What is CERT?

목차

• CERT 정의
• CERT주요 업무(특징)
• 업무절차
• 보안관제와 CERT의 차이

 

정의

• Computer Emergency Response Team 의 약어로 '컴퓨터 비상 상황 대응팀'
• 침해사고 대응 및 분석하기 위한 정보보안 전문팀

 

주요 업무(특징)

• 보안 사고 예방 활동
• 사고 발생 시 해당 사고에 대한 원인과 피해 규모 분석
• 해당 사고에 대한 대책을 수립
• 피해를 최소화 시키기 위한 다양한 활동
• 유사한 공격 등 사고를 방지하기 위한 활동

 

 

업무 절차(사진)

출처: Kisa

 

업무 절차(간략화)

• 사고 전 준비 과정 : 사고가 발생하기 전 침해사고대응팀과 조직적인 대응을 준비
• 사고 탐지 : 정보보호 및 네트워크 장비에 의한 이상 징후 탐지. 관리자에 의한 침해 사고의 식별
• 초기 대응 : 초기 조사 수행, 사고 정황에 대한 기본적인 세부사항 기록, 사고대응팀 신고 및 소집, 침해사고 관련 부서에 통지
• 대응 전략 체계화 : 최적의 전략을 결정하고 관리자 승인을 획득, 초기 조사 결과를 참고하여 소송이 필요한 사항인지를 결정하여 사고 조사 과정에 수사기관 공조 여부를판단
• 사고 조사 : 데이터 수집 및 분석을 통하여 수행. 언제, 누가, 어떻게 사고가 일어났는지, 피해 확산 및 사고 재발을 어떻게 방지할 것인지를 결정
• 보고서 작성 : 의사 결정자가 쉽게 이해할 수 있는 형태로 사고에 대한 정확한 보고서를 작성
• 복구 및 해결 과정 : 차기 유사 공격을 식별 및 예방하기 위한 보안 정책의 수립, 절차 변경, 사건의기록, 장기 보안 정책 수립, 기술 수정 계획수립 등을 결정

 

 

업무 절차(구체화) - 사고 전 준비 과정

사고 대응 체제 준비	CERT 준비
호스트 및 네트워크 기반 보안 측정 수행 최종 사용자 교육 훈련 침입탐지 시스템 설치 강력한 접근 통제 실시 적절한 취약점 평가 실시 규칙적인 백업 수행 침해사고대응팀과의 비상 연락망 구축	사고 조사를 위한 도구(H/W, S/W) 구비 사고 조사를 위한 문서양식 정형화 대응 전략 수행을 위한 적절한 정책과 운용 과정 수립 간부, 직원들에 대한 교육 훈련 실시
=>  즉각적인 대응 및 준비 미흡으로 인해 대응 시간의 불필요한 지연을 최소화시킬 수 있음

 

 

업무 절차(구체화) - 사고 탐지

출처: Kisa

 

탐지시 보고 방법

• 직속상관에게 보고
• 전산 지원실에 신고
• 정보보호 부서에 의해 관리되는 사고 핫라인으로 신고

 

 

초기 대응 점검표

• 현재 시간과 날짜
• 사고보고 내용과 출처
• 사건 특성
• 사건이 일어난 일시
• 관련된 하드웨어, 소프트웨어의 목록
• 사고 탐지 및 사고 발생 관련자의 네트워크 연결 지점

초기 대응 점검표가 완전히 작성된 이후에 침해사고 대응팀이 활동을 시작하여야 정확하고 신속한 대응이 가능하다. 따라서 대응팀은 사고 관련자들과 면담을 하면서 초기 대응 점검표를 정확히 작성할 수 있도록 해야한다.

 

 

업무 절차(구체화) - 초기 대응

• 사건의 기술적인 내용을 통찰할 수 있는 시스템 관리자와 면담
• 사건 분석을 위한 정황을 제공해 줄 수 있는 인원들과의 면담
• 침입 탐지 로그와 데이터 식별을 위한 네트워크 기반 로그의 분석
• 공격 경로와 수단을 알아내기 위한 네트워크 구조와 접근 통제 리스트의 분석

 

=> 해당 작업들을 통해 충분히 정보를 얻어 현재 상황에 대한 정오탐을 판별한 다음, 해당 사건에 대한 기존 대응책의 존재 유무 및 사건의 유형, 잠재적 업무 영향성 등을 판단한다.  해당 내용들을 근거로 현재 사건의 적절한 대응책을 마련한다.

