침해사고대응(CERT)의 업무 및 특징

1. CERT의 정의와 역할

  • CERT(Computer Emergency Response Team)는 조직 내 침해사고에 대응하기 위해 설립된 전문 팀이다.
  • 사이버 보안 사고 발생 시 원인 분석, 피해 평가, 대응 방안 수립 및 복구 업무를 수행하며, 사고 재발 방지를 위해 보안 정책 개선에 기여한다.
  • KISA, 기업, 정부 기관 등 다양한 환경에서 운영되며, 국제적으로 협력 네트워크를 통해 위협 정보를 공유한다.

2. CERT의 주요 업무

 

  1. 침해사고 예방:
    • 보안 정책 수립 및 모의훈련, 보안 교육 수행.
    • 최신 위협 동향 파악 및 취약점 점검.
  2. 사고 발생 시 대응:
    • 사고 원인과 피해 규모 분석.
    • 사고 대응 및 복구 조치 수행.
  3. 보고서 작성:
    • 사고 분석 데이터를 정리해 관리 및 공유.
    • 육하원칙(왜, 언제, 어디서, 누가, 무엇을, 어떻게)에 기반한 보고서 작성.
  4. 유사 사고 방지:
    • 사고 재발 방지를 위한 보안 절차 개선 및 기술 적용.
  5. 기타 기술 업무:
    • 악성코드 분석, 디지털 포렌식, 모의해킹 수행(조직별 상이).

 

3. CERT 업무 절차

CERT의 업무 절차는 7단계로 구성되며, 이는 사고 예방부터 복구까지 이어지는 반복 사이클이다​.

출처: KISA홈페이지-제2010-8호-침해사고_분석_절차(내지)최종(fin).pdf

  1. 사고 전 준비:
    • 침해사고 발생 시 대응 체계 및 조직 준비.
    • 시스템 관리자와 협력 관계 구축 및 비상 연락망 확보.
    • 침입탐지 시스템(IDS) 설치 및 사전 예방 조치 수행.
  2. 사고 탐지:
    • IDS, 방화벽 등의 보안 장비 및 로그를 통해 이상 징후를 탐지.
    • 관리자 또는 시스템 경고로 침해사고 발생 여부 식별.
  3. 초기 대응:
    • 사고 정황에 대한 세부사항 기록.
    • 침해사고 발생 시 관련 부서 및 외부 기관에 통지.
    • 네트워크와 시스템 정보 수집.
  4. 대응 전략 체계화:
    • 사고에 따른 최적의 대응 전략 설계.
    • 조직 업무 및 법적 요건을 고려해 관리자의 승인 필요.
    • 공격 환경과 피해 규모를 바탕으로 대응 방안 수립.
  5. 사고 조사:
    • 호스트 기반, 네트워크 기반 증거 수집 및 분석.
    • 공격 시작부터 종료까지의 과정을 재구성하여 피해 확산 방지.
  6. 보고서 작성:
    • 사고 대응 전 과정을 기록하여 의사결정자 및 법적 대응에 활용 가능하게 문서화.
    • 육하원칙(왜, 언제, 어디서, 누가, 무엇을, 어떻게)에 따라 작성.
  7. 복구 및 해결:
    • 침해된 시스템 복구 및 취약점 보완.
    • 유사 사고 방지를 위한 보안 정책 개선 및 절차 변경.

4. CERT의 특징

  • 침해사고 대응의 중심 역할:
    • 사고 발생 시 신속하고 체계적으로 대응하여 조직 피해를 최소화.
  • 다양한 기술 활용:
    • 디지털 포렌식, 악성코드 분석, 네트워크 트래픽 모니터링 등 전문 기술 필요.
  • 보안 환경의 변화에 대응:
    • 새로운 보안 위협(DDoS, APT, 랜섬웨어 등)에 대한 최신 기술 학습 필수.
  • 다학제적 접근:
    • 법률, 정책, 기술적 분석 등 다양한 분야의 협력 필요.

