 높고 지능화된 악성코드는 기업과 개인에게 큰 피해를 입힐 수 있다.

2013년 국내 언론사 악성코드 감염 사건

• 사건 개요: 2013년 3월 20일, KBS, MBC, YTN 등 국내 주요 언론사의 전산망에서 3만 대 이상의 PC가 악성코드에 감염되었다.
• 공격 방식: 사전에 일부 PC를 감염시킨 후 필요한 정보를 수집하고, 패치 관리 시스템을 장악하여 다수의 PC에 악성코드를 배포, 데이터 파일 및 부트 영역을 파괴하였다.

랜섬웨어의 위협

• 현재 상황: 최근에는 중요 파일들을 암호화하여 인질로 잡고 금전적 이득을 취하는 랜섬웨어가 확산되고 있다. 이로 인해 중요 파일 복구에 막대한 시간과 비용이 소요되고 있다.

한국수력원자력공사 해킹 사건

• 사건의 성격: 이 사건은 APT(지능형 지속 위협) 공격의 한 예로, 특정 목표에 지속적으로 악성 이메일을 발송하여 내부로 침투한 후 원하는 자료를 유출하는 방식으로 이루어졌다.

대응 방안

• 보안 교육의 중요성: 악성코드 공격은 쉽게 탐지하기 어려우므로, 기업 구성원들을 대상으로 지속적인 보안 교육을 실시하고 정보보안 의식을 강화하는 것이 중요하다.
• 지속적인 시스템 감시 및 업데이트: 패치 관리 시스템의 보안을 강화하고, 정기적인 시스템 감시와 업데이트를 통해 악성코드의 침투를 사전에 차단해야 한다.

< 보안 취약점으로 인한 유출 피해 >

내부 또는 외부를 대상으로 서비스하는 시스템이나 애플리케이션에 존재하는 취약점을 이용하여 공격자가 시스템 내부에 침투해 해당 데이터베잏스에서 원하는 정보의 탈취, 홈페이지 변조, 악성코드 유포지로 활용하는 등의 피해가 발생하고 있다.

지난 2014년 3월 6일 'KT 1,200만 명 개인정보 유출 사건'은 KT 홈페이지의 이용대금 조회 서비스에서 고객 고유번호 9자리를 무작위로 입력할 수 있도록 도와주는 해킹 프로그램을 이용해 1년 동안 1,200만 명의 이름, 주민등록번호, 전화번호, 집 주소, 직업, 은행 계좌 등의 정보를 알아내 텔레마케팅 업체에 팔아 넘긴 사건이었다.

해당 사건에 이용된 '무작위 대입' 방식은 취약점을 공략하여 원하는 정보를 획득할 때 까지 공격하는 해킹 방식이다. 무작위 대입 공격 방식은 횟수 제한이 없는 이상 정상으로 보이기 때문에 공격자가 취약점을 가진 페이지를 집중적으로 공략하여 지속적으로 정보를 획득해가도 해당 공격에 대한 탐지가 어렵다. 그러나 지속적으로 접근하거나 비정상으로 접근하는 횟수를 제한하는 방법을 사용했더라면 공격을 방어할 수 있었던 사건이었다.

KT 사건과 같은 해킹 방법 이외에도 최신 취약점을 이용한 공격들이 계속되고 있으므로 보안을 위해 운영하는 시스템과 서비스에 대해 보안 관제뿐만 아니라 최신 보안 패치와 보안성 진단 활동을 병행해야 한다. 이 외에도 보유 중인 네트워크 장비와 인터넷 공유기의 보안 취약점들이 다수 발견되고 있어 주기적으로 업그레이드를 진행해야 한다. 

< 분산 서비스 거부 공격 >

분산 서비스 거부 공격은 악의적인 목적으로 특정 시스템의 자원을 소모하게 하여 정상적으로 서비스할 수 없게 방해하는 공격으로, 공격자가 이미 보한 좀비 PC에 명령을 내려 특정 사이트에 트래픽을 과도하게 보내는 방식과 명령 제어 서버 없이 악성 코드가 감염된 네트워크에서 특정 사이트나 네트워크에 과도한 트래픽을 유발하는 방식이다.

