ISMS-P 2.10.1 보안시스템 운영 High Risk

보안시스템이 적절히 운영되고 있는가?

ISMS-P 2.10.1은 보안시스템을 효과적으로 운영하여 위협을 탐지하고 대응하도록 요구합니다. 클라우드 환경에서는 GuardDuty, Security Hub, AWS Config 등을 통해 보안 위협을 실시간으로 탐지하고 대응할 수 있어야 합니다.

📋

ISMS-P 인증 기준

ISMS-P 2.10.1 보안시스템 운영 요구사항

2.10.1

보안시스템 운영

인증 기준 정의

"보안시스템의 안전한 운영을 위하여 보안시스템 유형별로 관리자 지정, 운영 절차 수립, 정책 현행화 등의 운영 절차를 수립·이행하고, 그 효과성을 지속적으로 모니터링하여야 한다."

📌 클라우드 환경 적용 포인트

GuardDuty 위협 탐지 활성화
Security Hub 통합 관리
AWS Config 정책 준수 모니터링
EventBridge 실시간 알림 체계

⚠️ 미준수 시 심사 영향

결함: 보안시스템 미활성화
결함: 운영 절차 미수립
권고: 정책 현행화 미수행

📄 KISA ISMS-P 인증기준 안내서 ↗ ☁️ Amazon GuardDuty 가이드 ↗

📰

실제 보안 사고 사례

보안시스템 운영 미흡으로 발생한 실제 사고

2019.03

Capital One 1억명 정보 유출

AWS 환경에서 WAF 정책 현행화 미흡과 GuardDuty 비활성화 상태로 SSRF 공격 허용. 이상 행위 탐지 실패로 1억 명 이상 개인정보 유출.

💡 교훈: 보안시스템 활성화 상태 지속적 모니터링 필수, 정책 현행화 정기 검토 필요

출처: Cloud Security Alliance ↗

2022.09

Uber 알림 피로로 인한 탐지 실패

MFA 우회 공격으로 내부 시스템 침투. 보안 모니터링 시스템은 운영 중이었으나 알림 과다 발생으로 인한 피로로 실제 위협 탐지 실패.

💡 교훈: Security Hub 통합 + 알림 우선순위 튜닝으로 효과적 운영 필수

출처: Bank Info Security ↗

⚡

클라우드 환경의 위험

보안시스템 운영이 미흡한 상황

보안시스템 미설정 (위험)

GuardDuty

✗

Security Hub

✗

Config

✗

↑ 보안시스템 비활성화

보안시스템 미설정 → 위협 탐지 불가능, 정책 변경 추적 불가능

통합 보안시스템 (권장)

GuardDuty

✓

Security Hub

✓

Config

✓

↑ 통합 보안 모니터링

IaC 관리 + 통합 모니터링 → 위협 탐지 및 정책 현행화 자동화

🚨

발견 사례: 보안시스템 비활성화 상태 방치

GuardDuty, Security Hub, AWS Config가 비활성화되어 있거나 보안 표준이 적용되지 않은 상태. 위협 탐지 및 정책 준수 모니터링이 불가능합니다.

현재 상태 - 문제가 되는 설정

# Terraform (문제) - 보안시스템 미설정

# GuardDuty 미존재 → 위협 탐지 불가
# resource "aws_guardduty_detector" 미존재

# Security Hub 미존재 → 통합 관리 불가
# resource "aws_securityhub_account" 미존재

# AWS Config 미존재 → 정책 변경 추적 불가
# resource "aws_config_configuration_recorder" 미존재

# 알림 체계 없음 → 사고 인지 지연
# resource "aws_cloudwatch_event_rule" 미존재

ISMS-P 2.10.1 위반 사항

●

보안시스템 미활성화

●

운영 절차 미수립

●

정책 현행화 불가능

●

모니터링 체계 부재

🔍

사전 탐지 방안

IaC 코드 분석 기반 배포 전 점검

보안시스템 설정 탐지 로직

판단 조건	조건 값	결과
🛡️ GuardDuty 설정	`aws_guardduty_detector` 미존재	Critical - PR 즉시 차단
🛡️ GuardDuty 설정	`enable = true` + 전체 datasources 활성화	✓ 통과
📊 Security Hub 설정	`aws_securityhub_account` 미존재	Critical - PR 즉시 차단
📊 Security Hub 설정	`standards_subscription` 미설정	High - 차단 + Slack 알림
⚙️ AWS Config 설정	`configuration_recorder` 미존재	High - 차단 + Slack 알림
⚙️ AWS Config 설정	`conformance_pack` 미존재	Medium - 알림만

