법에 명시된 정보보호 침해사고란 정보시스템을 공격하는 행위로 발생한 사태이지만 실무에서는 모든 전자적인 공격에 따라 발생한 피해로 생각한다.

 침해사고 공격 기법은 대규모, 분산화, 대중화, 범죄적 성향의 특징을 가지고 있다.

이러한 공격들이 발생한 경우 침해 사고 대응 절차 7단계로 나뉜다.

1 단계 사고 전 준비 과정

• 사고가 발생하기 전에 침해사고 대응팀과 조직적인 대응 준비를 해야한다.

2 단계 사고 탐지 (가장 중요)

• 정보보호 및 네트워크 장비에 의한 이상 징후 탐지
• 관리자에 의한 침해사고의 식별

3 단계 초기 대응

• 초기 조사 수행, 사고 정황에 대한 기본적인 세부 사항을 기록한다.
• 사고 대응팀 신고 및 소집, 침해사고 관련 부서에 통지한다.

4 단계 대응 전략 체계화

• 최적의 전략을 결정하고 관리자의 승인을 획득한다.
• 모든 행동에는 책임이 따르기 때문에 꼭 보고를 하자.
• 초기 조사 결과를 참고하여 소송이 필요한 사항인지를 결정 하여 사고 조사 과정에 수사기관 공조 여부를 판단한다.

5 단계 사고 조사

• 데이터 수집 및 분석을 통해 수행한다.
• 6하원칙을 기반으로 피해 확산 및 사고 재발을 어떻게 방지할 것인지를 결정한다.

6 단계 보고서 작성

• 의자 결정자가 쉽게 이해할 수 있는 형태로 사고에 대한 정확한 보고서를 작성한다.

7 단계 해결

• 차기 유사 공격을 식별 및 예방하기 위한 보안 정책의 수립, 절차 변경, 사건의 기록, 장기 보안 정책 수립, 기술 수정 계획 수립 등을 결정한다.

5단계 사고 조사

사고 조사 과정은 6하원칙으로 데이터 수집과 자료 분석 단계로 나뉜다.

데이터 수집

• 사건 분석을 하는 동안 깊이 살펴보아야 할 범행들과 단서들의 수집
• 수집한 데이터는 결론을 내는데 필요한 기본 정보들을 제공

요구 사항

• 법적 소송 염두
• 증거가 무결성과 적법성을 유지하도록 디지털 데이터를 수집
• 대량의 데이터를 수집하고 보관
• 컴퓨터 포렌식 기술이 필요

주의 사항

• 컴퓨터 보안 사고의 주변 인물들 중에 사건에 가담하여, 증거를 고의적으로 손상 시킬 여지가 있는 관련자를 증거로부터 격리
• 추가적인 증거나 정보를 축적
• 정보 노출의 범위를 검증
• 사고와 관련된 추가 내부 인원들을 확인
• 네트워크에서 일어난 이벤트의 timeline을 결정
• 대응 방침에 대한 상급자의 확실한 승인을 확보해야 한다.

수집된 데이터의 분석

6단계 보고서 작성

보고서 작성

• 누구나 알기 쉬운 형태로 작성해야 한다.
• 데이터 획득, 보관, 분석 등의 과정을 6하원칙에 따라 명백하고 객관적으로 서술해야 한다.
• 사건의 세부 사항을 정확하게 기술해야 한다.

7단계 복구 및 해결 과정

사고 대응의 마지막 단계는 현재 발생한 사고로 인해 재발의 피해를 막고 방지하기 위한 조치들 이 이루어져야 한다.

조치

• 조직의 위험 우선순위 식별해야 한다.
• 사건의 본질을 기술 : 보안 사고의 원인과 호스트, 네트워크의 복원시 필요한 조치를 취해야 한다.
• 사건의 조치에 필요한 근원적이고 조직적인 원인 파악한다.
• 침해 컴퓨터의 복구한다.
• 네트워크, 호스트에 대해 밝혀진 취약점에 대한 조치를 취해야 한다.

참고문헌: KISA 침해사고 분석 절차 안내서

법에 명시된 정보보호 침해사고란 정보시스템을 공격하는 행위로 발생한 사태이지만 실무에서는 모든 전자적인 공격에 따라 발생한 피해로 생각한다.

 침해사고 공격 기법은 대규모, 분산화, 대중화, 범죄적 성향의 특징을 가지고 있다.

이러한 공격들이 발생한 경우 침해 사고 대응 절차 7단계로 나뉜다.

