bob 11th 지원대상자가 이수해야 할 사전 교육에 대한 학습 일지입니다.
침해사고 대응
CERT
- Computer Emergency Response Team
- 1988년 11월 22일 저녁 미국 전역의 컴퓨터가 모리스 웜에 의해 멎어버린 사건 이후 미 정부에서 이러한 피해를 최소화하고자 마련한 대응책
- 미 국방부 고등연구 계획국(DARPA)은 컴퓨터와 관련된 침입 사고에 적절이 대응하고자 피치버그의 카네기 멜론 대학내의 소프트웨어공학 연구소에 CERT팀을 만듦
- 건물의 경비원의 역할과 같음
침입 대응 절차
| 단계 | 내용 | 주요활동 | 역할/책임 |
|---|---|---|---|
| 1 | 예방 | 정보보호를 위한 평시활동 CERT 구성/운영 정보보호 교육 | 전체직원 |
| 2 | 탐지/분석 | 정보자산 모니터링 초기분석 | 운영담당자 보안담당 |
| 3 | 대응 | 증거 데이터 수집/보호 침입 유형별 긴급 조치 | 운영담당자 정보보호 담당자 |
| 4 | 복구 | 재발방지 조치/대책수립 | 운영담당자 정보보호담당자/책임자 |
KISA 침해사고 대응 7단계
- 사고 전 준비
- 사고가 발생하기 전 CERT와 조직적인 대응을 준비
- 사고 탐지
- 정보보호 및 네트워크 장비에 의한 이상 징후 탐지, 관리자에 의한 침해사고의 식별
- 초기 대응
- 초기 조사 수행, 사고 정황에 대한 기본적인 세부사항 기록, 사고 대응팀 신고 및 소집, 침해사고 관련 부서(기관)에 통지
- 대응 전략 체계화
- 최적의 전략을 결정하고 관리자 승인을 획득, 초기 조사 결과를 참고하여 소송이 필요한 사항인지를 결정하여 사고 조사 과정에 수사기관 공조 여부를 판단
- 사고 조사
- 데이터 수집 및 분석을 통하여 수행. 언제, 누가, 어떻게 사고를 일으켰는지 피해 확산 및 사고 재발을 어떻게 방지할 것인지를 결정
- 보고서 작성
- 의사 결정자가 이해할 수 있는 형태로 사고에 대한 정확한 보고서를 작성
- 해결
- 차기 유사 공격을 식별 및 예방하기 위한 보안 정책의 수립, 절차변경, 사건의 기록, 장기 보안 정책 수립, 기술 수정 계획 수립 등을 결정
위험 등급
- 1등급 상황
- 분산 서비스 거부 공격으로 정상적인 동작이 불가능한 경우
- 침입자에 의해 주요 파일이 조작되는 경우
- 칩입자의 공격에 대한 대응 수단이 없는 기타의 경우
- 2등급 상황
- 비인가자에 의해 관리자 명령이 실행되고 있는 경우
- 일반적이지 않은 숨김 파일 또는 디렉토리가 존재하는 경우
- 3등급 상황
- 외부 또는 내부로부터의 지속적인 취약점 수집 행위가 발견되는 경우
- 외부 또는 내부로부터의 비정상 패킷 전송량이 증가하는 경우
침해 사고 유형
- 기밀성 침해(confidentiality)
- 비인가 접근을 통한 정보 유출
- 내부자에 의한 정보 유출
- 도청 및 감청, 스니핑에 의한 정보 유출
- 가용성 침해(Availability)
- 악성 코드 감염/공격에 의한 서비스 중단
- Dos, DDos 공격에 의한 서비스 중단
- 시스템 해킹에 의한 운영 방해
- 무결성 침해(Integrity)
- 기밀정보의 의도적인 조작
- 중요 정보 저장 시스템의 해킹
- 페이지 변조 및 악성 스크립트 삽입
침해 대응 단계
- 심각
- 국가적 차원에서 네트워크 및 정보시스템 사용 불가능
- 국가적 차원에서 공동 대처 필요
- 경계
- 침해사고가 다수기관에서 발생했거나 대규모 피해로 발전될 가능성 증가
- 다수 기관의 공조 대응 필요
- 주의
- 일부 네트워크 및 정보시스템 장애
- 국가 정보 시스템 전반에 보안태세 강화
- 관심
- 해외 사이버공겨 피해가 확산되어 국내 유입 우려
- 사이버위협 징후 탐지활동 강화 필요
- 정상
- 전 분야 정상적인 활동
- 위험도 낮은 해킹기법, 보안취약점 발표
침해사고 대응팀 구성
- 보안 사고가 발생하기 전에 조직하여 사고 발생 시 적절한 조치를 신속히 대응
역할
- 침해 사고의 예방 및 기술 연구 및 전파
- 침해 사고 예방을 위한 위험분석 및 정책 수립
- 침해 사고 발생시 신고 접수 및 처리
- 외부기관과 협력 창구