정보보안 / 침해대응(2/2) - CERT 정의 및 목적, 보안사고, CERT가 갖춰야 할 능력

https://zerotrust.tistory.com/31

[보안이야기#10]정보보안 직무-침해대응(2)

퍼온 내용 입니다.

 

안녕하세요 보안코치 제로썬이에요 :)

 

침해대응(1)에서는 침해사고 대응(CERT) 업무와 대응 프로세스에 대해서 알아봤어요~!!

침해대응(1)편에서는 침해사고 대응 전문가가 어떤 일을 하는지는 조금 이해하셨을텐데요.

조금 더 침해사고대응팀(CERT)에 대해서 알아보기 위해 "출처 :한국인터넷진흥원/한국침해사고대응팀협의회 [침해사고대응팀(CERT)구축/운영 안내서])"을 인용했어요. 자세한 내용을 보시고 싶은 분들은 보시면 좋을 것 같아요^^

 

CERT의 정의 및 목적을 보면..

정보 시스템 및 정보유통 체계의 발달로 수많은 정보가 인터넷을 통하여 유통과 노출되어 있고, 이 과정에서 정보 시스템과 정보을 겨냥한 보안사고가 등장하면서 금전적 이익을 취득하기 위한 목적으로 다양한 공격기법들이 등장하고 있죠.

그렇기 때문에 CERT(Computer Emergency Response Team, 침해사고대응팀)은 정보통신망에서 발생하는 모든 침해사고에 대응을 위해 기업, 기관에서 침해사고를 접수, 처리 지원, 예방, 피해 복구 등의 임무를 수행하는 조직이 만들어 진것이죠.

 

그렇다면 보안사고에 대한 정의를 해야겠죠??

보안사고는 조직이나 업무 등에 파급효과가 없는 개인에 국한된 단순한 사고와 달리, 조직의 업무 영향에 미치는 승인되지 않은 정보자산에 대한 접근, 변경, 유출 등의 사건을 말해요

보안사고는 사건의 파급 영향에 따라 일반 보안사고와 중대 보안사고로 차등 구분하여 관리를 해야하는데요 아래 특성을 한번 보시죠

 

일반 보안사고의 정의

• 악성 소프트웨어(웜, 바이러스, 백도어, 트로이 목마 등)에 의한 침해
• 네트워크 및 시스템에 대한 비인가된 침해 및 시도
• 일반 자산의 도난, 분실, 파손 및 파괴
• 보안취약점으로 정보 시스템의 정상적인 운영에 지장을 초래한 사건
• 정보의 비인가자 사용, 승인되지 않은 개인에게 정보 접근 허용
• 비인가자의 보안 구역 접근 시도
• 조직이나 업무 등에 파급효과가 없는 단순히 개인에 국한된 사고는 보안사고의 범주에서 제외하여 단순사고로 처리 가능

중대 보안사고의 정의

• 정보시스템이 비인가 접근에 의해 변조, 파괴되어 정성적인 서비스를 제공하지 못하는 경우
• 중요도 등급이 1등급(예 : 중요도 1/2/3 등급)인 정보자산 또는 비밀문서가 외부로 누출된 경우
• 정보자산의 오용으로 인하여 조직의 대외 이미지에 중대한 손상을 끼친 경우
• 관련 법규 및 규정 저촉으로 인하여 사회적 물의를 일으키는 경우
• 기타 고의 또는 과실에 의해 조직의 정상적 업무에 심각한 지장을 초래하는 경우
• 보안 장치의 변경이나 파괴 : 출입보안, 침입탐지시스템, 잠금장치, 보안 카메라 등

보안사고가 발생했을 경우 일반인지 중대인지 피해유형, 규모 등을 고려하여 판단해야 합니다.

침해사고 대응팀의 구성원으로써 역할과 책임(R&R)을 가지고 업무를 하기 위해선 어떤 능력이 필요할까요??

침해사고 예방, 대응, 업무 처리과정은 CERT를 구성하고 있는 구성원의 개인 능력과 신뢰성에 의존합니다. 그 이유는 CERT업무가 침해사고 발생 시 필요한 기술적 대응뿐만 아니라, 예방활동을 위한 보안정책, 수립, 감사, 타 부서와의 업무 협의 등 다양한 업무를 수행해야 한다는 점에서 CERT 구성원의 개인 능력은 더욱 중요해지고 있는 것이죠. 

 

CERT 구성원이 갖춰야 하는 능력은 다음과 같아요(참고만 해주세요)

• 개인 Skills : Communication, Problem Solving, Team Interactions, Time Management
• 기술 Skills : Security Principles, Risks Analysis, Vulnerability, Network Protocol, Security/Virus Issue, Application
• 사고대응 Skills : Team Policy/Procedure, Communication, Incident Analysis, Recording, Tracking Information
• 전문 Skills : Presentation, Leadership, Expert Technology, Programming Skill

그리고 침해사고의 처리를 위해  IT 분야의 기본적인 기술, 개념들을 이해하고 있어야 한다고 해요.

• 전반적인 데이터 네트워크(전화, ISDN, X.25, PBX, ATM, 프레임 릴레이 등)
• 네트워크 프로토콜(IP, ICMP, TCP, UDP 등)
• 네트워크 기반 요소(라우터, DNS, 메일서버 등)
• 네트워크 응용 프로그램, 프로토콜(SMTP, HTTP, FTP, TELNET 등)
• 기본 보안 원칙
• 컴퓨터와 네트워크 위험 및 위협
• 보안 취약성과 관련된 공격(IP 스니핑, 스니퍼와 컴퓨터 바이러스 등)
• 네트워크 보안 이슈(침입차단시스템, 가상사설망 등)
• 암호 기술, 전자서명, 해쉬 알고리즘 등
• 사용자와 시스템 관리자 측면의 호스트 시스템 보안(백업, 패치 등

위에 있는 기술, 개념 등에 대한 능력을 갖춘다면 당연히 좋겠죠.

제 생각은 하나씩 학습하고 기술을 습득해서 성장하는 것이지 모든걸 갖추고 나서 하겠다라고 하면 굉장히 막막함만 느낄거에요.

그리고 다양한 기술, 개념 등을 모두 습득하고 CERT팀으로써 활동하지 않아요. 물론 기술, 개념을 익힌 사람과 차이는 있을 수 있겠지만 결국 CERT 업무, 역할과 책임(R&R)이 부여되면 사람은 하게 되어 있어요.

자리가 사람을 만들기에 "그 환경으로 들어가야 한다"라는 말도 있죠

 

오늘은 침해사고 대응에 대해서 알아봤어요. 어떠셨나요?

이 글을 보시고 걱정 커지신 분들도 계시고, 이러한 보안 직무가 있구나라고 생각하신분들도 계실텐데요. 

너무 걱정만 하는것보다 무엇을 배워야하고 그 기술들을 꾸준하게 습득하기 위해 학습하는 것이 바람직할 것 같아요!

 

오늘도 읽어 주셔서 감사해요~ 좋은 하루 되세요:)

 

---

출처 : KISA(침해사고대응팀(CERT)구축/운영 안내서)

---