침해사고 대응 절차

서 론
본 문서는 침해사고 대응 방법을 위한 체계적인 방법을 제시함으로써 침해사고에 대한 피해
최소화와 재발 방지를 위하여 작성되었다.
이 문서에서는 침해사고 대응 방법을 크게 사전준비단계와 침입대응단계로 구분하여 기술하
고 있다.
사전준비단계에서는 침해사고의 예방과 사고대응에 필요한 자료를 확보하기 위한 방법을 설명
하였고 침입대응단계에서는 조사와 복구 과정에서 준수해야할 원칙과 절차를 설명하여 미숙한
대응으로 인한 증거물의 손실 및 피해확산, 사고 재발 등의 위험을 줄일 수 있도록 하였다.
본 문서에서는 침해사고 대응 방법을 11개 단계로 나누었으며 개략적인 내용은 아래와 같다.
■ 준비단계
준비단계에서는 침해사고를 예방하기 위하여 시스템 설정을 점검하고 보안장비를 설치하는 것
은 물론 사고발생을 감지하기 위한 무결성 검사프로그램을 설치 하여야한다. 또한 사고대응에
중요한 자료인 로그를 안전하게 보관할 수 있도록 하는 것을 비롯해서 사고대응팀을 구성하고
구성원의 역할과 대응 절차를 사전에 수립하여 피해를 줄일 수 있도록 하여야 한다.
■ 침해사고 탐지단계
침입차단시스템, 침입탐지, 사용자, 관리자 등으로부터 이상징후를 감지하면 체크리스트를
작성하여 대응팀에 보고하며 증거물 보존에 신중을 기하여야 한다.
■ 초기대응
침입인지 단순한 장애인지를 결정하여야 하는 단계로서 사고대응 팀이 소집 또는 구성되어
야 한다. 초기 대응에서 가장 중요한 것은 사고의 완전한 분석이 아니라 사고의 확산을 방
지하고 차단하는 조치를 하는 것이고 추후의 정밀조사를 위한 휘발성 자료 등을 수집하는
것이다.
■ 대응전략 결정단계
초기대응에서 얻어진 정보를 토대로 대응 절차와 규모를 정하는 것으로 사고를 내부에서 처
리할 것인지 수사기관의 협조를 구할 것인지 등 조직의 피해 비용을 고려하여 가장 적합한
대응전략을 결정하는 단계이다.
■ 정밀 조사를 위한 자료 이중화 단계
정밀한 조사를 위하여 하드디스크의 완전한 복제와 네트웍 차원의 정보를 수집하는 것으로
추후 법적인 증거자료로서의 활용을 고려하여야 한다.
■ 조사단계
6하 원칙에 기인하여 언제 누구에 의해 어떤 자료가 누출, 훼손, 되었는지를 조사하고 복구
할 수 있는 방법에 대한 자료를 수집하는 단계이다.
■ 보안조치 수행 단계
조사단계에서 수집된 결과를 토대로 기존의 보안상의 문제점을 평가하고 향후 사고의 재발
을 방지하기 위한 작업을 하는 단계이다.
■ 네트워크 모니터링 단계
보안조치 수행 단계이후 해당조치의 적절성을 평가하기 위하여 상당기간 동일 서브넷을 모
니터링 하는 것이며 있을지도 모르는 추후 공격자의 접속으로 추가 증거를 확보하는 것을
포함한다.
■ 복 구
악성 프로그램을 제거하고 지워진 프로그램을 복구하는 등의 작업을 통해 침해당한 시스템
과 네트웍을 정상적인 상태로 되돌리는 과정이다. 침해사고의 유형 및 조직의 특성을 고려
하여 일단 원상태로 복구하고 이후에 사고원인을 조사하기도 한다.
■ 보 고
사고대응의 모든 단계에서 문서화가 이루어져야 하며 문서화를 제대로 하지 않을 경우 잘못
된 결과와 부적절한 대응으로 이어질 수 도 있다.
■ 후속조치
사고대응 과정에서 발생된 문제들에 대한 검토 회의를 통하여 필요사항을 실무에 반영하는
과정이다.

 

 

cert_formalities(침해사고대응절차).pdf