1 단계 사고 전 준비 과정

• 사고가 발생하기 전에 침해사고 대응팀과 조직적인 대응 준비를 해야한다.

2 단계 사고 탐지 (가장 중요)

• 정보보호 및 네트워크 장비에 의한 이상 징후 탐지
• 관리자에 의한 침해사고의 식별

3 단계 초기 대응

• 초기 조사 수행, 사고 정황에 대한 기본적인 세부 사항을 기록한다.
• 사고 대응팀 신고 및 소집, 침해사고 관련 부서에 통지한다.

4 단계 대응 전략 체계화

• 최적의 전략을 결정하고 관리자의 승인을 획득한다.
• 모든 행동에는 책임이 따르기 때문에 꼭 보고를 하자.
• 초기 조사 결과를 참고하여 소송이 필요한 사항인지를 결정 하여 사고 조사 과정에 수사기관 공조 여부를 판단한다.

5 단계 사고 조사

• 데이터 수집 및 분석을 통해 수행한다.
• 6하원칙을 기반으로 피해 확산 및 사고 재발을 어떻게 방지할 것인지를 결정한다.

6 단계 보고서 작성

• 의자 결정자가 쉽게 이해할 수 있는 형태로 사고에 대한 정확한 보고서를 작성한다.

7 단계 해결

• 차기 유사 공격을 식별 및 예방하기 위한 보안 정책의 수립, 절차 변경, 사건의 기록, 장기 보안 정책 수립, 기술 수정 계획 수립 등을 결정한다.

3단계 초기 대응

 초기 대응은 충분한 정보를 얻으며 대응 전략을 세우는 것이 목적이다.

전산 관리팀과 침해사고 대응팀이 함께 공조하며 원활한 인수인계를 위해 모든 행동들은 문서화한다.

대응팀은 사건에 대한 정보를 확보하여 검토함으로써 업무 및 서비스에 영향을 미친다는 것을 검증해야 한다.

초기 대응 목적(발견한 사람이 하는 것이다.)

• 침해 사고 대응팀을 소집한다.
• 네트워크와 시스템의 정보를 수집한다.
• 발생한 사건의 유형 식별 및 영향을 평가한다.
• 다음 단계 진행을 위한 정보를 수집하고, 전략을 수립한다.(골든 타임이라고도 한다.)

초기 대응 이후의 정보 수집

• 사건의 기술적인 내용을 통찰 할 수 있는 시스템 관리자와 면담
• 사건 분석을 위한 정황을 제공해 줄 수 있는 인원들과의 면담
• 침입 탐지 로그와 데이터 식별을 위한 네트워크 기반 로그의 분석
• 공격 경로와 수단을 알아내기 위한 네트워크 구조와 접근 통제 리스트의 분석을 해야한다.

4단계 대응 전략 수립

대응 전략 수립 단계는 주어진 사건의 환경에서 가장 적절한 대응전략을 결정하는 것이 중요하다.

환경의 전체적인 고려

• 사고 조사를 위한 자원이 얼마나 필요한가?
• 증거의 완벽한 확보를 위해 저장 매체를 완전히 복사하는 포렌식 이미징(Forensic Duplication) 작업이 필요한가?
• 형사소송 또는 민사소송을 할 필요가 있는가?
• 대응 전략에 다른 관점이 있는가?

적절한 대응 고려

• 네트워크 및 시스템 다운 시간과 이로 인한 운영상의 영향
• 사건 공개와 그에 따른 조직의 대외 이미지와 업무에 영향
• 지적 재산권의 도용과 잠재적인 경제적 영향

수사 기간 공조 고려 사항

• 사고의 비용이나 피해 정도가 범죄 전문가를 초빙할만한가?
• 사법이나 형사 조치가 조직이 원한 만큼 결과를 이끌어 낼 것인가? (상대로부터 피해를 복구하거나 손해 배상을 받을 수 있는지)
• 사고 원인 분석은 타당한가?
• 효과적인 수사에 도움이 되는 적절한 문서와 정리된 보고서를 가지고 있는가?
• 수사관이 효과적으로 행동할 수 있도록 준비될 수 있는가?
• 수사관들과 공조한 경험이 있거나 그 방법을 잘 알고 있는가?
• 사고 내용의 공개를 감수할 수 있는가?
• 데이터 수집 절차는 합법적인 행동이었는가?
• 법률 분쟁이 사업 수행에 어떻게 영향을 줄 것인가?

다음 편에 마지막으로 5, 6, 7단계를 공부하도록 하겠다.

