보안 컨설팅 ( 컨설턴트, 마스터 플랜 등)
제로코딩
·2022. 7. 7. 10:20
✋ 보안 컨설팅 ( 컨설턴트, 마스터 플랜 등)
보안 컨설턴트 뿐만 아니라 일반인들도 포함하여 보통 원하는 회사를 가고 싶은 취업희망자도 이런 컨설팅적인 마인드를 갖추어야 합니다. 지원하는 회사가 무엇을 필요로 하고 면접때 이것을 왜 물어보는지, 어떤 직원을 뽑고 싶어하고 그 직원이 왜 필요한지에 대한 분석을 갖추고 도전해야 성공이 가능합니다.
⚡️ 보안 컨설팅이란?
- 보안 컨설팅은 ‘전문 보안 지식을 바탕으로, 다양한 사이버 위협에서 기업 자산을 보호하는 서비스’입니다. 기업의 정보보호를 위해서는 먼저 현재 기업의 정보보호 수준을 기업 전체를 대상으로 평가하고, 이후 그에 맞는 정보보호 계획을 수립하는 것이 중요
- 문제를 파악하고 고객이 해결하기 어려운 것 또는 직접 해결하기 싫은 것들을 대신해주면서 그 대가로 돈을 지불받는 것입니다
- 고유의 도구와 기법을 활용하여 효과적으로 전달하느냐에 따라 지급 비용도 가지각색입니다.
보안업계에서 컨설팅 서비스는 아래와 같이 크게 6가지로 나누어 볼 수 있습니다.
컴플라이언스 컨설팅 (주요정보통신기반시설 취약점 분석 평가 등)
정보보호 관리체계 컨설팅 (ISMS 인증 컨설팅 등)
개인정보보호 컨설팅 (ISMS-P 인증 컨설팅 등)
모의해킹 컨설팅 (웹/모바일 취약점 진단 등)
개발보안 컨설팅 (정보보호 아키텍처 수립 등)
종합 정보보호 컨설팅 (정보보호 마스터 플랜 수립 등)
컨설턴트란
- 컨설턴트를 상담가로 알고 있으며 고객의 의뢰를 받아 특정 문제에 관해 조언을 제시하거나 업무를 수행하는 전문가
- 컨설턴트 서비스: 컨설턴트가 제공하는 전문적인 지식과 서비스
보안 컨설턴트의 주 업무는 보안 컨설팅을 하는 것입니다.
보안 컨설턴트는 고객의 업무와 요구사항을 분석하고, 정보자산에 대한 위험과 취약점을 진단하여, 보안 관점에서 최적화할 수 있는 개선방안을 제시하는 전문가입니다.
📌 (보안)컨설턴트가 가져야하는 자세
- 객관적인 시점이라는 독립된 입장을 보장받아야 합니다.
- 자문 제공 측면에서 소통 능력이 매우 중요합니다.
- 문제 파악 및 분석을 위해 보안 도구와 기법의 사용법을 잘알아야 합니다.
- 문제 해결 및 수행을 위해 창의적인 아이디어와 기간 내에 업무 수행을 위해 높은 업무 집중력을 가져야 합니다.
- 문제 해결 능력(Problem-Solving Skill)
- 대인관계 능력(Interpersonal Relationship Skill)
- 의사소통 능력(Communication)
- 팀워크(Team Work)
- 리더십(Leadership)
- 일에 대한 열정(Passion for work)
- 연구 능력(Research Skill)
- 논리적인 사고(Logical Thinking)
- 창의적인 사고(Creative Thinking)
- 문서화 능력(Documentation Skill)
- 발표 능력(Presentation Skill)
보안 컨설턴트의 경우
- 경영진 마인드를 가지고, 관리체계, 정보시스템, 공격에 대한 대응 방어 기술같은 기술적인 측면을 갖추어야 합니다. 현재 상황을 판단할 수 있는 관찰력이 필요하고, 상황을 해결하기 위한 분석력도 필요하고, 분석된 결과를 고객이 이해할 수 있게 정리하는 문서 작성 능력이 필요합니다. 물론 PT능력도 갖추어야 합니다.
📌 정보보안 직군
정보보안은 산업에서 전문 직군입니다. 정보보안쪽의 컨설턴트는 담당할 수 있는 전문적인 분야가 다양합니다.
정보보안 직군은 회사 내부의 취약점을 분석 후에 보안에 대한 대책을 설계하는 업무를 주로 합니다.
- 보안쪽 용어의 명확한 구분을 알아야 의사소통 및 이해가 가능합니다.
