대응 프로세스 침해 사고

보안태세의 기초를 강화하기 위해서는 반드시 정교한 침해사고 대응 프로세스를 수립해야 한다. 이 과정은 보안 사고를 처리하고 신속하게 대응하는 방법을 포함한다. 많은 기업이 침해사고 대응 프로세스를 보유하고 있지만 이전 침해사고에서 얻은 교훈을 반영하기 위한 지속적인 리뷰를 하지 않고 있어 많은 기업이 클라우드 환경에서의 보안사고를 처리하기 위한 준비가 되어 있지 않다.

우리가 다루는 주제는 다음과 같다.- 침해사고 대응 프로세스 – 침해사고 처리 – 침해사고 사후조치

침해사고 대응 프로세스 기업이 침해사고 대응방안을 수립할 수 있도록 다양한 산업표준, 권장사항, 그리고 베스트 프랙티스가 존재한다. 기업의 비즈니스 유형에 해당하는 모든 관련 단계를 커버하는지 확인하기 위해 해당 정보를 참조할 수 있다.

침해사고 대응 프로세스가 필요한 이유 침해사고 대응 프로세스에 대해 자세히 알아보기 전에 사용되는 용어에 대해 알아야 하며 보안태세를 강화하기 위해 침해사고 대응 프로세스를 사용할 경우 최종 목표가 무엇인지 아는 것이 중요하다. 왜 이것이 중요한가. 가상의 기업을 예로 들어 중요성을 설명한다.

헬프데스크가 문제를 에스컬레이션하고 침해사고 대응 프로세스를 개시하도록 유도하는 이벤트의 타임라인.1.시스템이 정상적으로 동작 중 2.사용자가 악의적으로 이메일 열람 3.센서(IDS/IPS)로 탐지할 수 없음 4.사용자가 자신의 모바일 기기로 인증을 시도했으나 인증할 수 없다고 보고함 5.헬프데스크에서 해당 문제에 대해 트러블슈팅 개시 6.침해지표 확인, 침해사고 대응 개시 7.침해사고 대응 진행

다음 표에는 시나리오의 각 단계에 대한 몇 가지 고려사항이 정리되어 있다.단계 설명 보안 고려사항 1 ‘시스템이 정상적으로 작동 중’인 부분부터가 중요하다.정상적인 기준은 무엇인가. 시스템이 정상적으로 작동 중이었다는 기준이 되는 증거는 있는가? 이메일을 확인하기 전에 침해가 일어나지 않았다고 확신할 수 있는가.투피싱 메일은 여전히 사이버 범죄자가 악의적인 사이트로 연결되는 링크를 사용자가 클릭하도록 유도하는 가장 많이 사용되는 방법 중 하나다.기술적인 보안 통제가 해당 유형의 공격을 탐지하고 필터하도록 운영되는데 사용자는 반드시 피싱 메일을 어떻게 구분할 수 있는지 알아야 한다.3 현재 운영 중인 대다수의 전통적인 센서(IDS/IPS) 장비는 침투와 레터링 무브먼트를 식별할 수 없다.보안태세를 강화하기 위해서는 반드시 기술적 보안통제를 개선하고 침해와 탐지 사이의 간극을 줄여야 한다.4 공격자에 의한 2차 피해를 입은 상황이며 자격증명이 손상되어 사용자가 인증하는데 문제가 있다.IT 부문에서 사용자 암호를 재설정하고 동시에 다중 인증을 적용할 수 있도록 하는 기술적인 보안 통제 기능이 요구된다.모든 침해가 보안에 관련된 것은 아니므로 헬프데스크에서 초기 트러블 슈팅을 통해 문제를 구분하는 것이 중요하다.현재 사용 중인 기술보안 통제를 통해 공격을 식별할 수 있거나 적어도 의심스러운 활동의 증거를 제공할 수 있다면 헬프데스크에서 문제를 해결할 필요가 없다. 침해사고 대응 프로세스를 통해 해당 문제를 다룬다.6 이 시점에서는 헬프데스크는 시스템이 침해됐다는 증거를 수집해 문제를 에스컬레이션한다.헬프데스크는 의심스러운 활동에 대해 최대한 많은 정보를 수집하고 해당 침해사고가 보안 관련 사고라는 충분한 근거를 제시해야 한다.이 시점에서는 침해 대응 프로세스가 문제를 접수하고 프로세스를 실행한다. 프로세스는 기업, 산업 분야, 그리고 표준에 따라 다양하다.침해사고가 해결된 후 모든 프로세스 단계를 문서화해야 하며 전반적인 보안태세를 강화하기 위해 학습된 교훈을 반영하는 것이 중요하다.이 시나리오에는 개선의 여지가 많지만, 해당 가상기업에는 전 세계 대다수 다른 기업이 간과하고 있는 침해사고 대응 프로세스가 존재한다. 침해사고 대응 프로세스가 없다면 기술지원 전문가들은 인프라 관련 문제에 초점을 맞춰 트러블 슈팅을 수행할 것이다. 뛰어난 보안 태세를 갖춘 기업은 침해 대응 프로세스를 수립한다.

