참고 문헌 : [=정보보호= Information security]
저자 : 표월성 (성결대학교)
참고 사이트 :
침해사고 대응
정보보호 침해사고
(1) 법적인 정의
정보통신망이용촉진 및 정보보호 등에 관한 법률 제 2조 1항 7조
해킹, 컴퓨터 바이러스, 논리 폭탄, 메일 폭탄, 서비스 거부 또는 고출력 전자기파 등에 의하여 정보통신망 또는 이와 관련된 정보 시스템을 공격하는 행위로 인하여 발생한 사태
(2) 실무에서의 정의
해킹, 컴퓨터 바이러스 유포에 한정하지 않고, 모든 전자적인 공격 행위 및 그 결과에 따라 발생한 각종 피해
종류
- 대규모 : 동시에 다수의 서버를 공격
- 분산화 : 다수의 서버에서 목표 시스템을 공격
- 대중화 : 해킹 관련 정보의 손쉬운 획득
- 범죄형 성향 : 금전적 이익, 산업 정보 침탈, 정치적 목적
- 비인가된 시스템 접근 및 파일 접근 : 바이러스, 트로이잔, 웜, 백도어, 악성코드 등의 공격
- 비인가된 네트워크 정보 접근 : 네트워크 정보 수집을 포함
- 비인가된 서비스 이용 : 네트워크 서비스의 취약점을 이용하여 서비스를 무단 이용
- 서비스 방해 및 거부 : 네트워크 및 시스템의 정상적인 서비스를 마비 또는 파괴시키는 서비스 방해 등
침해사고를 당했을 경우, 적절한 침해사고 대응 및 분석절차 / 기술이 필요하다. 보안관리 및 운영을 수행하는 현업에서는 기업의 정보자산에 영향을 줄 수 있는 모든 전자적 침해 행위와 그 결과로 발생되는 각종 피해 영향을 침해사고로 생각하고 있으며, 주요 유형은 다음과 같다.
구분 |
주요 내용 |
고객정보 및 기밀정보 유출 (기밀성 침해) |
▪ 비인가된 시스템 접근, 파일접근 및 네트워크 정보수집을 포함한 네트워크 정보의 비인가된 접근을 통한 정보 유출 ▪ 정보에 접근 가능한 내부자 또는 외부자에 의한 고객정보 또는 회사 기밀정보를 보유한 시스템의 해킹으로 인한 정보의 유출 ▪ 중요 장비 또는 정보 저장 매체(디스크, CD, Tape 등)의 도난 또는 불완전한 폐기로 인한 정보의 유출 ▪ 도청, 감청, 네트워크 스니핑(Sniffing)에 의한 정보의 유출 ▪ 외부 협력업체를 통한 정보의 유출 |
서비스 지연 및 중단 (가용성 침해) |
▪ 웜/바이러스, 트로이목마, 백도어 등의 악성코드(Malicious Code)를 유포 및 실행시켜 피해를 일으키는 공격으로 인한 서비스 중단 ▪ 정보 자산에 대한 물리적인 손상이 발생하여 서비스 중단 ▪ 서비스 거부(DoS) 공격, 웜/바이러스로 인해 정보자산의 일부 또는 전체 서비스 중단 |
침입에 의한 정보 변조 (무결성 침해) |
▪ 고객 정보 및 이와 밀접한 기밀정보를 내부자 또는 외부자가 승인을 받지 않고 의도적으로 조작 ▪ 거래정보, 사용료 정보(계좌 등) 등을 보유한 시스템에 대한 해킹 ▪ 인터넷 서비스 관련 배너정보의 변경 |
침해사고 대응 절차 (Incident Hadling Process)
침해사고에 신속하기 대처하기 위해서는 적절한 침해사고 대응 절차의 수립이 필수적이다.
미국 국립 표준 기술연구소(NIST)에서 발간한 “NIST SP 800-61 Computer Security Incident Handling Guide(컴퓨터 보안사고 처리 가이드)”에서는 침해사고 대응절차를 [사전 준비]→[탐지 및 분석]→[억제, 근절, 복구]→[사고 후 활동] 등 4단계로 권고하고 있다. 국내에는 한국정보보호진흥원(KISA)에서 발간한 "침해사고 분석 절차 가이드"에 침해사고 대응 절차를 [사고 전 준비 과정]→[사고 탐지]→[초기 대응]→[대응 전략 체계화]→[사고 조사]→[보고서 작성]→[해결]과 같이 7단계를 제시하고 있다.
NIST SP 800-61 Computer Security Incident Handling Guide (컴퓨터 보안사고 처리 가이드): 미국 국립 표준 기술연구소 (NIST)
현업에서 활용 가능한 침해사고 대응절차는 일반적으로 [예방], [탐지/분석], [대응], [복구]의 4단계로 구성할 수 있고, 각 단계에서 수행해야 할 주요활동은 다음과 같다.
