침해사고 대응하기

침해사고 정의 및 공격 유형

침해 사고 공격 유형

구분	내용
악성 코드 공격	사용자의 동의 없이 컴퓨터에 설치되어 사용자의 정보를 탈취하거나 컴퓨터를 오작동 시키는 악의적인 행위(컴퓨터바이러스, 웜, 트로이목마, 백도어, 봇, 스파이웨어 등)
서비스 거부 공격	시스템에 과도한 부하를 유발하여 성능을 저하시키거나 정상적인 서비스를 차단하는 행위
비인가 접근 공격	인가 받지 않은 자가 기반 시스템 및 응용 프로그램, 데이터 등에 논리적 또는 물리적으로 불법 접근하는 공격
복합 구성 공격	악성 코드 공격, 서비스 거부 공격, 비인가 접근 공격 등의 요소를 복합적으로 이용하는 공격 유형

 

정보보호 침해 사고 보고

침해 사고 보고

- 침해 사고 징후 또는 사고 발생을 인지한 때에는 침해 사고 보고 절차에 따라 신속히 보고

- 법적 통지 및 신고 의무를 준수

- 조직의 자산에 심각한 영향을 끼칠 수 있는 침해사고가 발견되거나 발생한 경우 최고 경영층까지 보고

- 침해 사고 보고서에는 다음과 같은 내용이 포함

        > 침해 사고 발생 일시

        > 사고 내용(발견 사항, 피해 내용 등)

        > 사고 대응 경과 내용

        > 사고 대응까지의 소요 시간 등

 

정보보호 침해 사고 대응 절차

침해 사고 범위

- 비 인가자의 정보 시스템 접근

- 정보 자산의 유출(하드웨어, 소프트웨어, 데이터, 데이터베이스 등)

- 중요 정보의 위/변조 및 삭제

- 정보 시스템 자원의 오용

- 바이러스, 백도어 프로그램 등 악성 코드의 유포

- DDos, 침해 사고 등 정보 시스템의 서비스 거부 공격

- 정보 시스템의 절도 및 파괴

- 서버, 네트워크 장비 및 PC의 해킹

- 애플리케이션에 대한 비인가 된 접근 및 접근 시도

- 중요 전자 문서의 분실 및 도난

- 통제 구역에 대한 불법 침입

- 그 밖에 정보 보호 관련 중대한 사고

침해 사고

- 정보 보호 침해 사고

- 기업이 보유하고 있는 정보 시스템이 비정상적인(비인가) 사용자에 의하여 손상되는 것

- 정산 운용에 문제가 생기거나, 중요 정보가 외부에 유출 및 변조되어 불법적으로 활용될 위험이 있는 사고

        > 악성 코드 공격, 서비스 거부 공격, 비인가 접근 등

침해 사고 대응 절차

- 침해 사고 대응의 목표

        > 기업의 정보 시스템을 침해 사고로부터 안전하게 보호하고 정확한 탐지 및 적절한 대응을 하는 것

- 침해 사고 대응 절차

        > 1. 침해 사고 대응 체계 구축

        > 2. 정보 침해 사고 보고

        > 3. 정보 침해 사고 복구

        > 4. 재발 방지 방안 마련

침해 사고 대응 절차

 

정보보호 침해 사고 재발 방지

1) 침해 사고에 대한 응급 조치

- 침해 유형에 따라 수립된 절차에 대응

- 침입 사고로 인하여 관련 업무의 영향을 최소화하기 위하여 최대한 신속하게 대응

단계	수행 활동
1. 공격 차단	침해 사고가 확대되지 않도록 침해 당한 서버의 네트워크 분리, 공격 포트의 차단 등 필요한 응급 조치를 먼저 취한다.
2. 시스템 중단	침해 사고의 확산을 막기 위하여 해당 정보 시스템의 중단이 통계청 전체 업무에 영향을 미치는 경우 업무시간 종료 후에 서비스를 중단하며, 해당정보 시스템의 중단이 일부 업무에 영향을 미치는 경우에는 해당 업무 부서와 협의 후 즉시 해당 정보 시스템을 중단시킨다.
3. 응급 조치	서버, 네트워크 등  손상된 부분을 분석하여 시스템을 복구한다.

2) 침해 사고 분석

- 데이터 수집

        > 사건 분석을 하는 동안 살펴보아야 할 범행들과 단서들을 수집하는 단계

        > 수집한 데이터는 침해 원인을 분석하는데 필요한 기본 정보들을 포함

- 데이터 분석

        > 모든 수집된 정보의 전체적 조사를 하는 단계

        > 시스템 설정 파일, 웹 브라우저 히스토리 파일, 로그 파일, 전자 우편 메시지, 설치된 애플리케이션 등을 분석

        > 시간/날짜 스탬프 분석, 키워드 검색, 소프트웨어 분석, 그 외의 필요한 조사 과정 수행

3) 침해 사고 보고서 작성

- 침해 사고 처리가 완료 후 사고 발생부터 처리 완료까지의 진행 결과를 보고서로 작성

- 다음과 같은 내용이 포함

        > 처리 및 복구 일시

        > 담당자

        > 처리 및 복구 방법

        > 처리 및 복구 수행 경과 내용

침해 사고 재발 방지

- 재발 방지 방안 마련

        > 침해 사고 근본적 원인 파악

        > 조직의 위험 우선순위 식별

        > 시스템 복구 절차 마련

        > 밝혀진 취약점에 대한 조치

        > 시스템을 개선할 책임자 지명

        > 보안 정책 개선

- 재발 장비 방안 보고

        > 복구 내역 및 재발 방지 방안을 책임자에게 보고

- 재발 방지 방안 공유

        > 침해 사고 정보 취약점, 재발 방지 방안을 조직 내부에서 공유

- 재발 방지 방안 교육

        > 변경, 추가된 대응 절차를 교육