개요

보안관제 정의와 업무, 사용하는 도구들을 정리했습니다.

1. 보안관제란 무엇인가?

보안관제 정의 (보안관제 직무란)

Security Operation Center(SOC). 조직의 IT 인프라와 자산을 24시간 365일 모니터링하여 보안 위협을 탐지, 분석, 대응하는 전문 조직. 다양한 보안 장비(방화벽, IDS/IPS, SIEM 등)를 활용하여 실시간으로 위협을 모니터링하고, 침해사고 발생 시 신속하게 대응하여 피해를 최소화하는 것이 핵심 목표

보안관제의 핵심 업무와 절차

핵심 업무

내부 절차, 관제 목표에 따라 달라질 수 있지만 주요 핵심 업무는 다음과 같습니다.

운영 및 관리

• 보안 장비(SIEM, 방화벽, IDS/IPS..)를 24시간 운영하며 로그 수집, 통합 모니터링 수행 보안 정책과 룰셋을 지속적으로 검토 및 최적화하고, 보안 사고 통계와 서비스 KPI 관리

탐지, 분석, 대응

• 실시간 모니터링 기반 이탐과 정탐/오탐을 판별하여 위험을 실시간으로 평가 공격자 IP 차단, 악성코드 제거 등 즉각 대응하여 침해사고를 복구와 작업 상세 보고서 작성

예방

• 취약점 점검과 최신 패치 적용으로 공격 가능성을 사전 차단 과거 침해사고 분석하여 재발 방지 대책 수립 보안 장비 시그니처와 차단 룰을 지속적으로 갱신하여 보안 수준을 유지

업무 프로세스 & 절차

핵심 업무 기반의 프로세스입니다.

1단계, 예방. 취약점 점검과 최신 패치 적용으로 공격 가능성을 사전 차단. 보안 정책과 룰셋을 지속 최적화하고, 최신 위협 인텔리전스를 공유하여 보안 태세 강화.

2단계, 탐지. 보안 장비에서 로그를 실시간 수집 및 모니터링. 알람 발생 시 출발지·목적지 IP, 공격 유형을 1차 분류하고 정탐·오탐 검증으로 악성 여부 확인. 영향 범위 평가로 위험 등급 결정, 고위험 사고는 즉시 에스컬레이션.

3단계, 대응. 공격자 IP 차단, 감염 시스템 격리, 악성코드 제거 및 백업 복원. 보안 패치 적용과 설정 강화. 관련 부서 통보 및 플레이북 기반 처리.

4단계, 보고. 침해사고 타임라인과 피해 규모 정리, 대응 조치 문서화. 일일·주간·월간 보고서로 보안 KPI 관리.

5단계, 공유 및 개선. 침해사고 분석으로 재발 방지 대책 수립. 보안 장비 시그니처와 차단 룰 갱신. 보안 정책·프로세스 최적화 및 위협 인텔리전스 공유로 조직 전체 보안 수준 지속 향상.

• https://www.igloo.co.kr/security-information/%EB%B3%B4%EC%95%88%EA%B4%80%EC%A0%9C%EB%B0%A9%EB%B2%95%EB%A1%A0-%EA%B8%B0%EB%B0%98-%EC%9D%B8%EA%B3%B5%EC%A7%80%EB%8A%A5-%EB%B3%B4%EC%95%88%EA%B4%80%EC%A0%9C-%ED%94%84%EB%A1%9C%EC%84%B8%EC%8A%A4/

2. 보안관제 업무 시 활용하는 웹 페이지 및 도구

정보 수집 도구

IP/도메인 조회

Whois (whois.com, whois.kisa.or.kr)

• 도메인 등록자 정보, 등록일, 만료일, 네임서버 조회

ARIN/APNIC/RIPE/KISA

• IP 주소 할당 기관 및 국가 정보 조회, AS 번호 확인

ipconfig.io (ipconfig.io) / ipinfo.io (ipinfo.io)

