Mission
- 침해사고대응 (CERT) 의 업무, 특징에 대해 조사
- CERT 업무 절차 및 특징
- KISA 등에서 수행하는 CERT 업무
#1 CERT 란?
Computer Emergency Response Team 의 약어로 '컴퓨터 비상 상황 대응팀' 을 의미
주로 사이버 보안 사고를 예방하는 업무를 진행하고,
보안 사고가 발생하였을 때 해당 사고에 대한 원인과 피해 규모를 신속하게 파악하여 대책을 수립하고,
최종적으로는 피해를 최소화 시키는 업무를 수행하는 직무
#2 CERT 의 업무 및 특징
CERT의 역할
- 사고 탐지 및 대응
CERT의 주요 임무 중 하나는 사이버 사고를 신속히 탐지하고 대응하는 것이다.
이를 위해 지속적인 모니터링 시스템을 운영하여 잠재적 위협을 식별하고,
사건이 발생하면 즉각적인 대응 전략을 마련한다.
- 예방 및 교육
CERT는 사고 발생 후의 대응뿐만 아니라 예방 활동에도 집중한다.
이를 위해 취약점을 사전에 식별하고, 보안 정책을 개선하며,
정기적인 교육을 통해 조직 구성원들의 보안 인식을 높이는 데 힘쓴다.
CERT의 주요 특징
전문성
- CERT 팀은 네트워크 보안, 정보 보호, 시스템 관리 등의 분야에서 높은 전문성을 보유한 전문가들로 구성
- 각종 최신 기술 동향과 공격 기법을 숙지하고 있으며, 이에 맞춘 대응 전략을 마련한다.
협업 체계
- CERT는 개별 조직 내부뿐만 아니라 외부 기관과의 협력도 중요시한다.
- 다른 국제 및 국내 CERT 조직과의 정보 공유를 통해 보다 효율적으로 사이버 위협을 식별하고 대응할 수 있다. - 이를 통해 글로벌 사이버 보안 네트워크의 일환으로서의 역할을 수행한다
보안관제와의 차이점
보안관제는 실시간 모니터링을 통해 실제 사고인지 판단하고, 빠르게 인지시키는 역할을 주로 담당한다.
그렇게 침해사고가 확인이 되었을 때, CERT가 이를 즉각적으로 대응하는 형식이다.
일부 기업에서는 두 업무를 병행하여 보다 효과적인 보안 대응을 이루고 있다.
업무가 유사하지만, 보안관제는 실시간 모니터링을 주 업무로, CERT는 사고에 대한 대응을 주 업무로 수행한다.
CERT 업무 절차
0. 사고 전 준비 (예방)
정기적인 점검, 진단, 모의 훈련 등을 통해 실제 사건 사고에 대한 대비와 문제 발생을 최소화하기 위해 준비
- 침해사고 대응팀이 사고 현장에 도착해서 빠르고 정확하게 사고 대응을 실시할 수 있도록,
- 관리자와 긴밀한 협조 관계 구축 및 사고 대응을 위한 기술 개발, 도구의 준비,
네트워크와 시스템의 사전 조치 등을 취해야 한다.
1. 사고 탐지
모니터링 및 탐지: 지속적인 네트워크 및 시스템 모니터링을 통해 비정상적인 활동을 탐지.
- 자동화된 탐지 시스템과 전문가의 분석을 통해 이루어진다.
- 의심스러운 활동이 탐지되면 관련 부서 및 책임자에게 즉시 경보를 발령하여 초기 대응을 준비한다.
2. 초기 대응
사고 확인 및 평가: 탐지된 위협을 실제 사고로 확인하는 단계
-
로그 분석, 시스템 점검, 네트워크 트래픽 분석 등을 수행하여 사고의 진위와 범위를 파악한다.
-
수집한 정보들을 바탕으로 발생한 사건의 유형과 영향을 평가한다.
초기 대응 조치: 피해를 최소화하기 위해 즉각적인 조치를 취함. -
이를 통해 시스템 격리, 악성 코드 제거, 침입 경로 차단 등의 활동이 이루어질 수 있습니다.
-
시스템 격리
피해를 최소화하기 위해 감염된 시스템이나 네트워크를 즉시 격리하여 공격이 다른 시스템으로 확산되지 않도록 함.
