검수요청.png검수요청.png

"침해사고"의 두 판 사이의 차이

위키원
이동: 둘러보기, 검색
(새 문서: ==침해사고== '''침해사고'''(infringement accident, 侵害事故)란 모든 사이버 공격 행위나 그 결과에 따라 생긴 여러 가지 피해(서비스 거부, 고출...)
 
 
(사용자 2명의 중간 판 23개는 보이지 않습니다)
1번째 줄: 1번째 줄:
==침해사고==
+
'''침해사고'''<!--침해 사고-->(infringement accident, 侵害事故)란 모든 사이버 공격 행위나 그 결과에 따라 생긴 여러 가지 [[해킹]], 컴퓨터 [[바이러스]], [[논리 폭탄]], [[메일 폭탄]], [[서비스 거부]] 또는 [[고출력 전자기파]]들로 정보통신망 또는 이와 관련한 정보 시스템이 공격을 당하여 생긴 문제이다.
'''침해사고'''(infringement accident, 侵害事故)란 모든 사이버 공격 행위나 그 결과에 따라 생긴 여러 가지 피해(서비스 거부, 고출력 전자기파)들로 정보통신망 또는 이와 관련한 정보 시스템이 공격을 당하여 생긴 문제<ref> 〈[https://ko.wikipedia.org/wiki/%EC%A0%95%EB%B3%B4%ED%86%B5%EC%8B%A0%EB%A7%9D_%EC%9D%B4%EC%9A%A9%EC%B4%89%EC%A7%84_%EB%B0%8F_%EC%A0%95%EB%B3%B4%EB%B3%B4%ED%98%B8_%EB%93%B1%EC%97%90_%EA%B4%80%ED%95%9C_%EB%B2%95%EB%A5%A0 침해사고]〉, 《위키백과》 </ref>
+
 
===종류===
+
==종류==
 +
*'''[[무차별 대입 공격]]'''(brute-force attack) : 컴퓨터 사용자의 아이디와 비밀번호를 계속해서 시행 착오를 거치면서 추측에 의해 알아내는 방법이다. 미리 사람들이 자주 비밀번호로 사용하는 여러 가지 단어들을 저장하고 있다가 이를 순차적으로 대입하고 실패하여 접속이 끊어져도 다시 접속하여 계속 패스워드를 대입시키는 [[사전식 브루트 포스]](brute force), 전수조사로 불리는 존재하는 모든 조건을 대입하는 [[브루트 포스]](brute force) 등의 해킹 프로그램을 사용하는 방법이다.
 +
*'''[[아이피 스푸핑]]'''(IP Snooping) : [[아이피 주소]](IP Address)를 속여서 공격하는 방법이다. 송수신자 간의 프로토콜인 [[TCP/IP]] 접속 시 일어나는 [[쓰리 웨이 핸드쉐이킹]](3-way handshaking)에 필요한 [[SYN]]/ [ACK]]를 이용하여 중간에서 불법 접속을 만든다.
 +
*'''[[세션하이재킹]]'''(Session Hijacking) : TCP 세션의 시퀀스 번호를 이용하여 정당한 사용자의 세션을 가로채는 공격 방식을 말한다. 대부분은 본 아이피 서버에 대해 SYN 플러딩 공격 수반이다.<ref name="침해사고">〈[https://ko.wikipedia.org/wiki/%EC%A0%95%EB%B3%B4%ED%86%B5%EC%8B%A0%EB%A7%9D_%EC%9D%B4%EC%9A%A9%EC%B4%89%EC%A7%84_%EB%B0%8F_%EC%A0%95%EB%B3%B4%EB%B3%B4%ED%98%B8_%EB%93%B1%EC%97%90_%EA%B4%80%ED%95%9C_%EB%B2%95%EB%A5%A0 정보통신망 이용촉진 및 정보보호 등에 관한 법률]〉, 《위키백과》</ref>
 +
*'''[[패킷 스니핑]]'''(Packet Sniffing) : 네트워크 상에 돌아다니는 패킷을 훔쳐보는 방법으로 어떤 사람이 정보통신망에 접속하기 위해 아이디와 비밀번호를 입력할 때 이를 도청하는 프로그램을 사용하여 아이디와 비밀번호를 알아내는 방법이다.
 +
*'''[[패스워드 크래킹]]'''(Password Cracking) : 타인의 아이디와 비밀번호를 통해 알아낸 경우 또는 정당하게 가입해서 자신의 아이디와 비밀번호를 부여받아 어떤 네트워크에 들어간 경우 그 네트워크를 이용하는 다른 사용자들의 아이디와 비밀번호를 얻어내는 방법을 가리키는 것이다.<ref name="침해사고"></ref>
 +
 
 +
== 대응 ==
 +
침해사고 대응은 사고가 일어남을 인지했을 당시 이루어지는 초동 조치를 말한다. 중소기업의 경우, 대부분 웹의 취약점으로 일어나며 어느 정도 웹 해킹에 대한 방어가 갖추어져 있는 대기업들은 [[지능형 지속 공격]](advanced persistent threat, APT)이 대부분 주류를 이룬다. 침해사고가 발생했다고 의심되는 PC에서는 탐지, 확정 및 채증, 추적이라는 과정을 통해 대응이 이뤄진다.<ref> JMPESP, 〈[https://blackorwhite.tistory.com/42 (시작)침해사고 대응의 개념, 잡담]〉, 《티스토리》, 2017-06-25 </ref> 단기 대응은 기본적 손상을 최소화하기 위한 단계이다. 침해사고가 발생한 시스템이나 네트워크를 식별하고 통제될 수 있는 경우에는 해당 시스템이나 네트워크의 연결을 해제하거나 차단한다. 추가 사고가 발생하는 경우에는 이 과정을 반복해야 한다. 단기 대응의 수단으로는 [[네트워크 케이블]]을 뽑는 등의 물리적인 대응을 포함하여 방화벽 설정 [[변경]] 및 침해사고 룰 업데이트, [[백신]] 업데이트, 시스템 종료(system down) 등이 있다.<ref name="대응">〈[https://terms.naver.com/entry.naver?docId=3432064&cid=58437&categoryId=58437 대응]〉, 《네이버 지식백과》</ref>
 +
 
 +
;탐지
 +
실제로 어떤 운영상의 문제가 사건 발생 시 해당 건이 운영상의 오류와 같은 일반적인 문제인지 침해사고 발생 상태인지 확인하는 단계이다.<ref name="침해 사고 탐지">〈[https://terms.naver.com/entry.naver?docId=3432063&cid=58437&categoryId=58437 사고 탐지]〉, 《네이버 지식백과》</ref> 침해사고로 확인 시 [[로그 파일]], [[오류 메시지]] 등을 확보 [[방화벽]], [[침입 탐지 시스템]] 등을 통해 특정한 절차를 수행해야 한다. 또한 내부적인 보고 체계에 따라 책임자에게 보고하고, 언론에 적절한 대응이 필요한 경우 대응책을 마련하도록 한다.<ref name="침해 사고 탐지"></ref>
 +
 
 +
;백업 및 증거 확보
 +
후속 처리를 위해 침해사고 발생 시스템을 초기화하기 전에 백업하고, [[포렌식]] 절차에 따라 시스템의 이미지를 획득하는 과정이다. 포렌식을 통해서 증거를 획득하고, 이 증거가 법적인 효력을 갖기 위해서는 증거 획득과 처리 과정이 적법한 절차를 걸쳐 이뤄져야 하므로 복잡한 과정이다.<ref name="대응"></ref>
 +
 
 +
;시스템 복구
 +
시스템에 [[백도어]] 등의 [[악성코드]]를 제거하고, 시스템 [[계정]] 및 [[패스워드]]를 재설정하고 보안 [[패치]] 적용 뒤, 다시 서비스가 가능하도록 네트워크에 연결하는 과정이다.<ref name="대응"></ref>
 +
 
 +
;식별 사항
 +
실시간으로 식별하는 과정은 주로 [[침입 탐지 시스템]](IDS)이나 [[침입 방지 시스템]](IPS), [[네트워크 트래픽 모니터링 장비]](MRTG:Multirouter Traffic Grapher), [[네트워크 관리 시스템]](NMS:Network Management System)으로 이루어진다.<ref name="침해 사고 탐지"></ref>
 +
 
 +
*침해사고 발생 시점(언제)
 +
*누가 침해사고를 발견, 보고(누가)
 +
*침해사고는 어떻게 발견(어떻게)
 +
*침해사고의 발생 범위와 다른 곳에 손상이 발생한 사항(범위와 다른 특이사항)
 +
*기업 서비스 능력 손상여부(서비스 능력)
 +
*공격자(규모와 능력)<ref name="침해 사고 탐지"></ref>
 +
 
