침해사고대응 (CERT)
"CERT"는 'Computer Emergency Response Team'의 약어로, 정보통신망 등의 침해사고에 대응하기 위해 컴퓨터 보안 사고에 대한 보호, 탐지, 대응을 수행하는 전문가 집단이다.
업무
CERT가 수행하는 업무는 다음과 같다.
- campaign, 연구 등 보안 사고 예방 활동
- 사고 발생 시 해당 사고에 대한 원인 및 피해 규모 분석 실시
- 해당 사고에 대한 대책 수립
이외에도 기업마다 천차만별이지만 CERT 직무로 악성코드 분석, 모의해킹을 진행할 수도 있다.
CERT와 보안관제 업무의 차이점
- 보안관제는 실시간 모니터링을 통해 침해사고가 발생한 경우 1차적인 대응 및 보고를 진행한다.
- CERT는 보안관제에서 보고한 침해사고의 원인, 영향, 대응방안 등을 분석한다.
- CERT는 사후 원인 분석과 대응을 통해 피해를 최소화한다.
업무 절차
보호 (Protect)
이는 사이버보안 문제가 발생하기 전에 조직을 보호하기 위해 적절한 조치와 주의를 주는 것으로, 사후 대응(Reaction) 보다는 사전 예방적(Proaction) 이다.
| 보호 (Protection) 예시 |
| 조직적 사건 대응 계획 생성. |
| 위험 평가 및 분석 수행. |
| 취약점 스캐닝 도구 및 IDS 설치. |
| 전 임직원에 대한 보안 인식 향상 훈련 제공. |
| 환경 설정 / 취약점 / 패치 관리 설치. |
| 어떤 보안 문제를 보고하고, 어떤 절차로 보고서를 작성할지에 대한 상세 안내. |
| 기존 위협에 기반하여 정기적으로 업데이트되는 내/외부 방어 조치 배포. etc. |
탐지 (Detect)
보안 사고는 탐지되지 않으면 대응할 수 없다. 실제로, 보안 사고 탐지는 주 혹은 달 단위의 시간이 걸릴 수 있다.
일반적인 탐지 전략은 라우터, 방화벽, IDS, IPS, 네트워크 모니터, 그리고 보안 운영 센터 (SOC)를 사용한 방어형 네트워크 구조를 구축하는 것이다.
효과적인 탐지를 위해서는 시간과 노력, 특히 조직의 네트워크가 어떻게 운영되는지에 대한 높은 수준의 이해가 요구된다.
네트워크가 적절히 실행 중인지, 원치 않은 애플리케이션이나 비정상 트래픽 패턴을 겪고 있지는 않은지를 확인하기 위해서는 네트워크와 그에 부착된 시스템이 제대로 실행되고 있는지 명확히 특징화(characterize)할 필요가 있다.
시스템 관리는 아래와 같은 네트워크의 모든 부분에 대한 문서화 및 기준점을 요구한다.
| 네트워크 문서화 / 기준점 요구사항 |
| S/W 자산 관리 (SAM) 프로그램을 통해 설치사항과 그것의 소유자, 각 자산을 통해 지원되야 할 기능 등을 확인할 수 있어야 한다. (※ 추가적으로, 자산 기준점에 대한 정기적인 점검이 수행되어야 한다.) |
| 애플리케이션 관리자, 인증된 사용자, 데이터 이전에 대한 특징 및 애플리케이션이 담당하는 다른 트래픽을 포함한 애플리케이션 관리 및 보안 프로그램. |
| 대역폭 이용률 기준점 및 정기적 대역폭 점검 |
| 네트워크 흐름 기준점 및 지속적 모니터링을 통해 기준점에 대한 우회 포착. |
이에 대한 보호와 탐지를 수행하기 위해선 특정 대응 활동이 발생하기 전에 해당 처리 모델의 모든 요소들을 사전에 설치할 필요가 있다.
대응 (Response)
일단 컴퓨터 보안 사고를 탐지하면, 사고 대응을 시작할 수 있다.
컴퓨터 보안 사고에 대응하는 것은 다음의 절차를 거친다.
- CERT 팀이 보안 사고에 대한 보고서를 수령한다.
- 사건 보고서를 분석하여 무엇이 발생했는지 확인한 뒤, 추가적인 손상을 방지하고 통제를 되찾을 전략을 즉시 세운다.
- 사고 복구를 위해 해당 전략을 계획에 편입시키고, 가능한 빨리 정상 운용 상태로 복귀한다.
침해사고 분석 절차 (feat. KISA)
1. 사고 전 준비 과정
- 사고가 발생하기 전 CERT와 조직적인 대응을 준비하는 단계
- 침해사고가 발생하게 될 경우 어떻게 대처할지 대응을 준비한다.
2. 사고 탐지
- 정보보호 및 네트워크 장비에 의한 이상 징후를 탐지하는 단계
- 관리자에 의한 침해 사고 또한 식별한다.
3. 초기 대응
- 사고에 대한 초기 조사를 수행하는 단계
- 사고 정황에 대한 세부 내용을 파악하며, 침해사고 관련 부서에 통지한다.
4. 대응 전략 체계화
- 사고에 대한 대응 전략을 수립하는 단계
- (초기 조사결과를 참고하여) 소송이 필요한 사항인지 결정하고, 수사기관 공조 여부를 판단하는 등 대응 전략을 수립한다
출처 : KISA
5. 사고 조사
- 사고의 원인과 피해 규모를 분석하는 단계
- 조사의 핵심은 '누가 어떤 손상을 입혔는지' 확인하는 것이기 때문에 조사 과정은 데이터 수집, 자료 분석으로 나뉜다.
6. 보고서 작성
- 사고 발생 전 과정을 기록하고 분석한 내용을 바탕으로 보고서를 작성하는 단계
- 보고서 작성 시 중요한 점은 각각의 수행 시간 (e.g. 공격 시간, 대응 시간 등)을 정확히 기입해야 한다.
- 또한 보고서를 읽는 사람이 컴퓨터 기본 지식이 부족한 경우가 많기 때문에 이해하기 쉽게 작성해야 한다.
7. 복구 및 해결
- 현재 발생한 사고로 인한 유사 사고 재발을 방지하는 단계
| 1. 조직의 위험 우선순위 선별 |
| 2. 사건의 본질을 기술 : 보안 사고의 원인과 호스트, 네트워크 복원 시 필요한 조치 |
| 3. 사건의 조치에 필요한 근원적이고 조직적인 원인 파악 |
| 4. 침해 컴퓨터의 복구 |
| 5. 시스템을 개선할 책임자 지명 |
| 6. 시스템 개선이 이루어지고 있는지 추적 |
| 7. 보안 정책 개선 |
참고 출처
- Computer Emergency Response Team (CERT)
