침해사고 분석 절차란?
정보보안기사에서 이야기하는 침해사고 분석 절차란 외부로부터 우리 자산의 침입이 발생하고 이로 인한 피해가 발생했을 때 추적하는 절차입니다.
우리의 정보시스템에서 어떠한 취약점이 있어서 침해사고가 발생한 것인지 조사하고 분석한 다음 재발생하지 않도록 예방하기 위한 프로세스입니다.
따라서 이러한 침해사고 분석 절차를 진행함으로써 이슈 조치를 수행하고 다음 사고를 예방하기 위한 대응 전략을 준비할 수 있습니다.
자 그러면 분석 절차가 어떻게 진행되는지 알아보도록 하겠습니다.
침해사고 분석 절차
사고 전 준비 > 사고 탐지 > 초기 대응 > 대응 전략 체계화 > 사고조사(데이터 수집, 데이터 분석) > 보고서 작성
위와 같은 과정으로 분석 절차가 진행됩니다.
자 그러면 각 항목에 대해 알아보도록 하겠습니다.
사고 전 준비
침해사고에 대비하여 사전에 필요한 조치를 취하는 단계입니다. 보안 정책 및 절차, 침입 탐지 시스템, 로그 분석 도구 등의 구축과 관련된 작업을 수행합니다. 또한 침해사고 대응 팀을 구성하고 각 구성원에게 역할과 책임을 할당합니다.
사고 탐지
시스템에서 이상 동작, 침입 시도 또는 이벤트 등을 감지하는 단계입니다. 이를 위해 침입 탐지 시스템, 로그 분석, 모니터링 도구 등을 활용하여 이상 징후나 알림을 확인합니다. 사전에 설정한 침해 탐지 기준에 따라 잠재적인 침해사고를 식별합니다.
초기 대응
사고를 탐지한 후 즉각적으로 대응하는 단계입니다. 사고의 범위와 심각성을 판단하고 조치를 취합니다. 초기 대응은 시스템의 안전성을 유지하기 위한 조치로, 침해 피해를 최소화하고 추가적인 피해를 방지하기 위해 수행됩니다.
대응 전략 체계화
침해사고에 대한 대응 전략을 체계화하는 단계입니다. 이는 사고의 유형과 심각성에 따라 적절한 대응 방안을 수립하는 것을 의미합니다. 대응 전략은 사전에 정의된 절차와 정책을 따르며, 팀 구성원의 역할과 책임, 조치 계획 등을 명확하게 정의합니다.
사고조사
실제로 발생한 침해사고를 상세히 조사하고 분석하는 단계입니다. 사고조사는 다음 두 가지 단계로 구성됩니다.
a. 데이터 수집: 사고와 관련된 모든 데이터와 정보를 수집합니다. 이는 로그, 이벤트 기록, 네트워크 패킷 캡처, 시스템 스냅샷 등 다양한 소스로부터 수행됩니다.
b. 데이터 분석: 수집된 데이터를 분석하여 침해사고의 원인과 영향을 파악합니다. 이는 데이터 복구, 분석 도구, 악성 코드 분석, 포렌식 기법 등을 활용하여 수행됩니다.
보고서 작성
침해사고 조사 결과와 분석 내용을 문서화하는 단계입니다. 보고서에는 사건의 개요, 조사 방법과 절차, 발견된 취약점과 보안 결함, 추천 사항 등이 포함됩니다. 보고서는 조직의 관리자와 보안 담당자에게 제공되어 대응 전략 및 개선 방안을 수립하는 데 활용됩니다.
오늘은 정보보안기사에서 자주 다루는 침해사고 분석 절차에 대해 알아보았습니다.
한국인터넷진흥원(KISA)에서는 이러한 절차를 통해 사고를 분석하고 보고서를 작성하고 있습니다.
실제 보고서를 파악해본다면 좋은 기회가 될 수 있을 것 같습니다.