단계 |
구성 |
주요 활동 |
역할/책임 |
1 |
예방 |
정보보호를 위한 평시 활동 침해사고 대응팀(CERT) 구성 및 운영 정보보호 교육을 통한 인식제고 |
전체 임직원 |
2 |
탐지/분석 |
정보자산 모니터링 초기분석 |
운영 담당자 보안 담당자 |
3 |
대응 |
증거 데이터 수집/보호 침입 유형별 긴급조치 |
운영 담당자 정보보호 담당자 |
4 |
복구 |
재발방지 조치 시스템 통제권 회복 후 재발방지 대책 수립 |
운영자 담당자 정보보호 담당자 정보보호 책임자 |
1단계 : 예방
침해요인을 사전에 제거, 감소시킴으로써 침해의 발생 자체를 억제, 방지하기 위한 일련의 활동을 수행하는 단계이다. 침해발생 시 수행해야 할 제반 사항을 미리 준비/계획하고, 침해에 대해 즉각적으로 대응할 수 있는 태세를 강화하기 위한 훈련과 교육 등의 보안인식제고 활동을 수행한다.
2단계 : 탐지/분석
침해에 대한 징후나 징조를 탐지하는 단계이다. 초기 분석을 통해 침해 여부를 판단하고, 사건의 상관관계 분석과 자료조사 등의 활동을 수행한다.
3단계 : 대응
침해사고 발생 시, 제한된 자원 (정보자산, 인력 등)과 역량을 효율적으로 활용하고, 신속하게 대치함으로써 피해를 최소화하고 2차 위기 발생 가능성을 감소시키는 일련의 활동을 수행한다. 예방 단계 (1단계)에서 수립된 대응전략에 따라 침해 유형별, 우선순위별 대응을 수행한다.
4단계 : 복구
침해로 인해 발생한 피해를 이전 상태로 회복 시키고, 평가를 통해 재발 방지를 위한 원인 파악과 시스템 보안설정을 강화하는 일련의 활동을 수행한다.
침해사고 분석 절차 가이드: 한국정보보호진흥원 (KISA)
1단계 : 사고 대응 전 준비 과정
- 사고가 발생하기 전 침해사고 대응팀과 조직적인 대응을 준비
- 사고 대응 체제의 준비
효율적인 사고 대응을 위해 준비 단계에서는 범조직적인 전략과 대처 방안을 개발
사고 대응 체제의 준비 과정
침해사고 대응팀의 준비
전문가 조직을 구성하고 시스템 네트워크 관리자와 긴밀한 협조 관계를 구성
2단계 : 사고 탐지
- 정보보호 및 네트워크 장비에 의한 이상 징후 탐지
- 관리자에 의한 침해 사고 식별
- 사고 탐지 영역 : IDS, 최종 사용자, 네트워크 관리자, 시스템 관리자, 보안 , 인사부
- 사고 징후 : 관리자가 생성하지 않은 계정 발견, 유휴 상태 및 디폴트 계정의 로그인 시도, 서비스 미 제공시간 동안의 시스템 활동, 출처 불명의 파일 또는 프로그램 발견, 설명할 수 없는 권한 상승, 로그 파일 및 내용의 삭제, 시스템 성능 저하, 시스템 충돌, IDS가 탐지한 원격 접속
3단계 : 초기 대응
- 초기 조사 수행, 사고 정황에 대한 기본적인 세부사항 기록
- 사고 대응팀 신고 및 소집
- 조사의 초기 단계
- 침해사고 대응팀을 소집하고, 네트워크와 시스템의 정보들을 수집하며, 발생한 사건의 유형 식별과 영향 평가를 포함
- 초기 대응의 첫 단계
4단계 : 대응 전략 수립
- 대응 전략 수립 단계의 목표
- 환경의 전체적인 고려 사항
- 적절한 대응
- 공격 환경과 대응 능력을 고려하여, 다양한 대응 전략을 수립
- 대응 방법에 따라 조직이 영향을 받을 수 있기 때문에 대응 전략은 조직의 업무 목표를 고려해야 하며, 상위 관리자가 승인
5단계 : 사고 조사
- 사고 조사 : 누가, 무엇을, 언제, 어디서, 어떻게 그리고 왜 와 같은 사항들을 결정하는 것이 중요
- 호스트 기반 네트워크 기반 증거로 나누어 조사
- 데이터 수집
- 데이터 분석
공격이 수행된 때, 언제 들어왔는지, (몇일 동안 작업했는지), 나간 시간
마지막을 기준으로 빽도어 혹은 어떤 파일ㅇ르 빼갔는지를 알 수 있다.
6단계 : 보고서 작성
- 보고서 작성 및 데이터 획득 등
7단계 : 복구 및 해결 과정
- 조직의 위험 우선순위 식별과 같은 조치들이 필요
- 위험 우선순위 식별
댓글