작성자:쨉산곰탱이
편집자: 엔시스
제가 취업을 뽀개기 위해 여기저기 면접을 보러다니던 중 한 보안업체에 면접을 봤었습니다.
합격했으면 보안담당 관리자로 고객사에 파견업무를 했어야 하는데요...
면접때 면접관님의 질문 중 한가지가
"보안담당 관리자로써 침해사고시 어떻게 대응 할 것인지 말씀해보세요~"라는 질문을 하셨습니다.
저야 머 간단하게...^^; "보안시스템에서 침해여부를 확인한 후 시스템(서버, 네트워크 장비)의 이상여부를 확인한 후, 자체처리/복구가 가능한 수준이면 자체처리하고, 기술지원 등이 필요한 경우는 KISA등에 신고 후 기술지원을 받아 처리하겠다."라고 답변했었습니다~^^;
그러니 그런 추상적인 답변 말고 구체적으로 말해보라는 겁니다...^^;
그럼 머 "리눅스 시스템의 경우 어떤 디렉토리의 어떤 파일을 열어 변조여부를 확인하고, 윈도우 시스템인 경우 어떤 파일을 열어 변조 및 침해여부를 확인하고...이런 답변을 원하신건지..^^;"
하여간 각설하고...침해사고 대응절차에 대해서 한번 정리해야할 필요가 있다고 생각되어 정리해 봅니다~
CERT를 담당하시는 분들께 도움이 되었으면 좋겠네요~
1. 침해사고의 유형
| 구 분 | 주요내용 |
| 고객정보 및 기밀정보 유출 (기밀성 침해) | - 비인가 접근을 통한 정보유출 - 내부자에 의한 정보유출 - 시스템 해킹에 의한 정보유출 - 보조기억매체 불완전 폐기로 인한 정보유출 - 도/감청, 스니핑에 의한 정보유출 - 외부 협력(위탁)업체를 통한 정보유출 |
| 서비스 지연/중단 (가용성 침해) | - 악성코드 감염/공격에 의한 서비스 중단 - 물리적 손상에 의한 서비스 중단 - DoS, DDoS 공격에 의한 서비스 중단 |
| 침입에 의한 정보변조 (무결성 침해) | - 기밀정보의 의도적인 조작 - 중요정보 저장 시스템의 해킹 - 인터넷 서비스관련 배너정보의 변경 |
2. 침해사고 대응절차 수립
가. (국내사례) 한국정보보호진흥원(KISA, Korea Information Security Agency)
사고 전 준비과정 → 사고탐지 → 초기대응 → 대응전략 체계화 →
사고조사 → 보고서 작성 → 해결 7단계로 구분
나. (해외사례) 미국국립표준기술연구소(NIST, National Institute of Standards and Technology)
사전준비 → 탐지/분석 → 억제/근절/복구 → 사고 후 활동 4단계로 구분
다. (국내사례) 보안업체 (ex. 안랩)
예방 → 탐지/분석 → 대응 → 복구 4단계로 구성
1) 각 단계별 주요활동
| 단 계 | 내 용 | 주요활동 | 역할/책임 |
| 1 | 예 방 | - 정보보호를 위한 평시 활동 - 침해사고 대응팀(CERT) 구성/운영 - 정보보호 교육 |
전체 직원 |
| 2 | 탐지/분석 | - 정보자산 모니터링 - 초기분석 |
운영 담당자 보안 담당자 |
| 3 | 대응 | - 증거 데이터 수집/보호 - 침입유형별 긴급조치 |
운영 담당자 정보보호 담당자 |
| 4 | 복구 | - 재발방지 조치/대책수립 | 운영 담당자 정보보호 담당자/책임자 |
3. 참고사이트/자료
가. 저자 : 안철수연구소 김휘영, 박종수 대리('07. 9. 21)
나. http://cafe.naver.com/itbada.cafe?iframe_url=/ArticleRead.nhn%3Farticleid=433
다. 첨부문서
1) cert_formalities(침해사고대응절차), KISA
2) Incident_guide(200709), KISA
cert_formalities(침해사고대응절차).pdf본 포스팅의 저작권은 보안인닷컴과 작성자에 있으며 상업적 이용을 배제하며 콘텐츠 이용시에는 반드시 출처와 링크를 이용해 주시기 바랍니다. 무단도용은 저작권법에 저촉을 받습니다..
****************************************************************************************************
