온프레미스와 멀티 클라우드 보안 운영을 하나로 통합하여 완결된 정보보호 관리체계를 구축하는 방안을 소개합니다.

1. 멀티 클라우드 시대의
정보보호관리체계

2. 2
온프레미스 정보보호 체계

3. 3
수십 종의 단위보안시스템 구축
네트워크 보안
단말 보안
서버 보안
네트워크 운영
개인정보보호
내부 통제
방화벽
NAC
APT
네트워크 포렌식
DDoS
IPS
웹방화벽
무선 IPS
스팸차단
HTTP 프록시
매체제어
안티바이러스
DRM 암호화
패치관리
출력 관리
보안USB관리
앱위변조 방지
보안 파일서버
윈도우 권한상승관리
사용자 행위분석
DB접근제어
암호변경지원
웹쉘 차단
취약점 스캐너
ITSM
안티바이러스
PKI
OTP
암호화 키관리
통합계정권한관리
망분리
망연계
암호 초기화
DB 암호화
통합인증
소스코드 취약점분석
출입통제
CCTV
외주직원관리
반출입관리
개인(신용)정보보호
고객정보관리
협력사 고객정보공유
개인정보 모니터링
PC개인정보 검출
서버개인정보 검출
스위치 운영 로그
플로우 분석

4. 4
• 외부침해에 대한 통합관제체계
• 실시간 이벤트 연관 분석 위주
• RDBMS 기반으로 제한된 로그 보관
• 2만 EPS 수준의 낮은 수집/저장 성능
ESM 통합보안관제시스템
• 실시간 빅데이터 분석 엔진 기반 연관분석
• 인사DB (PKI), 자산DB (ITSM),
위협정보 DB, 공인IP DB 연계 분석 가능
• 애플리케이션, 사용자 행위분석 등
모든 영역으로 확대된 통합 분석체계
정보보호통합 플랫폼
• 위협 인텔리전스 기반 탐지
• 빅데이터 검색 엔진 기반으로
20만 EPS의 고속 인덱싱 및 검색 지원
• ESM, TMS, SMS, NMS 연계
SIEM 보안정보 및 이벤트관리시스템
• 서버 성능 및 장애 모니터링
• 서버별 에이전트 설치
SMS 시스템 관리 시스템
• 사용자 행위 프로파일링 기반
으로 이상행위, 위협, 데이터 유출 탐지
UBA 사용자 행위분석 시스템
• 네트워크 및 시스템에서 발생
하는 모든 유형의 로그를 수집
및 압축 저장
• 검색 및 모니터링 지원
통합로그 시스템
• 스위치, 라우터 장비 모니터링
• 트래픽 유형별 통계 분석
• 네트워크 토폴로지 관리
• 장애 원인 분석
NMS 네트워크 관리 시스템
• 개인정보보호법 관련 개인정보
접속기록 생성 및 저장
• 개인정보 유출 감시, 이력분석
PIMS 개인정보보호 통합관제
일 1TB, 수십 종, 수백 대의 시스템을 실시간 빅데이터 분석 플랫폼 기반으로 통합 분석
정보보호통합플랫폼 구축
클라우드는..?

5. 5
급격한 클라우드 도입 추세
0.52조 0.77조
1.19조
1.51조
2조
3조
3.94조
3.84조
5.75조
2014년 2015년 2016년 2017년 2018년 2019년 2020년 2021년 2022년
<한국클라우드산업협회, 정보통신산업진흥원, 교보증권리서치센터 종합 자료>
http://biz.heraldcorp.com/view.php?ud=20190829000287

6. 관리체계 기반 마련
위험 관리
관리체계 운영
관리체계 점검 및 개선
경영진 참여 최고책임자 지정 조직 구성
범위 설정 정책 수립 자원 할당
정보자산 식별 현황 및 흐름분석
위험 평가 보호대책 선정
보호대책 구현 보호대책 공유 운영 현황관리
법적 요구사항 준수검토 관리체계 점검 관리체계 개선
관리체계 수립 및 인증기준
ISMS
정보보호 관리체계
6