 +
== 사례 ==
 +
1988년 11월 22일 저녁, 미국 전역의 컴퓨터가 [[모리스 웜]](Morris worm)에 의해 멎어버린 적이 있었다. 모리스 웜은 [[로버트 모리스]](Robert Morris)가 인터넷의 크기를 알아내려는 의도로 만든 프로그램이다. 이는 최초의 웜으로, 네트워크에 풀어 놓자마자 인터넷을 통해 빠르게 퍼지면서 대량의 유닉스를 감염시키고 네트워크를 마비시켰다. 당시 총 피해액은 1,000만 달러에 달했으며 웜은 걷잡을 수 없이 퍼져 나가, 인터넷을 접속하고 있던 유닉스 시스템 약 6,000대를 감염시켰다. 이는 당시 전 세계에 있는 모든 유닉스 컴퓨터 중 10%에 해당하는 규모였다. 모리스는 순수한 의도로 네트워크에 연결된 컴퓨터가 어느 정도인지 알고 싶은 마음으로 모리스 웜을 만들어 네트워크에 풀었다. 모리스 웜은 유닉스에서만 작동되었는데 그 이유는 유닉스에 있는 취약점을 이용했기 때문이다. 모리스 웜은 감염시킬 컴퓨터에 먼저 일부 코드를 가져와 실행시켰고 이 코드를 통해 나머지 코드를 가져와 컴파일하였다. 모리스 웜이 실행되면 모리스 웜은 서버에 자신이 인터넷에 연결되었다는 사실을 알리고 일정 시간마다 이름도 바꿔가며 네트워크의 다른 컴퓨터도 감염시켰다. 특히나, 컴퓨터를 세는 일인만큼 중복되는 것을 막고자 모리스 웜은 컴퓨터에 들어오면 또 다른 모리스 웜이 실행되고 있는지를 사용자에게 물었고 'yes'라고 누르면 건너뛰게 했다. 하지만 모리스는 사용자가 그냥 'yes'를 누를 수 있는 경우를 생각하고 1/7 확률로 무조건 모리스 웜에 감염되게 하였다. 문제는 1/7 확률이 너무 커서 모리스 웜은 네트워크로 순식간에 퍼져 나갔고 같은 컴퓨터에도 여러 모리스 웜이 상주했다. 이 때문에 모리스 웜은 컴퓨터 자원을 너무 많이 사용하면서 컴퓨터에 무리를 주고 네트워크를 마비시켰다. 뭔가 잘못되어 가는 것을 느낀 모리스는 [[하버드 대학교]]에 다니는 친구에게 연락하여 모리스 웜이 퍼지는 것을 막기 위해 이 웜 바이러스에 대한 경고와 치료 방법을 적은 익명의 메시지를 보냈지만 이미 차단된 [[게이트웨이]] 때문에 이 메시지는 전달되지 않았다. 그 사이 전 세계 유닉스 시스템 관리자들은 이런 사태의 문제점을 감지하기 시작했고 그 중 [[나사]]에 근무하던 한 직원이 이 웜 프로그램을 분석하여 [[텔넷]], [[ftp]], [[핑거]], [[rsh]], [[SMTP]] 등 네트워크로 연결되는 통로를 막으라는 임시방편의 메시지를 보냈다. [[매사추세츠 공과대학교]], [[UC 버클리]]가 이 프로그램을 이틀 동안 꼬박 분석하여 사건 발생 후 며칠 만에 복구할 수 있었다.
 +
 
 +
모리스 웜은 'sendmail', 'finger', 'RSH/rexec'(remote execute) 이 세 가지의 유닉스 취약점을 통해 실행되었고 유닉스에서만 작동하였다. 또한, 무단으로 사용자 계정에 접근하여 연산 자원 시스템을 제어하기 위해 패스워드를 풀어내는 코드가 발견되기도 했다. 모리스 웜에서 사용된 Fingerd 또는 Finger demon 프로그램은 클라이언트와 서로 연결하는 서버 프로그램으로 원격 호스트에 있는 사용자 정보를 검색할 수 있는 프로토콜이다. 초기에는 많이 사용되었지만 악용되는 사례가 많아져 점차 사라지고 지금은 사용되지 않는 기능이다. Fingerd는 서버에 있는 512바이트의 버퍼에서 get()으로 사용자의 정보를 읽고 가져온다. 그러나 512바이트를 넘기는 사용자의 정보를 요구할 때 512바이트의 버퍼 크기를 넘어가 임의의 정보를 기록할 수 있다. 즉, 버퍼오버플로우 취약점을 통해 임의의 코드를 실행시킨 것이다. 모리스 웜은 먼저 512바이트에는 아무것도 없는 내용을 넣었고 24바이트에는 되돌아오는 주소 정보와 무엇을 실행하는지에 대한 정보를 받아오는 코드까지 총 536바이트의 정보를 넣었다. 이후, 무엇을 실행할지가 담긴 내용의 코드와 소켓으로 서버와 연결하는 코드를 추가로 받아 실행시켰다. 모리스 웜은 최초의 웜으로, 인터넷의 보안 관념을 일깨웠다는 점에서 '위대한 웜'(Great Worms)라고도 불린다.<ref> 유성경, 〈[http://news.grayhash.com/html/category/malware/c16f59d4c0.html 최초의 웜, 모리스 웜]〉, 《그레이뉴스》, 2016-10-07 </ref> 모리스 사건 이후 온라인 보안의 양상이 완전히 바뀌면서 미 정부가 적극적으로 적절한 침해사고의 대응책을 마련하는 계기가 되어서, 미 국방부 고등 연구 계획국(DARPA:The Defense Advanced Research Projects Agency)이 피치버그의 [[카네기 멜론 대학교]] 내의 소프트웨어공학 연구소에 CERT를 설립하게 되었으며 경비원의 역할과 같지만, 범죄자나 의심스러운 사람이 건물에 들어오면 검사하고 범죄자임이 확인되면 체포하는 역할을 하는 것을 시작으로 많은 변화를 준 사건이었다.<ref>〈[https://terms.naver.com/entry.naver?docId=3432061&cid=58437&categoryId=58437 침해 대응]〉, 《네이버 지식백과》</ref>
 +
 
 +
==침해사고대응팀==
 +
[[침해사고대응팀]](computer emergency response team coordination center , 侵害事故對應)은 운영되고 있는 [[전산망]]의 침해사고 대응 활동을 지원, 전산망 운영 기관 등에 대해 통일된 협조 체계를 구축, 국제적 침해사고 대응을 위한 창구를 제공하기 위해 설립된 조직이다.<ref name="침해 사고 대응팀">〈[https://terms.naver.com/entry.naver?docId=865351&cid=50376&categoryId=50376 침해 사고 대응팀]〉, 《네이버 지식백과》</ref> 사전 대응의 기본은 침해 대응 체계를 구축하는 것으로, 제일 먼저 우선되는 사항은 침해사고대응팀을 구성하는 것이다.<ref name="사전 대응">〈[https://terms.naver.com/entry.naver?docId=3432062&cid=58437&categoryId=58437 사전 대응]〉, 《네이버 지식백과》</ref> 침해사고대응팀은 보안 전문가로만 구성되는 것은 아니며 침해사고 발생 시에는 다양한 상황이 발생할 것을 대비해 해당 상황에 유기적으로 대응하는 팀이다.<ref name="사전 대응"></ref>
 +
 
 +
===구성원===
 +
*'''시스템 운영 전문가''' : 침해사고가 발생한 시스템을 효율적으로 복구하기 위해 서비스와 시스템과의 관계를 명확히 이해한 다음 조치하는 전문가이다.
 +
*'''대외 언론 및 외부 기관 대응 전문가''' : 침해사고를 이해한 다음 언론 및 사이버 수사대, 경찰에 적절한 방법으로 대응하는 사람이다.
 +
*'''법률팀''' : 대응 과정에서 법적인 문제가 발생했을 때 이에 대한 판단을 내리고, 침해사고와 관련한 법적인 후속 절차를 밟는 사람이다.
 +
*'''인사팀''' : 조직 내의 각 인원 권리와 책임에 대해 파악한 후 침해사고 대응 과정에서 적절한 조직원을 찾도록 지원하는 사람이다.<ref name="사전 대응"></ref>
 +
 
 +
===상황별 등급===
 +
사고가 발생했을 때 침해사고대응팀이 적절히 대응하기 위해서는 발생할 수 있는 사건의 특성과 종류에 따른 위험 등급이 정해져 있어야 한다. 조직이 영위하는 사업의 특성에 따라 위험 등급이 조금씩 다르다.<ref name="사전 대응"></ref>
 +
 
