24주차 과제 - 침해대응 & CERT 과정 (1)

 이번 과정은 침해대응 & CERT 과정입니다. 침해 대응과 CERT가 어떤 일인지, 이 일에서 사용되는 기술들은 어떤것이 존재하는지와 같은 것을 조명할 예정입니다. 이번 시간은 첫번째 시간으로 CERT가 무엇이고 어떤 일을 하는지 먼저 알아보도록 하겠습니다.

24주차 과제 - 침해대응 & CERT 과정 1.pptx

0.47MB

 과제 발표에 사용한 PPT 파일을 첨부합니다. 만약 지금 제가 거치고 있는 AI 스쿨 교육과정이 더 궁금하시다면 다음 링크를 통해 자세한 정보를 확인해 주세요.

https://cafe.naver.com/itscholar

정보보안전문가 취업카페 스칼라 : 네이버 카페

---

 

본문

CERT란?

 Computer Emergency Response Team의 약어입니다. 이를 직역한다면 컴퓨터 비상 대응 팀이라 할 수 있지만 회사마다, 기관마다 부르는 명칭이 다릅니다. CERT, IRT, CSIRT, 침해사고분석전문가, 침해사고대응팀 등의 명칭이 존재하며 주로 CERT 혹은 침해사고대응팀으로 통칭됩니다.

 

 이름에서 유추할 수 있듯이 컴퓨터 보안 사고가 발생했을 경우 신속하게 대응하여 사고를 해결할 준비가 되어 있는 인원들을 지칭하는 것 입니다. 보안 사고 발생시 보안 사고의 원인과 피해 규모를 조사하고 피해를 억제하기 위한 업무를 진행합니다.

 

CERT의 필요성

 현대 사회에서 대부분의 회사들이 컴퓨터를 이용하여 업무를 진행합니다. 이로 인해 업무 처리 속도가 증가하는 등 여러 이익이 있었지만 해커에 의한 공격에 더 취약해지는 단점이 존재합니다. 회사 내부의 컴퓨터 시스템이 해커에 의해 공격을 받을 경우 회사 내부 자료가 유출, 파괴, 조작되는 등의 피해가 발생할 수 있습니다.

 

 이러한 보안 침해 사고가 발생하면 회사의 업무 처리 능력에 문제가 발생, 회사의 대·내외적인 신뢰도가 하락하여 고객이나 사업협력업체와의 거래가 철회되는 경우가 발생할 수 있습니다. 이로 인하여 회사가 경영상의 어려움을 겪거나 파산하는 경우도 발생합니다.

 

 CERT는 보안 침해 사고가 발생했을 때 그로 인한 피해를 억제하고 중요한 정보의 기밀성, 무결성, 가용성을 지킬수 있기에 중요성이 높다고 할 수 있습니다.

 

CERT의 업무

 CERT의 주요 업무는 총 4가지로 리스크 관리, 보안 교육, 보안 감사, 침해 사고 대응이 있습니다.

 

CERT 업무 (1) – 리스크 관리

 기업이 가지고 있는 정보 자산은 많습니다. 그리고 기업이 가진 모든 정보 자산이 동등한 영향력과 취약성을 가지고 있지는 않습니다. 어떤 정보는 외부에 유출되어도 무방한 반면, 어떤 정보는 외부에 노출된다면 기업 업무에 치명적일 수도 있습니다.

리스크 예시 (1) 삼성의 “스마트폰 홍보 전략” 자료와 삼성의 “차세대 반도체 설계도” 자료는 영향력이 같지 않다. 후자가 유출되었을 때 더 큰 영향력을 가진다.

리스크 예시 (2) 일반 사원의 컴퓨터에서 접근할 수 있는 자료와 임원이 암기하고 있는 자료는 취약성이 다르다. CERT는 전자가 더 취약하다고 판단할 수 있다.

 이렇듯 모든 정보 자산이 동등한 가치를 가지지는 않습니다. CERT는 이러한 정보 자산들을 분류하고 정량화 하는 것으로 각 정보 자산이 가지고 있는 리스크를 평가하여 점수를 매길 수 있습니다.

리스크 점수 = 위협 + 취약성 + 영향력

 그리고 리스크 점수를 바탕으로 각 정보 자산으로 어떤 수준으로 대처를 할지 협의할수 있습니다.

대처 예시 (1) 일반 사원의 컴퓨터에서는 차세대 반도체 설계도에 관한 자료에 접근할 수 없도록 조치할 수 있다. 이제 차세대 반도체 설계도는 회사 고위 임원 혹은 반도체 엔지니어의 허락을 받고 접근해야 한다.

대처 예시 (2) 홍보 전략 자료는 일반 사원의 컴퓨터에서 계속 접근할 수 있다. 해당 자료는 유출되거나 삭제되어도 영향력이 낮다고 판단되기 때문이다. 이를 보장수준, DoA(Degree of Assurance)라고 칭한다.

 

CERT 업무 (2) – 보안 교육

 보안 시스템을 철저하게 갖추어 놓더라도 보안 사고가 일어날 수 있습니다. 결코 적지 않은 보안 사고가 휴먼 에러로 발생하기 때문입니다. 그렇기에 CERT는 회사의 임직원들에게 보안 교육을 진행하여 보안 정책의 필요성과 방법론을 인식시키고 실천하게 할 수 있어야 합니다.

 

 또한 동료 보안 담당자의 업무 능력을 향상시켜 보안 업무의 능률을 상승시킬수도 있습니다.

 

CERT 업무 (3) – 보안 감사

 CERT는 회사에서 보안 정책이 올바르게 지켜지고 있는지 확인해야 합니다. 이를 위해서 정기 검사와 수시 검사를 진행합니다. 정기 검사는 회사 정책에 따라서 매년 특정한 기간에 이루어지고 수시 검사는 보안 사고들이 일어난 직후 진행합니다. 주의할 점은 회사의 각 부서, 인원마다 정해진 활동이 다르기때문에 각각에 대한 보안 정책도 다르게 이루어져야하며 이에 따른 감사 정책도 다를 수 있다는 점 입니다. 

 참고 자료로 KISA, CONCERT에서 공동 발행한 보안 감사의 예시 문서를 첨부하겠습니다.

 

CERT 업무 (4) – 침해 사고 대응

 보안 침해 사고가 발생하였을 때, 보안 관제 요원이 이를 발견하고 CERT에 사고를 접수합니다. CERT는 접수된 보안 사고의 자료를 수집하고 분석합니다. 이후 분석 결과를 이용하여 보안 침해 사고를 복구하고 이후에도 같은 피해가 일어나지 않도록 재발 방지책을 마련합니다. 보안 관제 정책에도 같은 내용을 반영한 후 보고서를 작성하여 제출하는 일 입니다.

 

CERT와 보안관제

 보안 관제 업무와 CERT와 밀접한 관계를 가지고 있습니다. 이러한 특성 때문에 관제 업무와 CERT업무를 명확히 구분하지 않고 같은 부서에서 혼합되어 업무를 진행하는 경우도 많습니다. 보안 관제 업무를 진행하다가 보안 침해 사고가 발생할 경우 CERT업무를 진행하는 방식입니다.

 

 하지만 보안 관제 업무와 CERT의 업무가 완전히 같지는 않습니다. 가장 큰 차이점으로 다음을 꼽을 수 있습니다.

보안 관제 업무 - 24시간 실시간 모니터링을 통한 이벤트 탐지가 목적

CERT 업무 - 보안 사고 예방과 사고 발생시 사고 복구가 목적