또, 이하의 가이드 라인을 준수한다.보안태세의 기초를 강화하기 위해서는 반드시 정교한 침해사고 대응 프로세스를 수립해야 한다. 이 과정은 보안 사고를 처리하고 신속하게 대응하는 방법을 포함한다. 많은 기업이 침해사고 대응 프로세스를 보유하고 있지만 이전 침해사고에서 얻은 교훈을 반영하기 위한 지속적인 리뷰를 하지 않고 있어 많은 기업이 클라우드 환경에서의 보안사고를 처리하기 위한 준비가 되어 있지 않다.

우리가 다루는 주제는 다음과 같다.- 침해사고 대응 프로세스 – 침해사고 처리 – 침해사고 사후조치

침해사고 대응 프로세스 기업이 침해사고 대응방안을 수립할 수 있도록 다양한 산업표준, 권장사항, 그리고 베스트 프랙티스가 존재한다. 기업의 비즈니스 유형에 해당하는 모든 관련 단계를 커버하는지 확인하기 위해 해당 정보를 참조할 수 있다.

침해사고 대응 프로세스가 필요한 이유 침해사고 대응 프로세스에 대해 자세히 알아보기 전에 사용되는 용어에 대해 알아야 하며 보안태세를 강화하기 위해 침해사고 대응 프로세스를 사용할 경우 최종 목표가 무엇인지 아는 것이 중요하다. 왜 이것이 중요한가. 가상의 기업을 예로 들어 중요성을 설명한다.

헬프데스크가 문제를 에스컬레이션하고 침해사고 대응 프로세스를 개시하도록 유도하는 이벤트의 타임라인.1.시스템이 정상적으로 동작 중 2.사용자가 악의적으로 이메일 열람 3.센서(IDS/IPS)로 탐지할 수 없음 4.사용자가 자신의 모바일 기기로 인증을 시도했으나 인증할 수 없다고 보고함 5.헬프데스크에서 해당 문제에 대해 트러블슈팅 개시 6.침해지표 확인, 침해사고 대응 개시 7.침해사고 대응 진행