7. 정책, 조직, 자산관리 정책의 유지관리 조직의 유지관리 정보자산관리
인적 보안 주요 직무자 지정 및 관리 직무 분리 보안 서약
인식제고 및 교육훈련 퇴직 및 직무변경 관리 보안위반 시 조치
외부자 보안 외주 현황 관리 외주 계약 시 보안
외주 보안이행 관리 외주 계약 만료 시 보안
물리 보안 보호구역 지정 출입 통제 정보시스템 보호
보호설비 운영 보호구역 내 작업 반출입 기기 통제
업무환경 보안
보호대책 인증기준 (1)
ISMS
정보보호 관리체계
7

8. 인증 및 권한 관리 사용자 계정 관리 사용자 식별 사용자 인증
비밀번호 관리 특수 계정 및 권한관리 접근권한 검토
접근 통제 네트워크 접근 정보시스템 접근 응용프로그램 접근
데이터베이스 접근 무선 네트워크 접근 원격접근 통제
인터넷 접속 통제
암호화 적용 암호정책 적용 암호키 관리
정보시스템 도입, 개발보안 보안요구사항 정의 보안요구사항 검토, 시험 시험과 운영환경 분리
시험 데이터 보안 소스 프로그램 관리 운영환경 이관
보호대책 인증기준 (2)
ISMS
정보보호 관리체계
8

9. 보호대책 인증기준 (3)
시스템 및 서비스 운영관리 변경관리 성능 및 장애관리 백업 및 복구관리
로그 및 접속기록 관리 로그 및 접속기록 점검 시간 동기화
정보자산의 재사용, 폐기
시스템 및 서비스 보안관리 보안시스템 운영 클라우드 보안 공개서버 보안
전자거래 및 핀테크 보안 정보전송 보안 업무용 단말기기 보안
보조저장매체 관리 패치 관리 악성코드 통제
사고 예방 및 대응 사고예방 및 대응체계 구축 취약점 점검 및 조치 이상행위 분석 및 모니터링
사고대응 훈련 및 개선 사고대응 및 복구
재해복구 재해, 재난 대비 안전조치 재해 복구 시험 및 개선
ISMS
정보보호 관리체계
9

10. 23GB
2780만건
• 지문, 얼굴 이미지
• 성명, 비밀번호
• 집 주소, 이메일 주소
• 보안 등급
• 출입 이력
...
10

11. 클라우드의 대표적 사고 사례 는?
개인정보 유출
클라우드 자원 악용
AWSS3버킷설정오류로인해,
• 미국유권자1억9천만명개인정보유출
• 다우존스고객정보2200만건유출
• 버라이즌고객정보1400만건유출
• 테슬라AWS인프라에서암호화폐채굴
• AWSEC2서버의엘라스틱서치공격후DDoS공격좀비화
-단순UDP트래픽공격보다DNS,NTP증폭활용추세
11

12. 12
테슬라 쿠버네티스 콘솔 노출
인스턴스 IAM 자격증명 사용 감사
악성코드 DNS 트래픽 모니터링
이미지 다운로드 트래픽 모니터링

13. 13
공동 책임 모델 (AWS)
고객 데이터
플랫폼, 애플리케이션, 인증 및 권한 관리, 접근 제어
운영체제, 네트워크, 방화벽 구성
클라이언트 측
암호화, 무결성 관리
서버 측 암호화
(파일시스템, 데이터)
네트워크 트래픽 보호
(암호화, 무결성, 자격 증명)
컴퓨팅 스토리지 데이터베이스 네트워킹
리전 가용 영역 엣지 로케이션
하드웨어 및 글로벌 인프라
소프트웨어
클라우드 설정 실수
=
고객 책임

14. 클라우드 보안 은 왜 어려울까요?
정보자산
식별
14

15. 클라우드는 상시 감사체계 가 필요합니다!
15
클라우드 관리 계정에 2 팩터 인증이 활성화 되어있는가?
S3 등 객체 스토리지가 외부에 노출된 상태는 아닌가?
S3 등 객체 스토리지에 대한 접근 로그가 활성화 되어 있는가?
SSH나 RDP 등 인터넷 구간에서 가상머신에 접근 차단하고 있는가?
기존과 다른 리전에서 고비용의 VM (GPU 장착 등)을 생성하여 사용하는가?
클라우드 감사 로그를 비활성화하려고 시도하는가?
VM에 대해 포트 스캐닝이나 SSH 브루트포스 등 공격이 발생하는가?
인터넷 구간으로 아웃바운드 DoS 등 이상 트래픽이 발생하지 않는가?
<기존의 온 프레미스 방식>
신규 서비스 혹은 증설 계획
취약점 진단 및 보안성 검토
서비스 오픈