예시)
- 취약점: 고장난 문 (ex. MD5 알고리즘 등 다양한 암호화 알고리즘의 취약함)
- 위협: 해커
- 위험: 개인정보가 털릴 가능성
📌 보안 컨설팅 마스터 플랜 (Master Plan)
마스터 플랜은 조직의 정보보호 전략을 효과적으로 지원하기 위한 보안전략 및 비전을 정의하고 비즈니스 및 정보기술에 대한 현황과 요구사항을 분석하여 전반적인 로드맵을 수립을 합니다.
마스터 플랜이란 정보보안 표준을 기반으로 고객사의 보안 현황 및 보안 Issue 사항을 파악하고 이에 대한 대책 및 계획을 제시하여 정보보안 관리체계를 개선하기 위해 계획 수립하는 플랜입니다.
즉, 기업의 보안 수준 향상을 위해서 정보보안의 큰그림을 그리는 종합 계획입니다.(기본이 되는 계획 및 설계도)
수행준비 → 수행계획수립 → 현황 분석 → 보안체계 수립 → 보안 관리의 절차를 거칩니다.
보안체계 수립에서는 이행과제를 선정하고 이행 계획 및 정보보안 정책을 수립하고 보안 솔루션을 구축하는 과정입니다.
예시)
기업에서 퇴직자가 기업 내 자료 유출에 대해 어떻게 할 것인지?
- 정보보안 정책 수립 : 퇴직 예정자 보안관리 추가(즉시 반영 가능)
- 보안솔루션 구축 : 정보 유출 대응에 대비한 솔루션을 도입하고 사업장 물리적 보안 통제 강화(시간 소요)
정보보안 정책 수립
1)집중 모니터링 강화 활동 마련
2)정보유출 모니터링과 퇴직 예정자 활동 정의
3)퇴직예정자에 대한 정보유출 징후 조사 프로세수 수립
- 퇴직자 상담 및 최근 3개월 이력 조사하고 Daily 집중 모니터링 실시
보안솔루션 구축
1)외부 유출 원천 방지 솔루션 구축(문서중앙화)
2)외부 저장매체 사용 및 출력물 통제와 이력관리 수행
- 외부 저장 매체 전부 차단, 로그 분석의 용이성을 위해 읽기/쓰기로 구분하여 사용 이력 로그 적재 출력물 정보, 일시, 문서 경로, 파일명 페이지 수 출력물 사본 등 출력 이력 저장을 통한 사후 이력관리
3)사업장 출입통제
- ID카드를 이용한 출입 통제 시스템 구축 & CCTV, Fence를 통해 사업장 외곽 물리 보안 개선
📌 보안 아키텍처
보안 아키텍처는 정보보안 통제들이 구성하고 있는 위치 및 전반적인 정보기술 아키텍처를 보호하고 있는 방법을 명시한 설계도입니다.
보안 아키텍처에서 쓰이는 Component 요소
- FireWall(방화벽): 서비스의 허용 거부를 통해서 외부에 노출시킬 서비스를 한정 짓는 역할 수행 보안 솔루션
- IPS(침입 방지 시스템): 통과되는 서비스 패킷에 대해 여러 취약점 파악
📌 마무리: 보안이란
보안은 무엇인가를 보호하는 행위
위협을 없애거나 자산의 가치가 없거나 취약점이 존재하지 않으면 위험이 존재하지 않습니다.
R(위험) = V(취약점)+A(자산)+T(위협) - C(보호대책)
위부로부터 Threat(해커/공격자)가 계속 들어오고 자산과 공격자는 없앨 수가 없습니다. 따라서 V(취약점)을 최대한 발견해서 제거하여야 합니다.
이런 위험을 줄이는 방식이 바로 보안 행위입니다.
ex) 수능 시험 성적 유출 사전 조회 사고 (년도 파라미터 변경한 방식은 요청 변조에 해당합니다)
→ Request 파라미터의 년도를 변조한 형식입니다. (말도 안되는 취약점이 발견됨)
위 사례를 방지하기 위해 보안 컨설턴트가 필요합니다.
보안 컨설턴트는 보안 관련 업무 분석 및 해결책을 제시하고 끊임없는 신기술 분석 대응과 취약점에 대응되는 보안 점검, 취약점 점검, 마스터 플랜, 위험 평가 등 여러 영역에 대한 업무를 합니다.
'정보 보안 > 보안 컨설팅' 카테고리의 다른 글
제품 취약점 분석 컨설팅 기법 (0) | 2022.07.07 |
---|