 

 

업무 절차(구체화) - 대응전략 수립

대응전략 수립 단계의 목표는 주어진 사건의 환경에서  정책, 기술, 법, 업무등을 고려하여 가장 적절한 대응전략을 결정해야하며, 밑에는 위 고려사항에 기반한 확인 사항들이다.

• 침해당한 컴퓨터가 얼마나 중요하고 위험한가?
• 침해당하거나 도난당한 정보가 얼마나 민감한 것인가?
• 사건이 외부에 알려졌는가?
• 직/간접적인 공격자는 누구인가?
• 공격자에 의해 침해된 비인가 접근의 수준은 어느 정도인가?
• 공격자의 수준은 어느 정도인가?
• 시스템과 사용자의 업무중단 시간은 어느 정도인가?
• 어느 정도의 경제적 피해가 있었는가?

 

출처: Kisa

 

이때, 초기대응에서 얻었던 세부사항들을 주의 깊게 고려해야한다. 예를 들면, DoS 공격의 출처가 중고등학교 웹서버일 경우와 경쟁사 직원의 시스템일 경우의 대응은 서로 다르게 다루어질 것이다. 특히 조직의 대응 방침 또한 대응 전략에 큰 영향성을 끼친다. 대응 방침에는 대응 능력, 기술 자원, 정책, 법, 업무목적등이 있다.

 

 

출처: Kisa

 

공격 환경과 대응 능력을 고려하여, 다양한 대응 전략을 수립하여야 한다. 다음 표는 일반적인 상황에서 대응 전략과 가능한 결과를 보여준다.

 

 

나아가 대응 방법에 따라 조직이 영향을 받을 수 있기 때문에 대응 전략은 조직의 업무 목표를 고려해야 하며, 상위 관리자의 승인이 필요하다. 그래서 대응 전략은  아래 요소들을 고려하며 결정해야한다.

• 네트워크 및 시스템 다운시간과 이로 인한 운영상의 영향
• 사건 공개와 그에 따른 조직의 대외 이미지와 업무에 영향
• 지적 재산권의 도용과 잠재적인 경제적 영향

 

 

사건의 내용이 법적인 제제가 필요한 사항이 아니라 내부에서 처리해야 할 사항이라면 직원 관리 차원에서 사원을 징계하고 해고하는 것이 일반적이다.다음은 사원 인사 조치의 예이다.

• 공식적인 징계 문서
• 해고
• 일정 기간 동안의 근신
• 업무 재분배
• 임시 봉급 삭감
• 행동들에 대한 공개적, 개인적인 사과
• 네트워크나 웹 접근과 같은 권한의 박탈

 

다음에 나오는 기준들은 사고 대응에서 수사기관에 신고하여 법적인 대응을 할 것인지 아닌지를 결정할 때, 고려되어야 할 사항들이다.

• 사고의 비용이나 피해정도가 범죄 전문가를 초빙할만한가?
• 사법이나 형사 조치가 조직이 원한 만큼 결과를 이끌어 낼 것인가? (상대로부터 피해를 복구하거나 손해배상을 받을 수 있나?)
• 사고 원인 분석은 타당한가?
• 효과적인 수사에 도움이 되는 적절한 문서와 정리된 보고서를 가지고 있는가?
• 수사관이 효과적으로 행동할 수 있도록 준비될 수 있는가? 
• 수사관들과 공조한 경험이 있거나 그 방법을 잘 알고 있는가?
• 사고 내용의 공개를 감수할 수 있는가?
• 데이터 수집 절차는 합법적인 행동이었는가?
• 법률 분쟁이 사업 수행에 어떻게 영향을 줄 것인가?

 

 

업무 절차(구체화) - 사고 조사

사고 조사는 사고 수습 및 공격자 색출에 초점(누가 어떤 것에 손상을 입혔는가)따라서 누가, 무엇을, 언제, 어디서 그리고 어떤 정보가 사고와 관련된 것인지를 확인하기 위해 사고 조사 과정은 데이터 수집과 자료 분석 단계로 나뉜다. 

나아가 데이터 수집에는 호스트 기반과 네트워크 기반 증거로 나누어 조사한다.