 +
====1등급====
 +
*분산 서비스 거부 공격을 당하고 있어 정상적인 동작이 불가능한 경우
 +
*침입자에 의해 서버의 중요 파일이 삭제되고 있는 경우
 +
*트로이 목마 등의 악성 프로그램이 실행되어 정상적인 접근 제어를 실시해도 다른 경로를 통해 침입자의 지속적인 공격 시도가 있는 경우
 +
*침입자의 공격에 대한 대응 수단이 없는 기타의 경우
 +
 
 +
;대응 절차
 +
*침해사고 발생 상황이라고 판단되면 시스템 담당자가 침해사고대응팀의 팀장에게 즉시 보고한다.
 +
*단 긴급 상황에서는 피해를 최소화하기 위해 네트워크의 인터페이스 단절, 전원 공급 중단 등의 조치를 먼저 수행할 수 있다.<ref name="사전 대응"></ref>
 +
 
 +
====2등급====
 +
*비인가자에 의해 관리자 명령이 실행되고 있는 경우
 +
*시스템 자원을 불법적으로 사용하는 프로그램이 실행되고 있는 경우
 +
*일반 사용자의 홈 디렉터리에 시스템 파일이 존재하는 경우
 +
*일반적이지 않은 숨김파일 또는 디렉터리가 존재하는 경우
 +
*시스템 담당자가 알지 못하는 사용자가 추가되거나 사용자 권한이 임의로 변경된 경우<ref name="사전 대응"></ref>
 +
 
 +
====3등급====
 +
*외부 또는 내부로부터의 계속적인 취약점 수집(Scanning) 행위가 발견되는 경우
 +
*외부 또는 내부로부터의 계속적인 불법적 접근 시도가 발견되는 경우
 +
*외부 또는 내부로부터의 비정상 패킷의 전송량이 증가하는 경우
 +
*확산 속도가 빠른 바이러스가 외부에서 발생한 경우
 +
 
 +
;대응 절차
 +
* 시스템 담당자가 비인가 접근 시도 및 정보 수집 행위를 발견하면 침해사고대응팀과 함께 해당 단말기 또는 아이피를 조사하여 소속 네트워크 및 조직을 파악한다.
 +
* 내부 시스템에서 침입 시도가 발생한 경우에는 시스템 위치를 확인하여 책임자와 접속 경위 등을 조사한다. 그리고 외부 네트워크로부터 침입 시도가 발생한 경우에는 해당 조직의 시스템 담당자 또는 보안 담당자에게 해당 IP로부터 불법적인 접근 시도가 발생하였음을 통보하고 협조를 구한다.
 +
* 외부 네트워크로부터의 침입 시도에 대한 적절한 조치가 수행되지 않고, 그 위협이 심각한 경우에는 대외 기관(검찰, 경찰, 한국정보보호 진흥원 등)에 조사를 의뢰한다.
 +
* 침입 시도에 대한 대응이 종료된 이후에는 침해사고대응팀의 팀장이 침입 시도 방법, 침입 시도 대응책 등이 포함된 '침입 시도 대응 보고서'를 작성하여 관련 담당자에게 이메일 또는 문서로 공지한다.<ref name="사전 대응"></ref>
 +
 
 +
===상태 점검===
 +
침해 대응 체계가 잘 구축되었는지 확인하려면 다음과 같은 사항을 점검한다.
 +
*조직의 모든 사람들이 보안 정책에 대해 잘 알고 있는가?
 +
*침해사고대응팀의 모든 멤버들은 사고 발생 시에 누구에게 보고해야 하는지 언론 관련 대응에 대해 얼마나 충분히 인지하고 있는가?
 +
*침해사고대응팀의 모든 멤버들은 침해사고 발생하면 처리해야 할 [[기술적 절차]]에 대해 충분히 잘 이해하고 있는가?
 +
*침해사고대응과 관련한 모든 멤버들은 정해진 절차에 따라 주기적으로 훈련을 수행하고 있는가?<ref name="사전 대응"></ref>
 +
 
 +
== 관련 기구 ==
 +
===국가사이버안보센터===
 +
[[국가사이버안보센터]]는 [[국가정보원]]이 [[사이버 테러]]로부터 국가 [[정보통신망]]을 보호하기 위해 2004년 02월에 설립한 기구로 사이버테러 감시, [[예방]], 경고 등을 주임무로 하는 곳이다. 센터는 국가기관의 정보통신망을 직접 모니터링하는 동시에 '인터넷 침해사고 대응지원센터', '국방정보전대응센터', '보안관제센터', '정보공유분석센터(ISAC)', '컴퓨터침해사고대응팀' 등 국내외 사이버 보안 또는 침해사고 대응기구들과 협력해 각종 위협 정보를 종합적으로 분석하고 공격 징후를 탐지해 각급 기관에 안전 대책을 제공한다. 사이버 위협을 5단계로 나눠 경보하며 '정상-관심-주의-경계-심각' 등 각종 바이러스 발견 시 예·경보 발령과 함께 보안 권고문을 작성·배포하고, 피해 발생 시 사고 원인 규명 및 긴급 복구를 지원해 주는 일을 한다.<ref>〈[https://terms.naver.com/entry.naver?docId=66253&cid=43667&categoryId=43667 국가사이버안보센터]〉, 《네이버 지식백과》</ref>
 +
 
 +
===한국정보보호진흥원===
 +
[[한국정보보호진흥원]](KISA)은 당시 [[과학기술정보통신부]]가 건전한 정보통신 질서의 확립 및 정보의 안전한 유통을 위하여 [[정보보호]]에 필요한 정책, 제도 및 기술을 연구 개발함으로써 정보화 촉진에 이바지함을 임무가 필요했다. 그 이유는 정보화가 진전될수록 [[개인정보의 유출]], [[정보통신시스템]]의 오남용 및 인터넷을 통한 타국의 전산망 해킹 등 새로운 개념의 사회적 문제가 대두됨에 따라, 국가적 차원에서의 종합 대책을 시급히 마련하고 정보보호 업무를 종합적·체계적으로 추진하기 위해 설립된 현 과학기술정보통신부 산하기구이다. 정보보호 정책 연구, 암호기술 개발, 시스템·네트워크 보호 기술 개발, 정보보호 기술 표준화, 전자서명 인증관리체계 기반 강화 등의 업무를 한다. 또한 해킹·바이러스에 의한 침해사고에 대응하기 위해 '해킹·바이러스 예·경보'를 발령하였고 해킹·바이러스에 대한 상담 신고를 전용전화, 이메일, 홈페이지 등을 통하여 접수·처리하는 'CYBER 118'을 운영했다. 2002년 3월에는 국내 대표 침해사고대응팀인 한국침해사고대응팀을 신설해 해킹·바이러스 사고 처리 및 피해 복구를 지원하는 업무를 하는 곳이며 인터넷 침해대응, 개인정보보호, 인터넷 윤리 및 문화운동, 방송통신 국제협력도 하는 기구이다.<ref name="한국정보보호진흥원">〈[https://terms.naver.com/entry.naver?docId=73938&cid=43667&categoryId=43667 한국정보보호진흥원]〉, 《네이버 지식백과》</ref> 매년 국내의 중·고·대학생 및 일반인을 대상으로 해킹방어대회를 개최하고 있다. 주로 보안 취약점을 찾아 해결하는 문제가 출제된다. 하지만 2008년도부터 CTF(Capture The Flag) 대회 방식의 도입으로 방어 능력뿐만 아니라 공격 능력도 함께 평가하고 있다.<ref>〈[https://ko.wikipedia.org/wiki/KISA_%ED%95%B4%ED%82%B9%EB%B0%A9%EC%96%B4%EB%8C%80%ED%9A%8C KISA 해킹방어대회]〉, 《위키백과》</ref>
 +
 
