23. 침해대응&CERT (1) : 개념과 실무

보안 관제라는 대표적인 직무뿐만 아니라 CERT라고 불리는 직무도 존재한다.
대표적으로는 보안 관제, CERT, 취약점 진단, 모의 해킹 등으로 구분되어 있다고 할 수 있다.
 
CERT는 보안관제처럼 신입을 채용하는 경우는 거의 없다고 볼 수 있다.
오늘 글에서 알아볼 업무 절차에는 초기 대응, 대응 전략 체계화 등에 대한
업무들이 존재하며, 해당 업무들을 원활하게 수행하기 위해서는 적절한 경력이 있어야만 한다.
 
 

---

 
 
침해사고대응팀(CERT) - 개념
 
 
정의(CERT: Computer Emergency Response Team)
조직이나 기업 내에서 발생하는 컴퓨터 보안 사고에 대응하기 위해 구성된 특수한 팀이나 조직이다.

이러한 팀은 보안 사고를 신속하게 탐지하고 대응하여 조직의 정보 시스템을 보호하고,
침해로부터 회복시키는 역할을 수행하여, 최종적으로 피해를 최소화시키는 업무를 수행한다.

특징
대부분의 대규모 기업이나 정부 기관은 자체적으로 CERT 팀을 구성하여 내부 보안 사고에 대응한다. 
반대로, 전문 보안 업체가, 여러 기관이나 기업을 대상으로 보안 서비스를 제공해 줄 수 있다.

보안관제와 차이점
보안관제는 실시간 모니터링을 통해 실제 사고인지 판단하고, 빠르게 인지시키는 역할을 주로 담당한다.
그렇게 침해사고인지 확인이 되었을 때, CERT가 이를 즉각적으로 대응하는 형식이다. 
 
일부 기업에서는 두 업무를 병행하여 보다 효과적인 보안 대응을 이루고 있다.
 
그래서 업무가 서로 분리되어 있기보다는 거의 유사한 업무를 수행하지만,
보안관제는 실시간 모니터링을 주 업무로, 사고에 대한 대응은 CERT에서 수행한다고 보면 좋다. 
 
즉, CERT는 평상시에 보안관제와 같이 업무를 수행하는 경우가 많다.
 
 

---

 
 
침해사고 대응팀(CERT) - 업무 절차
 
 
인터넷과 네트워크 기술의 발전은 보안 위협도 함께 발전시키고 있다. 
초고속 인터넷과 새로운 네트워크 인프라의 보급은 기업과 개인 모두에게 많은 혜택을 주지만, 
동시에 보안 위협에 노출되는 가능성도 높아졌다. 

이러한 환경에서 보안 침해는 점점 더 지능화되고 다양화되며 대중화되고 있다.
과거에는 주로 단일 시스템을 대상으로 하는 공격이 주를 이뤘지만, 
 
현재는 분산 서비스 거부(DDoS) 공격, 웜/바이러스, 스파이웨어와 같은 공격이 
네트워크 서비스 전체의 가용성을 침해하는 일반적인 현상으로 변모하고 있다. 

이에 따라 기업 네트워크의 보안 운영 방안과 침해사고 대응방안은 더욱 중요해지고 있으므로, 
기업은 신속하고 효과적인 보안 운영 및 대응 방안을 마련해야 한다.
 
한국정보보호진흥원(KISA)에서 발간한 "침해사고 분석 절차 가이드"에서는 침해사고 대응 절차를 
[사고 전 준비 과정] → [사고 탐지] → [초기 대응] → [대응 전략 체계화] → [사고 조사] → [보고서 작성] → [해결]
 
총 7단계로 제시하고 있다. 

한국정보보호진흥원(KISA) 침해사고 대응 절차

각 단계를 부르는 용어와 절차는 조금씩 달라질 수는 있겠지만 
일반적으로 [예방], [탐지/분석], [대응], [복구]의 4단계로 구성할 수도 있다.
 
 
사고 전 준비
해당 단계는 예방 단계라고 볼 수 있다. 정기적인 점검, 진단, 모의 훈련 등을 통해 실제 사건 사고에 대한 대비와
문제 발생을 최소화하기 위해 준비하는 일련의 과정들이 사고 전 준비 단계에 해당된다.

정의

 
사고가 발생하기 전 침해사고 대응팀과 조직적인 대응을 준비한다.

침해사고 대응팀이 사고 현장에 도착해서 빠르고 정확하게 사고 대응을 실시할 수 있도록, 
관리자와 긴밀한 협조 관계 구축 및 사고 대응을 위한 기술 개발, 도구의 준비, 네트워크와 시스템의 사전 조치 등을 취해야 한다. 
 

침해사고 대응팀(CERT)의 준비

 
침해사고 대응팀은 사전에 시스템 네트워크 관리자와 긴밀한 협조 관계를 구성해야 한다. 
해당 단계에서는 다음 사항들을 고려해야 한다.

• 사고 조사를 위한 도구(H/W, S/W) 구비
• 사고 조사를 위한 문서양식 정형화
• 대응 전략 수행을 위한 적절한 정책과 운용 과정 수립
• 간부, 직원들에 대한 교육 훈련 실시 

 
 
사고 탐지

정의

 
정보보호 및 네트워크 장비에 의한 이상 징후를 탐지한다.
예를 들면, 관리자에 의한 침해 사고의 식별, 시스템 및 장비 등을 통해서 사고를 탐지한다.

사고 탐지 과정 예시

그 후에는 직속상관에게 보고, 전산 지원실에 신고, 정보보호 부서에 의해 관리되는 핫라인으로 신고
세 가지 방법 중에 하나를 통해 탐지한 사고를 보고한다.