 

 

데이터 수집(호스트 기반 정보)

호스트 기반 정보는 네트워크에서 얻어진 것이 아니라 시스템에서 얻어진 로그, 레코드,문서 그리고 또 다른 정보들을 포함한다. 예를 들면, 호스트 기반 정보는 특정기간 동안 증거를 보관하고 있었던 시스템 백업일 수 있다.

호스트 기반 데이터 수집은 휘발성 데이터를 우선 수집 =>  포렌식 이미징 작업을 통해서 정보 수집한다

데이터 수집의 첫 번째 단계는 정보들이 사라지기 전에 휘발성 정보들을 수집하는 것이다. 어떤 경우에는 중요 증거가 일시적으로 있었다가 없어지며, 피해 시스템이나 사건조사에 중요한 시스템을 끌 때 사라져 버리는 경우가 있다. 이러한 휘발성 증거는 사고 의도를 이해하고자 할 때 매우 중요한 정보와 시스템의“snap-shot”을 제공한다.

 

 

다음은 수집해야할 휘발성 데이터의 종류를 나타낸다

• 시스템 날짜와 시간
• 시스템에서 현재 동작 중인 어플리케이션
• 현재 연결이 성립된 네트워크 상황
• 현재 열려진 소켓(포트)
• 열려진 소켓 상에서 대기하고 있는 어플리케이션
• 네트워크 인터페이스의 상태
• 메모리 정보
• 현재 열려진 파일
• 시스템 패치 상황

 

 

이런 정보들을 수집하기 위해 Live Response가 수행되어야만 한다. Live Response는 시스템이 동작하고 있을 때 수행되어야 한다. Live Response는 아래와 같은 세 가지로 구분할 수 있다.

• Initial Live Response : 대상 시스템의 휘발성 데이터만 획득
• In-depth Response : 휘발성 데이터 + 합법적인 대응 전략을결정하기  위해 대상 시스템으로부터 충분한 부가 정보를 획득
• Full Live Response : Live 시스템의 완전 조사를 위한 대응. 시스템을 꺼야하는 디스크 복제 작업 대신에 수사를 위한 모든 데이터를 Live 시스템으로부터 수집한다.

 

 

어떤 시점에서(보통은 초기 대응 시간에) 증거 매체의 디스크 복제 작업을 해야 할 지를결정해야 한다. 일반적으로, 사고가 조사하기 어렵고 지워진 데이터를 복구해야 한다면 디스크 복제 작업이 유용하다. 대상 매체의 디스크 복제는 컴퓨터 포렌식 기술을 사용하여 이루어져야 한다. 이 작업은 대상 시스템과 완벽히 동일한 복사본 이미지를 제공함으로써 잠재적인 증거가 파괴되거나 변조될 거라는 걱정을 없게 만든다. 

만약 향후 분석 과정을 거쳐 소송과 같은 법적 조치가 예상되면 일반적으로 대상 시스템을 복제한 포렌식 이미지를 수집하는 것이 바람직하다. 만약 사고가 여기저기에서 다중으로 발생한다면 포렌식 이미징 작업을 전 시스템에서 수행하기 어렵기 때문에 작업 수행 여부는 신중하게 결정해야 한다.

 

 

데이터 수집(네트워크 기반 정보)

• IDS 로그
• 관련자의 허락을 득한 네트워크 모니터링의 기록
• ISP 가입자 이용 기록 장치/감시 장치의 로그
• 라우터 로그
• 방화벽 로그
• 인증 서버 로그

 

네트워크 기반 증거 수집시 주의 점

• 컴퓨터 보안 사고의 주변 인물들 중에 사건에 가담하여, 증거를 고의적으로 손상시킬 여지가 있는 관련자를 증거로부터 격리시킨다.
• 추가적인 증거나 정보를 축적한다.
• 정보 노출의 범위를 검증한다.
• 사고와 관련된 추가 내부 인원들을 확인한다.
• 네트워크에서 일어난 이벤트의 timeline을 결정한다.
• 대응 방침에 대한 상급자의 확실한 승인을 확보한다.

 

특정 조직은 종종 증거를 모으고, 내부 공모자의 의심스러운 점을 확인하기 위해서 네트워크 감시(합의가 된 모니터링)를 수행한다. 호스트 기반 감시가 효과적이지 않다면 네트워크 감시가 증거의 유효성을 높여줄 수 있다. 네트워크 감시는 공격을 막고자 하는 것이 아니라, 사고 발생시 관련 정보를 수집하기 위한 것으로 조사 분석에 많은 증거를 제공하기도한다.

