[12월 3일] Securi-Center 통합 보안 아키텍처

 

🛡️ 보안 및 모니터링 솔루션 역할 (기술적 설명)

 

1. 네트워크 경계 및 접근 통제 솔루션

솔루션 이름	약어/분류	핵심 기능 및 동작 방식
pf-Sense	방화벽 (Firewall)	IP 주소와 포트 번호를 기반으로 네트워크 트래픽의 허용/차단 규칙을 설정하고 관리합니다. 네트워크의 **경계(Perimeter)**에서 외부로부터의 불필요한 접근을 통제하는 가장 기본적인 방어선입니다.
Snort / Suricata	침입 탐지/방지 시스템 (IDS/IPS)	네트워크 트래픽의 **내용물(Payload)**을 포함하여 심층적으로 검사합니다. 미리 정의된 **공격 시그니처(Rule)**와 일치하는 패턴이 발견되면 **탐지(IDS)**하거나, 인라인(Inline) 모드에서 **차단(IPS)**합니다. Suricata는 멀티 코어 CPU를 활용하여 Snort보다 고성능을 제공합니다.
Mod- Security	웹 방화벽 (WAF)	웹 애플리케이션 계층(Layer 7, HTTP/HTTPS)의 트래픽을 전문적으로 분석합니다. SQL Injection, XSS 등 웹 취약점을 악용한 공격 패턴을 탐지하고 차단하여 웹 서버를 보호합니다. Apache, Nginx 등의 웹 서버에 모듈 형태로 설치되어 동작합니다.

---

2. 로그 수집, 처리 및 저장 솔루션

솔루션 이름	분류	핵심 기능 및 동작 방식
syslog	프로토콜	다양한 운영체제(OS)와 네트워크 장비가 이벤트 로그를 중앙 서버로 전송할 때 사용하는 표준 통신 규약입니다.
Filebeat	로그 수집기 (Shipper)	지정된 로그 파일(예: Suricata의 eve.json, Apache의 access.log)의 내용을 모니터링하여, 실시간으로 중앙 서버(Elasticsearch 또는 Logstash)로 데이터 손실 없이 전송하는 에이전트입니다.
Logstash	로그 처리 엔진 (Processor)	Filebeat로부터 받은 원본 로그 데이터를 분석하기 쉽도록 **가공하고 정제(Parse)**하는 역할을 합니다. 복잡한 필터링 및 데이터 형식 변환(예: 텍스트를 JSON 필드로 분할)을 수행합니다.
Elastic search	분산 검색 엔진 (DB)	Logstash/Filebeat가 보낸 대규모의 로그 데이터를 분산 저장하고, 매우 빠르게 검색하고 집계할 수 있도록 **색인(Indexing)**합니다. ELK 스택의 핵심 저장소입니다.
Kibana	시각화 도구 (Visualization)	Elasticsearch에 저장된 데이터를 가져와 그래프, 차트, 대시보드 형태로 변환하여 보여주는 **사용자 인터페이스(UI)**입니다. 데이터 분석가나 보안 담당자가 현황을 직관적으로 파악하도록 돕습니다.
Graylog	통합 로그 관리 시스템 (LMS)	로그 수집, 저장(Elasticsearch 등 사용), 검색, 시각화 기능을 하나의 플랫폼으로 통합하여 제공하는 솔루션입니다. ELK 스택과 유사한 역할을 수행하며 상호 대체재로 사용될 수 있습니다.

---

3. 보안 및 성능 모니터링 플랫폼

솔루션 이름	분류	핵심 기능 및 동작 방식
Wazuh	통합 보안 관리 (SIEM/HIDS)	호스트(개별 서버) 내부의 보안 이벤트에 특화된 솔루션입니다. 에이전트가 설치된 서버의 OS 로그, 보안 설정 오류, 파일 무결성 변경 등을 수집하고, 전문적인 룰셋을 이용해 분석하여 고수준의 보안 경고를 생성합니다.
Zabbix	통합 성능 모니터링 (APM)	서버, 네트워크 장비, 애플리케이션의 **운영 지표(Metric)**인 CPU 사용률, 메모리, 디스크 공간, 네트워크 트래픽 등 시스템의 성능과 가용성을 중점적으로 모니터링하고 장애 발생 시 알림을 제공합니다.

