정보보안 컨설팅의 목적은 ?

기업이나 기반시설의 안정성 및 신뢰도 향상에 기여하는 것

즉, 주요 정보보호 자산을 보호하고 업무 환경을 효율적으로 개선하여 기업의 가치를 향상 시키는 것이다.

정보보안 컨설팅 분야는 어떤게 있을까?

그전에 앞서서 정보보안 컨설팅을 하는데 있어서 전문적인 자격을 획득한 업체들을 알아보자

자격의 정식명칭은 '지식정보보안컨설팅 전문업체'


KISA 한국인터넷진흥원에서 선정하는것으로서 관련 내용은 아래와 같다.

운영목적

기반시설 관리기관이 전자적 침해행위에 효과적으로 대응할 수 있도록 전문업체를 적극 활용하여 주요정보통신기반시설의 취약점 분석·평가 업무 및 보호대책 수립업무를 지원하기 위함

주요업무

    • 지식정보보안 컨설팅 전문업체 지정·재지정 지원
    • 지식정보보안 컨설팅 전문업체 사후관리 현장실사 지원
    • 지식정보보안 컨설팅 전문업체 지정제도 개선

지식정보보안 컨설팅 전문업체 지정 현황 (2014년 3월 기준)

번호업체명전화번호홈페이지
1(주)시큐아이02-3783-6600http://www.secui.com
2(주)안랩031-722-8000http://www.ahnlab.com
3에스티지시큐리티(주)02-2027-4300http://www.stgsecurity.com
4(주)에이쓰리시큐리티02-6292-3001http://www.a3security.com
5롯데정보통신(주)02-2626-4000http://www.ldcc.co.kr
6(주)싸이버원02-3475-4955http://www.cyberone.kr
7인포섹(주)02-2104-5114http://www.skinfosec.co.kr
8㈜비트러스트02-3411-2250http://www.btust.co.kr
9㈜소만사02-2636-8300http://www.somansa.com
10㈜씨에이에스02-786-3815http://www.casit.co.kr
11㈜에스에스알02-6124-6690http://www.ssrinc.co.kr
12㈜에스피에이스02-555-1308http://www.sp-ace.co.kr
13㈜엘지씨엔에스02-2099-0114http://www.lgcns.co.kr
14㈜윈스031-622-8600http://www.wins21.co.kr
15㈜이글루시큐리티02-3452-8814http://www.igloosec.co.kr
16케이씨씨시큐리티㈜02-6090-7690http://www.kccsecurity.com
17한영회계법인02-3787-6600http://www.ey.com/kr
18한전KDN㈜02-6262-6114

http://www.kdn.com


미래창조과학부는 2014년 3월말 '정보통신산업진흥법'에 의거해 비트러스트, 소만사, 에스에스알, 윈스, LG CNS, 이글루시큐리티, KCC시큐리티, 한전KDN, 한영회계법인, 에스피에이스 등 11개의 정보보안 컨설팅 전문업체를 추가로 선정 하였다.


그럼이제 본론으로 들어가 정보보안 컨설팅의 분야에 대해서 알아보자.


1. 인증 컨설팅 

ISO/IEC 27001 : 국제 표준인 정보보호관리체계

ISMS (Information Secuirty Management System) : 정보보호 관리 분야의 국내 표준

  절차 : 비즈니스 요구사항 검토 및 인증규격 선정 -> 인증 대상 범위 정의 -> Gap분석(인증 규격의 통제항목 기준) -> 취약점 진단 및 위험평가 -> ISMS 설계 및 구축 -> 이행 -> 인증심사수검

BS10012 : 영국표준협회(BSI : British Standards Institution) 에서 인증하는 개인정보 경영 시스템

PIMS(Person Information Management System) : KISA 에서 인증하는 개인정보보호 관리체계

G-ISMS : 전자정부 정보보호관리체계인증으로서 기관(정부 관련 기관)이 수립하고 구축한 ISMS를 KISA가 객관적으로 심사하여 인증을 부여하는 제도 

PIPL(Personal Information Protection Level) : 한국정보화진흥원인 NIA(National Information Society Agentcy)에서 인증하는 개인정보보호인증제도

*PIA(Privacy impact assessment)와 PIMS 제도와 중복 인증 될 수 있다는 우려가 있었으나, 기관과 기업의 상황에 따라 적용할 수 있기 때문에 차별화 됨.

