침해사고대응팀(CERT)

01 CERT란?

 

(1) CERT란?

CERT는 정보통신망 등의 침해사고에 대응하기 위해 기업이나 기관의 업무 관활지역 내에서 침해사고 접수 및 대응 지원을 비릇해 예방, 복구 등의 임무를 통괄 수행하는 조직

 

02 CERT 업무

​

침해사고 대응 절차 7단계

 

 

 

(1) 1단계 사고 대응 전 준비 과정

 

1-1 사고 대응 체제의 준비

 

- 호스트 및 네트워크 기반의 보안을 측정하여 수행

- 최종 사용자 교육 훈련을 실시

- 침입 탐지 시스템을 설치

- 강력한 접근 통제를 실시

- 규칙적인 백업을 수행

- 침해 사고 대응팀과의 비상 연락망을 구축하고 보고서를 작성

 

 

1-2 침해 사고 대응팀의 준비

 

- 사고 조사를 위한 도구(H/W, S/W, 대부분 고가...)를 구비

- 사고 조사를 위한 문서 양식을 정형화

- 대응 전략 수행을 위한 적절한 정책과 운용 과정을 수립

- 간부, 직원들에 대한 교육 훈련을 실시

 

 

(2) 2단계 사고 탐지

.

2-1 탐지된 사고 보고

- 직속 상관에게 보고

- 전산 지원실에 신고

- 정보보호 부서에 신고

 

 

2-2 초기 대응 점검표 구성 요소

 

- 현재 시간, 날짜

- 사고 보고 내용과 출처

- 사건 특성

- 사건이 일어난 일시

- 관련된 하드웨어, 소프트웨어의 목록

- 사고 탐지 및 사고 발생 관련자의 네트워크 연결 지점

 

 

(3) 3단계 초기 대응

.

3-1 초기 대응 목적

- 침해 사고 대응팀을 소집

- 네트워크와 시스템의 정보를 수집

- 발생한 사건의 유형 식별 및 영향을 평가

- 다음 단계 진행을 위한 정보를 수집하고, 전략을 수립

(골든 타임이라고도 한다.)

 

 

3-2 초기 대응 이후의 정보 수집

 

- 사건의 기술적인 내용을 통찰 할 수 있는 시스템 관리자와 면담

- 사건 분석을 위한 정황을 제공해 줄 수 있는 인원들과의 면담

- 침입 탐지 로그와 데이터 식별을 위한 네트워크 기반 로그의 분석

- 공격 경로와 수단을 알아내기 위한 네트워크 구조와 접근 통제 리스트의 분석을 해야한다.

 

(4) 4단계 대응 전략 체계화

.

4-1 환경의 전체적인 고려

- 사고 조사를 위한 자원이 얼마나 필요한가?

- 증거의 완벽한 확보를 위해 저장 매체를 완전히 복사하 는 Forensic Duplication 작업이 필요한가?

- 형사소송 또는 민사소송을 할 필요가 있는가?

- 대응 전략에 다른 관점이 있는가?

 

4-2 적절한 대응 고려

- 네트워크 및 시스템 다운 시간과 이로 인한 운영상의 영향

- 사건 공개와 그에 따른 조직의 대외 이미지와 업무에 영향

- 지적 재산권의 도용과 잠재적인 경제적 영향

 

4-3 수사 기간 공조 고려 사항

- 사고의 비용이나 피해 정도가 범죄 전문가를 초빙할만한가?

- 사법이나 형사 조치가 조직이 원한 만큼 결과를 이끌어 낼 것인가?

(상대로부터 피해를 복구하거나 손해 배상을 받을 수 있는지)

- 사고 원인 분석은 타당한가?

- 효과적인 수사에 도움이 되는 적절한 문서와 정리된 보고서를 가지고 있는가?

 

(5) 5단계 사고 조사

5-1 데이터 수집

 

- 사건 분석을 하는 동안 깊이 살펴보아야 할 범행들과 단서들의 수집

- 수집한 데이터는 결론을 내는데 필요한 기본 정보들을 제공

 

5-2 요구 사항

 

- 법적 소송 염두

- 증거가 무결성과 적법성을 유지하도록 디지털 데이터를 수집

- 대량의 데이터를 수집하고 보관

- 컴퓨터 포렌식 기술이 필요

 

5-3 주의 사항

 

- 컴퓨터 보안 사고의 주변 인물들 중에 사건에 가담하여, 증거를 고의적으로 손상 시킬 여지가 있는 관련자를

증거로부터 격리

- 추가적인 증거나 정보를 축적

- 정보 노출의 범위를 검증

- 사고와 관련된 추가 내부 인원들을 확인

- 네트워크에서 일어난 이벤트의 timeline을 결정

- 대응 방침에 대한 상급자의 확실한 승인을 확보해야 한다.

 

 

5-4 5단계 사고 조사 (수집된 데이터의 분석)

 

 

(6) 6단계 보고서 작성

 

6-1 보고서 작성

 

- 누구나 알기 쉬운 형태로 작성해야 한다.

- 데이터 획득, 보관, 분석 등의 과정을 6하원칙에 따라 명백하고 객관적으로 서술해야 한다.

- 사건의 세부 사항을 정확하게 기술해야 한다.

 

 

 

 

 

(7) 7단계 복구 및 해결 과정

 

 

7-1 조치

 

- 조직의 위험 우선순위 식별해야 한다.

- 사건의 본질을 기술 : 보안 사고의 원인과 호스트, 네트워크의 복원시 필요한 조치를 취해야 한다.

- 사건의 조치에 필요한 근원적이고 조직적인 원인 파악한다.

- 침해 컴퓨터의 복구한다.

- 네트워크, 호스트에 대해 밝혀진 취약점에 대한 조치를취해야 한다.