5. KISA에서 수행하는 CERT 업무

한국인터넷진흥원(KISA)은 국가 차원의 CERT 역할을 수행하며, CERT-KR로 알려져 있다:

  1. 침해사고 대응:
    • 국내외 사이버 위협에 대한 실시간 대응.
    • 악성코드 유포 사이트 탐지 및 차단.
  2. 취약점 분석 및 보완:
    • 공공기관과 기업을 대상으로 취약점 진단 및 개선 방안 제공.
  3. 보안 교육 및 훈련:
    • 보안 담당자를 대상으로 사고 대응 훈련 제공.
    • 디지털 포렌식, 악성코드 분석 기술 지원.
  4. 국제 협력:
    • 글로벌 CERT 네트워크와 협력하여 위협 정보를 공유.
  5. 보고 및 자료 제공:
    • 침해사고 통계와 대응 사례를 바탕으로 보고서를 발간.
    • 보안 컨퍼런스와 세미나를 통해 정보를 확산.
 

6. 보안관제와 CERT의 연관성과 차이점

1. 보안관제와 CERT의 연관성

  • 보안관제(Security Monitoring)와 CERT(Computer Emergency Response Team)는 모두 조직의 보안을 유지하고, 사이버 위협으로부터 보호하는 역할을 수행하며, 서로 밀접하게 연결되어 있다.
  • 업무 흐름에서의 연관성:
    • 보안관제사이버 위협 탐지 및 1차 대응을 담당하며, CERT는 관제에서 보고된 사건을 심층 분석하고 대응 방안을 설계한다.
    • 보안관제는 CERT로 정보를 전달하는 역할을 하며, CERT는 이를 기반으로 후속 조치를 수행한다.
  • 목표의 유사성:
    • 두 팀 모두 침해사고를 방지하고 대응하는 데 목표가 있다.
    • 보안 사고 발생 시 협력하여 문제를 해결하며, 조직의 보안 체계를 개선한다.
  • 조직 구조 내 역할 분담:
    • 보안관제와 CERT는 별도로 운영되기도 하고, 한 팀이 두 역할을 모두 겸하기도 한다.
    • 중소기업에서는 보안관제 담당자가 CERT 업무를 병행하기도 한다.

 

2. 주요 차이점 설명

  • 업무 초점의 차이:
    • 보안관제는 탐지경고에 중점을 두며, 이상 징후를 식별하고 즉각 차단하는 실무적 역할을 한다.
    • CERT는 사고의 원인과 경로를 분석하고, 조직적 영향을 평가하며, 재발 방지 방안을 마련하는 고도화된 작업을 수행한다.
  • 업무 성격의 차이:
    • 보안관제는 일상적이고 루틴한 업무가 많지만, CERT는 사고 발생 시 긴급하고 심층적인 대응을 필요로 한다.
  • 기술 수준 차이:
    • 보안관제는 기본적인 네트워크와 보안 장비 운영 능력이 요구된다.
    • CERT는 침해사고 분석, 디지털 포렌식, 악성코드 분석, 취약점 탐지 등 전문적이고 심화된 기술이 필요하다.

 

3. 보안관제와 CERT의 차이점

주요 역할 실시간 보안 시스템 모니터링, 탐지, 초기 대응 침해사고 발생 시 분석, 심층 대응, 복구 및 재발 방지
업무 초점 위협 탐지 및 경고, 초기 대응 사고 원인 분석, 피해 규모 평가 및 대응 방안 수립
일상 업무 - 보안 로그 및 이벤트 모니터링
- 이상 징후 탐지 및 차단
- 초기 사고 보고		 - 침해사고 분석 및 보고서 작성
- 악성코드 및 취약점 분석
- 사고 대응 전략 체계화
업무 성격 루틴 업무: 실시간 모니터링 및 정기적 점검 비정기 업무: 사고 발생 시 긴급 대응 및 전문적 분석
기술 요구 수준 기본적인 네트워크 및 시스템 보안 기술 심화된 분석 기술 및 포렌식, 악성코드 분석, 침투 테스트 역량
대응 범위 1차 대응 (차단, 로그 기록, 경고 전파) 2차 대응 (심층 분석, 원인 규명, 복구 및 재발 방지 대책 마련)
업무 주체 보안 관제 센터(SOC)의 실무진 침해사고 대응 전문팀(CERT)
결과물 이벤트 보고 및 1차 경고 상세 사고 분석 보고서 및 대응 방안
  • CERT는 보안관제의 연장선에서 심층 분석과 전략적 대응을 담당하며, 조직의 보안 사고에 대한 최종 방어선을 구축한다.

 

참고자료

https://maker5587.tistory.com/26

https://zerotrust.tistory.com/31

https://www.kisa.or.kr/2060204/form?postSeq=11&page=2

+ Recent posts

티스토리툴바