2. 통합 보안체계 수립 컨설팅

각 회사별로 방법론이 조금씩 다르지만 통합 보안체계의 Framework을 구축하는 것을 목표로 한다.

- 정보보호 조직체계 수립

- 물리적 보안체계 수립

- 기술적 대응체계 수립

- 법/제도 적용 체계 수립

- 정책/지침 재개정 체계 수립

3. 취약점 진단 (모의해킹)

회사가 보유하고 있는 보안장비, 네트워크 장비, 시스템에 대한 취약점 진단 및 분석을 실시하고 필요 시나리오를 기반으로 한 모의침투 테스트 실시

- 시나리오 기반 모의해킹

절차 : 정보시스템 자산식별 -> 진단대상 선정 -> 취약점 진단(모의해킹) -> 결과 종합 및 위험평가에 적용

- 소스코드 진단 컨설팅

4. 개인정보보호 컨설팅

PIA

5. 보안감사

'Security Cunsulting' 카테고리의 다른 글

정보보안 컨설팅 분야  (0) 2015/01/29
[CPPG] 합격수기  (0) 2014/09/14

컨설턴트의 백과사전 의미는 다음과 같다.

 설턴트가 제공하는 전문적인 지식의 조언·협력을 컨설턴트 서비스라고 하며, 원래는 컨설팅엔지니어(consulting engineer)가 대상이었다. 그러나 오늘날에는 수출상품의 새로운 고안이나 수출 마케팅의 신개발 등, 국제무역 분야에서도 컨설턴트 서비스를 제공할 정도로 활동 범위가 확대되고 있다. 한국의 경우, 중소기업의 애로사항을 컨설팅하기 위하여중소기업진흥공단에서는 경영지도사제도를 활용하고 있다.

[네이버 지식백과] 컨설턴트 [consultant] (두산백과)


전문적인 지식의 조언 협력을 하는 사람. 

즉, 고객이 전문적으로 알지 못하는 분야이거나 혹은 알고있더라도 

관련된 일을 수행할 때에 조언이나 협력을 구할 수 있는 사람을 말한다.


그리고 내가 생각하는 컨설턴트는 여기 설명에서 이야기하듯 컨설팅엔지니어(consulting engineer)에 가까운듯 하다.

 현대와 같이 과학·기술이 세분화되고 고도화되면서 과학·기술의 진보를 산업에 응용하기 위해서는 고도의 전문지식을 필요로 하게 된다. 이렇게 되면서 풍부한 체험과 최신의 지식을 갖추고 산업계의 요청에 지도적인 역할을 수행하는 자유기술자, 즉 컨설팅엔지니어(consulting engineer)가 부각되고 있다.


이러한 국제적인 추세에 따라서 1973년 국가기술자격법을 제정, 국가기술자격을 기술사·기능장·기사·산업기사 및 기능사로 구분하고 있다(9조). 이 가운데 '기술사'가 컨설팅엔지니어제도의 도입이라고 할 수 있다. 기계·선박·항공·우주·전기·건축 등의 19개 부문으로 나뉘어 있다.

[네이버 지식백과] 컨설턴트엔지니어 [consultant engineer] (두산백과)


과학 기술의 진보를 산업에 응용하기 위한 전문지식을 갖고 있는 사람.

풍부한 경험과 최신의 지식을 갖추고 산업계의 요청에 지도적인 역할을 수행하는 자유기술자

즉, 고객사의 요청에 자신의 경험과 지식을 녹여내고 성공적으로 이끌어 내는 사람을 말한다.


그러면 보안 컨설턴트 는 ?

여기에서 분야가 정보보안으로 한정되어 자신의 경험과 지식을 발휘하는 것 일거라고 생각한다.

즉, 고객사의 내부 취약점을 찾아보고 그에 따라 대책을 설계하는 등의 활동으로 고객사의 보안을 강화시켜주는 일.



보안 컨설턴트는 무엇을 갖추고 있어야 할까 ?

첫째, 당연히 기술 지식이다.

관리체계, 정보시스템, 공격에 대한 대응 및 방어 기술 등의 기술적인 측면의 지식은 기본으로 갖추고 있어야 한다.

