해당 내용은 국가 망 보안체계 보안 가이드라인(Draft)을 참고하여 작성 하였다.
N2SF의 목적은 기존 경계기반 방어에서 데이터 자체를 분리하여 보호하고 또 신뢰 기반 접근제어를 수행하여 보안은 강화하면서 데이터 활용의 유연성을 확보하는것이라고 생각한다.
아직 체계화 되지 않았지만, 보안관제센터에서 어떻게 하면 해당 개념을 활용할 수 있을까 생각하며 작성 하였다.
국가망 보안체계 적용 절차는 총 5단계의 과정으로 수행된다.
1. 준비
기관의 업무정보 및 정보서비스 현황을 식별하고 분석한다.
1) N2SF 적용 계획 수립 [NNSF-P-1]
N2SF 각 단계의 활동별 책임자를 임명하고 관련된 역할과 권한을 정의한다.
아래는 N2SF 적용 계획 수립의 세부활동 중 필수항목만 기업 입장에서 작성 하였다.
| 구분 | 세부항목 | 설명 | 예시 |
| ① 역할 및 책임 정의 | 단계별 책임자 지정 | N2SF 5단계별 수행 주체 및 승인자 지정 | 준비: 보안 기획팀 C/S/O 등급 분류: 보안 담당자 위협 식별: 보안 분석팀 |
| R&R 문서 | 각 단계별 RACI(책임자/협조자/검토자/승인자)으로 구분하여 작성 | 준비 R: 보안기획팀 A: 정보보호 책임자 C: 정보보안팀 I: 정보보호센터장 |
|
| ② 자체 심의위원회 구성 |
구성 목적 | 적절성 평가 결과에 대한 공식 승인 및 자율 책임 강화 | 자체 보안 정책 승인을 위한 조직 내부 거버넌스 운영 |
| 구성 | 위원장, 실무자, 자문위원으로 구성 | 위원장: 정보보호센터장 위원: 관제센터장 PM, PL |
|
| ③ 보안요구사항 정의 |
적용 법령 및 지침 | 각 등급별 보호 대상 및 기술 통제 기준 정의 | 정보보호지침, 개인정보법 등 |
| 기술 요구 사항 | 각 등급별 보호 대상 및 기술 통제 기준 작성 | C: SIEM, 로그저장소 S: 관제 운영일지, 분석보고서 O: 공개 통계 대시보드, 외부 홍보 자료 |
|
| 예외관리 | 외부망 연동, 비인가 시스템 접속 등에 대한 예외조건 명시 |
2) 기관 업무, 기능 분석 [NNSF-P-2]
기관이 수행하는 업무(기능) 목록을 도출하고 이를 기반으로 이후 업무정보, 정보시스템, 정보서비스 식별을 위한 기초 자료를 만드는 과정이다.
보안관제센터 환경에 맞춰 구성하기 위해 이 단계는 일반 행정기관의 BRM(기능분류체계) 활용보다는 SOC 고유의 운영, 분석, 대응 기능을 중심으로 관제 관련 업무를 체계화 한다.
SOC에서 수행하는 주요 기능을 식별하고 문서화해 후 C/S/O 등급 분류, 위협식별, 보안대책 수립 단계의 기준점으로 활용한다.
단순 조직도 수준이 아니라 어떤 업무가 어떤 시스템, 정보와 연결되는지 명확히 하기 위한 기초작업이다.
① 업무 기능 설명
보안관제센터의 핵심 기능은 실시간 로그 수집 및 경보 탐지, 위협 분석, 보안사고 대응, 관제정책 관리, 보고서 작성으로 구분된다.
각 기능은 보안장비, SIEM, SOAR, ExD 등 주요 관제시스템과 연계되어 수행되며, 중요도에 따라 C/S/O 등급이 지정된다.
② 업무기능-자산 매핑표
| 기능 구분 | 세부 기능 | 연계 시스템 | 중요도(C/S/O) |
| 운영 | 실시간 로그 모니터링 | SIEM, FW, IPS, WAF 등 | C |
| 분석 | 위협 분석 | CTI | C |
| 대응 | 경보 차단/조치 | SOAR, FW, IPS, WAF 등 | C |
| 관리 | 탐지룰 및 정책 업데이트 | SIEM, EXD 등 | S |
| 보고 | 보고서 작성 | 관제포털 | O~S |
③ 기능별 보안요구사항 부여
각 기능이 다루는 정보, 시스템에 맞춰 기본 통제 요구사항을 기술한다.
