침해사고 대응 절차(Incident Handling Process) 인터넷의 급속한 발전에 따라 초고속 인터넷의 이용이 보편화되고, 새로운 네트워크 인프라와 기술이 계속적으로 발전되고 있는 환경 속에서 국내•외의 보안 침해사고가 점점 지능화, 다양화, 대중화되고 있으며 과거의 단일 시스템을 대상으로 하는 공격에서 분산 서비스 거부 공격, 웜/바이러스, 스파이웨어와 같이 네트워크 서비스 전체의 가용성을 침해하는 공격으로 계속 진화되고 있다. 이러한 새로운 침해 위협이 증가되어 피해가 속출하고 있는 현실 속에서 기업 네트워크의 보안운영 방안과 더불어 효과적이고 신속한 침해사고 대응방안 및 절차가 요구되고 있는 것이 현실이다. 보안관리 및 운영을 수행하는 현업에서는 기업의 정보자산에 영향을 줄 수 있는 모든 전자적 침해 행위와 그 결과로 발생되는 각종 피해 영향을 침해사고로 생각하고 있으며, 주요 유형은 다음과 같다.
| 구분 |
주요 내용 |
| 고객정보 및 기밀정보 유출(기밀성 침해) |
▪ 비인가된 시스템 접근, 파일접근 및 네트워크 정보수집을 포함한 네트워크 정보의 비인가된 접근을 통한 정보 유출 ▪ 정보에 접근 가능한 내부자 또는 외부자에 의한 고객정보 또는 회사 기밀정보를 보유한 시스템의 해킹으로 인한 정보의 유출 ▪ 중요 장비 또는 정보 저장 매체(디스크, CD, Tape 등)의 도난 또는 불완전한 폐기로 인한 정보의 유출 ▪ 도청, 감청, 네트워크 스니핑(Sniffing)에 의한 정보의 유출 ▪ 외부 협력업체를 통한 정보의 유출 |
| 서비스 지연 및 중단(가용성 침해) |
▪ 웜/바이러스, 트로이목마, 백도어 등의 악성코드(Malicious Code)를 유포 및 실행시켜 피해를 일으키는 공격으로 인한 서비스 중단 ▪ 정보 자산에 대한 물리적인 손상이 발생하여 서비스 중단 ▪ 서비스 거부(DoS) 공격, 웜/바이러스로 인해 정보자산의 일부 또는 전체 서비스 중단 |
| 침입에 의한 정보 변조(무결성 침해) |
▪ 고객 정보 및 이와 밀접한 기밀정보를 내부자 또는 외부자가 승인을 받지 않고 의도적으로 조작 ▪ 거래정보, 사용료 정보(계좌 등) 등을 보유한 시스템에 대한 해킹 ▪ 인터넷 서비스 관련 배너정보의 변경 |
침해사고에 신속하기 대처하기 위해서는 적절한 침해사고 대응 절차의 수립이 필수적이다. 해외 사례를 살펴보면 미국 국립 표준 기술연구소(NIST)에서 발간한 “NIST SP 800-61 Computer Security Incident Handling Guide(컴퓨터 보안사고 처리 가이드)”에서는 침해사고 대응절차를 [사전 준비]→[탐지 및 분석]→[억제, 근절, 복구]→[사고 후 활동] 등 4단계로 권고하고 있다. 국내에는 한국정보보호진흥원(KISA)에서 발간한 "침해사고 분석 절차 가이드"에 침해사고 대응 절차를 [사고 전 준비 과정]→[사고 탐지]→[초기 대응]→[대응 전략 체계화]→[사고 조사]→[보고서 작성]→[해결]과 같이 7단계를 제시하고 있다. 현업에서 활용 가능한 침해사고 대응절차는 각 단계를 부르는 용어와 단계의 개수는 조금씩 달라질 수는 있겠지만 일반적으로 [예방], [탐지/분석], [대응], [복구]의 4단계로 구성할 수 있고, 각 단계에서 수행해야 할 주요활동은 다음과 같다.
| 단계 |
구성 |
주요활동 |
역할/책임 |
| 1 |
예방 |
- 정보보호를 위한 평시 활동
- 침해사고 대응팀(CERT) 구성 및 운영
- 정보보호 교육을 통한 인식제고
|
전체임직원 |
| 2 |
탐지/분석 |
|
운영 담당자 보안 담당자 |
| 3 |
대응 |
|
운영 담당자 정보보호 담당자 |
| 4 |
복구 |
- 재발방지 조치
- 시스템 통제권 회복 후 재발방지 대책 수립
|
운영 담당자 정보보호 담당자 정보보호 책임자 |
1단계(예방) 침해요인을 사전에 제거•감소시킴으로써 침해의 발생 자체를 억제•방지하기 위한 일련의 활동을 수행하는 단계로서, 침해발생 시 수행해야 할 제반 사항을 미리 준비/계획하고, 침해에 대해 즉각적으로 대응할 수 있는 태세를 강화시키기 위한 훈련과 교육 등의 보안인식제고 활동을 수행한다.