OS, DBMS, 각종 시스템의 운영원리와 역할 이해는 필수

솔루션들의 역할 이해와 어떤 아키텍처로 구성되어 있는지

둘째, 트렌드를 읽을 수 있는 안목

보안 전문가가 되려면 앞으로 나타날 수 있는 보안 위협을 예상 할 수 있어야 한다.

그렇기 위해서는 새로이 발생하는 사건 사고들의 정보와 과거의 정보를 주의깊게 봐야하며 알고 있어야 한다.

거기에 아는것만으로 그치는 것이 아니고 트렌드를 읽어낼 수 있는 안목으로 확대 시켜야 한다.

셋째, 경영진의 마인드

위에서 말했듯이 컨설턴트는 산업에 기술을 응용하는 것이기 때문에 경영진의 마인드로서 접근해야 한다.


+ 문제점 분석과 현 상황을 해결할 수 있는 능력이 있어야 하기 때문에 PT 능력도 필수


결국 컨설턴트는 꾸준히 자기개발에 힘써야할 직업 이라는 말이되는구나.

WAPPLES V-Series

Intelligent WAF for Cloud

제품소개

 
국내 최초로 CC 인증을 획득한 클라우드 웹방화벽인 WAPPLES V-Series는, 클라우드 환경에 최적화된 가상화 웹방화벽(Virtual WAF) 입니다.
 -> cc 인증 ? 

정보보안인증으로서 국제공통평가기준 인증이라고한다. 우리나라는 원래 k시리즈로 운영되던 평가기준을 2005년 1월 1일 부터 국제공통평가기준으로 일원화하여 평가, 진행하고 있으며, 2006년 국제상호인정협정에 가입했다. 

그래서 국가, 공공기관은 2009년 6월 1일 이후 cc인증을 획득한 정보보호 제품을 도입하는 것을 기본원칙으로 한다. 국가와 공공 기관에 도입되는 네트워크 기반 제품 및 컴퓨팅기반 제품은 EAL2이상의 CC인증을 획득해야 한다'는 도입기준이 있다.

cc인증이 필수적인 제품군은 

침입차단/침입방지/ 통합보안관리/ 보안관리서버/ 웹방화벽/ DDos 대응/ 무선침입방지/

무선랜 인증/ 가상사설망/ 네트워크 접근문제/스팸메일 차단/ 바이러스백신/ 스마트카드 등

(EAL2 이상이면 국가, 공공기관에 납품가능 스마트카드만 EAL4이상)


최근 이슈가 되고 있는 '개인정보보호' 제품군의 경우는 CC인증이 반드시 필요한 것 이 아님


7년 연속으로 국내 웹방화벽 시장 점유율 1위를 유지하고 있는 WAPPLES의 수준 높은 기술력을 가상화 용으로 개발한 제품으로, VMware, Citrix Xen을 포함하는 모든 Hypervisor에 대해 지원하고 있어 고객들의 다양한 가상화 환경에 최적화된 형태로 적용하는 것이 가능합니다.
 


또한, H/W 타입이 아니기 때문에 도입 결정 후 전달 받은 DVD의 파일을 해당하는 Virtual Platform을 통해 Import하여 간단하게 적용 및 운영이 가능한 제품입니다.
 

[그림1] WAPPLES V-Series Package

 

 

제품기능

 
기본적으로 WAPPLES V-Series는 H/W Appliance 형태로 제공하는 WAPPLES와 기능적으로 같습니다.
 

4 in 1 Solution

-  웹공격대응솔루션: WAPPLES은, 직접적인 웹 공격에 대해 탐지 및 차단을 수행합니다.

-  정보유출방지솔루션: WAPPLES은, 개인 정보의 외부 유출을 목적으로 하는 공격에 대해 탐지 및 차단을 수행합니다.

-  부정접근방지솔루션: WAPPLES은, Brute Force Attack 등과 같은 비정상적인 접근에 대해 탐지 및 차단을 수행합니다.

-  웹위변조방지솔루션: WAPPLES은, 웹 위변조에 대해 탐지 및 차단을 수행합니다.