근래에 발생한 대표적인 서비스 거부 공격 사건으로는 '7.7 DDos', '3.4 DDos' 가 있으며 주요 기관 과 은행 사이트를 공격했다. 이외에도 중소기업이나 인터넷 서비스 업체들을 대상으로 지속적으로 서비스 거부 공격을 시도하여 피해가 발생하는 사건은 여전히 많이 발생하고 있다. 피해를 입은 업체 중에는 정상적인 웹 서비스를 할 수 없게 되어 금전적인 피해가 발생한 업체도 있다. 이와 같은 피해가 발생하지 않도록 보안 관제 활동을 통해 과도한 트래픽이 발생하고 있는지를 판단하고 별도의 서비스 거부 공격 방어 장비를 이용하여 서비스 거부 공격을 방어할 수 있도록 해야한다. 

[ 사이버 보안의 전환점: 2003년 1월 25일 인터넷 대란과 그 이후 ]

2003년 1월 25일, 대한민국은 전례 없는 사이버 위기에 직면했다. 이 날은 사이버 보안 역사에서 중대한 전환점이 되었는데, 바로 '슬래머 웜' 사건 때문이었다.

이날, 슬래머 웜에 감염된 수많은 PC들이 대한민국의 최상위 DNS에 대량의 트래픽을 집중시키며 전국의 인터넷망이 마비되었다. 이 사건은 국내뿐만 아니라 전 세계적인 문제로 확대되었고, 이는 대한민국에 한정된 문제가 아닌 전 세계적인 사이버 안전의 취약성을 드러냈다.

[ 사이버 안전에 대한 국가적 대응 ]

이 사건은 대한민국 정부에게 큰 교훈을 주었다. 사이버 공격에 대한 국가 차원의 대비와 사이버 안전 보장의 필요성이 절실히 요구되었다. 이에 정부는 공공기관, 민간, 군 분야 간의 사이버 안전 체계를 수립하고, 상호 협력하여 유사시 대응할 수 있는 체계를 마련하기 시작했다.

[ 구축된 사이버 안전 체계 ]

• 2003년 7월 24일: 국가 사이버테러 대응체계 구축에 대한 기본 계획이 수립되었다.
• 2004년 2월: 국가정보원 산하에 국가 사이버 안전센터가 설립되었다. 이 센터는 국가 공공 분야의 사이버 안전을 담당하게 되었다.
• 국방 분야: 국방정보대응센터가 시작점이 되어, 현재는 '국군사이버사령부'로 발전하며 군 사이버 안전 임무를 수행하고 있다.
• 민간 분야: 한국인터넷진흥원 내에 설립된 인터넷침해대응센터가 사이버 보안 관제 업무를 맡고 있다.

보안 관제의 유형 

보안 시스템을 구축하기 전 왜 보안 시스템을 구축해야 하는지에 대한 배경과 실제 피해 사례 유형을 통해 보안 시스템 구축의 필요성과 보안 관제를 왜 해야만 하는지에 대해서 짚고 넘어가자 

2003년 1,25 인터넷 대란 이후 대한민국에도 끊임없이 굵직한 정보보안 사고들이 이어지고 있다.

이에 공공 기관, 기업들은 정보보안 강화를 위해 정보보안 예산을 늘리는 등 역량 강화에 노력하고 있다. 하지만 막상 보안 제품만 도입하고 사후 운영이 제대로 되지 않고 있어 정보보안 사고가 언제든지 발생할 수 있는 위험이 존재한다. 더욱이 기본적인 보안 시스템조차 없는 중소기업들은 공격을 받고 있는 것은 아닌지, 공격을 받았다면 어떤 경로로 통해 유입되었는지 등 그 상황 자체도 파악할 수 없는 경우가 많다.

정보보안 사고를 예방하기 위해서는 보안 시스템을 구축한 이후에도 보안 전담 인력이 보안 관제를 하여 사전에 위험을 탐지할 수 있어야 한다. 또한, 정보보안 사고를 예방하는 활동과 함께 정보보안 사고 대응 활동을 통해 같은 유형의 공격에 피해를 입지 않도록 대비할 수 있어야 한다.

네트워크 보안을 위해 과거에는 단순히 네트워크 보안 시스템들만 구축해서 네트워크의 접근을 통제해도 충분한 시절이 있었다. 하지만 현재에는 다양한 경로로 네트워크에 연결된 수많은 단말기로부터 발생하는 다양한 보안 위협을 탐지하고 대응해야 하는 상황에 놓여 있으므로 보안 관제 활동을 지속해야 하는 것이 더욱 중요해지고 있다.

그렇다면 언제부터 네트워크 보안이라는 개념이 만들어졌을까? 

그 출발은 1990년대부터 시작한다. 1980년대로 접어들면서 컴퓨터 기술과 네트워크 기술이 발달하기 시작했고 그와 동시에 컴퓨터 범죄라는 새로운 범죄형태가 발생하기 시작했다. 