다음 표에는 시나리오의 각 단계에 대한 몇 가지 고려사항이 정리되어 있다.단계 설명 보안 고려사항 1 ‘시스템이 정상적으로 작동 중’인 부분부터가 중요하다.정상적인 기준은 무엇인가. 시스템이 정상적으로 작동 중이었다는 기준이 되는 증거는 있는가? 이메일을 확인하기 전에 침해가 일어나지 않았다고 확신할 수 있는가.투피싱 메일은 여전히 사이버 범죄자가 악의적인 사이트로 연결되는 링크를 사용자가 클릭하도록 유도하는 가장 많이 사용되는 방법 중 하나다.기술적인 보안 통제가 해당 유형의 공격을 탐지하고 필터하도록 운영되는데 사용자는 반드시 피싱 메일을 어떻게 구분할 수 있는지 알아야 한다.3 현재 운영 중인 대다수의 전통적인 센서(IDS/IPS) 장비는 침투와 레터링 무브먼트를 식별할 수 없다.보안태세를 강화하기 위해서는 반드시 기술적 보안통제를 개선하고 침해와 탐지 사이의 간극을 줄여야 한다.4 공격자에 의한 2차 피해를 입은 상황이며 자격증명이 손상되어 사용자가 인증하는데 문제가 있다.IT 부문에서 사용자 암호를 재설정하고 동시에 다중 인증을 적용할 수 있도록 하는 기술적인 보안 통제 기능이 요구된다.모든 침해가 보안에 관련된 것은 아니므로 헬프데스크에서 초기 트러블 슈팅을 통해 문제를 구분하는 것이 중요하다.현재 사용 중인 기술보안 통제를 통해 공격을 식별할 수 있거나 적어도 의심스러운 활동의 증거를 제공할 수 있다면 헬프데스크에서 문제를 해결할 필요가 없다. 침해사고 대응 프로세스를 통해 해당 문제를 다룬다.6 이 시점에서는 헬프데스크는 시스템이 침해됐다는 증거를 수집해 문제를 에스컬레이션한다.헬프데스크는 의심스러운 활동에 대해 최대한 많은 정보를 수집하고 해당 침해사고가 보안 관련 사고라는 충분한 근거를 제시해야 한다.이 시점에서는 침해 대응 프로세스가 문제를 접수하고 프로세스를 실행한다. 프로세스는 기업, 산업 분야, 그리고 표준에 따라 다양하다.침해사고가 해결된 후 모든 프로세스 단계를 문서화해야 하며 전반적인 보안태세를 강화하기 위해 학습된 교훈을 반영하는 것이 중요하다.이 시나리오에는 개선의 여지가 많지만, 해당 가상기업에는 전 세계 대다수 다른 기업이 간과하고 있는 침해사고 대응 프로세스가 존재한다. 침해사고 대응 프로세스가 없다면 기술지원 전문가들은 인프라 관련 문제에 초점을 맞춰 트러블 슈팅을 수행할 것이다. 뛰어난 보안 태세를 갖춘 기업은 침해 대응 프로세스를 수립한다.

또, 이하의 가이드 라인을 준수한다.

