20. 침해 대응 & CERT (1)

SJH·2024년 8월 18일
0
post-thumbnail

CERT의 정의

CERT란 Computer Emergency Response Team의 약자로 직역하면 침해사고 대응 전문가

보안사고가 발생했을 때 피해규모를 최소화하기 위해 사고 분석과 시스템 복구 및
예방 전략 수립

현대의 인터넷 환경에서는 사이버 위협이 지속적으로 증가하고 있으며, 이에 따른 보안 사고가 다양한 형태로 발생하고 있는데, CERT는 이러한 사고에 신속하고 효율적으로 대응함으로써 사이버 보안 체계를 유지하는 데 중요한 역할을 수행

보안관제 vs CERT

보안관제

  • 실시간으로 네트워크, 시스템, 애플리케이션 등의 보안 상태를 모니터링하며, 보안 이벤트를 탐지하고 분석하여 위협을 식별하고 예방하는 것이 주된 역할
  • 보안관제센터(SOC)는 24/7 운영되며, 위협이 발생하기 전에 이를 탐지하고 차단하는 데 집중

CERT

  • 보안 사고가 발생했을 때 사고의 영향을 분석하고, 원인을 규명하며, 사고 확산을 방지하기 위한 대응 조치 수립
  • 사고 종료 후에는 사고에 대한 보고서를 작성하고, 향후 재발 방지를 위한 권고사항 제시

즉, 보안관제는 주로 사고 발생 예방 및 실시간으로 위협을 탐지하는 역할을 담당하고, CERT는 주로 사고 대응과 분석에 중점을 둔 팀이라고 볼 수 있음.

회사에 따라 보안관제와 CERT의 업무가 명확하게 구분되어 있기보다는 두 업무를 병행해서 효율성을 높이는 방향으로 조직을 구성하는 회사도 존재함.

CERT 업무 절차

<KISA 침해사고 대응 절차>

사고 전 준비과정

  • 사고가 발생하기 전 침해사고 대응팀과 조직적인 대응을 준비하는 단계

  • 침해 사고 대응팀이 사고 현장에 도착해서 빠르고 정확하게 사고 대응을
    실시할 수 있도록, 관리자와 긴밀한 협조관계와 각 직책별 행동 방안을 구축해야 함

  • 사고 대응을 위한 기술 개발, 도구의 준비, 네트워크와 시스템의 사전 조치 등 필요

사고 탐지

  • 정보보호 및 네트워크 장비에 의한 이상 징후를 탐지하고, 관리자에 의해 침해 사고를 식별하는 단계

<사고 탐지 및 사고 징후>

초기 대응

  • 침해사고 대응팀 소집 및 네트워크와 시스템의 정보들을 수집하여 대응 전략을 수립하는 단계

  • 대응팀은 보안 사고가 발생했을 시 사고에 대한 충분한 정보를 확보하고 이를 검토

초기 대응 단계가 마무리되면
1. 실제로 사고가 일어났는지(혹은 오탐인지)
2. 침해된 시스템에 대한 적당한 대응책이 있는지
3. 사건의 유형은 무엇인지
4. 사고로 인한 잠재적인 업무 영향은 무엇인지
등의 데이터를 수집하여 그에 맞는 대응 전략을 수립

대응 전략 체계화

  • 대응 전략 체계화 단계는 주어진 사건의 환경에서 가장 적절한 대응전략을 결정하는 것이 목표
  • 전략은 정책, 기술, 법, 업무 등의 사고와 관련된 적절한 요인들을 고려해야 함.

예를 들어 다음 표와 같은 사고 예시와 그에 맞는 대응 전략이 존재

<사고 유형에 따른 대응 전략 수립의 예>

사고 조사

  • 사고 조사는 육하원칙에 따라 호스트 기반과 네트워크 기반 증거로 나누어 조사
  • 사고 조사 과정은 ‘데이터 수집’과 ‘데이터 분석’ 단계로 나뉘어짐

데이터 수집

수집한 정보는 호스트 기반 정보 / 네트워크 기반 정보 / 일반 정보 3가지로 분리

<수집된 데이터의 분석 예>

데이터 분석

데이터 분석 단계에서는 로그 파일, 시스템 설정 파일, 웹 브라우저 히스토리 파일, 이메일 메시지와 첨부파일, 설치된 어플리케이션, 그림파일 등의 모든 수집된 정보를 가지고 소프트웨어 분석, 시간/날짜 스탬프 분석, 키워드 검색, 그외 필요한 전체적인 조사과정을 수행

<데이터 분석 절차>

보고서 작성

  • 침해사고 대응을 수행하며 얻은 데이터들과 분석한 내용을 토대로 보고서를 작성하는 단계

  • 보고서를 읽게 되는 상급자 또는 소송 관련자들은 컴퓨터에 대한 기본지식이 부족한 경우가 많기 때문에 누구나 알기 쉬운 형태로 작성되어야 함

  • 데이터 획득, 보관, 분석 등의 과정을 육하원칙에 따라 명백하고 객관적으로 서술하고, 사건의 세부 사항을 정확하고 이해하기 쉽게 설명되어야 하며, 재판 과정에서 발생하게 될 논쟁에 대응할 수 있도록 치밀하게 작성해야 함

복구 및 해결 과정

사고의 재발을 막기 위한 다양한 조치들이 이루어지는 단계

  • 조직의 위험 우선순위 식별
  • 사건의 본질을 기술 : 보안 사고의 원인과 호스트, 네트워크의 복원시 필요한 조치
  • 사건의 조치에 필요한 근원적이고 조직적인 원인 파악
  • 침해 컴퓨터의 복구
  • 네트워크, 호스트에 대해 밝혀진 취약점에 대한 조치(IDS, Access control, firewall)
  • 시스템을 개선할 책임자 지명
  • 시스템 개선이 이루어지고 있는지 추적
  • 모든 복구 과정이나 대책의 유용성 검증
  • 보안 정책 개선

참고

KISA - 침해사고 분석절차 안내서

profile
SJH
보안, 클라우드 공부정리 블로그
이전 포스트

19. 악성코드 분석 보고서

다음 포스트

21. 침해 대응 & CERT (2)

0개의 댓글