• IP 주소의 지리적 위치, ISP, ASN 정보 조회

VirusTotal (virustotal.com)

• 70개 이상 백신 엔진으로 파일·URL·IP·도메인 악성 여부 검사 및 관계도 시각화

AbuseIPDB (abuseipdb.com)

• 악성 IP 데이터베이스, 공격 유형별 분류 및 위험도 평가

Shodan (shodan.io)

• 인터넷 노출 IoT 장치, 서버, 카메라 검색 및 취약점 시스템 탐색

Censys (censys.io)

• 인터넷 자산 검색, SSL 인증서·도메인·호스트 정보 및 공격 표면 파악

위협 인텔리전스

AlienVault OTX (otx.alienvault.com)

• 오픈 위협 인텔리전스 커뮤니티, 전 세계 보안 연구자 IOC 공유 및 API 지원

MISP (misp-project.org)

• 오픈소스 위협 인텔리전스 공유 플랫폼, STIX/TAXII 표준 지원

ThreatCrowd (threatcrowd.org)

• 위협 정보 검색 엔진, 도메인·IP·이메일 연관 관계 시각화

IBM X-Force Exchange (exchange.xforce.ibmcloud.com)

• IBM 위협 인텔리전스 플랫폼, 위험도 점수 및 취약점 분석 리포트

Talos Intelligence (talosintelligence.com)

• Cisco 위협 인텔리전스, IP·도메인 평판 조회 및 보안 권고사항

Recorded Future (recordedfuture.com)

• 오픈·다크웹 실시간 위협 가시성 제공

Anomali ThreatStream (anomali.com)

• 머신러닝 기반 위협 점수화 및 100개 이상 오픈소스 피드 제공

악성코드 분석

Hybrid Analysis (hybrid-analysis.com)

• CrowdStrike 기반 샌드박스, 행위 분석 및 MITRE ATT&CK 매핑

Any.run (any.run)

• 인터랙티브 악성코드 샌드박스, 실시간 악성코드 실행 관찰 및 상호작용 가능

Joe Sandbox (joesandbox.com)

• 클라우드 기반 악성코드 분석, 다양한 OS 환경 지원

MalwareBazaar (bazaar.abuse.ch)

• 악성코드 샘플 데이터베이스, 해시값 검색 및 샘플 다운로드

URL/피싱 검사

URLScan.io (urlscan.io)

• 웹사이트 스크린샷 확인, HTTP 요청·DOM·JavaScript 분석

PhishTank (phishtank.org)

• 커뮤니티 기반 피싱 사이트 데이터베이스, 피싱 URL 조회 및 신고

Google Safe Browsing (safebrowsing.google.com)

• 구글 안전 브라우징 API, 악성·피싱·멀웨어 배포 사이트 탐지

CheckPhish (checkphish.ai)

• AI 기반 피싱 사이트 탐지, 실시간 URL 스캔 및 브랜드 모방 탐지

최신 OSINT 도구 (2024-2025)

Maltego (maltego.com)

• 엔티티 간 관계 시각화 도구, 도메인·IP·조직 간 연결 분석 및 광범위한 API 통합

Lampyre (lampyre.io)

• AI 기반 OSINT 도구, 소셜미디어·공개 기록·다크웹 통합 및 실시간 인텔리전스 수집

TheHarvester

• 오픈소스 이메일·서브도메인·도메인명 수집 도구, 초기 정찰 단계에서 외부 위협 파악

Osintgram

• Instagram 프로필 OSINT 도구, 팔로워·해시태그·스토리·위치 정보 추출

Metagoofil

• 공개 문서 메타데이터 추출 도구, PDF·DOC·PPT·XLS 파일 조사

AMASS

• DNS 열거 도구, 외부 공격 표면 매핑 및 다중 소스 정보 수집

SpiderFoot

• 자동화 OSINT 수집 플랫폼, 200개 이상 데이터 소스 통합 및 웹 UI 제공

Recon-ng

• 웹 기반 정찰 프레임워크, 모듈식 구조로 다양한 OSINT 작업 수행

네트워크 분석 도구

Wireshark

• GUI 기반 패킷 분석 도구, 프로토콜 디코딩 및 필터링으로 패킷 단위 상세 분석

tcpdump

• 커맨드라인 기반 패킷 캡처 도구, 서버 환경에서 스크립트 자동화 가능

NetworkMiner

• 포렌식용 네트워크 분석 도구, 패킷에서 파일·이미지·인증 정보 추출 및 호스트 단위 분류

보안 취약점 정보

CVE (cve.mitre.org)

