CERT

CERT 란?

Computer emergency response team ‘컴퓨터 비상 상황 대응팀’

침해사고에 대응하기 위한 정보보안 전문팀

침해사고 분석 전문팀, 침해사고 대응팀 으로 불림

 

CERT vs 보안관제

보안관제: 실시간 대응과 관련된 업무

CERT: 관제에서 탐지된 침해사고를 분석

=> 기업에 따라 CERT가 관제업무를 같이 병행해서 진행하기도 함

 

CERT의 업무

1. 보안 사고 예방
2. 사고 발생 시 해당 사고에 대한 원인과 피해 규모 분석
3. 해당 사고에 대한 대책을 수립
4. 피해를 최소화
5. 유사한 공격 등 사고를 방지

업무 절차

1. 사고 전 준비

• 침해사고 발생 전 침해사고 대응팀과 조직적인 대응을 준비하는 단계
• 사고를 어떻게 대응할 것인지에 대한 체제와 대응 팀에 대해 준비
• 효율적인 사고 대응을 위한 전략과 대처 방안을 개발
• 전문가 조직을 구성하고 시스템/네트워크 관리자와 긴밀한 협조 관계를 구성

2. 사고 탐지

• 정보보호 시스템(IPS/IDS등) 및 네트워크 장비에 의한 이상징후를 탐지하는 단계
• 관리자에 의해 침해사고를 식별
• 사고를 탐지하는 부분은 IDS, 관리자, 보안관제, 인사부 등이 존재
• 다음과 같은 사고 징후 발생시 사고가 일어났다고 판단 ex) 생성하지 않은 계정 발견, 사용하지 않는 계정 및 Default 계정의 로그인 시도, 서비스 미 제공시간 동안의 시스템 활동, 출저 불명의 파일 또는 프로그램 발견, 알수없는 권한 상승, 로그 및 파일 삭제, 시스템 성능 저하, IDS로부터 탐지된 원격 접속 등

3. 초기대응

• 초기 조사를 수행하는 단계
• 사고 정황에 대한 세부사항을 기록
• 침해사고 대응팀을 소집 / 네트워크와 시스템 정보를 수집
• 침해사고 관련 부서(기관)에 침해사고 발생 여부를 통지

4. 대응 전략 체계화

• 대응 전략 수립 단계
• 3단계에서 확인한 정보를 이용해 대응
• 공격 환경, 대응 능력 등을 고려해 대응 전략을 수립
• 대응 방법에 따라 조직의 업무의 영향이 미칠 수 있으므로 해당부분을 고려해야 하며, 상위 관리자가 승인

5. 사고 조사

• 호스트 기반/ 네트워크 기반 /기타 기반 증거로 나누어 조사를 실시
• 데이터 수집의 단계로 공격 시작부터 종료까지 어떤 공격이 이루어졌는지 조사
• 피해 확산 및 사고 재발의 방안을 결정한

6. 보고서 작성

• 2~5단계 까지의 데이터를 추합해 보고서를 작성
• 수집한 데이터의 분석을 하여 육하원칙(왜, 언제, 어디서, 누가, 무엇을, 어떻게)에 따라 보고서를 작성

7. 복구 및 해결 과정

• 공격 이후 유사 공격을 예방하기 위한 보안 정책의 수립, 절차 변경을 진행
• 침해사고 재발 방지를 위한 조치를 하며 대책을 수립

KISA & CERT

사이버 침해 대응 본부

침해사고 대응, 침해사고 분석, 침해사고 예방, 위협 정보 공유 협력의 업무 수행

 

Reference

https://blog.naver.com/PostView.nhn?blogId=hanajava&logNo=222114434472

https://www.kisa.or.kr/10201