 

APT 공격을 포함하는 신규 공격 대응

정부 또는 특정 회사의 중요 정보 획득, 정치적 목적, 사이버 테러 등을 목적으로 하는 범죄 그룹에 의한 사이트, 기업, 개인을 상대로 지속적으로 해킹 공격을 하는 지능적 지속 위협인 APT 공격 (Advanced Persistent Threat) 을 포함하는 각종 신종 공격에 대한 빠른 대응이 가능합니다.
 

 

제품특징

 

클라우드 서비스 제공자를 위한 WAPPLES V-Series의 특장점

-  가상화 환경에 적합한 Reverse Proxy 모드로 H/W 및 S/W에 대한 독립성을 확보하였습니다.

->리버스 프록시 ? 

실제 서비스 서버는 내부망에 위치시키고 프락시 서버만 내부에 있는 서비스 서버와 통신해서 결과를 클라이언트에게 제공하는 방식으로 서비스를 하게 된다.


-  Citrix Xen, VMware, KVM, Parallels, Hyper-V등의 다양한 Hypervisor를 지원하며,

    Amazon EC2 환경에서도 사용 가능합니다.

-  TCO (Total Cost of Ownership) 측면에서 경제적인 보안 관리가 가능합니다.

-  클라우드 서비스 제공자를 위한 웹공격 동향 분석 보고서 (ICS Report)을 제공합니다.

-  안정적인 서비스를 위한 이중화 (정책 및 로그 동기화)를 지원합니다.

-  소/중/대규모 클라우드 환경을 위한 다양한 제품 라인업을 제공합니다.

 

국내 웹방화벽 시장 점유율 1위의 기술력 WAPPLES의 높은 보안성을 가상화 환경에 적용

-  지능형 엔진 COCEP 탑재로 변형 공격 및 새로운 공격에 대한 즉각적 탐지가 가능합니다.

*COCEP: 논리연산 탐지 엔진 (Contents Classification and Evaluation Processing)

-  애플리케이션 레벨의 웹서비스 거부 공격(DDoS공격) 차단이 가능합니다.

-> 해킹의 80~90%가 웹공격이기 때문에 중요하다.

-  검증 메커니즘(Luhn algorithm : ISO/IEC7812 등)을 이용한 정확한 개인정보 검사 및 차단이 가능합니다.

 

최적의 보안 운영을 위한 사용자 중심의 관리 환경

-  윈도우 기반 설정 마법사를 이용한 쉽고 편리한 보안 설정이 가능합니다.

-  공격 위험도 및 빈도를 자동으로 학습하는 지능형 IP 접근 제어를 지원합니다.

-  침입 통계 웹 트래픽 등의 식별이 용이한 고도화된 대시보드 기능 및 보고서를 제공합니다.

 

 

제품스펙 및 구성도

 

제품라인업

classValuePerformanceHigh-end
ModelV20V50V100V300V500V1000
Maxlmum
Thoughput
20 Mbps50 Mbps100 Mbps300 Mbps500 Mbps1000 Mbps
V-Spec
CPU Core112448
Memory2 GB4 GB4 GB4 GB8 GB16 GB
HDD(*)80 GB80 GB80 GB80 GB100 GB120 GB
Performance
TPS1,0002,0003,0007,00011,00021,000
CPS1,0002,0003,0005,0007,00011,000
Hypervisor기본적으로 모든 Hypervisor에 대해 지원
(*Hypervisor 별 세부 지원 버전은 펜타시큐리티시스템(주) 엔지니어에 문의)

* HDD는 권장 사항입니다.

*  성능은 사용 Hypervisor에 따라 달라집니다.

 
 

구성도

WAPPLES V-Series는, 기본적으로 프록시 모드(Reverse Proxy Mode)로 운용 됩니다.

 

[그림2] WAPPLES V-Series의 프록시 모드 구성

 

WAPPLES V-Series는 고객이 사용하는 다른 가상화 이미지(Virtual Image)들과 같은 계층에서 동작하기 때문에(Virtual Appliance 형태), Virtual Platform(혹은 Hypervisor)에 별도의 Agent을 설치하거나 수정을 할 필요가 없습니다. 보호할 웹 서버의 Proxy IP를 WAPPLES V-Series에 등록하면 등록된 웹 서버를 통과하는 웹 트래픽에 대한 탐지 및 차단을 시작합니다.



티스토리 툴바