침해사고 / 사고대응 이란?

침해사고란?

법적 정의 :
해킹, 컴퓨터 바이러스, 논리 폭탄, 서비스 거부 또는 고출력 전자기파 등에 의하여
정보통신망 또는 이와 관련된 정보 시스템을 공격하는 행위로 인하여 발생한 사태이다.
(정보통신망이용촉진및정보보호등에관한법률제2조1항7조).

실무 :
해킹, 컴퓨터 바이러스 유포에 한정하지 않고 모든 전자적인 공격 행위 및 그 결과에 따라 발생한 각종 피해를 입는 것을 말한다.

 

침해사고의 종류

• 대규모 : 동시에다수의서버를공격
• 분산화 : 다수의서버에서목표시스템을공격
• 대중화 : 해킹관련정보의손쉬운획득
• 범죄적성향 : 금전적이익, 산업정보침탈, 정치적목적
• 비인가된 시스템 접근 및 파일 접근 : 바이러스, 트로이잔, 웜, 백도어, 악성코드 등의 공격
• 비인가된 네트워크 정보 접근 : 네트워크 정보 수집을 포함
• 비인가된 서비스 이용 : 네트워크 서비스의 취약점을 이용하여 서비스를 무단 이용
• 서비스 방해 및 거부 : 네트워크 및 시스템의 정상적인 서비스를 마비 또는 파괴시키는 서비스 방해 등

 

사고대응 이란?

IR : Incident Response 약자이다.
보안사고 발생시 신속하게 침해 사고에 대응하는 것을 말한다.

• 보안사고 발생 -> 침해 진행 중이면 차단 -> 같은 보안 사고 발생하지 않도록 계획 수립 및 실행
• 칩입에 관하여 필요한 정보를 만든 후 칩입자를 제거하는 계획 수립/실행하는 모들 과정을 뜻한다.

    * 인텔리전스 모델 :

• 사고 대응 체계를 단계 별 주기 모델로 추상화 표현하는 것을 말한다.
• 공격자와 방어자 사이 복잡한 상호 작용을 이해하고 사고 대응하는 방법을 계획하기 위한 기반 마련

 

 

 

 

 

보안관리 운영관점에서의 침해 행위

보안관리 및 운영을 수행하는 현업에서는 기업의 정보자산에 영향을 줄 수 있는 모든 전자적 침해 행위와

그 결과로 발생되는 각종 피해 영향을 침해사고로 생각하고 있으며, 주요 유형은 다음과 같이 기.무.가 로 나눌 수 있다.

구분	주요 유형
고객정보 및 기밀정보 유출 (기밀성 침해)	▪ 비인가된 시스템 접근, 파일접근 및 네트워크 정보수집을 포함한 네트워크 정보의 비인가된 접근을 통한 정보 유출 ▪ 정보에 접근 가능한 내부자 또는 외부자에 의한 고객정보 또는 회사 기밀정보를 보유한 시스템의 해킹으로 인한 정보의 유출 ▪ 중요 장비 또는 정보 저장 매체(디스크, CD, Tape 등)의 도난 또는 불완전한 폐기로 인한 정보의 유출 ▪ 도청, 감청, 네트워크 스니핑(Sniffing)에 의한 정보의 유출 ▪ 외부 협력업체를 통한 정보의 유출
침입에 의한 정보 변조 (무결성 침해)	▪ 웜/바이러스, 트로이목마, 백도어 등의 악성코드(Malicious Code)를 유포 및 실행시켜 피해를 일으키는 공격으로 인한 서비스 중단 ▪ 정보 자산에 대한 물리적인 손상이 발생하여 서비스 중단 ▪ 서비스 거부(DoS) 공격, 웜/바이러스로 인해 정보자산의 일부 또는 전체 서비스 중단
서비스 지연 및 중단 (가용성 침해)	▪ 고객 정보 및 이와 밀접한 기밀정보를 내부자 또는 외부자가 승인을 받지 않고 의도적으로 조작 ▪ 거래정보, 사용료 정보(계좌 등) 등을 보유한 시스템에 대한 해킹 ▪ 인터넷 서비스 관련 배너정보의 변경

AhnLab, "침해사고 대응 절차"

 

 

침해사고대응 절차를 크게 2가지로 알아볼꺼다.

• NIST에서 발간한 “NIST SP 800-61 Computer Security Incident Handling Guide(컴퓨터 보안사고 처리 가이드)”
• KISA에서 발간한 "침해사고 분석절차 안내서"

 

NIST, "NIST SP 800-61 Computer Security Incident Handling Guide(컴퓨터 보안사고 처리 가이드)"

현업에서 활용 가능한 침해사고 대응절차는 일반적으로 [예방], [탐지/분석], [대응], [복구]의 4단계로 구성 할 수 있고, 

각 단계에서 수행해야 할 주요활동은 다음과 같다.