대표적인 예로 1988년 로버트 모리스가 제작한 모리스 웜  바이러스에 의해 당시 네트워크에 연결된 컴퓨터들이 감염되어 시스템이 마비된 사태, 1995년 케빈 미트닉이 미국 주요 국가 기관가 기업체 전산망을 해킹한 사건 등이 있다. 이러한 컴퓨터 범죄들의 공통점은 네트워크로 연결된 곳에서 발생한 사이라는 문제점을 인지하면서 네트워크 보안의 필요성이 대두 되었다. 그 결과 1994년 최초의 상용 네트워크 방화벽 체크포인트 Firewall-1이 등장했으며, 1998년 네트워크 침입 탐지 시스템인 'Snort'가 나오면서 다양한 네트워크 보안 시스템 업체들이 등장했고 복잡한 네트워크 보안을 효과적으로 운용하고 보안 위협을 탐지/대응하는 네트워크 보안 관제 업체들도 등장하기 시작했다. 국내에도 해커스랩,코코넛(2007년 안랩으로 인수됨) 등의 보안 관제 업체가 등장하면서 많은 보안 관제 전문 업체가 보안 관제 서비스뿐만 아니라 전 방위적 보안 관제를 하는 방식으로 발전해 나가고 있다. 

요약하자면 

1. 지속적인 보안 위협의 증가: 2003년 1월 25일 대한민국 인터넷 대란을 비롯해 지속적으로 발생하는 정보보안 사고들은, 공공 기관과 기업들에게 정보보안 강화의 필요성을 강조한다. 이는 단순히 보안 시스템을 도입하는 것을 넘어, 지속적인 보안 관제와 위험 탐지의 중요성을 부각한다.
2. 보안 시스템과 관제의 결합 필요성: 보안 시스템의 도입만으로는 충분하지 않다. 보안 시스템을 통한 예방적 조치와 함께, 보안 전담 인력이 지속적인 관제 활동을 통해 사전 위험 탐지와 사고 대응을 할 수 있어야 한다. 특히 중소기업의 경우 기본적인 보안 시스템조차 없어 공격 상황을 파악하기 어려운 경우가 많기 때문에, 보안 관제는 이러한 위험을 최소화하는 데 필수적이다.
3. 네트워크 보안의 진화와 복잡성 증가: 네트워크 보안이 단순한 접근 통제에서 다양한 보안 위협의 탐지와 대응으로 발전함에 따라, 보안 관제의 역할이 더욱 중요해졌다. 1990년대부터 네트워크 보안의 필요성이 대두되고, 체크포인트 Firewall-1, Snort 등의 네트워크 보안 시스템이 개발되면서 복잡한 네트워크 환경에서의 보안 위협을 효과적으로 관리할 수 있게 되었다. 국내에서도 해커스랩, 코코넛(현재 안랩) 같은 보안 관제 업체들이 등장하여 보안 관제 서비스와 전 방위적인 보안 관리를 제공하고 있다.

< 무결성(Integrity) >

무결성은 데이터가 오직 정당한 권한을 가진 사용자에 의해서만 수정되거나 삭제될 수 있어야 한다는 개념이다. 무결성을 통해 우리는 데이터가 신뢰할 수 있으며, 예상치 못한 변조로부터 보호된다는 확신을 가질 수 있다.
은행 시스템에서는 거래 내역이 무결성을 가지고 있어야 한다. 만약 무분별한 수정이나 삭제가 가능하다면, 시스템은 신뢰성을 잃게 될 것이다.

< 가용성(Availability) >

가용성은 사용자가 필요할 때 언제든지 자원에 접근할 수 있어야 한다는 개념이다. 정보 보안에서 가용성은 중요한 요소로, 시스템이나 네트워크의 다운타임이 길어지면 그로 인한 비용이나 불편함이 커질 수 있다.
공공기관의 웹사이트는 항상 가용성을 유지해야 한다. 만약 시스템이 다운되면, 시민들이 필요한 정보를 얻지 못하고, 필요한 서비스를 받지 못할 수 있다.

< 기밀성(Confidentiality) >

기밀성은 정보가 오직 그것에 접근할 수 있는 권한을 가진 사람들만 볼 수 있어야 한다는 개념이다. 정보가 노출되는 것은 그 정보의 소유자에게 손해를 입힐 수 있기 때문에, 기밀성은 정보보안에서 중요한 역할을 한다.
예를 들어, 의료 정보는 환자와 의료진 사이에서만 공유되어야 한다. 만약 이 정보가 제3자에게 노출된다면, 환자의 프라이버시가 침해될 수 있다.