• 모든 IT 직원은 어떻게 보안사고를 처리해야 하는지 알기 위해 교육을 받아야 한다.- 모든 사용자는 자신의 업무를 보다 안전하게 수행하기 위해 보안에 관한 핵심적인 기본사항을 숙지하고 침해사고를 예방할 수 있도록 교육을 받아야 한다.- 데이터 공유를 위해 헬프데스크 시스템과 침해사고 대응팀 간 통합이 이뤄져야 한다.- 이 시나리오에는 극복해야 할 다양한 과제를 야기하는 몇 가지 변화가 있을 수 있다. 그 중 하나의 변화는 6번 단계에서 침해지표(IoC, Indication of Compromise)를 찾지 못한 경우다. 이 경우 헬프데스크는 해당 문제를 계속 트러블 슈팅하게 된다. 만약 어느 시점에 시스템이 정상적으로 작동하기 시작한다면? 이런 경우도 가능할까. 가능하다! 공격자가 네트워크에 침투했을 경우 대개 침투 사실이 발각되지 않은 채 네트워크상의 호스트를 이동하면서 다수의 시스템을 공격하고 관리자 수준의 권한을 가진 계정을 공격하여 권한을 상승시키려 한다. 따라서 네트워크뿐만 아니라 호스트 자체적으로도 훌륭한 보안 센서를 가져야 한다. 우수한 보안센서를 갖추면 공격을 신속하게 탐지할 수 있고 위협이 발생할 수 있는 잠재적 시나리오를 식별할 수 있다.- 앞서 언급된 모든 요소 외에도 일부 기업은 기업이 속한 산업에 적용되는 규정을 준수하기 위해 침해사고 대응 프로세스를 갖춰야 한다는 사실을 곧 깨닫게 될 것이다. 예를 들어 미국의 연방정보보안관리법(FISMA)은 연방기관이 보안사고를 탐지, 보고 및 대응하기 위한 절차를 마련하도록 요구한다.
• 침해사고 대응 프로세스 수립 침해사고 대응 프로세스는 기업과 기업의 요구사항에 따라 달라질 수 있지만 모든 산업 분야에서 동일하게 적용되는 몇 가지 기본적인 관점이 존재한다.
• 침해사고 대응 프로세스를 수립하기 위한 첫 단계는 다음과 같은 질문에 답하기 위한 목표를 설정하는 것이다. 즉, 그 프로세스의 목적은 무엇인가? 침해사고 대응 프로세스라는 이름만으로도 따로 설명할 필요는 없을지 모르지만, 해당 프로세스의 목적을 모든 사람이 알 수 있도록 목적에 대해 매우 명확하게 하는 것이 중요하다.
• 목표를 정의한 후에는 범위 작업을 한다. 이번에도 질문부터 시작한다. 어떤 사람에게 해당 프로세스가 적요 오디션인가?
• 침해사고 대응 프로세스가 일반적으로 전사적인 바리에이션이지만 몇몇 상황에서는 특정 부서에 적용될 수도 있다. 이러한 이유로 침해사고 대응 프로세스가 전사적인 범위인지 아닌지를 정의하는 것이 중요하다.
• 기업은 보안 사고에 대해 다른 인식이 있을 수 있으므로 보안 사고가 어떻게 발생하는지에 대해 정의하고 예를 들어 설명해야 한다.
• 정의한 내용에 따라 기업은 사용된 용어의 정의가 포함된 자체 용어집을 만들어야 한다. 산업분야별로 다른 용어를 사용하고 사용된 용어가 보안사건과 관련이 있는 경우에는 문서화를 해야 한다.
• 침해사고 대응 프로세스에서 책임과 역할은 필수적이다. 적절한 수준의 권한을 부여하지 않으면 전체 프로세스가 위험에 처하게 된다.
