보안에 입문하면서 가장 흔히 접하는 직업군이 몇 가지 있습니다.
"모의해킹, 악성코드 분석, 보안관제"
오늘은 그 중 보안관제에 대해서 써보고자 합니다.
취업을 준비하는 학생의 입장에서 바라본 글이기 때문에 현업과 동떨어져 있을 수도 있으니 개인적인 사념정도로 가볍게 읽어주시면 감사하겠습니다.
혹, 현업에 계신 선배님들이나 더 많은 지식과 정보를 가지고 계신분이 이 글을 읽어주신다면 감히 지적과 조언을 여쭈니, 말씀해주시면 겸허히 수용하겠습니다.
------------------------------------------------------------------------------------------------------------------------------------------------------------------------
관제는 흔히들 '보안의 최전방'이라고 표현합니다. 군대로 따지면 최전방 GOP 근무를 서는 업무와 유사합니다. 이상 징후를 24시간 365일 감시하는 형태의 근무이기 때문에 교대근무로 이루어집니다. 때문에 상대적으로 다른 직군들보다 피로도가 높고, 그에 반해 급여는 높지 않은 직군이라고 합니다.
보안업계 자체가 급여가 높은 편이 아니라는 것은 여러 기사를 통해서도 접할 수 있습니다. 여러 교육 과정들을 통해 멘토분들과 강사님들을 만나면서 듣는 소리 중 가장 많이 하시는 말씀이
'보안은 돈을 벌기 힘들다.'
'왜 보안을 하세요?'
'보안관제가 목표시면 그냥 나가서 이력서를 넣어야지, 교육을 굳이 듣지 않아도 됩니다.'
입니다.
물론 관제의 필요성과 매력에 대해서 적극적으로 어필하시는 분들도 계십니다. 하지만 힘들고 굳은 일을 하는 곳이라는 이미지는 쉽게 벗기 힘들 것 같습니다. 실제로도 그러니까요.
관제는 네트워크상의 데이터를 수집하고 분석합니다. 장비가 이상징후를 탐지하면 가장 빠르게 대응하는 역할도 합니다. 외부의 침해로 인한 피해를 최소화 하기 위해 반드시 필요한 직군입니다. 요즘은 보안기술이 발달하는 만큼 공격기술도 발전하기 때문에 더욱 필요성이 대두되고 있기도 합니다.
관제는 크게 원격관제와 파견관제로 나뉩니다. 주로 보안업체에서 인력을 도급하는 형태로 이루어지고, 일반적인 기업이 관제 인력을 별도로 모집하지는 않습니다.
원격관제는 굳이 내부에 외부인력을 두지 않고 저렴한 단가로 서비스를 제공받을 수 있는 장점이 있습니다. 다만 원격인만큼 서비스 제공이 한정적이고, 장애가 발생하거나 침해사고가 생기면 즉각적인 대처를 하기 어렵다는 단점이 있습니다.
파견관제는 말그대로 해당 업체에 인력을 파견하는 형태로, 고객사에 맞게끔 서비스를 제공할 수 있는 장점이 있습니다. 고객사와 관제인력간의 의사소통도 빠르게 이루어 지기 때문에 장애가 발생해도 빠르게 대처가 가능합니다. 다만 그만큼의 인력 관리와 높은 단가에 대한 부담을 가지고 있습니다.
위 도식과 같이 관제의 프로세스는 네가지로 분류됩니다.
평시 모니터링을 진행하다가 이벤트가 발생시 관제요원이 초기 대응을 진행하고, 침해대응팀과 함께 이벤트에 대한 자료를 분석합니다. 이후 분석 결과를 토대로 복구를 진행하고 대응방안을 수립한 후 보고서를 통해 고객사 담당자와 협의해 동일한 이벤트로 인한 침해 재발을 방지합니다.
이러한 침해 대응에서 중요한 것이 로그 분석입니다. 로그 분석은 외부 침입으로 인해 어떤 피해가 일어났고 어떤 동작을 했는가, 어디에서부터 유입되었는가를 판단할 수 있는 중요한 자료입니다. 이러한 로그를 통합적으로 분석할 수 있는 도구들도 무료/상용버전으로 많이 배포되고 있습니다.
오늘은 면접 준비로 인해 짧게 관제가 무엇인지에 대한 이야기만 적었습니다.
다음 시간에는 본격적으로 교육 과정 때 이수했던 로그분석 내용들을 적으면서 스스로도 되짚어 보는 시간을 가져야겠습니다.
감사합니다. 또올게요 :)