정보보안 / 침해대응(1/2) - CERT 업무와 대응 프로세스

https://zerotrust.tistory.com/30

[보안이야기#9]정보보안 직무-침해대응(1)

퍼온 내용 입니다.

 

안녕하세요 보안코치 제로썬이에요 :)

 

보안관제(4)에서는 보안관제 이벤트 처리절차 등에 대해서 알아봤어요~!!

보안관제 생각보다 길게 했네요~ ㅎㅎ 오늘은 침해사고 대응팀(CERT)에 대해서 알아보도록 해요

 

침해사고 대응 전문가

보안사고가 발생했을 때 피해규모를 최소화하기 위해 사고 분석 및 보고하고 시스템을 복구하고 예방전략을 수립하는 일을 하는 전문가

출처 : 위키피디아, CERT

침해사고 대응 업무 아래와 같은 업무를 하게 되는데요. 

 

침해사고 분석 및 대응 그리고 재발방지까지

• 침해유형별 정책 수립
• 침해사고에 대한 전문화, 고도화된 분석
• 전문도구를 이용한 원인분석
• 침해사고 및 대응 보고서
• 침해사고 복구지원
• 침해사고 재발방지 대책 수립
• 모의훈련(WEB/DDoS/악성메일) 수행

위에 있는 부분 이외에도 있지만 중요한 부분만 다뤄보도록 할게요

침해사고(전)과 침해사고(후)로 나뉘게 되는데요.

침해사고 전 사이버 위협, 공격으로부터 예방(정책 수립, 모의훈련 등)을 하고 침해시도가 발생되면 분석(오탐/정탐)을 판단하고 이를 보고서를 작성하는데 이를 초동 분석 보고서라고 합니다.

초동 분석보고서로 상황전파 내용, 보고 등으로 이용해요.

침해사고 후에는 정밀분석을 하게 되는데 이벤트, 패킷, 로그를 분석해요. 정밀분석을 토대로 침해사고 분석 및 대응 보고서를 작성 후 보고하게 됩니다.

이때 피해범위, 규모에 따라 담당자(관계자 등)을 소집하여 시스템을 복구를 하는데 지원을 하고 동일한 침해사고가 발생하지 않도록 취약점 제거, 재발방지 대책 수립하여 적용까지 하게 됩니다.

 

여러분들도 느끼셨겠지만 침해사고 대응팀은 사후 분석하여 피해범위 파악, 시스템 복구를 빠르게 해서 피해를 최소화하고 재발방지 대책을 수립하고 적용을 하는 팀인것이죠.

그래서 침해사고(전)에는 CERT팀은 아무일도 안하는건 아니고요 ㅎㅎ 침해사고를 예방하기 위해 활동으로 사이버 위협 공격에 대한 정책 수립, 모의훈련 등을 해요 :)

 

침해사고 대응하는데 7단계의 절차가 있어요. 아래를 보시죠

 

침해사고 대응(7단계 절차)

출처 : KISA, 침해사고 대응 프로세스

KISA에서 정리 해놓은 침해사고 대응 프로세스를 7단계를 보면 보다 이해를 하실 수 있을텐데요.

1단계 사고 전 준비에는 침해사고가 발생하기 전에 대응을 준비하는 단계에요 이때 예방활동하는 단계라고 할 수 있는 것이죠.

2단계 사고 탐지는 솔루션을 통해 탐지된 보안 이벤트, 로그, 패킷을 분석하고 침해사고에 대한 식별을 합니다.

3단계 초기 대응는 초기 분석하여 초동 분석 보고서 작성과 세부사항에 대한 Time table을 기록을 남겨요.(상황보고, 공유 등에 이용) 개인정보 유출이라면 신고를 하고 비상대응/복구팀 소집, 침해사고 관련부서에 통지합니다.

4단계 대응 전략 체계화는 초기 조사 결과(초동 분석 보고서, Time Table)를 참고하여 수사기관에 공조 여부를 판단하는데 정보보호 위원회(경영진 등)에서 판단하여 의사결정합니다.

5단계 사고 조사에서 데이터 수집 및 분석을 할 수 있는 이벤트, 로그, 패킷을 정밀분석하여 피해규모, 범위, 확산여부 등 파악하고 침해사고에 대한 재발방지 대책방안 마련합니다.

6단계 보고서 작성은 정밀분석 내용으로 침해사고 정밀분석 보고서를 의사 결정자(보안관리자(고객) 등)가 이해할 수 있도록 보고서를 작성해요.

7단계 해결은 시스템 복구를 최대한 빠르게 하여 피해를 최소화하고 차단 정책을 통한 공격 차단 등 재발방지 대책 적용합니다.

 

이전 글은 보안관제에서 침해사고로 판단되면 상황전파를 한다고 했는데요. 보안관제에서 초동분석 및 보고서까지 작성하는 경우도 있고, 만약에 침해사고 대응팀(CERT)이 보안관제와 24시간 또는 주간근무에 발생된거라면 바로 초동분석, 초동대응, 보고서까지 침해사고 대응팀에서 진행하는 경우도 있답니다.

 

이처럼 보안관제, 침해사고 대응 연관성이 있는걸 알 수 있었죠? 보안관제와 침해사고 대응은 어떤 업무와 범위까지인지 아는것이 중요해요. 물론 업무환경, 범위, R&R에 따라 다르겠지만 기본적으로 보안관제는 어느 업무범위까지이고, 침해사고 대응 업무범위까지 알고 있다면 상호간 도움을 주고 받을 수 있지 않을까 생각해요. 왜냐하면 결국 하는 업무는 다르지만 같은 팀이기 때문이에요(보안관제팀, 침해사고 대응팀에 대한 팀을 말하는게 아니에요 ㅎㅎ)

같은 팀으로써 협업할 수 있는 것들도 많기 때문이에요.

 

여기까지 글을 쓰도록 할게요. 오늘도 감사하고 수고 많으셨어요 :)