Cert (침해사고 대응팀) 이란 무엇인가?

보안 관련 직무를 찾다보면 많이 듣게되는 직무가 보안관제 다음 CERT이다.

그 외에도 보안컨설팅, 모의해킹 등 다양한 직무가 존재하는데 이번 페이지에서는 CERT 에 대해서 알아보겠다.

 

 

CERT 란?

 - Computer emergency response team의 약어 CERT 이다.

 - 직역하면 컴퓨터 비상상황 대응팀

 - 침해사고에 대응하기 위한 정보보안 전문팀

 - CERT, 침해사고 분석 전문팀, 침해사고 대응팀 등 으로 불린다

 

 

 

 

 

 

CERT 와 보안관제의 차이점

 - 침해사고가 발생하면 대응한다는 점에서 보안관제와 CERT는 비슷해 보인다.

 - 기업이나 관제 환경별로 CERT와 보안관제를 따로 구분하기도 하며 평소 보안관제 업무를 진행하다 침해사고 발생시     CERT 업무를 하는 등 형태는 다양하다.

 - 여기서 말하는 것은 KISA의 CERT KR이라 불리는 팀 기준으로 차이점을 말하자면 다음과 같다.

  1. 보안관제는 모니터링을 통해 침해사고가 발생한 경우 1차적인 대응 및 보고를 진행

  2. CERT는 보안관제에게 보고받은 침해사고의 원인, 영향, 대응방안 등을 분석

  3. CERT는 사고 발생 후 원인 분석과 대응을 통해 피해를 최소화 하는 팀

  4. 보안관제는 실무역할 위주 / CERT는 실무진에 가까운 컨설턴트

 

 

 

 

 

 

 

CERT의 업무 사이클

 - CERT의 침해사고 분석 절차는 다음과 같다.

 

출저 : KISA : 침해사고 분석절차 안내서

 - 사고 전 준비(예방) 부터 복구,해결까지 7단계의 절차로 분석 절차가 진행된다.

 - 1~7까지의 절차 완료 후 다시 1번의 예방부터 시작하는 반복 사이클이다.

 - 해당 절차는 보안관제 업무 절차와 비슷하다.

 

1. 사고 전 준비

 - 침해사고 발생 전 침해사고 대응팀과 조직적인 대응을 준비하는 단계이다

 - 사고를 어떻게 대응할 것인지에 대한 체제와 대응 팀에 대해 준비한다.

 - 효율적인 사고 대응을 위한 전략과 대처 방안을 개발하며

 - 전문가 조직을 구성하고 시스템/네트워크 관리자와 긴밀한 협조 관계를 구성한다.

 

2. 사고 탐지

 - 정보보호 시스템(IPS/IDS등) 및 네트워크 장비에 의한 이상징후를 탐지하는 단계이다.

 - 관리자에 의해 침해사고를 식별하기도 한다

 - 사고를 탐지하는 부분은 IDS, 관리자, 보안관제, 인사부 등이 존재한다

 - 다음과 같은 사고 징후 발생시 사고가 일어났다고 판단한다

 ex) 생성하지 않은 계정 발견, 사용하지 않는 계정 및 Default 계정의 로그인 시도, 서비스 미 제공시간 동안의 시스템 활동, 출저 불명의 파일 또는 프로그램 발견, 알수없는 권한 상승, 로그 및 파일 삭제, 시스템 성능 저하, IDS로부터 탐지된 원격 접속 등

 

3. 초기 대응

 - 초기 조사를 수행하는 단계

 - 사고 정황에 대한 세부사항을 기록한다

 - 침해사고 대응팀을 소집 / 네트워크와 시스템 정보를 수집한다

 - 침해사고 관련 부서(기관)에 침해사고 발생 여부를 통지한다.

 

4. 대응 전략 체계화

 - 대응 전략 수립 단계

 - 3단계에서 확인한 정보를 이용해 대응한다

 - 공격 환경, 대응 능력 등을 고려해 대응 전략을 수립한다.

 - 대응 방법에 따라 조직의 업무의 영향이 미칠수 있으므로 해당부분을 고려해야 하며, 상위 관리자가 승인해야 한다.

 

5. 사고 조사

 - 호스트 기반/ 네트워크 기반 /기타 기반 증거로 나누어 조사를 실시한다

 - 데이터 수집의 단계로 공격 시작부터 종료까지 어떤 공격이 이루어 졌는지를 조사한다

 - 피해 확산 및 사고 재발의 방안을 결정한다.

 

6. 보고서 작성

 - 2~5단계 까지의 데이터를 추합해 보고서를 작성하는 단계

 - 수집한 데이터의 분석을 하여 육하원칙(왜, 언제, 어디서, 누가, 무엇을, 어떻게)에 따라 보고서를 작성한다

 

7. 복구 및 해결 과정

 - 공격 이후 유사 공격을 예방하기 위한 보안 정책의 수립, 절차 변경을 진행한다

 - 침해사고 재발 방지를 위한 조치를 하며 대책을 수립한다.

 

 

 

 

 

 

 

 

 

 

CERT가 되기 위해선?

 - Cert는 주 업무가 침해사고 분석 및 대응, 복구 업무이다.

 - 물론 각 Cert 마다 주력인 분야가 있겠지만 악성코드 분석, 모의해킹, 침해사고 분석 등 다양한 업무를 하기 때문에 IT에 대한 전반적인 지식이 필요하다.

 - 또한 침해사고는 네트워크 망을 통해 발생하므로 네트워크 기반의 지식 또한 필요하다.

 - 보안 직무에 속해있으므로 보안에 대한 원칙과 지식도 필요하다.

 - Cert는 신입을 거의 뽑지 않는다. 그 이유는 위에 설명한 바와 같이 한 업무가 아닌 여러 업무를 할 줄 알아야 하며 고객응대와 본업무 등 다양하게 하기때문이다.

 - 그런 이유에서 특정 기업은 보안관제 1년 후 Cert로 진급하여 업무를 진행하기도 한다.