내부 네트워크에서 공격을 받은 시스템을 분리하여 외부와의 연결을 차단 -
접근 제한
의심스러운 활동 또는 비정상적인 접근이 감지된 경우, 해킹 악성 코드를 통한 추가 피해를 막기 위해 관련 사용자 또는 계정의 접근 권한을 제한
공격에 연루된 계정이나 사용자를 일시적으로 비활성화하여 추가적인 공격을 방지 -
데이터 백업 및 보존
최신 백업 데이터를 활용하여 피해를 최소화하기 위해 필요한 데이터를 확보
사고 발생과 관련된 로그 및 기록을 보존하여 사후 분석과 조사를 위한 자료로 활용
-
3. 대응 전략 체계화
사고에 대한 대응 전략을 수립하는 단계
- 초기 대응으로 피해를 최소화한 후에도 여전히 처리해야 할 일이 남아 있으며, 이러한 후속 작업을 대응 전략 체계화의 일환으로 포함
- 대응하는 방법에 따라 다른 조직의 업무에도 영향을 미칠 가능성이 존재하기 때문에 신중하게 선택
- 소송이 필요한 사항인지를 결정하여 사고 조사 과정에 수사기관 공조 여부를 판단
4. 사고 조사
피해 평가: 사고로 인한 피해 규모와 영향을 정확하게 평가합니다.
- 데이터 유출, 시스템 손상, 서비스 중단 등의 영향을 분석하여 복구 계획을 수립합니다.
- 사고의 원인과 진행 과정을 상세히 분석하여 향후 유사 사고를 예방할 수 있는 정보를 도출합니다. 주요 취약점과 공격 경로를 확인합니다.
- 데이터 수집
사건 분석을 하는 동안 깊이 살펴보아야 할 범행들과 단서들의 수집
- 데이터 분석
로그 파일, 시스템 설정 파일, 웹 브라우저 히스토리 파일, 이메일 메시지와 첨부파일, 설치된 어플리케이션, 그림파일 전체적인 조사
5. 보고서 작성
- 사고 발생 전 과정을 기록하고 분석 결과와 대응 활동을 종합하여 사고 보고서를 작성합니다.
- 이전 단계에서 수행한 모든 정보를 바탕으로 육하원칙에 따라 객관적인 태도로 정리하고 보고한다.
- 이때 보고서를 작성할 때 가장 중요한 점은 각각의 수행 시간(공격 시간, 대응 시간 등)을 정확하게 기입을 해야한다.
6. 복구, 해결 및 예방 조치
- 복구 작업: 데이터 복구, 시스템 재설정, 보안 패치 적용 등 피해 복구 작업을 수행한다. 이 단계는 비즈니스 연속성을 보장하는 데 중점을 둔다.
- 교육 및 훈련: 조직 구성원들에게 사고 대응 교육과 훈련을 제공하여 보안 인식을 높이고, 미래의 사고 발생 가능성을 줄인다.
- 전략 개선: 대응 조치가 마무리 된 후 유사 공격을 예방하기 위해 보안 정책 수립 및 절차 변경 등의 과정을 진행하고 다시 사고 전 준비 단계로 돌아가 업무를 수행한다.
KISA 와 CERT 운영
KISA
KISA는 Korea Internet & Security Agency로, 대한민국의 인터넷 발전과 안전한 사이버 환경 조성을 목표로 설립된 기관이다. 이 기관은 정보보호, 인터넷 정책, 인터넷 산업 진흥 등의 업무를 수행하고 있으며, 특히 사이버 보안 분야에서 중요한 역할을 하고 있다.
한국인터넷진흥원(KISA)은 국가 차원의 사이버 보안을 위하여 다양한 CERT 활동을 수행하고 있다. KISA의 CERT 운영은 국가와 민간의 사이버 안전을 강화하는 핵심 요소이다.
KISA의 CERT 관련 업무
사이버 공격 대응: KISA는 다양한 사이버 위협으로부터 국가 중요 인프라와 기업을 보호하기 위한 실시간 대응 체계를 운영합니다. 사이버 공격이 발생하면 신속히 대응하고, 필요한 경우 관련 기관과의 협력을 통해 종합적인 해결책을 제공합니다.
취약점 분석 및 예방 활동: KISA는 주기적인 취약점 점검과 보안 컨설팅을 통해 조직의 보안 수준을 평가하고 강화합니다. 이는 잠재적인 보안 위협을 사전에 방지하는 데 필수적입니다.
정보 제공 및 교육: KISA는 최신 보안 위협 정보와 대응책을 기관 및 일반 사용자에게 제공합니다. 또한, 보안 교육 및 훈련을 통해 사용자의 사이버 보안 인식을 높이고, 효과적인 대응 능력을 배양합니다.
