정보보호시스템을 우회하는 신종 사이버 공격과 다양화되고 고도화된 해킹 기술이 지속적으로 출현하면서 정보보호시스템만으로는 보안에 한계가 있어 보호가 필요한 정보자산을 실시간으로 모니터링하고 침해사고 발생 시에 즉각 탐지하고 분석?대응 및 전파하여 정보자산을 보호하고 관리하는 보안관제센터의 역할이 날로 증가하고 있으면서 보안관제 기술의 필요성이 대두되고 있다.
이 책의 특징과 주요 내용은 다음과 같다, PART 1에서는 보안관제의 정의 및 수행원칙, 유형, 보안관제 업무 및 기술에 대하여 소개한다. 보안관제라는 용어의 기술적 정의와 보안관제의 수행 3가지 원칙인 무중단의 원칙, 전문성의 원칙, 정보공유의 원칙에 대하여 설명하였다. 또한, 보안관제 유형을 서비스적 기준으로 크게 자체관제, 원격관제, 파견관제로 나누어 작성하였다. 보안관제의 용어 및 개요에 대해 소개하여 보안관제의 기본적인 개념 학습에 중점을 두었다. 그리고 보안관제 업무에 대하여 5가지(예방, 탐지, 분석, 대응, 보고 및 전파)로 분류하여 업무 내용에 대하여 상세히 작성하였다. 보안관제 기술에 대한 내용은 패킷 분석, 로그 및 세션 분석, 취약점 분석, 악성코드 분석, 시스템 분석으로 분류하여 작성하였으며, 패킷 분석에서는 패킷 분석 개요와 대표적인 프로그램은 와이어샤크에 대한 사용방법을 서술하였다. 로그 및 세션 분석은 윈도우, 리눅스 로그 및 세션 확인방안에 대하여 작성하였으며, 취약점 분석은 관리적 부문, 물리적 부문, 기술적 부문으로 분류하여 입문자들도 쉽게 이해할 수 있도록 작성되었다. 악성코드 분석 내용에서는 악성코드의 개요, 종류에 대한 설명과 악성코드 분석방법을 4가지(초기 분석, 동적 분석, 정적 분석, 자동화 분석)으로 나누어 간략하게 설명하였다. 시스템 분석에 대해서는 휘발성 및 비휘발성 데이터에 대하여 서술하였다.
PART 2에서는 보안관제 기술에 대하여 대표적이고 필수적으로 필요한 기술인 스노트(Snort)와 야라(Yara) 그리고 정보수집도구로 분류하여 작성하였다. 스노트(Snort)는 개요 및 모드 별 기능, 구조에 대하여 간략히 설명하였으며, 실습이 가능하도록 윈도우에서의 설치 과정에 대하여 기술하였다, 또한, 스노트 문법에 대하여 규칙옵션(General, Payload, Non-Payload, Post_detection)별로 상세히 기술하였다. 야라(YARA)는 개요 및 최신 룰 다운로드 방법에 대하여 간략하게 설명하였으며, 실습이 가능하도록 윈도우에서의 설치 과정에 대하여 기술하였다. 또한, 야라 문법에 대하여 meta, strings, condition으로 구분하여 서술하여 야라(YARA) 작성방법에 대한 이해를 도왔다.
PART 3에서는 실제로 스노트(Snort)와 야라(YARA) 룰 작성 예제에 대한 내용으로 기술하였다. 스노트(Snort)는 문자열 기반 탐지 룰 예제와 네트워크 공격 탐지 룰 예제로 총 4가지의 예제를 구성하여, 실제로 테스트 하는 과정을 서술하여 입문자도 쉽게 따라할 수 있도록 서술하였다. 야라(YARA)는 실제 악성코드를 기반으로 랜섬웨어와 백도어 악성코드에 대한 탐지 룰 예제 2가지를 구성하였다.
이 책은 정보보안을 전공하거나 관심있는 입문자를 대상으로 작성하였으며, 전체 내용은 최대한 초보자도 이해할 수 있도록 보편적이고 이해를 도울 수 있도록 실습과정을 담아 구성하였으며 일반 대중도 쉽게 읽고 보안관제 입문자도 예제 분석을 통하여 이해하기 쉽도록 작성하였다. 이 책이 보안관제 기술에 대한 중요성과 방법을 대중적으로 널리 알릴 수 있는 계기가 되었으면 하는 바람이다.
[NAVER 제공]