16. 클라우드의 보안 서비스 를 사용하면 되지 않나요?
16
AWS
GuardDuty
AWS
Security Hub
AWS
Inspector
AWS
Macie
개인식별정보 등 민감 데이터 인식
AWS Macie
무단 액세스, 데이터 유출 위험 감지
AWS Security Hub AWS GuardDuty
AWS Inspector
애플리케이션 보안 취약성 진단
에이전트 설치 기반 (리눅스, 윈도우)
CloudTrail, VPC Flow, DNS 분석
EC2, IAM 관련 위협 탐지
보안 경보 통합 및 우선순위 지정
자동화된 컴플라이언스 준수 점검

17. 17
멀티 클라우드 관리의 어려움

18. 18
용어 비교
가상 서버 EC2: Elastic Compute Cloud Virtual Machine GCE: Compute Engine
가상 디스크 EBS: Elastic Block Store Disk Storage Persistent Disk
방화벽 Security Group Network Security Group Firewall Rule
객체 저장소 S3: Simple Storage Service Blob Storage Cloud Storage
파일 저장소 EFS: Elastic File System File Storage Cloud Filestore
플랫폼 서비스 EB: Elastic Beanstalk GAE: App EngineApp Service
DNS 서비스 Route 53 DNS Cloud DNS
부하 분산 ELB: Elastic Load Balancer Load Balancer Cloud Load Balancing
서버리스 Lambda Functions Cloud Function

19. 19
기존 정보보호체계 통합 필요성
외부침해관제
내부위협탐지
개인정보유출탐지
정보보호
통합플랫폼
정보보호포털
클라우드 자원 식별
클라우드 위협 탐지
컴플라이언스 감사
방화벽, IPS, WIPS, DDoS,
웹방화벽, APT, 보안OS,
안티바이러스, 스팸필터,
NAC, EDR 등
메일감사, DRM, DLP, DB
접근통제, 매체제어, 보안
USB, 출력물 보안, PC보안
점검, 웹프록시, 망연계 등
개인정보검출 등
• 보안 정책 신청 및 승인
• 보안성 심의 및 검토
• 정보보호 점검결과 통합
• 대시보드 시각화
• 위협 탐지 및 분석, 대응
• 보안규정 위반 소명 및 검토
• 로그 수집 저장 및 인덱싱
On-Premise Multi-Cloud
클라우드 리소스 모니터링
• 계정, 가상머신, 컨테이너,
로드밸런서, 공인IP, 네트
워크 접근제어규칙 등
• 실시간/배치 위협 탐지
• 서비스 성능 모니터링
• 에이전트 기반 로그 수집
• 클라우드 서비스 로그 수집
• 클라우드 구성 취약성 감사
• 컴플라이언스 보고서 생성

20. 구세대 SIEM 으로 클라우드 관리가 가능할까요?
20
1. 클라우드 리소스 변화 시 수집 자동 구성
2. 클라우드 리소스 감사
3. 클라우드 서비스 로그 및 API 연동
- 오토스케일링에 의해 VM이 새로 배포될 때 에이전트가 자동 설치되어야 합니다.
- 신규 에이전트로부터 로그를 수집할 수 있도록 SIEM이 자동 구성되어야 합니다.
- 멀티 클라우드 리소스의 세부사항을 조회할 수 있어야 합니다.
- 복잡한 컴플라이언스 감사 규칙을 표현할 수 있는 쿼리나 스크립팅을 지원해야 합니다.
- PaaS, SaaS 로그는 전용 오브젝트 스토리지나 API 연동을 통해 수집해야 합니다.