침해사고 분석 절차란?
정보보안기사에서 이야기하는 침해사고 분석 절차란 외부로부터 우리 자산의 침입이 발생하고 이로 인한 피해가 발생했을 때 추적하는 절차입니다.
우리의 정보시스템에서 어떠한 취약점이 있어서 침해사고가 발생한 것인지 조사하고 분석한 다음 재발생하지 않도록 예방하기 위한 프로세스입니다.
따라서 이러한 침해사고 분석 절차를 진행함으로써 이슈 조치를 수행하고 다음 사고를 예방하기 위한 대응 전략을 준비할 수 있습니다.
자 그러면 분석 절차가 어떻게 진행되는지 알아보도록 하겠습니다.
침해사고 분석 절차
사고 전 준비 > 사고 탐지 > 초기 대응 > 대응 전략 체계화 > 사고조사(데이터 수집, 데이터 분석) > 보고서 작성
위와 같은 과정으로 분석 절차가 진행됩니다.
자 그러면 각 항목에 대해 알아보도록 하겠습니다.
사고 전 준비
침해사고에 대비하여 사전에 필요한 조치를 취하는 단계입니다. 보안 정책 및 절차, 침입 탐지 시스템, 로그 분석 도구 등의 구축과 관련된 작업을 수행합니다. 또한 침해사고 대응 팀을 구성하고 각 구성원에게 역할과 책임을 할당합니다.
사고 탐지
시스템에서 이상 동작, 침입 시도 또는 이벤트 등을 감지하는 단계입니다. 이를 위해 침입 탐지 시스템, 로그 분석, 모니터링 도구 등을 활용하여 이상 징후나 알림을 확인합니다. 사전에 설정한 침해 탐지 기준에 따라 잠재적인 침해사고를 식별합니다.
초기 대응
사고를 탐지한 후 즉각적으로 대응하는 단계입니다. 사고의 범위와 심각성을 판단하고 조치를 취합니다. 초기 대응은 시스템의 안전성을 유지하기 위한 조치로, 침해 피해를 최소화하고 추가적인 피해를 방지하기 위해 수행됩니다.
대응 전략 체계화
침해사고에 대한 대응 전략을 체계화하는 단계입니다. 이는 사고의 유형과 심각성에 따라 적절한 대응 방안을 수립하는 것을 의미합니다. 대응 전략은 사전에 정의된 절차와 정책을 따르며, 팀 구성원의 역할과 책임, 조치 계획 등을 명확하게 정의합니다.
사고조사
실제로 발생한 침해사고를 상세히 조사하고 분석하는 단계입니다. 사고조사는 다음 두 가지 단계로 구성됩니다.
a. 데이터 수집: 사고와 관련된 모든 데이터와 정보를 수집합니다. 이는 로그, 이벤트 기록, 네트워크 패킷 캡처, 시스템 스냅샷 등 다양한 소스로부터 수행됩니다.
b. 데이터 분석: 수집된 데이터를 분석하여 침해사고의 원인과 영향을 파악합니다. 이는 데이터 복구, 분석 도구, 악성 코드 분석, 포렌식 기법 등을 활용하여 수행됩니다.
보고서 작성
침해사고 조사 결과와 분석 내용을 문서화하는 단계입니다. 보고서에는 사건의 개요, 조사 방법과 절차, 발견된 취약점과 보안 결함, 추천 사항 등이 포함됩니다. 보고서는 조직의 관리자와 보안 담당자에게 제공되어 대응 전략 및 개선 방안을 수립하는 데 활용됩니다.
오늘은 정보보안기사에서 자주 다루는 침해사고 분석 절차에 대해 알아보았습니다.
한국인터넷진흥원(KISA)에서는 이러한 절차를 통해 사고를 분석하고 보고서를 작성하고 있습니다.
실제 보고서를 파악해본다면 좋은 기회가 될 수 있을 것 같습니다.
