정보보안 관제 및 운영 자동화 실무 가이드 : 실무에 즉시 적용할 수 있는 플레이북 활용 사례

최대수

저자:최대수
전남대학교일반대학원에서정보보안박사학위를취득했으며,이글루시큐리티에서ESM(EnterpriseSecurityManagement,통합보안관리)솔루션개발팀장,삼성SDS에서정보보안컨설팅과보안솔루션인증업무를담당했고,삼성그룹보안강사로도활동했다.팔로알토네트웍스(PaloAltoNetworks)에서보안운영및관제솔루션전문엔지니어로일했으며,현재는시스코(Cisco,이전Splunk)에서보안솔루션엔지니어로재직중이다.한국인터넷진흥원(KISA)사이버위협인텔리전스네트워크회원으로도활동중이며번역서로는에이콘출판사에서펴낸『실전사이버인텔리전스』(2020)등이있다.

1장.정보보안관제및업무자동화란?
1.1.정보보안관제및운영업무에자동화가왜필요한가?
1.1.1정보보안관제센터의주요업무
1.2.자동화를통해어떤효과를얻을수있는가?
1.3.정보보안관제자동화솔루션은어떤기능이필요할까?
1.4.이책의구성

2장.정보보안관제자동화솔루션이란?
2.1.SOAR솔루션이란무엇인가?
2.2.SOAR솔루션에필요한기술요소는?
2.2.1SOAR핵심기능
2.2.2플레이북구성
2.2.3워크북
2.2.4SIEM솔루션과유연한연동
2.2.5콘텐츠(유스케이스)
2.3.SOAR구축프로젝트방법론
2.3.1Phase1:사전준비단계
2.3.2Phase2:현황조사및분석
2.3.3Phase3:설계
2.3.4Phase4:구현및적용
2.3.5Phase5:운영

3장.자동화플레이북활용사례
3.1.악성코드공격대응업무프로세스
3.1.1악성코드공격개요
3.1.2주요업무내용및대응소요시간
3.1.3악성코드공격탐지및분석흐름도
3.1.4주요업무흐름
3.1.5상세업무흐름도
3.1.6시스템연동목록
3.1.7플레이북유스케이스정의서
3.1.8구현플레이북
3.2.스팸메일탐지대응업무프로세스
3.2.1스팸메일탐지및대응개요
3.2.2주요업무내용및대응소요시간
3.2.3스팸메일탐지및분석흐름도
3.2.4주요업무흐름
3.2.5상세업무흐름도
3.2.6시스템연동목록
3.2.7플레이북유스케이스정의서
3.2.8구현플레이북
3.3.웹애플리케이션공격대응업무프로세스
3.3.1웹애플리케이션공격개요
3.3.2주요업무내용및대응소요시간
3.3.3웹애플리케이션공격탐지및분석흐름도
3.3.4주요업무흐름
3.3.5상세업무흐름도
3.3.6시스템연동목록
3.3.7플레이북유스케이스정의서
3.3.8구현플레이북
3.4.KISA보안공지및취약점정보모니터링및대응업무
3.4.1신규보안취약점개요
3.4.2주요업무내용및대응소요시간
3.4.3취약점공지확인및대응업무흐름도
3.4.4주요업무흐름
3.4.5상세업무흐름도
3.4.6시스템연동목록
3.4.7플레이북유스케이스정의서
3.4.8구현플레이북
3.5.해킹그룹위험도점수기반탐지대응업무프로세스
3.5.1해킹그룹의APT공격개요
3.5.2MITREATT&CK프레임워크와공격기술분석
3.5.3위험도점수기반공격탐지개요
3.5.4주요업무내용및대응소요시간
3.5.5해킹그룹공격탐지및분석흐름도
3.5.6주요업무흐름
3.5.7상세업무흐름도
3.5.8시스템연동목록
3.5.9플레이북유스케이스정의서
3.5.10구현플레이북
3.6.AWS클라우드위협탐지대응업무프로세스
3.6.1클라우드환경의공격개요
3.6.2주요업무내용및대응소요시간
3.6.3AWS클라우드환경의공격탐지및분석흐름도
3.6.4주요업무흐름
3.6.5상세업무흐름도
3.6.6시스템연동목록
3.6.7플레이북유스케이스정의서
3.6.8구현플레이북
3.7.내부정보유출이상징후탐지대응업무프로세스
3.7.1내부정보유출이상징후개요
3.7.2주요업무내용및대응소요시간
3.7.3정보유출이상징후탐지및분석흐름도
3.7.4주요업무흐름
3.7.5상세업무흐름도
3.7.6시스템연동목록
3.7.7플레이북유스케이스정의서
3.7.8구현플레이북