• 침해사고 대응 프로세스에서 권한 수준, 중요성은 ‘추가 조사를 하기 위해 컴퓨터를 압수할 권한을 누가 갖고 있는가?’라는 질문을 통해 드러난다. 권한을 가진 사용자와 그룹을 규정하고 기업 전체가 이 사실을 숙지하고 있다면 침해사고가 발생한 경우 권한을 가진 그룹이 침해사고 대응 프로세스를 수행할 때 이의를 제기하지 않을 것이다.
• 중요한 침해사고는 무엇인가. 침해사고가 발생했을 때 인원을 어떻게 배치할 것인가. 침해사고 A와 침해사고 B, 2명 중 ㅇㅇ의 침해사고에 더 많은 자원을 할당해야 하는가. 이런 질문은 우선순위와 심각성 수준을 정의하기 위해 답해야 할 몇 가지 질문이다.
• 우선순위와 심각성의 수준을 결정하기 위해서는 다음과 같은 비즈니스 측면도 고려해야 한다.
• – 침해사고가 비즈니스에 미치는 영향: 침해사고가 발생한 시스템의 비즈니스 중요성은 침해사고 우선순위에 직접적인 영향을 준다. 해당 시스템의 모든 관계자는 문제를 인식하여야 하며 우선순위 결정에 대한 이견을 가지고 있어야 한다.- 침해사고로 인해 영향을 받은 정보유형: 개인정보를 취급할 경우 사고 우선순위가 높기 때문에 침해사고 중 가장 먼저 확인해야 할 요소 중 하나다.- 복구 가능성: 침해사고에서 복구하는 데 걸리는 시간은 기초적인 평가를 한 후 예상할 수 있다. 복구를 위해 필요한 시간과 시스템의 중요성에 따라 심각한 사고 우선순위가 높아진다.
• 위의 기본적인 영역 이외에도 침해사고 대응 프로세스는 서드파티, 파트너, 그리고 고객과 상호 작용하는 방법을 정의해야 한다.
• 예를 들어 침해사고가 발생하고 조사과정을 통해 고객의 개인정보(personalidentifiable information) 유출이 확인될 경우 기업은 그 사실을 언론에 어떻게 전달할 것인가? 침해사고 대응 프로세스에서 미디어와의 커뮤니케이션은 회사이며 데이터 공개 보안 정책에 따라 조정되어야 한다. 보도자료가 발표되기 전 법무팀은 보도내용에 법적인 문제가 없음을 확인한다. 침해사고 대응 프로세스에서 법 집행을 위한 절차는 문서화한다. 문서화할 때는 사고가 발생한 장소, 서버의 위치, 사고가 발생한 도시 등의 물리적 위치를 고려한다. 해당 정보를 통해 관할권을 확인하고 충돌을 피하는 것이 용이해질 것이다.
• 침해사고대응팀의 기본적인 영역이 마련된 훈은 침해사고대응팀을 구성해야 한다. 팀 구성은 기업 규모, 예산과 목적에 따라 다양하다. 대기업은 분산 모델을 사용할 수도 있고 각각의 특성과 책임을 지는 다양한 침해사고 대응팀이 구성된다. 이 모델은 다양한 지역에 컴퓨팅 자원이 지리적으로 분산된 조직에 매우 유용하다. 또 다른 기업은 모든 침해사고 대응팀을 한 기관에 중앙집중화하려고 할 수 있다. 이 팀은 지역에 관계없이 침해 사고를 처리할 것이다.
• 사용할 모델을 선택한 후에 기업은 팀의 일원이 될 팀원을 모집하기 시작할 것이다. 침해사고 대응 프로세스에는 기술적으로 폭넓은 지식을 가진 팀원이 필요하며 다른 영역에서도 높은