- 안전한 정보자산을 운영 - 사용자 계정 및 패스워드를 안전하게 설정하고 관리한다. - 공개서버가 위치한 DMZ 구간에 대한 접근제어를 수행한다. - 비정상적인 네트워크 트래픽을 모니터링 한다. - 로그의 주기적으로 점검 관리한다. - 보안 취약점의 주기적으로 점검 및 결과에 대한 보안대책을 적용한다. - 웜/바이러스를 포함한 악성코드 방지 방안을 수립한다.
- 침해사고 대응팀(CERT)의 구성 및 운영 - 침해사고 대응 정책 및 절차의 수립한다. - 외부 전문가를 포함한 침해사고 대응팀을 구성한다. - 침해사고 대응팀에 대한 주기적인 훈련을 실시한다.
- 보안 침해사고 예방 교육 및 홍보활동을 통한 보안 인식제고를 수행한다.
- 침해의 유형 분류 및 유형 별 대응전략 수립 - 침해의 유형을 분류한다. (예, 서비스거부, 정보유출, 웜/바이러스 등) - 침해의 영향을 받는 자원의 심각도, 침해사고의 현재 및 잠재적인 영향성 등을 고려해서 침해 유형별 침해사고 처리에 대한 우선 순위를 결정한다. - 침해의 유형과 처리에 대한 우선순위를 고려한 대응전략을 수립한다.
2단계(탐지/분석) 침해에 대한 징후나 징조를 탐지하는 단계로서, 초기 분석을 통해 침해 여부를 판단하고, 사건의 상관관계 분석과 자료조사 등의 활동을 수행한다.
- 여러 경로의 경보를 통해 침해 징후나 징조를 탐지한다. - 운용중인 보안솔루션이나 네트워크 모니터링 도구에서 제공하는 경보 알림 - 시스템, 네트워크 장비, 어플리케이션의 로그 - 조직 내/외부인으로부터의 보고 등
- 침해사고의 범위를 결정하기 위해 신속한 초기 분석을 수행한다. - 어떤 네트워크, 시스템 또는 어플리케이션이 영향을 받는가? - 누가 또는 무엇이 사고를 발생 시켰는가? - 어떻게 사고가 발생하고 있는가?
- 사건의 상관 관계(Event Correlation)를 분석한다.
- 정보의 지식 기반(Knowledge Base)을 유지하고 이용한다.
- 자료조사를 위해 인터넷 검색 엔진을 이용한다.
3단계(대응) 침해사고 발생 시, 제한된 자원(정보자산, 인력 등)과 역량을 효율적으로 활용하고, 신속하게 대치함으로써 피해를 최소화하고 2차 위기 발생 가능성을 감소시키는 일련의 활동을 수행한다.
- 침해사고 관련 데이터를 보호한다.
- 증거수집과 대응에 대한 확립된 절차를 준수한다.
- 증거로서 시스템에서 휘발성 데이터를 취득한다.
- [예방] 단계에서 수립된 대응전략에 따라 침해 유형별, 우선순위별 대응을 수행한다.
4단계(복구) 침해로 인해 발생한 피해를 이전 상태로 회복 시키고, 평가를 통해 재발 방지를 위한 원인파악과 시스템의 보안설정을 강화하는 일련의 활동을 수행한다.
- 침해사고가 발생한 시스템 OS를 신규 설치하여 서비스를 준비한다.
- 시스템 OS 및 어플리케이션 취약성을 보완한다. (예, 보안 패치의 적용, 패스워드 변경 등)
- 공격 진원지를 식별하고, 식별된 진원지에 대한 접근을 통제하고, 해당 기관에 연락하여 재발장비를 위한 조치를 한다.
- 정보보호 담당자는 침해사고의 원인 및 대응 조치 등에 대하여 침해사고 발생 유형, 발생 일시, 피해범위 및 정도, 침해사고 발생 원인, 대응조치, 재발방지 조치 등의 내용을 포함한 침해사고 분석보고서를 작성한다.
- 정보보호 책임자는 침해사고 대응결과에 대하여 검토 후, 승인하고, 재발방지를 위해 필요한 후속조치에 대하여 지원한다.
- 중대한 침해사고 이후에는 검토회의를 개최해서 재발방지를 위해 노력한다.
침해사고 대응 절차는 해당 각 조직의 비즈니스 목표(비전)에 맞게 수립되어야 한다. 침해사고 대응방안 및 절차에 대한 보다 상세한 내용은 한국정보보호진흥원(KISA)에서 발간한
“침해사고 분석 절차 가이드”, “침해사고 대응절차(Procedures of Incident Response)”, “침해사고 대응복구 지침(Guide for Incident Response and Recovery of Information Systems)” 등을 참조할 수 있다.@