참고문헌: KISA 침해사고 분석 절차 안내서

 법에 명시된 정보보호 침해사고란 정보시스템을 공격하는 행위로 발생한 사태이지만 실무에서는 모든 전자적인 공격에 따라 발생한 피해로 생각한다.

 침해사고 공격 기법은 대규모, 분산화, 대중화, 범죄적 성향의 특징을 가지고 있다.

이러한 공격들이 발생한 경우 침해 사고 대응 절차 7단계로 나뉜다.

1 단계 사고 전 준비 과정

• 사고가 발생하기 전에 침해사고 대응팀과 조직적인 대응 준비를 해야한다.

2 단계 사고 탐지 (가장 중요)

• 정보보호 및 네트워크 장비에 의한 이상 징후 탐지
• 관리자에 의한 침해사고의 식별

3 단계 초기 대응

• 초기 조사 수행, 사고 정황에 대한 기본적인 세부 사항을 기록한다.
• 사고 대응팀 신고 및 소집, 침해사고 관련 부서에 통지한다.

4 단계 대응 전략 체계화

• 최적의 전략을 결정하고 관리자의 승인을 획득한다.
• 모든 행동에는 책임이 따르기 때문에 꼭 보고를 하자.
• 초기 조사 결과를 참고하여 소송이 필요한 사항인지를 결정 하여 사고 조사 과정에 수사기관 공조 여부를 판단한다.

5 단계 사고 조사

• 데이터 수집 및 분석을 통해 수행한다.
• 6하원칙을 기반으로 피해 확산 및 사고 재발을 어떻게 방지할 것인지를 결정한다.

6 단계 보고서 작성

• 의자 결정자가 쉽게 이해할 수 있는 형태로 사고에 대한 정확한 보고서를 작성한다.

7 단계 해결

• 차기 유사 공격을 식별 및 예방하기 위한 보안 정책의 수립, 절차 변경, 사건의 기록, 장기 보안 정책 수립, 기술 수정 계획 수립 등을 결정한다.

단계별로 세부적으로 봐보자.

1단계 사고 대응 전 준비 과정

 사고 대응 전 준비 과정은 크게 사고 대응 체제의 준비와 침해 사고 대응팀의 준비로 나눌 수 있다.

사고 전 준비 과정에서는 침해 사고 대응팀이 사고 대응을 위한 기술 개발, 도구 준비 등의 사전 조치를 취하여 빠르고 정확하게 사고 대응을 실시할 수 있어야 한다.

 준비 미흡으로 인해 대응 시간이 지연되는 일은 없도록 한다.

사고 대응 체제의 준비

• 호스트 및 네트워크 기반의 보안을 측정하여 수행한다.
• 최종 사용자 교육 훈련을 실시한다.
• 침입 탐지 시스템을 설치한다.
• 강력한 접근 통제를 실시한다.
• 적절한 취약점 평가를 실시한다.
• 규칙적인 백업을 수행한다.
• 침해 사고 대응팀과의 비상 연락망을 구축하고 보고서를 작성한다.

침해 사고 대응팀의 준비

• 사고 조사를 위한 도구(H/W, S/W, 대부분 고가...)를 구비해둔다.
• 사고 조사를 위한 문서 양식을 정형화한다.
• 대응 전략 수행을 위한 적절한 정책과 운용 과정을 수립한다.
• 간부, 직원들에 대한 교육 훈련을 실시한다.

2단계 사고 탐지

 사고 탐지는 사전에 사고 대응자와 관리자가 함께 구성해야 하고 시스템 및 네트워크 사용자 또는 관리자에 의해 탐지된다. 

 초기 대응 점검표는 사고가 탐지된 이후 확인해야 할 세부항목들을 기술한다.

대응팀은 사고 관련자들과 초기 대응 점검표를 정확히 작성할 수 있어야 한다

탐지된 사고 보고 (누구나 신속히 보고할 수 있도록 해야한다.)

• 직속 상관에게 보고한다.
• 전산 지원실에 신고한다.
• 정보보호 부서에 신고한다.

초기 대응 점검표 구성 요소

• 현재 시간, 날짜
• 사고 보고 내용과 출처
• 사건 특성
• 사건이 일어난 일시
• 관련된 하드웨어, 소프트웨어의 목록
• 사고 탐지 및 사고 발생 관련자의 네트워크 연결 지점

다음 편에는 3단계와 4단계를 공부하도록 하겠다.

참고문헌: KISA 침해사고 분석 절차 안내서