C등급(실시간 로그 파일/탐지룰/DB 정보)
별도 백업을 통해 로그 위변조 방지
관리자 MFA 접근제어 수행
외부망 접속 차단
S등급(정책 분석 문서/내부 업무 메뉴얼)
사용자별 계정 분리 및 접근로그 주기적 검토
변경 이력 기록 및 6개월 보존
O등급(통계 대시보드/홍보 자료)
개인정보 및 민감정보 비포함
공개 전 보안검토 필수
3) 업무정보 식별 [NNSF-P-3]
대상
관제센터가 업무 수행을 위해 사용하는 정보와 업무 수행 과정에서 생성되는 모든 정보를 기록한다.
(예: 방화벽/EDR 로그, DNS 쿼리로그, 탐지룰/정책 파일, 관제 리포트, 대시보드 통계 등)
목적
기관의 기능과 연관된 모든 업무정보를 빠짐없이 목록화한다.
각 정보의 특성(형태, 담당부서, 활용 범위, 저장 위치, 사용 주기 등) 기록한다.
C/S/O 등급 분류에 활용될 업무 정보, 정보시스템, 정보서비스 정보들을 식별한다.
4) 정보시스템 식별 [NNSF-P-4]
대상
P-3에서 식별한 업무정보를 생성, 저장, 처리, 전송하는 모든 정보시스템을 기록한다.
(SIEM 서버, DNS 서버, 백업서버, 분석서버 등)
목적
업무정보 생명주기 전체 과정이 정보시스템과 함께 식별되었는지 확인하고 각 단계에서 어떤 시스템을 거치는지 기록한다.
(생성 → 저장 → 처리 → 전송/백업 → 폐기)
시스템 내에서 정보가 다뤄지는 형상과 방식 식별한다. (물리/가상 서버 여부, NAS 공유폴더 등)
2. C/S/O 등급 분류
1) 업무정보 C/S/O 등급 분류 [NNSF-C-1]
기관의 업무정보 및 정보시스템에 대해 업무 중요도에 따라 C(Classified:기밀), S(Sensitive:민감), O(Open:공개) 등 3개 등급으로 분류한다.
업무 정보의 경우 하기 기준에 따라 C/S/O 구분을 수행한다.
기밀 정보(C, Classified)
정보공개법 제9조(비공개 대상 정보)의 제1호부터 제4호 항목인 경우이다.
예시: 침해사고 보고서
민감 정보(S , Sensitive)
정보공개법 제9조(비공개 대상 정보)의 제5호부터 제8호 항목인 경우이다.
예시: 내부 메뉴얼
공개 정보(O, Open)
기밀 민감 정보 외 모든 정보이다.
예시: 사내 홍보자료
2) 정보시스템 C/S/O 등급 분류 [NNSF-C-2]
기관의 업무정보에 대한 C/S/O 등급 분류가 완료된 후 해당 업무정보가 저장된 정보시스템 등급을 분류한다.
만약 하나의 서버에 C/S/O 파일이 모두 들어있는 경우 업무 정보의 최상위 등급인 C데이터 기준으로 정보시스템을 분류해야한다. 하지만 이러한 방식은 S, O데이터도 C등급 보안 대책이 강제 적용되어 불필요하게 엄격한 보안 통제를 받게 되므로 불가피한 상황이 아니라면 C/S/O 등급별로 정보시스템을 물리적 또는 논리적으로 분리하여 따로 운영하는것을 권고하고 있다.
| 정보시스템: NAS, 서버, DBMS 등 업무 정보를 저장·처리하는 시스템 업무정보: 그 시스템 안에 저장되어 있는 실제 문서, 파일, 데이터 |
3. 위협 식별
정보시스템을 포함한 서비스 환경 전체를 대상으로 모델링 기법을 활용하여 위협을 식별하고, 보안대책 적용이 필요한 대상을 선정한다.
4. 보안대책 수립
위협식별 결과를 기준으로 필요한 보안통제를 선택하고 구현계획을 수립한다.
5. 적절성 평가 및 조정
준비, C/S/O 등급분류, 위협식별, 보안대책 수립의 전 과정에 대한 적절성을 평가하고 재조정 및 승인을 수행한다.
공부&일상 블로그
포스팅이 좋았다면 "좋아요❤️" 또는 "구독👍🏻" 해주세요! 질문은 언제나 환영입니다😊