 +
===인터넷침해사고대응지원센터===
 +
[[인터넷침해사고대응지원센터]](KrCERT/CC)는 한국정보보호진흥원 산하의 한국인터넷진흥원 내의 침해사고 및 사이버 테러 대응팀으로써, 국내에서 운영되고 있는 전산망의 침해사고 대응 활동을 지원하고, 전산망 운용기관 등에 대해 통일된 협조 체제를 구축하여 국제적 침해사고 대응을 위한 단일 창구를 제공하기 위하여 설립된 곳이다. 구체적으로, 침해사고 예방을 위한 기술 지원을 한다. 또한 실질적인 침해사고를 대응하고 분석한다, 피해 복구 기술 지원도 같이 하는 곳이다. 침해사고 대응을 위한 단일 창구를 운영하며, 그 밖의 침해사고 예방 활동 등 여려가지 분야도 도와준다. 인터넷침해사고대응지원센터는 인터넷 침해사고 조기 탐지, 분석, 경보를 통해 피해 확산 방지와 상시적인 정보 공유 및 신속한 공동대응체계 운영을 통해 [[정보통신망]]의 신뢰성 확보를 위한 일을 맡는 곳이다. 국내외 정보를 실시간으로 수집 및 탐지하고, 365일 네트워크 모니터링을 담당한다. 또한 해킹·바이러스 경보를 발령하고 침해사고 예방을 위한 기술을 지원한다. 전산망 보안 기술 지침 개발 및 보급, 기술 세미나 지원 등을 맡아서 하고 있다. 인터넷침해사고대응지원센터는 국제침해사고대응팀협의회 등의 국제기구에 참여하기도 하고, 한국침해사고대응협의회(CONCERT) 운영을 통해서 국내외의 전문기관과 정보 교류와 협력체계를 구축하고 주로 FIRST 활동 참여, FIRST 제공 정보의 공유, 사고 통계 및 분석 결과 배포, 국내 유관 기관 협력 다방면으로 협력하고 있는 곳이다.<ref name="인터넷침해사고대응지원센터">〈[https://ko.wikipedia.org/wiki/%EC%9D%B8%ED%84%B0%EB%84%B7%EC%B9%A8%ED%95%B4%EC%82%AC%EA%B3%A0%EB%8C%80%EC%9D%91%EC%A7%80%EC%9B%90%EC%84%BC%ED%84%B0 인터넷침해사고대응지원센터]〉, 《위키백과》</ref> 또한 침해사고 관련 보안 공지를 제공하는 정보보호알림이 서비스를 제공하고 있다. 인터넷침해사고대응센터가 이동통신사에 사이버 위협 정보와 대응 방안 등 보안 공지 내용을 제공하고, 이동통신사는 정보 보호 알림이 서비스 가입 고객을 대상으로 이 보안 공지를 SMS로 발송하는 형태로 알림을 전송한다.<ref>〈[https://terms.naver.com/entry.naver?docId=303085&cid=50374&categoryId=50374 정보 보호 알림이]〉, 《네이버 지식백과》</ref>
 +
 
 +
===국제침해사고대응협의체===
 +
[[국제침해사고대응협의체]](FIRST)는 전 세계 각국의 사이버테러에 의한 침해사고대응팀의 협의체로 사이버 공격 동향 및 기술정보를 교류하는 기구로 활동하는 곳이다. 이 기구는 1990년에 설립된 이래 인터넷침해사고대응지원센터와 다국적 기업이 회원으로 참가하고 있으며 주로 기술 정보 교류와 [[사이버 공격]] 동향 파악을 주요 업무로 하고 있다.<ref>〈[https://terms.naver.com/entry.naver?docId=74540&cid=43667&categoryId=43667 FIRST(국제침해사고대응협의체)]〉, 《네이버 지식백과》</ref>
 +
 
 +
===글로벌사이버보안협력네트워크===
 +
[[글로벌사이버보안협력네트워크]](CAMP)는 개발도상국 34곳이 참여하는 정보보안 협력체이며 2016년 7월 11일 대한민국 주도로 출범했다. 글로벌 사이버 보안 협력 네트워크는 고도화·지능화하는 사이버 위협에 국제사회가 공동 대응해 보다 안전한 사이버 세상을 구현하기 위해 구성됐다. 7월 11일 열린 출범식에는 서아프리카 경제연합(ECOWAS), 중남미 ICT교육센터(CEABAD)를 비롯해 브라질 베트남 세네갈 우즈베키스탄 등 35개국 47개 부처·기관이 참여했다. 매년 총회를 열고 회원국 상호 간 사이버 보안 역량 강화 방안 등을 논의하며, 현재도 활동하고 있는 중이다. 한국정보보호진흥원은 국제 사이버 위협 정보를 공유하고, 정보보호 정책 및 기술 가이드라인을 마련하기 위해 회원국 간 실질적인 협력 활동을 기획하고 추진할 예정이며, 한국정보보호진흥원은 이를 통해 웹페이지 [[악성코드]] 탐지·차단 기술, 사이버 침해사고 간 연관성 분석 기술 등 정보보호 기술을 개도국에 전수하는 일을 하고 있다.<ref>〈[https://terms.naver.com/entry.naver?docId=3404705&cid=42107&categoryId=42107 글로벌 사이버보안 협력 네트워크]〉, 《네이버 지식백과》</ref>
 +
 
 +
== 예방책 ==
 +
===정보보호의 날===
 +
정부 부처에서 공동으로 사이버 공격을 예방하고 국민들의 정보보호를 생활화하기 위해 제정한 날이며, 매년 7월 둘째 수요일이다. 공공기관에 집중되는 인터넷 침해사고가 빈번하게 발생하는 추세에 따라, 정부에서 정보보호의 중요성에 대한 국민들의 의식 제고 및 정보통신기술(ICT) 관련 종사자들의 자긍심 고취를 위해, 2012년부터 매년 7월을 '정보보호의 달'로 지정하고 7월 둘째 수요일을 '정보보호의 날'로 기념하기로 하였다. 이는 2009년 7월 해커에 의해 감염된 좀비 PC 11만 대가 정부기관을 비롯한 22개 인터넷 사이트를 공격해 전산망이 마비되었던 '7.7 DDoS 공격'에 대한 경각심을 일깨우자는 의미에서 7월로 선정된 것이다. 특히 기념행사로 '국제 정보보호 콘퍼런스'를 개최하여, 국가 안전을 위협하는 사이버 침해행위에 대한 대응방안을 모색하는 일도 보여주는 것이다.<ref>〈[https://terms.naver.com/entry.naver?docId=1965539&cid=43667&categoryId=43667 정보보호의 날]〉, 《네이버 지식백과》</ref>
 +
 
 +
===보안 정보와 이벤트 관리===
 +
보안 정보와 이벤트 관리(Security Information & Event Management)는 다양한 보안 장비와 서버, 네트워크 장비 등으로부터 보안 로그와 이벤트 정보를 수집한 후 정보들 간의 연관성을 분석하여 위협 상황을 인지하고, 침해사고에 신속하게 대응하는 보안 관제 설루션(solution)을 가리키며 정보통신(IT)과 보안 환경이 복잡해지면서 보안 정보와 이벤트 관리(SIEM) 설루션은 보안 인프라에서 필수 요소로 떠오르면서 예방 대응하면서 로그 관리를 통합적으로 수행하며 네트워크 포렌식(forensic)과 보안 관련 준수성(compliance) 역할을 담당하는 용어이다.<ref>〈[https://terms.naver.com/entry.naver?docId=5911952&cid=42346&categoryId=42346 보안 정보와 이벤트 관리]〉, 《네이버 지식백과》</ref>
 +
 
 +
==관련 용어==
 +
*'''개인정보보호전문가''' : 개인정보의 안전한 활용 및 이용자의 사생활 보호를 위해서 개인정보의 관리, 감독, 모니터링, 자문 등을 맡아서 하는 사람이다. 수행직무는 주로, 개인정보보호 규정, 지침 등을 수립한다. 개인정보보호정책 준수에 필요한 시스템의 구축 및 업그레이드 계획을 수립한다. [[개인정보보호]] 요구사항에 따라 개인정보보호 목표를 정하고 필요한 인력 및 예산계획을 수립하고, 계획에 따라 개인정보보호정책 준수에 대한 이행 여부를 점검하고 결과에 대한 보고서를 작성한다. 개인정보 유출 또는 침해사고가 발생할 경우 원인을 분석하고 대책방안을 수립한다. 또한 개인정보보호정책에 대한 교육을 실시한다. 개인정보보호 영향평가와 [[관리체계 인증]]에 대하여 대응하는 역할을 한다.<ref>〈[https://terms.naver.com/entry.naver?docId=1028668&cid=42117&categoryId=42117 개인정보보호전문가]〉, 《네이버 지식백과》</ref>
 +
*'''사이버 보안 정보'''(Cybersecurity Information) : 사이버 보안과 관련한 장치, 소프트웨어 등의 상태(취약성), 침해사고와 연관된 포렌식, 침해사고 경험으로부터 얻은 학습 데이터, 정보 교환 주체, 정보 교환 규격, 관련 주체 및 정보 아이덴티티, 구현 요구 사항 등을 포함하는 구조화된 정보를 나타낸 것이다.<ref>〈[https://terms.naver.com/entry.naver?docId=6210354&cid=42346&categoryId=42346 사이버 보안 정보]〉, 《네이버 지식백과》</ref>
 +
 
