융합보안관제 시스템의 효율성 향상을 위한 이벤트 분류 및 처리에 관한 연구 A Study on Classification and Processing of Events to Improve Efficiency of Convergence Security Control System원문보기
글로벌 IT 시장조사기관인 IDC의 조사에 따르면 국내 융합보안 시장은 2010년 기준으로 1조 7,000 억 원 규모였으며, 이후 매년 32%씩 성장해서 2018년에는 12조 8,000 억 원 규모가 될 것으로 전망하고 있다. 이처럼 전 세계적으로 융합보안의 중요성은 증가하고 있다. 기존의 융합보안관제 솔루션은 다양한 솔루션시스템(방화벽, 네트워크 침임 탑지 시스템 등) 및 장비들(CCTV, Access Control System 등)로부터 수집된 데이터를 기반 하여 이벤트를 발생시키고, 이를 보안관제 요원들이 상황을 판단 및 조치하는 방식으로 구성되어 있다. 하지만 최근 IoT 산업의 발전으로 IoT 장비들의 수가 급격히 증가하고 있고, 이러한 장비들이 보안관제에 사용될 수 있음에 따라 발생할 수 있는 이벤트의 양 역시 증가할 것이다. 물론 많은 이벤트들을 통해 보다 더 많은 상황에 대한 판단 및 조치를 할 수 있는 이점은 있지만, 반대로 너무 많은 이벤트들을 처리해야 하는 부담감 역시 존재한다. 따라서 본 논문에서는 융합보안관제 시스템에서 발생 할 수 있는 이벤트들을 3가지 종류로 구분 짓고, 효과적으로 이벤트들을 분류 및 처리할 수 있는 모델을 제안하여 융합보안관제 시스템의 효율성을 향상시키고자 한다.
글로벌 IT 시장조사기관인 IDC의 조사에 따르면 국내 융합보안 시장은 2010년 기준으로 1조 7,000 억 원 규모였으며, 이후 매년 32%씩 성장해서 2018년에는 12조 8,000 억 원 규모가 될 것으로 전망하고 있다. 이처럼 전 세계적으로 융합보안의 중요성은 증가하고 있다. 기존의 융합보안관제 솔루션은 다양한 솔루션시스템(방화벽, 네트워크 침임 탑지 시스템 등) 및 장비들(CCTV, Access Control System 등)로부터 수집된 데이터를 기반 하여 이벤트를 발생시키고, 이를 보안관제 요원들이 상황을 판단 및 조치하는 방식으로 구성되어 있다. 하지만 최근 IoT 산업의 발전으로 IoT 장비들의 수가 급격히 증가하고 있고, 이러한 장비들이 보안관제에 사용될 수 있음에 따라 발생할 수 있는 이벤트의 양 역시 증가할 것이다. 물론 많은 이벤트들을 통해 보다 더 많은 상황에 대한 판단 및 조치를 할 수 있는 이점은 있지만, 반대로 너무 많은 이벤트들을 처리해야 하는 부담감 역시 존재한다. 따라서 본 논문에서는 융합보안관제 시스템에서 발생 할 수 있는 이벤트들을 3가지 종류로 구분 짓고, 효과적으로 이벤트들을 분류 및 처리할 수 있는 모델을 제안하여 융합보안관제 시스템의 효율성을 향상시키고자 한다.
According to a research by global IT market research institute IDC, CSIM(Converged Security Information Management) market of Korea was estimated to be 1.7 trillion KRW in 2010, and it has grown approximately 32% every year since. IDC forcasts this size to grow to 12.8 trillion KRW by 2018. Moreover...
According to a research by global IT market research institute IDC, CSIM(Converged Security Information Management) market of Korea was estimated to be 1.7 trillion KRW in 2010, and it has grown approximately 32% every year since. IDC forcasts this size to grow to 12.8 trillion KRW by 2018. Moreover, this case study exemplifies growing importance of CSIM market worldwide. Traditional CSIM solution consists of various security solutions(e.g. firewall, network intrusion detection system, etc.) and devices(e.g. CCTV, Access Control System, etc.). With this traditional solution, the the data collected from these is used to create events, which are then used by the on-site agents to determine and handle the situation. Recent development of IoT industry, however, has come with massive growth of IoT devices, and as these can be used for security command and control, it is expected that the overall amount of event created from these devices will increase as well. While massive amount of events could help determine and handle more situations, this also creates burden of having to process excessive amount of events. Therefore, in this paper, we discuss potential events that can happen in CSIM system and classify them into 3 groups, and present a model that can categorize and process these events effectively to increase overall efficieny of CSIM system.
According to a research by global IT market research institute IDC, CSIM(Converged Security Information Management) market of Korea was estimated to be 1.7 trillion KRW in 2010, and it has grown approximately 32% every year since. IDC forcasts this size to grow to 12.8 trillion KRW by 2018. Moreover, this case study exemplifies growing importance of CSIM market worldwide. Traditional CSIM solution consists of various security solutions(e.g. firewall, network intrusion detection system, etc.) and devices(e.g. CCTV, Access Control System, etc.). With this traditional solution, the the data collected from these is used to create events, which are then used by the on-site agents to determine and handle the situation. Recent development of IoT industry, however, has come with massive growth of IoT devices, and as these can be used for security command and control, it is expected that the overall amount of event created from these devices will increase as well. While massive amount of events could help determine and handle more situations, this also creates burden of having to process excessive amount of events. Therefore, in this paper, we discuss potential events that can happen in CSIM system and classify them into 3 groups, and present a model that can categorize and process these events effectively to increase overall efficieny of CSIM system.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
본 연구는 효율적인 융합보안관제 시스템을 구성하기 위해서, 각 장비와 시스템으로부터 전달되는 이벤트들을 효율적으로 분류하고 처리하는 모델을 수립하는 것이 목적이다.