• 모든 IT 직원은 어떻게 보안사고를 처리해야 하는지 알기 위해 교육을 받아야 한다.- 모든 사용자는 자신의 업무를 보다 안전하게 수행하기 위해 보안에 관한 핵심적인 기본사항을 숙지하고 침해사고를 예방할 수 있도록 교육을 받아야 한다.- 데이터 공유를 위해 헬프데스크 시스템과 침해사고 대응팀 간 통합이 이뤄져야 한다.- 이 시나리오에는 극복해야 할 다양한 과제를 야기하는 몇 가지 변화가 있을 수 있다. 그 중 하나의 변화는 6번 단계에서 침해지표(IoC, Indication of Compromise)를 찾지 못한 경우다. 이 경우 헬프데스크는 해당 문제를 계속 트러블 슈팅하게 된다. 만약 어느 시점에 시스템이 정상적으로 작동하기 시작한다면? 이런 경우도 가능할까. 가능하다! 공격자가 네트워크에 침투했을 경우 대개 침투 사실이 발각되지 않은 채 네트워크상의 호스트를 이동하면서 다수의 시스템을 공격하고 관리자 수준의 권한을 가진 계정을 공격하여 권한을 상승시키려 한다. 따라서 네트워크뿐만 아니라 호스트 자체적으로도 훌륭한 보안 센서를 가져야 한다. 우수한 보안센서를 갖추면 공격을 신속하게 탐지할 수 있고 위협이 발생할 수 있는 잠재적 시나리오를 식별할 수 있다.- 앞서 언급된 모든 요소 외에도 일부 기업은 기업이 속한 산업에 적용되는 규정을 준수하기 위해 침해사고 대응 프로세스를 갖춰야 한다는 사실을 곧 깨닫게 될 것이다. 예를 들어 미국의 연방정보보안관리법(FISMA)은 연방기관이 보안사고를 탐지, 보고 및 대응하기 위한 절차를 마련하도록 요구한다.
• 침해사고 대응 프로세스 수립 침해사고 대응 프로세스는 기업과 기업의 요구사항에 따라 달라질 수 있지만 모든 산업 분야에서 동일하게 적용되는 몇 가지 기본적인 관점이 존재한다.
• 침해사고 대응 프로세스를 수립하기 위한 첫 단계는 다음과 같은 질문에 답하기 위한 목표를 설정하는 것이다. 즉, 그 프로세스의 목적은 무엇인가? 침해사고 대응 프로세스라는 이름만으로도 따로 설명할 필요는 없을지 모르지만, 해당 프로세스의 목적을 모든 사람이 알 수 있도록 목적에 대해 매우 명확하게 하는 것이 중요하다.
• 목표를 정의한 후에는 범위 작업을 한다. 이번에도 질문부터 시작한다. 어떤 사람에게 해당 프로세스가 적요 오디션인가?
• 침해사고 대응 프로세스가 일반적으로 전사적인 바리에이션이지만 몇몇 상황에서는 특정 부서에 적용될 수도 있다. 이러한 이유로 침해사고 대응 프로세스가 전사적인 범위인지 아닌지를 정의하는 것이 중요하다.
• 기업은 보안 사고에 대해 다른 인식이 있을 수 있으므로 보안 사고가 어떻게 발생하는지에 대해 정의하고 예를 들어 설명해야 한다.
• 정의한 내용에 따라 기업은 사용된 용어의 정의가 포함된 자체 용어집을 만들어야 한다. 산업분야별로 다른 용어를 사용하고 사용된 용어가 보안사건과 관련이 있는 경우에는 문서화를 해야 한다.
• 침해사고 대응 프로세스에서 책임과 역할은 필수적이다. 적절한 수준의 권한을 부여하지 않으면 전체 프로세스가 위험에 처하게 된다.
• 침해사고 대응 프로세스에서 권한 수준, 중요성은 ‘추가 조사를 하기 위해 컴퓨터를 압수할 권한을 누가 갖고 있는가?’라는 질문을 통해 드러난다. 권한을 가진 사용자와 그룹을 규정하고 기업 전체가 이 사실을 숙지하고 있다면 침해사고가 발생한 경우 권한을 가진 그룹이 침해사고 대응 프로세스를 수행할 때 이의를 제기하지 않을 것이다.
• 중요한 침해사고는 무엇인가. 침해사고가 발생했을 때 인원을 어떻게 배치할 것인가. 침해사고 A와 침해사고 B, 2명 중 ㅇㅇ의 침해사고에 더 많은 자원을 할당해야 하는가. 이런 질문은 우선순위와 심각성 수준을 정의하기 위해 답해야 할 몇 가지 질문이다.
• 우선순위와 심각성의 수준을 결정하기 위해서는 다음과 같은 비즈니스 측면도 고려해야 한다.
• – 침해사고가 비즈니스에 미치는 영향: 침해사고가 발생한 시스템의 비즈니스 중요성은 침해사고 우선순위에 직접적인 영향을 준다. 해당 시스템의 모든 관계자는 문제를 인식하여야 하며 우선순위 결정에 대한 이견을 가지고 있어야 한다.- 침해사고로 인해 영향을 받은 정보유형: 개인정보를 취급할 경우 사고 우선순위가 높기 때문에 침해사고 중 가장 먼저 확인해야 할 요소 중 하나다.- 복구 가능성: 침해사고에서 복구하는 데 걸리는 시간은 기초적인 평가를 한 후 예상할 수 있다. 복구를 위해 필요한 시간과 시스템의 중요성에 따라 심각한 사고 우선순위가 높아진다.
• 위의 기본적인 영역 이외에도 침해사고 대응 프로세스는 서드파티, 파트너, 그리고 고객과 상호 작용하는 방법을 정의해야 한다.
• 예를 들어 침해사고가 발생하고 조사과정을 통해 고객의 개인정보(personalidentifiable information) 유출이 확인될 경우 기업은 그 사실을 언론에 어떻게 전달할 것인가? 침해사고 대응 프로세스에서 미디어와의 커뮤니케이션은 회사이며 데이터 공개 보안 정책에 따라 조정되어야 한다. 보도자료가 발표되기 전 법무팀은 보도내용에 법적인 문제가 없음을 확인한다. 침해사고 대응 프로세스에서 법 집행을 위한 절차는 문서화한다. 문서화할 때는 사고가 발생한 장소, 서버의 위치, 사고가 발생한 도시 등의 물리적 위치를 고려한다. 해당 정보를 통해 관할권을 확인하고 충돌을 피하는 것이 용이해질 것이다.
• 침해사고대응팀의 기본적인 영역이 마련된 훈은 침해사고대응팀을 구성해야 한다. 팀 구성은 기업 규모, 예산과 목적에 따라 다양하다. 대기업은 분산 모델을 사용할 수도 있고 각각의 특성과 책임을 지는 다양한 침해사고 대응팀이 구성된다. 이 모델은 다양한 지역에 컴퓨팅 자원이 지리적으로 분산된 조직에 매우 유용하다. 또 다른 기업은 모든 침해사고 대응팀을 한 기관에 중앙집중화하려고 할 수 있다. 이 팀은 지역에 관계없이 침해 사고를 처리할 것이다.
• 사용할 모델을 선택한 후에 기업은 팀의 일원이 될 팀원을 모집하기 시작할 것이다. 침해사고 대응 프로세스에는 기술적으로 폭넓은 지식을 가진 팀원이 필요하며 다른 영역에서도 높은