리팩토링멘토링 CERT 1주차

침해대응 CERT 1주차.pptx

0.26MB

 

1. CERT의 정의

•정의: CERT = Computer Emergency Response Team.
= 컴퓨터 비상 상황 대응팀.

•주로 사이버 보안 사고를 예방하는 업무를 진행함.
보안사고가 발생하면, 해당 사고에 대한 원인 및 피해 규모를 신속하게 파악한 후 대책을 수립.

•최종적으로는 피해를 최소화시키는 업무를 수행.

---

1-1. 보안관제와 CERT의 차이.

•보안관제: 실시간 모니터링에 포커스.
실시간으로 발생하는 악성 코드, 데이터베이스 침투 등에 대처함. = 최전선 병력.

•CERT: 모든 종류의 침해사고에 발생.
Ex: 이번 SKT 보안 사고를 예시로 들면, 해킹이나 DB 침투가 발생했을 때, 빠르게 초기 대응을 진행하고, 해당 사건에 대한 분석 및 대응방안 강구를 진행(했어야)하는 것이 CERT.

=>그러므로, 실시간 모니터링에 집중하는 보안관제의 영역과는 차이가 있음. CERT 쪽이 보다 넓은 영역을 전담함.

---

2. CERT의 업무 프로세스

KISA 기반, CERT의 업무 프로세스 사진

 

1. 사고 전 준비/예방
침해 사고 발생 전에, 일어날 사고를 미리 준비하는 단계.
대처 방안 논의를 진행함.

2. 사고 탐지.
보안 시스템, 또는 관리자에 의한 이상 징후 포착.
이상 징후 예시: 로그인이 여러 차례 실패함,
웹 서버의 경고 페이지, 출처 불명의 파일이나 프로그램 발견 등.

3. 초기 대응
사고 발생 초기에 조사를 수행함.
사고 정황을 파악하여, 침해 행위의 세부적인 내용을 파악함.
관련 부서에 사고가 발생했음을 통지한다.

4. 대응 전략 체계화.
3을 기반으로, 사고에 대한 대응 전략을 수립함.
대응 방법에 따라 회사 전반의 업무에 영향을 미칠 수 있음.
=> 신중하게, 하지만 빠른 선택이 요구됨.

5. 사고 조사.
4에서는 대응 전략을 논의했다면, 이 단계에서는 원인 및 피해 규모를 분석함.
공격 시작~종료 시점까지, 공격의 종류/피해 규모 등을 파악함.

6. 보고서 작성
2~5의 과정을 바탕으로 보고서 작성.
모든 정보를 정리해야 하므로, 육하원칙 기반의 객관적 태도가 요구됨. 특히, 공격 시간/대응 시간 등의 수치는 정확하게 기입해야 함.

7. 복구 및 해결 과정
지난 단계, 특히 5단계의 내용을 토대로, 다음 공격을 대비한 각종 대비책을 수립한다.
단기/장기 보안 정책, 절차 강화, 기술 수정 계획 수립 등을 포함.