 +
{{각주}}
 +
 
 +
==참고자료==
 +
* 〈[https://ko.wikipedia.org/wiki/%EC%A0%95%EB%B3%B4%ED%86%B5%EC%8B%A0%EB%A7%9D_%EC%9D%B4%EC%9A%A9%EC%B4%89%EC%A7%84_%EB%B0%8F_%EC%A0%95%EB%B3%B4%EB%B3%B4%ED%98%B8_%EB%93%B1%EC%97%90_%EA%B4%80%ED%95%9C_%EB%B2%95%EB%A5%A0 정보통신망 이용촉진 및 정보보호 등에 관한 법률]〉, 《위키백과》
 +
* 〈[https://terms.naver.com/entry.naver?docId=3432063&cid=58437&categoryId=58437 사고 탐지]〉, 《네이버 지식백과》
 +
* 〈[https://terms.naver.com/entry.naver?docId=865351&cid=50376&categoryId=50376 침해 사고 대응팀]〉, 《네이버 지식백과》
 +
* 〈[https://terms.naver.com/entry.naver?docId=3432064&cid=58437&categoryId=58437 대응]〉, 《네이버 지식백과》
 +
* 〈[https://terms.naver.com/entry.naver?docId=3432062&cid=58437&categoryId=58437 사전 대응]〉, 《네이버 지식백과》
 +
* 〈[https://ko.wikipedia.org/wiki/%EC%9D%B8%ED%84%B0%EB%84%B7%EC%B9%A8%ED%95%B4%EC%82%AC%EA%B3%A0%EB%8C%80%EC%9D%91%EC%A7%80%EC%9B%90%EC%84%BC%ED%84%B0 인터넷침해사고대응지원센터]〉, 《위키백과》
 +
* 〈[https://terms.naver.com/entry.naver?docId=73938&cid=43667&categoryId=43667 한국정보보호진흥원]〉, 《네이버 지식백과》
 +
* 〈[https://terms.naver.com/entry.naver?docId=74540&cid=43667&categoryId=43667 FIRST(국제침해사고대응협의체)]〉, 《네이버 지식백과》
 +
* 〈[https://terms.naver.com/entry.naver?docId=3432061&cid=58437&categoryId=58437 침해 대응]〉, 《네이버 지식백과》
 +
* 〈[https://ko.wikipedia.org/wiki/KISA_%ED%95%B4%ED%82%B9%EB%B0%A9%EC%96%B4%EB%8C%80%ED%9A%8C KISA 해킹방어대회]〉, 《위키백과》
 +
* 〈[https://terms.naver.com/entry.naver?docId=3404705&cid=42107&categoryId=42107 글로벌 사이버보안 협력 네트워크]〉, 《네이버 지식백과》
 +
* 〈[https://terms.naver.com/entry.naver?docId=66253&cid=43667&categoryId=43667 국가사이버안보센터]〉, 《네이버 지식백과》
 +
* 〈[https://terms.naver.com/entry.naver?docId=1028668&cid=42117&categoryId=42117 개인정보보호전문가]〉, 《네이버 지식백과》
 +
* 〈[https://terms.naver.com/entry.naver?docId=6210354&cid=42346&categoryId=42346 사이버 보안 정보]〉, 《네이버 지식백과》
 +
* 〈[https://terms.naver.com/entry.naver?docId=303085&cid=50374&categoryId=50374 정보 보호 알림이]〉, 《네이버 지식백과》
 +
* 〈[https://terms.naver.com/entry.naver?docId=1965539&cid=43667&categoryId=43667 정보보호의 날]〉, 《네이버 지식백과》
 +
* 〈[https://terms.naver.com/entry.naver?docId=1216880&cid=40942&categoryId=31712 정보통신기반보호법]〉, 《네이버 지식백과》
 +
* 〈[https://terms.naver.com/entry.naver?docId=5911952&cid=42346&categoryId=42346 보안 정보와 이벤트 관리]〉, 《네이버 지식백과》
 +
* 유성경, 〈[http://news.grayhash.com/html/category/malware/c16f59d4c0.html 최초의 웜, 모리스 웜]〉, 《그레이뉴스》, 2016-10-07
 +
 
 +
==같이 보기==
 +
{{다단3|
 +
* [[트로이잔]]
 +
* [[사전식 브루트 포스]]
 +
* [[아이피 스누핑]]
 +
* [[아이피 어드레스]]
 +
* [[티시피 아이피]]
 +
* [[3 웨이 핸드쉐이킹]]
 +
* [[SYN]]
 +
* [[ACK]]
 +
|
 +
* [[논리 폭탄]]
 +
* [[메일 폭탄]]
 +
* [[서비스 거부]]
 +
* [[고출력 전자기파]]
 +
* [[네트워크 케이블]]
 +
* [[변경]]
 +
* [[전산망]]
 +
* [[네트워크 트래픽 모니터링 장비]]
 +
* [[계정]]
 +
* [[네트워크 인터페이스]]
 +
* [[조기 탐지]]
 +
* [[경보]]
 +
|
 +
* [[정보통신망]]
 +
* [[네트워크 모니터링]]
 +
* [[사이버 공격]]
 +
* [[포렌식]]
 +
* [[모리스 사건]]
 +
* [[사이버 테러]]
 +
* [[예방]]
 +
* [[사이버 위협]]
 +
* [[관리체계 인증]]
 +
}}
 +
 
 +
{{보안|검토 필요}}

2021년 8월 10일 (화) 18:49 기준 최신판

침해사고(infringement accident, 侵害事故)란 모든 사이버 공격 행위나 그 결과에 따라 생긴 여러 가지 해킹, 컴퓨터 바이러스, 논리 폭탄, 메일 폭탄, 서비스 거부 또는 고출력 전자기파들로 정보통신망 또는 이와 관련한 정보 시스템이 공격을 당하여 생긴 문제이다.

종류[편집]

  • 무차별 대입 공격(brute-force attack) : 컴퓨터 사용자의 아이디와 비밀번호를 계속해서 시행 착오를 거치면서 추측에 의해 알아내는 방법이다. 미리 사람들이 자주 비밀번호로 사용하는 여러 가지 단어들을 저장하고 있다가 이를 순차적으로 대입하고 실패하여 접속이 끊어져도 다시 접속하여 계속 패스워드를 대입시키는 사전식 브루트 포스(brute force), 전수조사로 불리는 존재하는 모든 조건을 대입하는 브루트 포스(brute force) 등의 해킹 프로그램을 사용하는 방법이다.
  • 아이피 스푸핑(IP Snooping) : 아이피 주소(IP Address)를 속여서 공격하는 방법이다. 송수신자 간의 프로토콜인 TCP/IP 접속 시 일어나는 쓰리 웨이 핸드쉐이킹(3-way handshaking)에 필요한 SYN/ [ACK]]를 이용하여 중간에서 불법 접속을 만든다.
  • 세션하이재킹(Session Hijacking) : TCP 세션의 시퀀스 번호를 이용하여 정당한 사용자의 세션을 가로채는 공격 방식을 말한다. 대부분은 본 아이피 서버에 대해 SYN 플러딩 공격 수반이다.[1]
  • 패킷 스니핑(Packet Sniffing) : 네트워크 상에 돌아다니는 패킷을 훔쳐보는 방법으로 어떤 사람이 정보통신망에 접속하기 위해 아이디와 비밀번호를 입력할 때 이를 도청하는 프로그램을 사용하여 아이디와 비밀번호를 알아내는 방법이다.
  • 패스워드 크래킹(Password Cracking) : 타인의 아이디와 비밀번호를 통해 알아낸 경우 또는 정당하게 가입해서 자신의 아이디와 비밀번호를 부여받아 어떤 네트워크에 들어간 경우 그 네트워크를 이용하는 다른 사용자들의 아이디와 비밀번호를 얻어내는 방법을 가리키는 것이다.[1]

대응[편집]

침해사고 대응은 사고가 일어남을 인지했을 당시 이루어지는 초동 조치를 말한다. 중소기업의 경우, 대부분 웹의 취약점으로 일어나며 어느 정도 웹 해킹에 대한 방어가 갖추어져 있는 대기업들은 지능형 지속 공격(advanced persistent threat, APT)이 대부분 주류를 이룬다. 침해사고가 발생했다고 의심되는 PC에서는 탐지, 확정 및 채증, 추적이라는 과정을 통해 대응이 이뤄진다.[2] 단기 대응은 기본적 손상을 최소화하기 위한 단계이다. 침해사고가 발생한 시스템이나 네트워크를 식별하고 통제될 수 있는 경우에는 해당 시스템이나 네트워크의 연결을 해제하거나 차단한다. 추가 사고가 발생하는 경우에는 이 과정을 반복해야 한다. 단기 대응의 수단으로는 네트워크 케이블을 뽑는 등의 물리적인 대응을 포함하여 방화벽 설정 변경 및 침해사고 룰 업데이트, 백신 업데이트, 시스템 종료(system down) 등이 있다.[3]