• 취약점 고유 번호 부여 및 표준 식별 체계

NVD (nvd.nist.gov)

• CVE 기반 CVSS 점수, 영향 제품, 패치 정보 등 상세 분석 제공

CVSS Calculator (first.org/cvss)

• 취약점 심각도 0~10점 정량 평가 (Critical 9.0-10.0, High 7.0-8.9, Medium 4.0-6.9, Low 0.1-3.9)

Exploit-DB (exploit-db.com)

• 공개 익스플로잇 코드 제공, 합법적 보안 테스트 및 PoC 검증용

국내 보안 기관

KrCERT/CC (boho.or.kr)

• 국내 침해사고 신고·대응 및 최신 보안 위협 정보 제공

보안공지포털 (boho.or.kr)

• 보안 취약점 통합 포털, 소프트웨어 보안 업데이트 및 점검 도구 제공

KISA (kisa.or.kr)

• 국가 사이버보안 정책 수행, 보안관제·개인정보보호·ISMS 인증

글로벌 보안 기관

US-CERT (cisa.gov/uscert)

• 미국 사이버보안 대응팀, 보안 권고 및 알림 발행

CISA (cisa.gov)

• 미국 국토안보부 산하, 중요 인프라 보호 및 위협 정보 공유

ENISA (enisa.europa.eu)

• EU 네트워크 정보보안기구, 회원국 간 협력 및 보안 표준 제공

정리

보안관제 업무 정리

보안관제는 실시간 모니터링과 이벤트 기반 대응을 수행하는 보안 핵심 업무입니다. 외부 침입을 빠르게 탐지하고 대응하여 피해를 최소화하는 것이 최우선 목표입니다.

주요 업무

• 실시간 보안 이벤트 모니터링 및 대응
• 취약점 점검 및 탐지패턴 정교화
• 오탐/미탐 지속 개선
• ML 기반 이벤트 분류 (최종 판단은 사람이 수행)
• SOAR, SIEM 등 고도화 장비 활용

보안관제 순환 프로세스

예방 → 탐지/대응 → 분석 → 보고/관리 → 공유/개선 → 예방 (재발 방지)

보안관제 유형 (3가지)

원격 관제 (10~20%)

• 소규모 기업 대상
• 원격으로 지원, 필요시 파견 조치
• 비용 효율적이나 제공 범위 한정적

파견 관제 (60~70%)

• 대기업, 금융기관, 공공기관 대상
• 전문 인력이 현장 상주
• 빠른 직접 조치 가능
• 물리적 점검 수행 (내부 소행, 고도화 공격 대응)
• 인력/관리 비용 투입되나 신뢰도와 조치 속도 우선

자체 관제(위 관제를 제외한 나머지)

• 회사 내부에서 직접 수행
• 기밀성이 중요한 기업 (국가기밀, 금융권)
• 전문성 부족 리스크로 최근 파견 관제 형태로 전환 추세

주요 분석 도구

• Whois - 국내 IP 조회에 최적화
• Ipconfig.io - IP 정보 확인
• VirusTotal - 파일/도메인/IP 악성코드 검사, 과거 이력 확인, 탐지패턴 생성용 샘플링
• PhishTank - 피싱 사이트 여부 확인, Wi-Fi 안전성 점검 등

Reference

• [보안 101] 보안관제란 무엇인가요?
• MITRE ATT&CK Framework
• VirusTotal
• NIST National Vulnerability Database