[침해 대응 & CERT 과정_1주차]

 

"CERT" 란?

Computer    컴퓨터 
Emergency  비상(사태)
Response     반응, 대응

Team            팀, 단체    

 

의 약어로 침해사고에 대응하는 팀을 의미합니다.

 

침해사고란 악성코드에 감염 혹은 시스템이 해킹행위에 노출되는 것을 말하고 

 

CERT는 이런 침해사고 발생시 조치 후 분석을 진행하여 다음 사고에 대비하기위한 행동을하거나

예방하기 위해 사전에 취약점을 분석하며 확산방치 및 처리를 위해 사고내용을 공유하는 업무를 진행합니다.

 

 

CERT와 비슷한 업무로 보안관제가 있는데 둘의 둘의 대표적 차이점이라고 한다면

 

 

보안관제의 경우 모니터링을 통해 침해사고가 발생한다면 1차적인 대응 및 보고를 진행합니다.

즉, 실무역할을 위주로 계속 침해사고가 발생하는지 모니터링 하는 것을 의미하며,

 

반면

 

CERT의 경우 보안관제로 부터 보고받은 침해사고의 원인, 영향, 대응방안등을 분석하여

사고발생 후 원인분석과 대응 전문가 조직을 구성하여 협조관계를 통해 피해를 최소화하는 팀으로

모니터링보다는 대응에 좀 더 초점을 두는 것을 의미합니다

사고피해를 줄이기위한 업무

 

 

.

 침해사고 대응의 7단계

 

침해사고 대응과정

 

침해사고의 대응과정은 위 그림과 같습니다.

 

1단계 사고전 준비

:효율적인 사고 대응을 위해 범조직적인 전략과 대처방안 개발하는 '사고 대응 체제'의 준비와

전문가 조직을 구성하고 시스템 네트워크 관리자와 긴밀한 협조 관계 구성하는 '침해사고 대응팀'의 준비가 있습니다.

 

2단계 사고탐지

:정보보호 시스템(IPS/IDS) 및 네트워크 장비에 의한 이상 징후 탐지하여 관리자에 의한 침해사고를 식별하고 탐지된 사고를 보고하게 됩니다.

 

3단계 초기대응

:초기대응은 발견한 사람(보통 보안관제)이 진행하게 되는데 초기 조사 수행, 사고 정황에 대한 기본적인 세부사항 기록 후 

침해사고 대응팀을 소집하고 네트워크와 시스템 정보를 수집하여 발생한 사건의 유형 식별 및 영향을 평가하여 다음단계진행을 위한 정보수집 및 전략을 수립하는 단계로 이과정을 골든타임이라고도 합니다. 

 

4단계 대응 전략 체계화

:주어진 사건의 환경에서 가장 적절한 대응전략을 결정하는 것이 중요하며,

 

환경의 전체적인 고려

(증거의 완벽한 확보를 위해 저장 매체를 완전히 복사하는 포렌식 이미징(Forensic Duplication) 작업이 필요한가?)

적절한 대응 고려

(네트워크 및 시스템 다운 시간과 이로 인한 운영상의 영향)

수사 기간 공조 고려 사항

(사고의 비용이나 피해 정도가 범죄 전문가를 초빙할만한가?)

 

등을 고려하여 체계화하여야 합니다.

 

예를들면 

DDoS 공격의 경우 Flooding 효과를 최소화하기 위해 라우터를 재설정할 수 있고 ISP, 수사기관과 협력해 공격자를 밝혀 법적 조치를 강구해야합니다.

 

5단계 사고조사

:이단계에서는 아래의 그림처럼 공격 시작부터 종료까지 어떤 공격이 이루어 졌는지 조사하여 피해확산 및 사고재발의 방안을 수립하게됩니다.

 

사고조사 과정

 

6단계 보고서 작성

:2~5단계 까지의 데이터를 추합해 보고서를 작성하는 단계로

수집한 데이터를 분석하여 육하원칙(왜, 언제, 어디서, 누가, 무엇을, 어떻게)에  따라 명백하고 객관적으로 서술하여

누구나 알기 쉬운 형태로 작성해야합니다.

 

7단계 복구 및 해결과정

:현재 발생한 사고로 인한 재발의 피해를 막고 방지하기위한 조치가 이루어져야합니다.

 

즉, 아래와 같이 진행하게 됩니다.

-조직의 위험 우선순위 식별해야 한다.
-사건의 본질을 기술 : 보안 사고의 원인과 호스트, 네트워크의 복원시 필요한 조치를 취해야 한다.
-사건의 조치에 필요한 근원적이고 조직적인 원인 파악한다.
-침해 컴퓨터의 복구한다.
-네트워크, 호스트에 대해 밝혀진 취약점에 대한 조치를 취해야 한다.

 

 

 

침해 대응 & CERT 과정 1주차 과제.pptx

0.63MB