CERT (Computer Emergency Response Team)

기업 등 한 조직內에서 발생하는 침해사고 대응을 위해 사고처리 및 피해 복구, 보안정책 수립, 보안강화 등의 임무를 수행하는 대응조직이다.

보안관제(SOC)와 침해사고대응팀(CERT)의 차이점

회사 규모에 따라 평소에는 보안관제 업무를 수행하다가 사고가 발생하면 CERT 업무도 수행하는 경우가 있다.
보안관제는 모니터링과 초기대응에 초점을 두고, CERT는 침해사고의 근본적 원인을 파악해 사고 조치와 재발 방치를 위한 대책을 수립하는데 중점을 둔다.

업무 절차

큰 틀로 보자면 보안관제와 마찬가지로 예방→탐지→대응→보고→복구 및 공유의 순환 절차를 거치지만 세세하게는 보안관제와 차이점이 있다.

한국정보보호진흥원(KISA)에서 발간한 "침해사고 분석 절차 가이드"에서는 침해사고 대응 절차를
다음과 같이 7단계로 제시하고 있다.

1. 사고 전 준비

정기적인 시스템/네트워크 점검 및 진단, 침해 사고 발생을 대비한 모의 훈련 실시와 유관 부서와 기관의 연락망을 관리하는 단계이다.

2. 사고 탐지

정보보호 장비나, 관리자가 이상 징후를 발견하거나 또는 사용자의 신고에 의해서 사고 징후를 발견하거나, 사고를 탐지하는 단계이다.

3. 초기 대응

실제로 사고를 확인하는 단계이다.
초기 대응 단계에서는 시스템 로그/네트워크 트래픽 분석 및 점검을 수행하여 사건의 유형과 영향을 판단한다.
그리고 피해 확산을 차단하기 위해서 시스템을 격리하고, 의심 계정이나 IP/DNS/URL의 접근을 차단/제한 등의 초동 조치를 취한다.
또한 이후 체계적인 대책을 수립할 때 이용할 사고 기록/증거들을 보존한다.

4. 대응 전략 체계화

대응 전략을 수립하는 단계이다. 이 단계에서는 초기 대응단계의 정보를 이용하여 사고의 심각도/범위 등을 평가하며, 병렬적으로 대응 계획서를 작성한다. 이 대응 계획서는 상급 관리자/경영진/유관 기관의 승인이 필요하며, 서비스를 단계적으로 복구하거나, 우회하는 방안 등을 설계한다.

5. 사고 조사

사고로 인한 피해 규모와 영향을 정확하게 도출하기 위해 실시하는 단계이다.

(1) 데이터 수집

로그/시스템 설정/웹 히스토리/이메일/첨부파일/어플리케이션 등 전체적인 조사를 실시하여 증거를 수집하는 단계이다.

(2) 데이터 분석

데이터 포렌식/소프트웨어/타임스탬프/키워드 등 수집된 증거를 통해 데이터를 분석하는 단계이다.

6. 보고서 작성

보고서는 6하 원칙에 따라 명백하고 객관적으로 작성해야 하고, 주로 시간의 흐름에 따라 작성된다.
또한 보안 관련 지식이 없는 상급자/소송 관련자 등이 이해하기 쉽게 작성되어야 한다.

7. 복구 및 해결 과정

침해 컴퓨터를 복구하는 단게이다. 보안 취약점을 보완하고, 유사 공격의 식별/예방 방안을 수립한다. 이 정보를 다른 기관에 공유하여 재발을 예방한다.