🔔

사후 대응 방안

런타임 모니터링 및 이상행위 탐지

보안시스템 런타임 이벤트 대응 로직

판단 조건	조건 값	결과
📦 IaC 관리 여부	`Terraform State에 존재` 정상 IaC 배포	✓ 변경 이력만 저장
📦 IaC 관리 여부	`Drift 발생` 콘솔 직접 변경	→ 상세 분석
⚠️ 비활성화 이벤트 (CloudTrail 탐지)	`DeleteDetector` `DisableGuardDuty`	Critical - 즉시 알림 + 재활성화
	`DisableSecurityHub` 통합 관리 해제	High - Slack 즉시 알림
	`StopConfigurationRecorder` 설정 기록 중지	Medium - Slack 알림 + 로깅

모든 알림에 포함되는 정보

변경된 리소스 ARN 변경 주체 (IAM) 변경 시간 재활성화 가이드

✓

조치 가이드

즉시 적용 가능한 권장 설정

❌ 삭제

보안시스템 비활성화 또는 미설정 상태

✓ 적용

GuardDuty + Security Hub + AWS Config 통합 활성화

권장 설정 (복사하여 적용)

security-systems.tf

# 1. GuardDuty 전체 활성화
resource "aws_guardduty_detector" "main" {
  enable = true
  finding_publishing_frequency = "FIFTEEN_MINUTES"

  datasources {
    s3_logs { enable = true }
    kubernetes { audit_logs { enable = true } }
    malware_protection {
      scan_ec2_instance_with_findings {
        ebs_volumes { enable = true }
      }
    }
  }
}

# 2. Security Hub + 보안 표준
resource "aws_securityhub_account" "main" {}

resource "aws_securityhub_standards_subscription" "aws_foundational" {
  depends_on    = [aws_securityhub_account.main]
  standards_arn = "arn:aws:securityhub:...:standards/aws-foundational-security-best-practices/v/1.0.0"
}

# 3. AWS Config
resource "aws_config_configuration_recorder" "main" {
  name     = "config-recorder"
  role_arn = aws_iam_role.config.arn
  recording_group {
    all_supported                 = true
    include_global_resource_types = true
  }
}

# 4. 보안시스템 비활성화 탐지 알림
resource "aws_cloudwatch_event_rule" "security_disable" {
  name = "detect-security-system-disable"
  event_pattern = jsonencode({
    detail = { eventName = ["DeleteDetector", "DisableSecurityHub"] }
  })
}

💡 핵심: GuardDuty + Security Hub + AWS Config를 IaC로 관리하면 정책 현행화가 Git 이력으로 자동 추적됩니다. 보안시스템 비활성화 시도는 EventBridge로 즉시 탐지합니다.

📚 참고 자료

📘 Amazon GuardDuty 가이드 ↗ 📘 AWS Security Hub 가이드 ↗ 📘 AWS Config 가이드 ↗

📊

리포트 방안

ISMS-P 심사 증적 및 정기 보고

📋 진단 항목

GuardDuty 활성화 상태
Security Hub 보안 표준 점수
AWS Config 규정 준수율
Finding 조치율 (SLA 준수)
정책 변경 이력

📅 리포트 주기

일간

보안시스템 상태 점검

주간

Finding 현황 요약

월간

ISMS-P 증적 리포트

📤 발송 및 저장

발송 채널

Email Slack

저장소

S3 (5년 보관)

⚡

BSG 차별점

기존 도구가 놓치는 점검 영역

기존 도구 방식

활성화 여부만 검사

GuardDuty/Security Hub 활성화 여부만 확인
전체 보호 기능 활성화 여부 미확인
보안 표준 적용 여부 미검사

한계: Finding SLA 준수율 미추적, 정책 현행화 이력 관리 불가

BSG 접근 방식

ISMS-P 관점 통합 점검

운영: 보안시스템 전체 활성화 상태 검증
표준: Security Hub 보안 표준 적용 확인
정책: IaC 기반 정책 변경 이력 관리

차별점: 인증 기준 관점에서 탐지 → 조치 → 증적 전 과정 자동화

← ISMS-P 인증 시나리오로 돌아가기