 
 
초기대응
해당 단계는 CERT의 제일 중요한 역할이라고 할 수 있다.
침해 사고가 외부로 퍼지게 되면 기업의 이미지, 신뢰도, 가치가 떨어질 수 있기 때문이다.
 

정의

 
최적의 전략을 결정하고 관리자 승인을 획득한다. 그 이후에, 초기 조사 결과를 참고하여 
소송이 필요한 사항인지를 결정하여 사고 조사 과정에 수사기관 공조 여부를 판단한다.


대응 전략을 결정하는 데에는 정책, 기술, 법, 업무 등의 사고와 관련된 적절한 요인들을 고려해야 하며, 침해 사고의 환경에 많은 영향을 받는다. 사고조사를 위해 얼마나 많은 자원이 필요한지, 소송의 필요 여부, 증거의 완벽한 확보 등의 요소들을 검토하고 결정해야 한다.

따라서 공격 환경과 대응 능력을 고려하여, 다양한 대응 전략을 수립하여야 한다. 예시는 다음과 같다.

즉, 침해사고대응팀을 소집하고, 네트워크와 시스템의 정보들을 수집하며, 발생한 사건의 유형과 영향을 평가한다. 
또한, 다음 단계로 진행할 수 있도록 충분한 정보를 모으고, 대응 전략을 세우는 것이 목적인 과정이다.

초기 대응 단계가 마무리되면 실제로 사고가 일어났는지(혹은 오탐인지), 
침해된 시스템에 대한 적당한 대응책이 있는지, 사건의 유형은 무엇인지, 
그리고 사고로 인한 잠재적인 업무 영향은 무엇인지 등을 알 수 있다. 

이렇게 적절한 정보가 준비되면 이를 판단근거로 하여, 
현재 사고를 어떻게 처리할 것인지를 결정(대응 전략 수립)할 수 있다.

 
 
 
대응 전략 체계화
발생되어진 침해 사고를 우리가 어떠한 방식으로 분석을 할 건지에 대해 여러 가지 방법들을 제시하는 단계이다.
그렇다 보니 악성코드 분석, 트래픽에 대한 원인 분석, 포렌식 기법 등 여러 가지가 존재한다.

정의

 
최적의 전략을 결정하고 관리자 승인을 획득한다. 그 이후에, 초기 조사 결과를 참고하여 
소송이 필요한 사항인지를 결정하여 사고 조사 과정에 수사기관 공조 여부를 판단한다.

대응 전략을 결정하는 데에는 정책, 기술, 법, 업무 등의 
사고와 관련된 적절한 요인들을 고려해야 하며, 침해 사고의 환경에 많은 영향을 받는다. 
 
사고조사를 위해 얼마나 많은 자원이 필요한지, 소송의 필요 여부, 증거의 완벽한 확보 등의 요소들을 검토하고 결정해야 한다.
따라서 공격 환경과 대응 능력을 고려하여, 다양한 대응 전략을 수립하여야 한다. 

대응 전략 예시

대응 전략 예시

 
 
 
사고 조사

정의

 
데이터 수집 및 분석을 통해 언제, 누가, 어떻게 사고가 일어났는지 조사하고,
피해 확산 및 사고 재발을 어떻게 방지할 것인지를 결정한다.

해당 과정은 결국에 공격자에 의해서 일어난 사고를 수습 및 색출하는 것에 초점이 맞추어질 것이다. 
즉, 조사의 핵심은 누가 어떤 것에 손상을 입혔는가를 확인하는 것이다. 

따라서 해당 과정은 다시 데이터 수집과 자료 분석 단계로 나뉜다. 

 

데이터 수집

 
사건 분석을 하는 동안 깊이 살펴보아야 할 범행들과 단서들의 수집이다. 
즉, 여기서 수집한 데이터는 결론을 내는데 필요한 기본 정보들을 제공한다고 할 수 있다.

사고 조사 : 데이터 수집

데이터 분석(포렌식 분석)

 
수집된 모든 정보의 전체적 조사를 의미한다.
 
예를 들면, 로그 파일, 시스템 설정 파일, 웹 브라우저 히스토리 파일, 
이메일 메시지와 첨부파일, 설치된 어플리케이션, 그림파일 등을 포함한다.

해당 과정에서는 포렌식 분석을 포함하여, 소프트웨어 분석, 
시간/날짜 스탬프 분석, 키워드 검색 등의 조사 과정을 수행한다. 

사고 조사 : 데이터 분석(포렌식 분석)

 
 
 
보고서 작성

정의

 
보고서를 읽게 되는 상급자 또는 소송 관련자들이 이해하기 쉬운 형태로 보고서를 작성한다.

데이터 획득, 보관, 분석 등의 과정을 6하원칙에 따라 명백하고 객관적으로 서술해야 하며, 
사건의 세부 사항을 정확하고 이해하기 쉽게 설명하고, 재판 과정에서 발생하게 될 논쟁에 대응할 수 있도록 치밀하게 작성한다.

 
 
 
복구 및 해결 과정

정의

 
차기 유사 공격을 식별 및 예방하기 위한 보안 정책의 수립, 
절차 변경, 사건의 기록, 장기 보안 정책 수립, 기술 수정 계획수립 등을 결정한다.

즉, 현재 발생한 사고로 인해 제2, 3의 피해를 막고 재발을 방지하기 위한 
사건의 본질을 기술하여 조치하고, 침해 컴퓨터의 복구, 밝혀진 취약점 조치, 정책 개선 등이 이루어져야 한다는 것이다.

 
 

---

인용 : 방송통신위원회 • 한국인터넷진흥원 『침해사고 분석 절차 안내서』