[침해사고 대응] 2. 침해사고 탐지 단계

침해사고 대응의 실질적인 시발점은 '이상요소'의 탐지이다.

1. 침입차단시스템이나 IPS의 운영을 통한 네트워크 상의 비정상적인 움직임
2. 시스템이나 장비를 관리하는 과정에서 사용자 계정이나 자원의 불법 사용.
3. 고객이 web page의 변조 또는 시스템의 수상한 파일의 생성 등을 알려주는 경우

 

[침해사고 정보 기록]

침해사고 대응에 불필요한 것처럼 보이는 정보들도 추후 필요할 수 있으므로 가능한 세세하게 기록한다.

 

1. 침해사고 신고자 관련 정보

• 침해사고 접수 일자, 시간
• 신고자 연락처

 

2. 침해사고 관련 사항

• 침해사고 추정 발생시점
• 침해사고 인지방법 및 인지시점
• 침해사고로 인해 정확히 어떤 영향을 받았는가.

 

3. 침해사고 관련 시스템 정황

• 해당 장비의 운영체제 종류와 버전
• " 의 운영중인 서비스 및 탑재된 응용 프로그램의 용도
• " 의 IP주소 및 호스트 명, 해당 사이트의 도메인 명
• " 의 즉각적인 복구가 필요한지에 대한 여부
• " 의 중요 정보 존재 여부
• " 의 물리적 위치 및 물리적 보안 실태
• " 의 관리자 및 주요사용자 정보(연락처 정보 포함)
• " 의 현재 상태
• " 의 원격/터미널상의 접근이 가능한지

 

4. 침해사고관련 네트워크 상황

• 해당 장비가 물려있는 네트워크의 설정 사항(구성 및 네트워킹 방식)
• 네트워크 관련 사항에 변경이 있는지 조사(침입차단시스템 설정 및 ACL 등)

 

5. 공격관련 사항

• 지금 현재까지도 공격중인지
• 공격자 관련 정보(인지된 공격자의 IP주소, 도메인 명)
• 추정되는 공격방법(ex - 악성프로그램 사용)
• 서비스 거부를 목적으로 한 공격인지, 부작용으로 서비스 거부의 효과가 발생하는지 추정
• 시스템 파괴 행위가 있었는지에 대한 여부 추정
• 공격이 내부자의 소행인지 외부자의 소행인지 추정

 

6. 침해사고관련 가용 툴 상황

• 해당 사이트에 감사(Auditing) 도구가 설치된 시스템이 있는지 여부 확인
• 해당 사이트에서 스니터를 운용중인지 여부 확인 (IDS or IPS 패킷 덤프 기능 등)

 

7. 침해사고관련 당사자들의 정보(연락처 등)

• 시스템 사용자
• 해당 시스템의 관리자
• 해당 사이트의 네트워크 관리자
• 해상 사업의 책임자
• 법률조언자 및 언론 담당자

 

8. 다른 특이 사항.

• 침해사고를 인지한 인물의 정보
• 침해사고관련 사실의 외부 공개 범위