본 연구에서는 융합보안관제의 핵심인 문제 상황에 대해서 높은 정확도의 이벤트를 발생시키는 것과 발생한 이벤트에 대해서 효율적이고 완벽하게 대처할 수 있도록, 이벤트 분류 방법 및 처리 모델을 제시했다.
제안 방법
3장에서 언급한 관제 이벤트 분류 및 처리 모델을 현업에 적용한 예시를 통해 그 기대 효과를 알아본다.
이렇듯 일련의 처리 프로세스가 정해져 있는데, 이를 관제요원이 이벤트가 발생할 때 마다 매뉴얼을 참조하거나 모든 매뉴얼을 미리 숙지한다는 것은 어려운 것이 현실이다. 그러므로 이러한 일련의 처리 과정을 SOP 로 정의하고, 이를 보안관제 시스템에 적용해서 이벤트 발생 시 관제요원이 등록된 SOP 이벤트 처리절차에 따라 조치할 수 있도록 하였다.
또한 시설물 내에는 출입통제장치, 지능형 영상 감시 장치, 얼굴인식장치, 비정상 행위 탐지 장치, 열 감지 장치 등 의심되는 사용자를 분별하는 시스템이 구축되어 있다. 또한, 비상통신 시스템, 비상방송 시스템, 경보기, 대테러방호 등 위협상황 발생 시 사용자들에게 알리고 사용자들을 보호하는 시스템도 구축되었다. 이렇게 수많은 장치들이 복합적으로 구축되어 있다.
이 역시 개선이 필요하기 때문에 해당 외곽경계시스템에 CEP 이벤트 모델을 도입하였고, 여러 상황을 기반으로 설계하였다. 예를 들어 두 이벤트간의 시간 간격을 기반으로 진짜 이벤트와 가짜 이벤트를 구별하는 기능은 (그림 8)과 같이 설계하였다.
3-3) CEP 이벤트 기준을 충족하면 CEP 이벤트를 발생시킨다. 해당 CEP 이벤트가 SOP 이벤트로 등록되어있는지 확인하기 위해 4번 SOP 이벤트 판단 여부를 수행하며 이후 과정은 일반 알람과 같다.
성능/효과
5) 3번에서 발생한 일반 이벤트가 SOP 이벤트로 등록되어 있었다면, SOP 이벤트를 발생시킨다. 그 이후 표준 처리 절차에 따라서 이벤트를 처리하도록 한다.
이후 CEP 이벤트 정의를 적용한 8월 한 달간 집계된 전체 이벤트 중 가짜 이벤트의 비율은 약 9 %(5,591 / 57,248)이다. 이를 기반으로 CEP 도입 전 후 가짜 이벤트의 비율이 약 5% 감소되었음을 알 수 있다.
후속연구
그러나 시스템이 자동으로 이벤트 분류 및 처리 절차를 등록할 수 없기 때문에 제안된 모델을 잘 활용하기 위해서는 융합보안관제 분야에 대한 지식과 경험이 필요하다. 누적된 지식과 경험을 바탕으로 본 연구에서 제안한 모델을 적용한다면, 융합보안관제 시스템의 정확성, 처리 속도 등에 향상을 통해 효율성 증가를 기대할 수 있을 것이다.
이처럼 상황에 대한 정확한 판단 및 발생한 이벤트의 효율적 처리는 결과적으로 융합보안관제 시스템의 전체적인 성능을 향상시킬 수 있을 것이다.
질의응답
핵심어
질문
논문에서 추출한 답변
보안관제 시스템이 하는 일은 무엇인가?
보안관제 시스템은 등록되어 있는 장비들로부터 수집된 데이터와 그 외 서버나 어플리케이션의 로그(Log) 데이터를 수집하여, 정상 이벤트와 비정상 이벤트로 분류한다. 비정상 이벤트의 경우 시스템 화면이나 유·무선으로 보안관제 요원에게 알리는 기능을 수행한다.
보안관제는 어떻게 분류할 수 있나?
보안관제는 증가하는 보안위협으로부터 보호 대상을 효율적으로 보호하기 위해 감시 및 제어하는 일련의 과정을 통칭하며 크게 ① 물리보안, ② 정보보안,③ 융합보안으로 구분된다.
보안관제 시스템에서 비정상 이벤트로 분류된 데이터는 어떻게 처리하는가?
보안관제 시스템은 등록되어 있는 장비들로부터 수집된 데이터와 그 외 서버나 어플리케이션의 로그(Log) 데이터를 수집하여, 정상 이벤트와 비정상 이벤트로 분류한다. 비정상 이벤트의 경우 시스템 화면이나 유·무선으로 보안관제 요원에게 알리는 기능을 수행한다. 일반적인 보안관제 시스템의 구성도는 (그림 1)과 같으며 실질적으로 해당 이벤트에 대한 조치는 관제요원이 수행한다[5].
참고문헌 (8)
한국인터넷진흥원, 국내외지식정보보안동향, 2012.
박시장, 박종훈, "국내 보안관제 체계의 현황 및 분석", 한국전자통신학회 논문지, Vol 9, No.2, 2014
AI-Helper
※ AI-Helper는 부적절한 답변을 할 수 있습니다.