21. • aws-cost
• aws-cloudwatch-stats
• aws-s3-buckets
• aws-s3-textfile
• aws-ec2-instances
• aws-ec2-security-groups
• aws-iam-credential-reports
• aws-iam-server-certificates
• azure-metrics
• azure-resources
• azure-activity-logs
• azure-virtual-machines
• azure-network-security-groups
• azure-blobs
• azure-blob-textfile
• ....
21
쿼리 기반 클라우드 통합 관리 : Cloud as Query
쿼리 멀티 클라우드
클라우드
API & SDK
쿼리
엔진

22. 22
AWS EC2 컴퓨팅 자산 식별
다른 리전에 인스턴스 생성하면 인지하기 어려움

23. 23
AWS GPU 인스턴스 감사
aws-ec2-instances | search len(gpu_associations) > 0

24. 24
AWS 클라우드 가용성 모니터링
aws-cloudwatch-stats duration=1d span=5m namespace="AWS/EC2" metric="CPUUtilization"
| pivot avg(value) rows _time cols label

25. 25
AWS CloudTrail 로그
S3 버킷명/AWSLogs/계정식별자/CloudTrail/리전/년도/월/일/계정식별자_CloudTrail_리전_타임스탬프_해시.json.gz

26. 26
{
"Records": [
{
"eventVersion": "1.05",
"userIdentity": {
"type": "Root",
"principalId": "999999999999",
"arn": "arn:aws:iam::999999999999:root",
"accountId": "999999999999",
"accessKeyId": ""
},
"eventTime": "2019-08-17T13:30:52Z",
"eventSource": "signin.amazonaws.com",
"eventName": "ConsoleLogin",
"awsRegion": "us-east-1",
"sourceIPAddress": "111.112.113.114",
"userAgent": "Mozilla/5.0 (Windows NT ...",
"requestParameters": null,
"responseElements": { "ConsoleLogin": "Success" },
"additionalEventData": {
"LoginTo": "https://console.aws.amazon.com/...",
"MobileVersion": "No",
"MFAUsed": "No"
},
"eventID": "94419407-5aad-436d-a9f6-a46a5d745259",
"eventType": "AwsConsoleSignIn",
"recipientAccountId": "999999999999"
}, ...
]
}
이벤트명 설명
ConsoleLogin AWS 콘솔 로그인
CreateUser IAM 계정 생성
DeleteUser IAM 계정 삭제
RunInstances VM 인스턴스 생성
StartInstances VM 인스턴스 시작
RebootInstances VM 인스턴스 재시작
StopInstances VM 인스턴스 중지
TerminateInstance VM 인스턴스 삭제
CreateBucket S3 버킷 생성
CreateAccessKey 액세스 키 생성
UpdateAccessKey 액세스 키 활성화/비활성화
DeleteAccessKey 액세스 키 삭제
PutBucketAcl S3 버킷 접근제어 설정
PutBucketPolicy S3 버킷 정책 설정
AuthorizeSecurityGroupIngress 인바운드 트래픽 허용
AuthorizeSecurityGroupEgress 아웃바운드 트래픽 허용
StopLogging CloudTrail 로깅 비활성화
AWS CloudTrail 로그 예시

27. 27
AWS CloudTrail 대시보드
전체 AWS 리전의 CloudTrail 로그를 한 번에 모아서 API 호출 모니터링

28. 28
루트 계정 의 AWS 콘솔 로그인 감사
table duration=1d cloudtrail
| search eventName == "ConsoleLogin"
| eval userName = valueof(userIdentity, "userName"), type = valueof(userIdentity, "type")
| search type == "Root" | fields _time, type, userName, sourceIPAddress, userAgent

29. 29
SSH 접속이 인터넷 에 열린 가상머신 탐지
aws-ec2-instances
| explode security_groups
| parsemap overlay=t field=security_groups
| fields instance_id, public_ip, group_id, group_name
| join group_id [
aws-ec2-security-groups
| explode ingress
| parsemap overlay=t field=ingress
| # SSH 인터넷 구간 접속 허용 탐지
| search protocol == "tcp" and (from_port <= 22) and (22 <= to_port)
| explode ipv4_ranges
| parsemap overlay=t field=ipv4_ranges
| search cidr_ip == "0.0.0.0/0"
| stats count by group_id
| fields group_id
]

30. 30
Q & A

31. 멀티 클라우드 시대의
정보보호관리체계
서울특별시마포구새창로7SNU장학빌딩16층
02-6730-7249 contact@logpresso.com