[침해사고 대응] 1. 침해사고 준비 단계 (+침해 사고 대응팀 구성)

준비 단계에서는 침해사고를 에방하기 위하여 시스템 설정을 점검하고 보안 장비를 설치하는 것은 물론, 사고 발생 감지를 위한 무결성 검사 프로그램을 설치하여야한다.

 

 

1. 침해사고 분석 및 복구를 위해 필요한 모든 정보 및 자료 수집

• 무결성 점검
• 로그 설정 및 로그 서버 운영
• 백업

🔽 자세히 알아보기

[중요 파일에 대한 무결성 점검]

공격자가 시스템 침입에 성공하면 다음번 침입을 쉽게 하기 위한 루트킷(rootkit)이나 트로이잔 목마(trojan horse) 프로그램을 설치하는 경우가 대다수이다.

 

따라서 원래의 파일의 무결성을 체크할 수 있는 프로그램이 필요하며, 이를 효율적으로 해주는 도구가 바로 tripwire이다.

 

*tripwire: MD5, SHA, CRC-32 등의 다양한 해쉬 함수를 제공하고, 파일들에 대한 데이터베이스를 만들어 이를 통해 해커들에 의한 파일 변조 여부를 판별한다. (http://coffeenix.net/doc/security/tripwire.html)

 

*침해사고 시스템에 무결성 점검 도구가 없다면 시스템 실행문 자체를 신뢰하기 어려우므로 도구의 사용은 중요하다.

 

 

2. 침해사고 예방을 위한 보안 조치

• 시스템 보안
• 네트워크 보안
• 보안정책 및 사용자 교육

🔽 자세히 알아보기

[침해사고 에방을 위한 보안 조치]

네트워크 보안 조치는 침입 사고 대응의 기초가 된다. 네트워크 장비들에서 제공하는 정보는 대부분 침해 사고의 중요한 증거가 되므로 가능한 모든 장비들의 로그는 별도로 구축된 로그 서버에 저장, 분석되어야 한다.

 

침해사고 분석을 위해서는 반드시 네트워크 구조를 알고 있어야 하며 한 시스템이 침해사고를 당했을 경우 침해 가능성이 있는 또 다른 시스템을 확인하고, 침해 시스템을 네트워크에서 고립시키기 위해 관리자는 네트워크를 재구성, 보안 장비의 설정을 수정해야한다.

 

따라서 사전에 네트워크 구성 조도를 작성하여 침해사고 발생 시 이용할 수 있도록 하여야 한다.

 

[시스템 보안 대첵]

가장 최근 버전을 사용하고 모든 패치를 적용한다. 불필요한 서비스를 제거하고 시스템 설정 시 신중해야한다. 

일반적으로 보안과 성능은 반비례한다.

 

[시스템 설치]

• 설치함과 동시에  보안 조치를 취하지 않으면 공격자의 표적이 되기 십상이기에 시스템의 안전을 위해 설치 시점에서부터 보안을 고려해여 관리해야 한다.
• 시스템을 고립된 네트워크에 위치시키고 잠재적인 보안 취약점을 줄이면서 최대의 효과를 보기 위해 최서한의 패키지만을 설치한다.
• 매뉴얼 페이지와 HOWTO 문서를 필히 추가하도록 하며, 매뉴얼과 문서들은 침해사고 발생 시 매우 중요한 자료로 활용된다.

[패치 설치 - 각 패치사이트의 업데이터 정보를 참조]

• 레드햇 리눅스 패치 사이트(https://www.redhat.com/en/services/support)
• MS 패치 사이트 (http://www.microsoft.com/korea/download/)
• HP 패치 사이트 (https://support.hp.com/kr-ko)
• IBM 패치 사이트 (https://www.ibm.com/support/home/)

[불필요한 서비스 제거]

• 시스템을 보안 위험으로부터 보호하는데 있어, 제일 처음으로 하는 작업.
• 리눅스 및 Solaris 시스템은 디폴트로 여러 유용한 서비스를 설정하고 실행하도록 되어있다.
• 위 설정들은 대부분 필요하지 않으며 보안적인 측면으로 볼 때 잠재적인 위험을 지니고 있으므로 제거과정을 거친다.
• ./etc/inetd.conf 에서 대부분 ftp와 telnet만이 필요하며 다른 불필요한 서비스들은 주석(#)처리하여 제거한다.
• init 프로세스에 의해 어떤 서비스가 시작될지 결정하는 .rc는 필요하지 않다면 시동되지 않도록 설정한다.