4장.정보보안관제자동화운영방안
4.1.SOAR시스템운영관리프로세스
4.1.1보안관제자동화운영프로세스란?
4.1.2보안관제자동화시스템운영절차도
4.1.3자동화시스템운영점검업무
4.1.4일별세부운영업무절차
4.1.5주별세부업무절차
4.1.6월별세부업무절차
4.1.7수시세부업무절차
4.2.신규플레이북개발및콘텐츠관리프로세스
4.2.1플레이북개발절차
4.2.2플레이북관리방안

5장.자동화업무확장영역
5.1.제로트러스트구현기술로오케스트레이션과자동화
5.1.1제로트러스트정의
5.1.2기존경계보안과제로트러스트보안의비교295
5.1.3제로트러스트아키텍처와자동화
5.1.4자동화활용사례
5.2.IT운영및장애대응자동화
5.2.1IT운영및장애대응자동화란?
5.2.2옵저버빌리티대응자동화로확장
5.3.통합보안운영확장
5.3.1통합보안운영이란?
5.3.2통합운영확장사례
5.3.3생성형AI활용사례

이책에서다루는내용

정보보안관제와운영업무자동화의필요성및효과
보안관제자동화솔루션에필요한기능및구축워크플로우제시
다양한보안관제프로세스별로디지털화된플레이북구성활용사례
사전준비부터활용사례구현,이후운영및확장까지전체과정을전달하는실무가이드
정보보안실무자부터보안전략과방향성을수립하는CISO까지모두에게필요한가이드

이책의대상독자

정보보안업무프로세스와자동화구현에대해기초를쌓고싶은정보보안전공자와학생
보안관제자동화구현방법론과구현사례를알고자하는보안분석가및보안운영자
기업의정보보안솔루션도입전략과방향성을제시하고로드맵을수립할때지식을얻고자하는보안관리자및CISO

이책의구성

정보보안업무자동화에대한기초부터활용사례까지체계적으로설명하는책이다.정보보안업무에자동화가필요한이유부터개념과구축방법론까지보안운영자,보안분석가,보안팀장,CISO모두이해할수있도록설명했다.

자동화솔루션구축워크플로우는자동화구현을위한좋은참고자료로활용할수있다.실무자가프로젝트를준비하고구현하기위해필요한내용도확인할수있다.실제구현사례로서유형별자동화사례는플레이북구현을위한설계과정부터구현까지의전과정을설명한다.정보보안업무별로구분하고,클라우드관제업무까지포함해제공한다.구현이후안정적운영방안에대해서도알아보며,플레이북변경사항이발생했을때에도체계적으로운영하는방법을알려준다.마지막으로제로트러스트,IT운영및생성형AI활용등확장영역에대해서도살펴본다.이러한전과정을통해자동화된통합보안운영환경을구현할수있는체계화된기술지식을얻게될것이다.

지은이의말

최근많은기업의정보보안부서에서보안관제및운영자동화기술도입을검토하고있습니다.가트너(Gartner)는수년전부터해당솔루션을SOAR(SecurityOrchestration,AutomationandResponse)라는영역으로분류해리서치가이드를제공하고,기업정보보안관제센터에서핵심솔루션이될것으로예측하고있습니다.뿐만아니라최신사이버보안전략인‘제로스트(ZeroTrust)’구현을위한핵심기반기술중한가지가바로SOAR입니다.

이미일부기업은보안자동화기술을선제적으로도입,활용하고있습니다.하지만활용사례를구현하는데많은시행착오를겪고있는것이사실입니다.

SOAR라는솔루션만도입했다고바로활용할수있는것이아니며솔루션과프로세스를이해하고,솔루션에알맞게구현해야하기때문입니다.

아직까지정보보안실무자가참고할만한보안업무자동화활용사례및가이드가매우부족합니다.기업의정보보안업무자동화체계구현을위한방법론과다양한활용사례가있다면큰도움이될것입니다.

특히활용사례(유스케이스)는기업내부의보안관제업무프로세스여서공개된자료가매우부족합니다.이책은솔루션제조사가제공하는공개자료를기반으로구체화한유형별활용사례를제시합니다.이와함께정보보안자동화개념,구축방법론,유형별활용사례와이후확장할수있는가이드를모두제공합니다.특히유형별활용사례는여러보안업무에서즉시사용할수있는좋은소스입니다.활용사례를응용해각업종별환경에맞는보안관제프로세스자동화로구현하는데도움이될것으로확신합니다.