탐지

실제로 어떤 운영상의 문제가 사건 발생 시 해당 건이 운영상의 오류와 같은 일반적인 문제인지 침해사고 발생 상태인지 확인하는 단계이다.[4] 침해사고로 확인 시 로그 파일, 오류 메시지 등을 확보 방화벽, 침입 탐지 시스템 등을 통해 특정한 절차를 수행해야 한다. 또한 내부적인 보고 체계에 따라 책임자에게 보고하고, 언론에 적절한 대응이 필요한 경우 대응책을 마련하도록 한다.[4]

백업 및 증거 확보

후속 처리를 위해 침해사고 발생 시스템을 초기화하기 전에 백업하고, 포렌식 절차에 따라 시스템의 이미지를 획득하는 과정이다. 포렌식을 통해서 증거를 획득하고, 이 증거가 법적인 효력을 갖기 위해서는 증거 획득과 처리 과정이 적법한 절차를 걸쳐 이뤄져야 하므로 복잡한 과정이다.[3]

시스템 복구

시스템에 백도어 등의 악성코드를 제거하고, 시스템 계정패스워드를 재설정하고 보안 패치 적용 뒤, 다시 서비스가 가능하도록 네트워크에 연결하는 과정이다.[3]

식별 사항

실시간으로 식별하는 과정은 주로 침입 탐지 시스템(IDS)이나 침입 방지 시스템(IPS), 네트워크 트래픽 모니터링 장비(MRTG:Multirouter Traffic Grapher), 네트워크 관리 시스템(NMS:Network Management System)으로 이루어진다.[4]

  • 침해사고 발생 시점(언제)
  • 누가 침해사고를 발견, 보고(누가)
  • 침해사고는 어떻게 발견(어떻게)
  • 침해사고의 발생 범위와 다른 곳에 손상이 발생한 사항(범위와 다른 특이사항)
  • 기업 서비스 능력 손상여부(서비스 능력)
  • 공격자(규모와 능력)[4]

사례[편집]

1988년 11월 22일 저녁, 미국 전역의 컴퓨터가 모리스 웜(Morris worm)에 의해 멎어버린 적이 있었다. 모리스 웜은 로버트 모리스(Robert Morris)가 인터넷의 크기를 알아내려는 의도로 만든 프로그램이다. 이는 최초의 웜으로, 네트워크에 풀어 놓자마자 인터넷을 통해 빠르게 퍼지면서 대량의 유닉스를 감염시키고 네트워크를 마비시켰다. 당시 총 피해액은 1,000만 달러에 달했으며 웜은 걷잡을 수 없이 퍼져 나가, 인터넷을 접속하고 있던 유닉스 시스템 약 6,000대를 감염시켰다. 이는 당시 전 세계에 있는 모든 유닉스 컴퓨터 중 10%에 해당하는 규모였다. 모리스는 순수한 의도로 네트워크에 연결된 컴퓨터가 어느 정도인지 알고 싶은 마음으로 모리스 웜을 만들어 네트워크에 풀었다. 모리스 웜은 유닉스에서만 작동되었는데 그 이유는 유닉스에 있는 취약점을 이용했기 때문이다. 모리스 웜은 감염시킬 컴퓨터에 먼저 일부 코드를 가져와 실행시켰고 이 코드를 통해 나머지 코드를 가져와 컴파일하였다. 모리스 웜이 실행되면 모리스 웜은 서버에 자신이 인터넷에 연결되었다는 사실을 알리고 일정 시간마다 이름도 바꿔가며 네트워크의 다른 컴퓨터도 감염시켰다. 특히나, 컴퓨터를 세는 일인만큼 중복되는 것을 막고자 모리스 웜은 컴퓨터에 들어오면 또 다른 모리스 웜이 실행되고 있는지를 사용자에게 물었고 'yes'라고 누르면 건너뛰게 했다. 하지만 모리스는 사용자가 그냥 'yes'를 누를 수 있는 경우를 생각하고 1/7 확률로 무조건 모리스 웜에 감염되게 하였다. 문제는 1/7 확률이 너무 커서 모리스 웜은 네트워크로 순식간에 퍼져 나갔고 같은 컴퓨터에도 여러 모리스 웜이 상주했다. 이 때문에 모리스 웜은 컴퓨터 자원을 너무 많이 사용하면서 컴퓨터에 무리를 주고 네트워크를 마비시켰다. 뭔가 잘못되어 가는 것을 느낀 모리스는 하버드 대학교에 다니는 친구에게 연락하여 모리스 웜이 퍼지는 것을 막기 위해 이 웜 바이러스에 대한 경고와 치료 방법을 적은 익명의 메시지를 보냈지만 이미 차단된 게이트웨이 때문에 이 메시지는 전달되지 않았다. 그 사이 전 세계 유닉스 시스템 관리자들은 이런 사태의 문제점을 감지하기 시작했고 그 중 나사에 근무하던 한 직원이 이 웜 프로그램을 분석하여 텔넷, ftp, 핑거, rsh, SMTP 등 네트워크로 연결되는 통로를 막으라는 임시방편의 메시지를 보냈다. 매사추세츠 공과대학교, UC 버클리가 이 프로그램을 이틀 동안 꼬박 분석하여 사건 발생 후 며칠 만에 복구할 수 있었다.

모리스 웜은 'sendmail', 'finger', 'RSH/rexec'(remote execute) 이 세 가지의 유닉스 취약점을 통해 실행되었고 유닉스에서만 작동하였다. 또한, 무단으로 사용자 계정에 접근하여 연산 자원 시스템을 제어하기 위해 패스워드를 풀어내는 코드가 발견되기도 했다. 모리스 웜에서 사용된 Fingerd 또는 Finger demon 프로그램은 클라이언트와 서로 연결하는 서버 프로그램으로 원격 호스트에 있는 사용자 정보를 검색할 수 있는 프로토콜이다. 초기에는 많이 사용되었지만 악용되는 사례가 많아져 점차 사라지고 지금은 사용되지 않는 기능이다. Fingerd는 서버에 있는 512바이트의 버퍼에서 get()으로 사용자의 정보를 읽고 가져온다. 그러나 512바이트를 넘기는 사용자의 정보를 요구할 때 512바이트의 버퍼 크기를 넘어가 임의의 정보를 기록할 수 있다. 즉, 버퍼오버플로우 취약점을 통해 임의의 코드를 실행시킨 것이다. 모리스 웜은 먼저 512바이트에는 아무것도 없는 내용을 넣었고 24바이트에는 되돌아오는 주소 정보와 무엇을 실행하는지에 대한 정보를 받아오는 코드까지 총 536바이트의 정보를 넣었다. 이후, 무엇을 실행할지가 담긴 내용의 코드와 소켓으로 서버와 연결하는 코드를 추가로 받아 실행시켰다. 모리스 웜은 최초의 웜으로, 인터넷의 보안 관념을 일깨웠다는 점에서 '위대한 웜'(Great Worms)라고도 불린다.[5] 모리스 사건 이후 온라인 보안의 양상이 완전히 바뀌면서 미 정부가 적극적으로 적절한 침해사고의 대응책을 마련하는 계기가 되어서, 미 국방부 고등 연구 계획국(DARPA:The Defense Advanced Research Projects Agency)이 피치버그의 카네기 멜론 대학교 내의 소프트웨어공학 연구소에 CERT를 설립하게 되었으며 경비원의 역할과 같지만, 범죄자나 의심스러운 사람이 건물에 들어오면 검사하고 범죄자임이 확인되면 체포하는 역할을 하는 것을 시작으로 많은 변화를 준 사건이었다.[6]

침해사고대응팀[편집]

침해사고대응팀(computer emergency response team coordination center , 侵害事故對應)은 운영되고 있는 전산망의 침해사고 대응 활동을 지원, 전산망 운영 기관 등에 대해 통일된 협조 체계를 구축, 국제적 침해사고 대응을 위한 창구를 제공하기 위해 설립된 조직이다.[7] 사전 대응의 기본은 침해 대응 체계를 구축하는 것으로, 제일 먼저 우선되는 사항은 침해사고대응팀을 구성하는 것이다.[8] 침해사고대응팀은 보안 전문가로만 구성되는 것은 아니며 침해사고 발생 시에는 다양한 상황이 발생할 것을 대비해 해당 상황에 유기적으로 대응하는 팀이다.[8]

구성원[편집]

