보안 침해 사고 대응 절차 정리

▶ 침해 사고란
- 해킹, 컴퓨터바이러스, 논리폭탄, 메일폭탄, 서비스거부 또는 고출력 전자기파 등의 방법 또는 정보통신망의 정상적인 보호ㆍ인증 절차를 우회하여 정보통신망에 접근 할 수 있도록 하는 프로그램이나 기술적 장치 등을 정보통신망 또는 이와 관련된  정보시스템에 설치하는 방법으로 정보통신망 또는 이와 관련된 정보시스템을 공격하는 행위로 인하여 발생한 사태

 

▶ 침해 사고 – 악성 프로그램
- 제작자가 의도적으로 사용자에게 피해를 주고자 만든 악의적 모적을 가진 프로그램 및 실행 가능한 코드
- ‘악성코드’라 표현하기도 함
- 주로 E-mail, 메신저, 문서의 매크로 기능을 통해 악성 프로그램 유포
- 끊임없이 전화하므로 사용자의 각별한 주의 필요

 

▶ 기업 침해 사고 발생 유형
- 경험한 침해 사고 유형에 대한 질문에 악성코드>랜섬웨어>서비스 거부 공격>데이터 유출>홈페이지 변조 순으로 응답
- 기업 침해 사고 발생 유형에 악성코드와 랜섬웨어가 집중되고 있으므로 이에 대한 보안 점검 및 강화가 필요함

 

▶ 기업에서 이행할 수 있는 침해사고 유형별 점검항목 및 조치방안
- 웹 변조 사고의 경우, 웹 페이지와 웹 로그를 확인하여 웹 페이지 내용이 변경되지 않았는지, 웹쉘에 감염되지 않았는지 점검해야 함
웹쉘이 발견된 경우에는 삭제 조치를 수행하고 웹쉘에 접근한 IP를 확인하여 접근 제한 정책을 적용함
- 악성코드 경유지/유포지 사고의 경우 웹 페이지를 확인하여 악성코드 유포 페이지가 생성되거나 수정되지 않았는지 점검해야 함
만약 유포 페이지가 생성되었다면 생성 시점을 기준으로 웹 로그 및 시스템 로그를 분석하여 또 다른 침해 여부를 확인하고, 악성코드 유포 페이지에 접속한 IP를 추출하여 악성코드에 감염된 좀비 PC를 확보해야 함
- DDoS 공격의 경우 홈페이지 접속 상태 및 응답 지연 시간을 확인하여 네트워크  연결을 점검해야 함. 네트워크 트래픽에서 이상 징후가 발견된 경우에는 보안 장비를 통해 DDoS 공격을 유발하는 IP에 접근 제한 정책을 적용함

 

▶ 침해 사고 대응 절차
1단계 - 사고전 준비 : 사고가 발생하기 전에 침해 사고 대응팀과 조직적인 대응 준비

 

2단계 – 사고 탐지 : 시스템 및 네트워크 사용자 또는 관리자에 의해 탐지됨

 

3단계 – 초기 대응 : 침해 사고 대응팀을 소집하고 네트워크와 시스템의 정보 수집

 

4단계 – 대응 전략 체계화 : 사고 조사를 위해 최적의 대응전략을 결정

 

5단계 – 사고 조사 : 접근 가능한 데이터를 모두 수집한 뒤, 전반적인 분석 수행

 

6단계 – 보고서 작성 : 침해 사고에 대한 이력 보관을 목적으로 육하원칙에 따라 서건의 세부사항을 정확하게 진술

 

7단계 – 해결 : 접근 가능한 데이터를 모두 수집한 뒤, 전반적인 분석 수행

 

 

출처 : 에듀빈 - 평범한 회사와 직장인을 위한 정보 보안 기본서