보안 인시던트 대응 계획 정의

  • 8분

사이버 공격과 보안 위반은 비즈니스에 심각한 위협이 됩니다. 모든 조직에는 준비된 인시던트 대응 계획이 있어야 합니다. 이 계획은 고객에게 서비스를 제공하는 기능에 영향을 주거나 프라이빗/고객 데이터 보호 기능을 위협하는 보안 위협을 처리합니다.

인시던트 대응 계획이란?

IRP(인시던트 대응 계획)를 사용하면 손해 및 보안 공격의 비용을 확인 및 최소화할 수 있습니다. 또한 이 계획은 공격의 원인을 해결하는 방법을 보여 줍니다. 잘 설계된 IRP는 인시던트를 처리하는 단계별 지침을 제공합니다. IRP는 보안팀이 일련의 설정된 절차를 사용하여 대응하고 적절한 사용자가 참여하고 적절한 통신 채널에 정보가 제공되도록 합니다.

인시던트 대응 계획 만들기

NIST(미국 국립표준기술원)는 보안 인시던트를 처리하는 방법에 관한 표준 지침을 게시합니다. 이 문서는 조직이 중대한 공격이 발생하기 전에 대응 계획을 수립하는 데 유용한 도구입니다. 모든 조직은 서로 다르며 조직에서 보호하는 데이터 및 서비스 유형이 계획에 큰 영향을 준다는 점에 유의하세요.

관련된 몇 가지 단계는 다음과 같습니다.

  1. 인시던트 대응팀 구축
  2. 계획 연습
  3. 계획 수정

인시던트 대응팀 구축

IRP를 만드는 핵심 단계 중 하나는 CSIRT(컴퓨터 보안 인시던트 대응팀)를 정의하는 것입니다. 이 팀은 다음을 포함하여 회사의 여러 영역에서 구성원으로 구성됩니다.

  • 임원: 보안 인시던트 도중 및 이후에 이사회와 통신하고 업데이트할 수 있는 경영진의 대표가 있어야 합니다.

  • IT: IT 부서는 IRP를 만들고 실행하는 데 관여해야 합니다.

  • 커뮤니케이션: 회사의 다양한 사람들에게 보안 인시던트에 대해 알려야 합니다. 또한 고객 또는 언론에서도 중요한 데이터 위반에 대해 알릴 필요가 있을 수 있습니다. 커뮤니케이션을 만들기 위해 커뮤니케이션 직원 및 PR팀의 팀원이 대응팀에 참여해야 합니다.

  • 법무: 데이터 처리에 대한 법적 규정 준수 및 규정 요구 사항을 충족하는지 확인하기 위해 법무 부서가 계획에 참여해야 합니다. 법무팀은 인시던트 해결 도중 및 이후에 조언을 제공할 수도 있습니다.

계획 연습

인시던트 대응 계획을 정의한 후에는 CSIRT에서 소방 훈련을 실행하여 계획을 철저하게 테스트해야 합니다. 이렇게 하면 실제 보안 위협이 발생하기 전에 해결할 수 있도록 허점과 문제 영역을 파악하는 연습을 하는 데 도움이 됩니다. 팀이 긴급한 상황에서 빠르게 대응해야 하므로 명확하고 잘 이해하고 있는 계획이 필요합니다.

계획 수정

인시던트 대응 계획을 주기적으로 평가하여 여전히 유효하고, 참여해야 하는 올바른 관련자를 확인하며, 회사 서버 및 데이터에 대해 정의된 주요 위협 영역을 포함하는지 확인해야 합니다. 또한 CSIRT의 각 팀원은 계획을 주기적으로 검토하여 인시던트 발생 시의 책임을 이해하고, 긴급한 상황에서 효율적으로 대응할 수 있도록 해야 합니다.

인시던트 대응 단계

앞에서 언급했듯이 NIST는 회사에서 대응 계획을 수립하는 데 사용할 수 있는 컴퓨터 보안 인시던트 지침을 정의합니다. 이 지침의 일부로, NIST는 계획해야 하는 보안 대응의 네 가지 주요 단계를 설명합니다.

다음 그림은 NIST에서 정의한 네 가지 단계를 보여 줍니다. 여기에 제공된 설명은 간단한 요약입니다. 이 모듈의 요약 섹션에 연결된 전체 문서에는 각 단계에 대한 보다 철저한 설명과 전략을 계획하는 방법이 있습니다.

Diagram of the NIST response phases from the Security Handling Guide.

  • 준비: 이 단계에는 인시던트 대응 팀 정의, 대응 계획 문서화, 인시던트 발생을 방지하는 데 도움이 되는 도구 및 프로세스 범위 지정이 포함됩니다.

  • 검색 및 분석: 보안 인시던트가 다양한 형태로 제공되며 가능한 모든 비상 사태를 계획할 수 없습니다. 그러나 웹 기반 공격 및 메일 기반 공격과 같은 잘 알려진 일반적인 공격 벡터가 있습니다. 이러한 벡터를 쉽게 계획할 수 있으며 대부분의 경우 응답 계획에 표준 통신 및 분석이 통합됩니다. 클라우드용 Microsoft Defender와 같은 도구는 인바운드 위협을 탐지 및 분석하는 표준 대시보드를 제공하므로 이 영역에서 매우 유용할 수 있습니다.

  • 봉쇄, 근절 및 복구: 봉쇄에는 위협이 다른 시스템에 증가하거나 영향을 주지 않도록 하는 작업이 포함됩니다. 포함되고 나면, 대응팀이 위협을 완전히 제거하는 단계를 시작하고 영향을 받은 시스템을 복구할 수 있습니다. 이 단계에서는 이전 탐지 단계로 돌아가 공격 벡터가 단순히 다른 시스템으로 이동된 것이 아니라 완전히 완화되었는지 확인해야 하는 경우가 많습니다.

  • 인시던트 후 활동: 최종 단계에는 수행된 공격에 대한 사후 평가, 대응에 따른 단계 및 팀 응답의 효율성이 포함됩니다. 이 단계의 결과로 동일한 특성의 이후 공격을 방지하기 위해 인프라를 강화하고 IRP를 변경하는 경우가 많습니다.