  • 시스템 운영 전문가 : 침해사고가 발생한 시스템을 효율적으로 복구하기 위해 서비스와 시스템과의 관계를 명확히 이해한 다음 조치하는 전문가이다.
  • 대외 언론 및 외부 기관 대응 전문가 : 침해사고를 이해한 다음 언론 및 사이버 수사대, 경찰에 적절한 방법으로 대응하는 사람이다.
  • 법률팀 : 대응 과정에서 법적인 문제가 발생했을 때 이에 대한 판단을 내리고, 침해사고와 관련한 법적인 후속 절차를 밟는 사람이다.
  • 인사팀 : 조직 내의 각 인원 권리와 책임에 대해 파악한 후 침해사고 대응 과정에서 적절한 조직원을 찾도록 지원하는 사람이다.[8]

상황별 등급[편집]

사고가 발생했을 때 침해사고대응팀이 적절히 대응하기 위해서는 발생할 수 있는 사건의 특성과 종류에 따른 위험 등급이 정해져 있어야 한다. 조직이 영위하는 사업의 특성에 따라 위험 등급이 조금씩 다르다.[8]

1등급[편집]

  • 분산 서비스 거부 공격을 당하고 있어 정상적인 동작이 불가능한 경우
  • 침입자에 의해 서버의 중요 파일이 삭제되고 있는 경우
  • 트로이 목마 등의 악성 프로그램이 실행되어 정상적인 접근 제어를 실시해도 다른 경로를 통해 침입자의 지속적인 공격 시도가 있는 경우
  • 침입자의 공격에 대한 대응 수단이 없는 기타의 경우
대응 절차
  • 침해사고 발생 상황이라고 판단되면 시스템 담당자가 침해사고대응팀의 팀장에게 즉시 보고한다.
  • 단 긴급 상황에서는 피해를 최소화하기 위해 네트워크의 인터페이스 단절, 전원 공급 중단 등의 조치를 먼저 수행할 수 있다.[8]

2등급[편집]

  • 비인가자에 의해 관리자 명령이 실행되고 있는 경우
  • 시스템 자원을 불법적으로 사용하는 프로그램이 실행되고 있는 경우
  • 일반 사용자의 홈 디렉터리에 시스템 파일이 존재하는 경우
  • 일반적이지 않은 숨김파일 또는 디렉터리가 존재하는 경우
  • 시스템 담당자가 알지 못하는 사용자가 추가되거나 사용자 권한이 임의로 변경된 경우[8]

3등급[편집]

  • 외부 또는 내부로부터의 계속적인 취약점 수집(Scanning) 행위가 발견되는 경우
  • 외부 또는 내부로부터의 계속적인 불법적 접근 시도가 발견되는 경우
  • 외부 또는 내부로부터의 비정상 패킷의 전송량이 증가하는 경우
  • 확산 속도가 빠른 바이러스가 외부에서 발생한 경우
대응 절차
  • 시스템 담당자가 비인가 접근 시도 및 정보 수집 행위를 발견하면 침해사고대응팀과 함께 해당 단말기 또는 아이피를 조사하여 소속 네트워크 및 조직을 파악한다.
  • 내부 시스템에서 침입 시도가 발생한 경우에는 시스템 위치를 확인하여 책임자와 접속 경위 등을 조사한다. 그리고 외부 네트워크로부터 침입 시도가 발생한 경우에는 해당 조직의 시스템 담당자 또는 보안 담당자에게 해당 IP로부터 불법적인 접근 시도가 발생하였음을 통보하고 협조를 구한다.
  • 외부 네트워크로부터의 침입 시도에 대한 적절한 조치가 수행되지 않고, 그 위협이 심각한 경우에는 대외 기관(검찰, 경찰, 한국정보보호 진흥원 등)에 조사를 의뢰한다.
  • 침입 시도에 대한 대응이 종료된 이후에는 침해사고대응팀의 팀장이 침입 시도 방법, 침입 시도 대응책 등이 포함된 '침입 시도 대응 보고서'를 작성하여 관련 담당자에게 이메일 또는 문서로 공지한다.[8]

상태 점검[편집]

침해 대응 체계가 잘 구축되었는지 확인하려면 다음과 같은 사항을 점검한다.

  • 조직의 모든 사람들이 보안 정책에 대해 잘 알고 있는가?
  • 침해사고대응팀의 모든 멤버들은 사고 발생 시에 누구에게 보고해야 하는지 언론 관련 대응에 대해 얼마나 충분히 인지하고 있는가?
  • 침해사고대응팀의 모든 멤버들은 침해사고 발생하면 처리해야 할 기술적 절차에 대해 충분히 잘 이해하고 있는가?
  • 침해사고대응과 관련한 모든 멤버들은 정해진 절차에 따라 주기적으로 훈련을 수행하고 있는가?[8]

관련 기구[편집]

국가사이버안보센터[편집]

국가사이버안보센터국가정보원사이버 테러로부터 국가 정보통신망을 보호하기 위해 2004년 02월에 설립한 기구로 사이버테러 감시, 예방, 경고 등을 주임무로 하는 곳이다. 센터는 국가기관의 정보통신망을 직접 모니터링하는 동시에 '인터넷 침해사고 대응지원센터', '국방정보전대응센터', '보안관제센터', '정보공유분석센터(ISAC)', '컴퓨터침해사고대응팀' 등 국내외 사이버 보안 또는 침해사고 대응기구들과 협력해 각종 위협 정보를 종합적으로 분석하고 공격 징후를 탐지해 각급 기관에 안전 대책을 제공한다. 사이버 위협을 5단계로 나눠 경보하며 '정상-관심-주의-경계-심각' 등 각종 바이러스 발견 시 예·경보 발령과 함께 보안 권고문을 작성·배포하고, 피해 발생 시 사고 원인 규명 및 긴급 복구를 지원해 주는 일을 한다.[9]

한국정보보호진흥원[편집]

한국정보보호진흥원(KISA)은 당시 과학기술정보통신부가 건전한 정보통신 질서의 확립 및 정보의 안전한 유통을 위하여 정보보호에 필요한 정책, 제도 및 기술을 연구 개발함으로써 정보화 촉진에 이바지함을 임무가 필요했다. 그 이유는 정보화가 진전될수록 개인정보의 유출, 정보통신시스템의 오남용 및 인터넷을 통한 타국의 전산망 해킹 등 새로운 개념의 사회적 문제가 대두됨에 따라, 국가적 차원에서의 종합 대책을 시급히 마련하고 정보보호 업무를 종합적·체계적으로 추진하기 위해 설립된 현 과학기술정보통신부 산하기구이다. 정보보호 정책 연구, 암호기술 개발, 시스템·네트워크 보호 기술 개발, 정보보호 기술 표준화, 전자서명 인증관리체계 기반 강화 등의 업무를 한다. 또한 해킹·바이러스에 의한 침해사고에 대응하기 위해 '해킹·바이러스 예·경보'를 발령하였고 해킹·바이러스에 대한 상담 신고를 전용전화, 이메일, 홈페이지 등을 통하여 접수·처리하는 'CYBER 118'을 운영했다. 2002년 3월에는 국내 대표 침해사고대응팀인 한국침해사고대응팀을 신설해 해킹·바이러스 사고 처리 및 피해 복구를 지원하는 업무를 하는 곳이며 인터넷 침해대응, 개인정보보호, 인터넷 윤리 및 문화운동, 방송통신 국제협력도 하는 기구이다.[10] 매년 국내의 중·고·대학생 및 일반인을 대상으로 해킹방어대회를 개최하고 있다. 주로 보안 취약점을 찾아 해결하는 문제가 출제된다. 하지만 2008년도부터 CTF(Capture The Flag) 대회 방식의 도입으로 방어 능력뿐만 아니라 공격 능력도 함께 평가하고 있다.[11]

인터넷침해사고대응지원센터[편집]