 

 

데이터 수집(기타 증거)

“기타 증거”는 증언과 사람들로부터 얻어진 다른 정보들을 뜻한다. 이것은 디지털 정보를 다루는 방식이 아닌 전통적인 조사 방식으로 증거를 수집한 것이다. 내부 직원의 개인 정보 파일을 수집할 때 직원을 인터뷰하고 모아진 정보를 문서화하는 것이 그 예라 할 수 있다.

 

 

 

출처: Kisa

 

데이터 분석(포렌식 분석)

모든 수집된 정보의 전체적 조사를 의미한다. 이것은 로그 파일, 시스템 설정 파일, 웹 브라우저 히스토리 파일, 이메일 메시지와 첨부파일, 설치된 어플리케이션 그리고, 그림파일 등을 포함한다. 

소프트웨어 분석, 시간/날짜 스탬프 분석, 키워드 검색, 그외의 필요한 조사과정을 수행한다. 포렌식 조사는 또한 로우레벨에서의 조사도 수행한다. 이과정에 수행되는 각 요소들은 위 그림에 나타나 있다.

 

 

보고서 작성

보고서 작성은 가장 어렵고도 중요한 단계이다. 보고서를 읽게 되는 상급자 또는 소송 관련자들은 컴퓨터에 대한 기본지식이 부족한 경우가 많기 때문에, 누구나 알기 쉬운 형태로 작성되어야 한다. 데이터 획득, 보관, 분석 등의 과정을 6하원칙에 따라 명백하고 객관적으로 서술해야 한다. 또한 사건의 세부 사항을 정확하게 기술하고, 의사 결정자가 이해하기 쉽게 설명되어야 하며, 재판 과정에서 발생하게 될 논쟁에 대응할 수 있도록 치밀하게 작성되어야 한다

 

 

업무 절차(구체화) - 복구 및 해결 과정

컴퓨터 보안사고 대응의 마지막 단계는 현재 발생한 사고로 인해 제 2, 제 3의 피해를 막고 재발을 방지하기 위한 조치가 이루어져야 한다. 이를 위해 다음과 같은 조치들을 취해야 한다.

• 조직의 위험 우선순위 식별
• 사건의 본질을 기술 : 보안 사고의 원인과 호스트, 네트워크의 복원시 필요한 조치
• 사건의 조치에 필요한 근원적이고 조직적인 원인 파악
• 침해 컴퓨터의 복구
• 네트워크, 호스트에 대해 밝혀진 취약점에 대한 조치(IDS, Access control, firewall)
• 시스템을 개선할 책임자 지명
• 시스템 개선이 이루어지고 있는지 추적
• 모든 복구 과정이나 대책의 유용성 검증
• 보안 정책 개선

 

 

보안 관제와 cert의 차이

보안 관제 - 실시간 모니터링을 통해 침해사고가 발생시 1차적 대응 및 보고

CERT - 보안관제를 통해 받은 침해사고의 원인, 영향, 대응방안 등을 분석을 통해 추후 피해를 최소화

 

즉,  보안관제는 실무에 속하여 당장의 현재의 공격에 대응하는 것이 초점이 맞춰진 반면, CERT는 추후 이와 같은 공격 및 발전된, 미래의 공격을 최소화하기위한 컨설턴트를 하는 것에 초점이 맞춰져 있다. 그렇다보니 보안관제는 당장의 기술적 대응에서 끝난다고 보면 되지만, CERT는 보안에 관한 기술 정책 변경 및 법적 분쟁까지도 다룰 수도 있기 때문에 회사 내부 규정 및 정책, 업무 나아가 법적 규제에 영향을 받는다는 것이다. 따라서 보안관제에서 CERT로 성장하기 위해선 기술적 능력만을 함양시키기보단 고객사의 내부 사정 파악 및 보고서 작성, 나아가 정보통신법률에 관한 기본적인 이해 등과 같은 능력들을 두루 갖추도록 노력해야한다.

 

 

 

위 내용은 모두 KISA의 제2010-8호-침해사고_분석_절차(내지)최종(fin)에서 참고하였습니다.