 

 

 

 

 

---

 

🛡️ Securi-Center 프로젝트 솔루션별 역할 정리

이 시스템은 경계 방어, 내부 탐지 및 차단, 그리고 통합 관제의 3단계 보안 체계를 구축합니다.

1. 🌐 경계 방어 및 침입 차단 (Defense & Prevention)

이 솔루션들은 공격 트래픽이 서버에 도달하기 전이나 웹 애플리케이션에 침투하기 전에 차단하는 역할을 수행합니다.

솔루션	역할 분류	Securi-Center에서의 구체적인 역할
pfSense	네트워크 방화벽	1차 방어선으로서, 병원 서버로 들어오는 모든 트래픽 중 허용된 포트(80, 443 등) 외의 통신을 차단하고, 대량 스캔 시도나 DoS 공격을 네트워크 계층에서 걸러냅니다.
Suricata	주요 IPS (차단)	네트워크 트래픽을 심층 분석하여 SQL Injection, Brute Force 등 알려진 공격 패턴을 발견하면 해당 세션을 즉시 차단하고, 모든 탐지 이벤트를 **eve.json**에 기록합니다.
Snort	보조 IDS (탐지)	Suricata와 병행하여 특정 구간의 트래픽을 감시하며, 공격 패턴을 탐지하고 로그를 기록합니다. Suricata의 성능 부하를 분산시키거나, 다른 룰셋을 적용하여 탐지 범위를 확장합니다.
Mod Security	웹 방화벽 (WAF)	Apache 웹 서버에 모듈 형태로 설치되어, 진료 예약 페이지 등으로 들어오는 HTTP 요청의 파라미터와 본문을 분석하여 **웹 취약점 공격(SQLi, XSS)**을 차단합니다.

---

2. 📊 데이터 수집 및 처리 (Data Pipeline)

이 솔루션들은 방어 시스템이 생성한 로그와 시스템 이벤트를 분석 가능한 형태로 가공하여 중앙 저장소로 전달하는 역할을 합니다.

솔루션	역할 분류	Securi-Center에서의 구체적인 역할
Filebeat	로그 수집/전달 에이전트	웹 서버에서 생성된 Apache 에러 로그(PHP Fatal Error 포함), Suricata의 eve.json, ModSecurity의 감사 로그(Audit Log) 등을 읽어 손실 없이 다음 단계(Logstash 또는 Wazuh)로 전송합니다.
Logstash	로그 처리/정제 엔진	Filebeat로부터 받은 원본 로그 데이터를 구조화합니다. 예를 들어, 웹 로그 텍스트 라인을 IP, 타임스탬프, 사용자 ID, URL 등 개별 필드로 **분리(Parsing)**하여 Elasticsearch가 효율적으로 검색할 수 있도록 데이터 형식을 통일합니다.

---

3. 🛡️ 보안 분석 및 통합 관제 (SIEM & Monitoring)

이 솔루션들은 가공된 데이터를 분석하고, IT 운영 상태와 보안 위협을 시각화하여 보안팀의 신속한 대응을 지원합니다.

솔루션	역할 분류	Securi-Center에서의 구체적인 역할
Wazuh	보안 관제 엔진	로그 기반 분석 외에도, 서버 내부의 파일 무결성 변경 탐지 및 시스템 설정 오류 등을 감시합니다. 특히, 연속적인 로그인 실패나 다른 IP에서의 동일한 DB 오류 반복과 같은 상관관계 분석을 수행하여 **고수준의 보안 경고(Alert)**를 생성합니다.
Elasticsearch	중앙 데이터 저장소	Logstash와 Wazuh에서 처리된 모든 로그와 보안 경고 데이터를 대규모로 저장하고 색인합니다. 보안 담당자가 수백만 건의 이벤트를 수 초 내에 검색할 수 있는 기반을 제공합니다.
Kibana	통합 상황판/시각화	Elasticsearch의 데이터를 활용하여 실시간 대시보드를 구현합니다. Wazuh 경고 발생률, 공격 유형별 분포, 서버 성능 등의 지표를 시각화하여 보안팀의 모니터링 및 분석을 돕습니다.
Zabbix	성능 및 건강 모니터링	서버의 CPU, 메모리, 네트워크 트래픽 등 성능 지표를 감시합니다. 모의 해킹 공격 시 서버의 리소스 사용량이 급증하는 경우를 탐지하여, 보안 이슈와 별개로 운영 장애 가능성을 조기에 알립니다.