인터넷침해사고대응지원센터(KrCERT/CC)는 한국정보보호진흥원 산하의 한국인터넷진흥원 내의 침해사고 및 사이버 테러 대응팀으로써, 국내에서 운영되고 있는 전산망의 침해사고 대응 활동을 지원하고, 전산망 운용기관 등에 대해 통일된 협조 체제를 구축하여 국제적 침해사고 대응을 위한 단일 창구를 제공하기 위하여 설립된 곳이다. 구체적으로, 침해사고 예방을 위한 기술 지원을 한다. 또한 실질적인 침해사고를 대응하고 분석한다, 피해 복구 기술 지원도 같이 하는 곳이다. 침해사고 대응을 위한 단일 창구를 운영하며, 그 밖의 침해사고 예방 활동 등 여려가지 분야도 도와준다. 인터넷침해사고대응지원센터는 인터넷 침해사고 조기 탐지, 분석, 경보를 통해 피해 확산 방지와 상시적인 정보 공유 및 신속한 공동대응체계 운영을 통해 정보통신망의 신뢰성 확보를 위한 일을 맡는 곳이다. 국내외 정보를 실시간으로 수집 및 탐지하고, 365일 네트워크 모니터링을 담당한다. 또한 해킹·바이러스 경보를 발령하고 침해사고 예방을 위한 기술을 지원한다. 전산망 보안 기술 지침 개발 및 보급, 기술 세미나 지원 등을 맡아서 하고 있다. 인터넷침해사고대응지원센터는 국제침해사고대응팀협의회 등의 국제기구에 참여하기도 하고, 한국침해사고대응협의회(CONCERT) 운영을 통해서 국내외의 전문기관과 정보 교류와 협력체계를 구축하고 주로 FIRST 활동 참여, FIRST 제공 정보의 공유, 사고 통계 및 분석 결과 배포, 국내 유관 기관 협력 다방면으로 협력하고 있는 곳이다.[12] 또한 침해사고 관련 보안 공지를 제공하는 정보보호알림이 서비스를 제공하고 있다. 인터넷침해사고대응센터가 이동통신사에 사이버 위협 정보와 대응 방안 등 보안 공지 내용을 제공하고, 이동통신사는 정보 보호 알림이 서비스 가입 고객을 대상으로 이 보안 공지를 SMS로 발송하는 형태로 알림을 전송한다.[13]

국제침해사고대응협의체[편집]

국제침해사고대응협의체(FIRST)는 전 세계 각국의 사이버테러에 의한 침해사고대응팀의 협의체로 사이버 공격 동향 및 기술정보를 교류하는 기구로 활동하는 곳이다. 이 기구는 1990년에 설립된 이래 인터넷침해사고대응지원센터와 다국적 기업이 회원으로 참가하고 있으며 주로 기술 정보 교류와 사이버 공격 동향 파악을 주요 업무로 하고 있다.[14]

글로벌사이버보안협력네트워크[편집]

글로벌사이버보안협력네트워크(CAMP)는 개발도상국 34곳이 참여하는 정보보안 협력체이며 2016년 7월 11일 대한민국 주도로 출범했다. 글로벌 사이버 보안 협력 네트워크는 고도화·지능화하는 사이버 위협에 국제사회가 공동 대응해 보다 안전한 사이버 세상을 구현하기 위해 구성됐다. 7월 11일 열린 출범식에는 서아프리카 경제연합(ECOWAS), 중남미 ICT교육센터(CEABAD)를 비롯해 브라질 베트남 세네갈 우즈베키스탄 등 35개국 47개 부처·기관이 참여했다. 매년 총회를 열고 회원국 상호 간 사이버 보안 역량 강화 방안 등을 논의하며, 현재도 활동하고 있는 중이다. 한국정보보호진흥원은 국제 사이버 위협 정보를 공유하고, 정보보호 정책 및 기술 가이드라인을 마련하기 위해 회원국 간 실질적인 협력 활동을 기획하고 추진할 예정이며, 한국정보보호진흥원은 이를 통해 웹페이지 악성코드 탐지·차단 기술, 사이버 침해사고 간 연관성 분석 기술 등 정보보호 기술을 개도국에 전수하는 일을 하고 있다.[15]

예방책[편집]

정보보호의 날[편집]

정부 부처에서 공동으로 사이버 공격을 예방하고 국민들의 정보보호를 생활화하기 위해 제정한 날이며, 매년 7월 둘째 수요일이다. 공공기관에 집중되는 인터넷 침해사고가 빈번하게 발생하는 추세에 따라, 정부에서 정보보호의 중요성에 대한 국민들의 의식 제고 및 정보통신기술(ICT) 관련 종사자들의 자긍심 고취를 위해, 2012년부터 매년 7월을 '정보보호의 달'로 지정하고 7월 둘째 수요일을 '정보보호의 날'로 기념하기로 하였다. 이는 2009년 7월 해커에 의해 감염된 좀비 PC 11만 대가 정부기관을 비롯한 22개 인터넷 사이트를 공격해 전산망이 마비되었던 '7.7 DDoS 공격'에 대한 경각심을 일깨우자는 의미에서 7월로 선정된 것이다. 특히 기념행사로 '국제 정보보호 콘퍼런스'를 개최하여, 국가 안전을 위협하는 사이버 침해행위에 대한 대응방안을 모색하는 일도 보여주는 것이다.[16]

보안 정보와 이벤트 관리[편집]

보안 정보와 이벤트 관리(Security Information & Event Management)는 다양한 보안 장비와 서버, 네트워크 장비 등으로부터 보안 로그와 이벤트 정보를 수집한 후 정보들 간의 연관성을 분석하여 위협 상황을 인지하고, 침해사고에 신속하게 대응하는 보안 관제 설루션(solution)을 가리키며 정보통신(IT)과 보안 환경이 복잡해지면서 보안 정보와 이벤트 관리(SIEM) 설루션은 보안 인프라에서 필수 요소로 떠오르면서 예방 대응하면서 로그 관리를 통합적으로 수행하며 네트워크 포렌식(forensic)과 보안 관련 준수성(compliance) 역할을 담당하는 용어이다.[17]

관련 용어[편집]

  • 개인정보보호전문가 : 개인정보의 안전한 활용 및 이용자의 사생활 보호를 위해서 개인정보의 관리, 감독, 모니터링, 자문 등을 맡아서 하는 사람이다. 수행직무는 주로, 개인정보보호 규정, 지침 등을 수립한다. 개인정보보호정책 준수에 필요한 시스템의 구축 및 업그레이드 계획을 수립한다. 개인정보보호 요구사항에 따라 개인정보보호 목표를 정하고 필요한 인력 및 예산계획을 수립하고, 계획에 따라 개인정보보호정책 준수에 대한 이행 여부를 점검하고 결과에 대한 보고서를 작성한다. 개인정보 유출 또는 침해사고가 발생할 경우 원인을 분석하고 대책방안을 수립한다. 또한 개인정보보호정책에 대한 교육을 실시한다. 개인정보보호 영향평가와 관리체계 인증에 대하여 대응하는 역할을 한다.[18]
  • 사이버 보안 정보(Cybersecurity Information) : 사이버 보안과 관련한 장치, 소프트웨어 등의 상태(취약성), 침해사고와 연관된 포렌식, 침해사고 경험으로부터 얻은 학습 데이터, 정보 교환 주체, 정보 교환 규격, 관련 주체 및 정보 아이덴티티, 구현 요구 사항 등을 포함하는 구조화된 정보를 나타낸 것이다.[19]

각주[편집]

  1. 1.0 1.1 정보통신망 이용촉진 및 정보보호 등에 관한 법률〉, 《위키백과》
  2. JMPESP, 〈(시작)침해사고 대응의 개념, 잡담〉, 《티스토리》, 2017-06-25
  3. 3.0 3.1 3.2 대응〉, 《네이버 지식백과》
  4. 4.0 4.1 4.2 4.3 사고 탐지〉, 《네이버 지식백과》
  5. 유성경, 〈최초의 웜, 모리스 웜〉, 《그레이뉴스》, 2016-10-07
  6. 침해 대응〉, 《네이버 지식백과》
  7. 침해 사고 대응팀〉, 《네이버 지식백과》
  8. 8.0 8.1 8.2 8.3 8.4 8.5 8.6 8.7 사전 대응〉, 《네이버 지식백과》
  9. 국가사이버안보센터〉, 《네이버 지식백과》
  10. 한국정보보호진흥원〉, 《네이버 지식백과》
  11. KISA 해킹방어대회〉, 《위키백과》
  12. 인터넷침해사고대응지원센터〉, 《위키백과》
  13. 정보 보호 알림이〉, 《네이버 지식백과》
  14. FIRST(국제침해사고대응협의체)〉, 《네이버 지식백과》
  15. 글로벌 사이버보안 협력 네트워크〉, 《네이버 지식백과》
  16. 정보보호의 날〉, 《네이버 지식백과》
  17. 보안 정보와 이벤트 관리〉, 《네이버 지식백과》
  18. 개인정보보호전문가〉, 《네이버 지식백과》
  19. 사이버 보안 정보〉, 《네이버 지식백과》

참고자료[편집]

같이 보기[편집]


  검수요청.png검수요청.png 이 침해사고 문서는 보안에 관한 글로서 검토가 필요합니다. 위키 문서는 누구든지 자유롭게 편집할 수 있습니다. [편집]을 눌러 문서 내용을 검토·수정해 주세요.