 

 

3. 침해사고 대응 프로세스 준비

• 분석 장비 준비
• 사고 대응팀 멤버 구성

🔽 자세히 알아보기

[침해사고 대응 프로세스 준비]

침해사고 발생 시에는 어느 수준까지 대응하고, 어느 정도까지 조사할 것인 가에 대한 정책과 어떤 방법, 순서에 따라 조치할 것인가에 대해 사전 준비가 되어있어야한다.

 

즉, 침해사고 발생 시 침해 사고 팀의 권한과 절차를 사전에 준비해야함. 이러한 정책과 절차가 사전에 수립되어 있지 않을 경우 침해 사고 대응팀은 조사에 상당한 어려움을 가질 수밖에 없다. 

 

사전 준비가 늦을 경우 필요한 자료(네트워크 모니터링, E-mail 감청, 로그 자료 등)을 얻기 위한 법적 근거를 확인하고, 직원의 동의를 구해야 하는 등 많은 시간을 소비하게 되고 침해사고를 해결하는데 가장 중요한 신속한 처리를 할 수 없게 된다.

 

최종적으로, 침해사고 대응정책과 절차 수립 시 아래의 사항을 고려하여 침해사고 대응 수준을 결정해야한다.

• 사업 또는 기관의 신뢰도에 미치는 영향을 고려할 것.
• 조사에 대한 법적인 문제를 고려할 것.
• 기업이나 기관의 정책적 문제를 고려할 것.
• 침해사고 대응팀의 기술 능력을 고려할 것.

 

 

또한, 사고대응에 중요한 자료인 로그를 안전하게 보관할 수 있도록 하는 것을 비롯해 '사고 대응 팀을 구성'하고 구성원의 역할과 대응 절차를 사전에 수립하여 피해를 줄일 수 있도록 하여야한다.

 

🔽 자세히 알아보기

[사전 준비]

사전 준비 단게는 다음 질문들에 관한 결과를 준비하는 것이다.

 

1. 무엇이 발생했는가?

2. 침해사고에 영향을 받은 시스템 및 네트워크는 무엇인가?

3. 어떤 정보가 손상 되었는가?

4. 무슨 파일이 생성, 수정, 복사, 삭제되었는가?

5. 사고의 원인은 누구인가?

6. 누구에게 통보를 해야하는가?

7. 어떤 방법으로 신속하게 복구를 할 것인가?

 

보안 사고가 발생한 뒤에 전문가로 구성된 팀을 구성하는 것은 너무 늦다. 사전에 준비되고 조직된 팀만이 사고 발생 시 적절한 조치를 빠르고 정확하기 취할 수 있다고 판단되어 사전준비 단게에 침해 사고 대응팀을 구성하도록 되어있다.

 

침해 사고 대응팀은 CERT라고도 표현한다.

 

1. 침해 사고 대응팀의 역할

• 침해 사고의 예방 및 기술을 연구하고 전파한다.
• 침해 사고 예방을 위한 위험분석 및 정책을 수립한다.
• 침해 사고 발생 시 신고 접수 및 처리를 진행한다.
• 외부기간과의 협력이 필요할 때 이를 연결해주는 창구의 역할을 한다.

 

2. 침해사고 대응팀 요원의 준수 사항

• 모든 보안사고 및 사고로 의심되는 경우 정해진 프로세스에 따라 대응한다.
• 선입견을 버리고 조사에 임할 것.
• 가능하면 빨리, 실제 침해사고가 발생했는지 확인한다.
• 항상 Hot-Line을 유지한다.
• 사고와 관련된 가능한 모든 자료를 수집하고 적절히 보관한다.
• 필요한 경우 추가적인 지원을 선택한다.
• 법 또는 조직의 정책에 의해 정해진 규칙을 준수한다.
• 법 전문가에게 지속적인 조언을 얻는다.
• 불필요한 정보를 외부로 유출하지 않으며 적절한 보안을 유지한다.
• 전문적인 증거를 제공하며 전적으로 사실에 의해 사고처리를 진행한다.