 

 

 

1단계 : 예방

• 침해요인을 사전에 제거, 감소시킴으로써 침해의 발생 자체를 억제, 방지하기 위한 일련의 활동을 수행하는 단계
• 침해발생 시 수행해야 할 제반 사항을 미리 준비/계획하고, 침해에 대해 즉각적으로 대응할 수 있는 태세를 강화하기 위한 훈련과 교육 등의 보안인식제고 활동을 수행한다.

2단계 : 탐지/분석

• 침해에 대한 징후나 징조를 탐지하는 단계이다.
• 초기 분석을 통해 침해 여부를 판단하고, 사건의 상관관계 분석과 자료조사 등의 활동을 수행한다.

3단계 : 대응

• 침해사고 발생 시, 제한된 자원 (정보자산, 인력 등)과 역량을 효율적으로 활용하고, 신속하게 대치함으로써 피해를 최소화하고 2차 위기 발생 가능성을 감소시키는 일련의 활동을 수행한다.
• 예방 단계 (1단계)에서 수립된 대응전략에 따라 침해 유형별, 우선순위별 대응을 수행한다.

4단계 : 복구

• 침해로 인해 발생한 피해를 이전 상태로 회복 시키고, 평가를 통해 재발 방지를 위한 원인 파악과 시스템 보안설정을 강화하는 일련의 활동을 수행한다.

 

 

KISA, "침해사고대응 7단계"

1단계 : 사고전준비과정

• 사고가발생하기전침해사고대응팀과조직적인대응을준비
• 사고 대응 체제 준비
  • 효율적인 사고 대응을 위해 준비 단계에서는 범조직적인 전략과 대처 방안을 개발
  • 사고 대응 체제의 준비 과정
  • 침해사고 대응 팀의 준비
  • 전문가 조직을 구성하고 시스템 네트워크 관리자와 긴밀한 협조 관계 구성

2단계 : 사고탐지

• 정보보호및네트워크장비에의한이상징후탐지.
• 관리자에의한침해사고의식별
• 사고 탐지 영역 :  IDS, 최종 사용자, 네트워크 관리자, 시스템 관리자, 보안, 인사부
• 사고 징후 :
  • 관리자 생성하지 않은 계정 발견
  • 유휴 상태 및 디폴트 계정의 로그인 시도
  • 서비스 미 제공시간 동안의 시스템 활동
  • 출처 불명의 파일 또는 프로그램 발견
  • 설명할 수 없는 권한 상승
  • 로그파일 및 내용의 삭제
  • 시스템 성능 저하
  • 시스템 충동
  • IDS 탐지한 원격 접속

3단계 : 초기대응

1. 초기조사수행, 사고정황에대한기본적인세부사항기록
2. 사고 대응팀 신고 및 소집
3. 조사의 초기 단계
4. 침해사고 대응 팀을 소집하고
   • 네트워크 시스템 정보들 수집하며, 발생한 사건의 유형 식별과 영향 평가 포함
5. 초기 대응의 첫 단계

4단계 : 대응전략체계화

• 대응 전략 수립 단계의 목표
• 환경의 전체적인
• 적절한 대응
• 공격 환경과 대응 능력을 고려하며, 다양한 대응 전략을 수립
• 대응 방법에 따라 조직이 영향을 받을 수 있기 때문에 대응 전략은 조직의 업무 목표 고려해야하며, 상위 관리자가 승인

5단계 : 사고조사

• 사고 조사 : 누가, 무엇을, 언제, 어디서 어떻게 사고가일어났는지, 피해확산 및 사고재발을 어떻게 방지할 것인지를 결정
• 호스트 기반 네트워크 기반 증거로 나누어 조사
• 데이터 수집
• 데이터 분석

6단계 : 보고서작성

• 보고서 작성 : 의사 결정자가 쉽게 이해할 수있는 형태로 사고에 대한 정확한 보고서를 작성

7단계 : 해결

• 조직의 위험 우선 순위 식별고 같은 조치들이 필요
• 위험 우선 순위 식별
• 차기 유사 공격을 식별 및 예방하기 위한
  • 보안 정책의 수립
  • 절차변경
  • 사건의기록
  • 장기 보안 정책 수립
  • 기술 수정 계획 수립등을 결정

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

[참고문헌]

KISA, "침해사고 분석절차 안내서" 

https://www.kisa.or.kr/2060204/form?postSeq=11&lang_type=KO&page=

KISA 한국인터넷진흥원

AhnLab, "침해사고 대응 절차"

https://www.ahnlab.com/ko/contents/content-center/10897

침해사고 대응 절차