흔히 침해사고 대응이라 함은 사고가 일어남을 인지 했을 당시 이뤄지는 초동조치를 말한다.
여기서 침해사고란 기술적(IT)으로 인가되지 않은 서비스에 접근(Hacking)하여 정보를 빼내는거라 하겠다.
과거, 혹은 오늘날의 중소기업은 대부분 Web단의 취약점(대부분 Webshell Upload)로 일어나며 어느정도 Web Hacking에 대한 방어가 이뤄져 있는 대기업(망 분리, WAF 등등)들은 APT(advanced persistent threat, APT)공격이 대부분 주류를 이룬다.
사실 오늘날 대부분의 기업(침해사고 대응이 전문인 기업이 아닌)에서는 침해사고에 대해 능동적이고 신속하게 대응 할 인력이 적다. 이 문제는 크나 큰 문제를 야기한다. 침해사고 대응이란 마치 환자 발생 신고를 받고 출동한 119 대원이 하는일과 일맥상통한다. 흔히 Golden Time이라고 하는 시간이 존재하고 그 시간 내에 적절한 응급 조치를 하지 않으면 환자의 생명을 보장할 수 없는 것처럼, 침해사고도 Golden Time이 존재한다. 침해사고 대응에서 Artifact란 시간이 지날 수록 손실되기 때문이다!
기업에서 적절한 인력을 보유하고 있지 않다는 문제는 사고 대응 에서의 Golden Time을 놓쳐버려 제대로 된 대응을 하지 못하는 문제를 야기한다. 하지만 이것은 절대 개인의 '능력'의 문제가 아닌 한국 보안 시장의 고질적 문제이다. (pie가 적은데 누가 뛰어 들겠는가!)
하지만 기업에서는 이것 저것 다 할 수 있는 수퍼맨을 원한다. 사실 상 자기 자신의 분야 하나에서도 전문가가 되려면 상당한 시간과 노력이 필요한 시대인데 'Seurity'를 하나로 묶어 채용하려는 기업의 욕심은 시간이 지나도 여전하다. (욕심인가 무지인가)
이 글에서는 전문 인력이 아닌, 한 기업의 CyberSecurity 담당자로서 최소한의 초동조치를 다룬다. 우리의 임무는 훌륭히 초동조치를 완료하여 전문가에거 인계하는 것이다.
침해사고가 발생했다고 의심되는 PC에서는 다음과 같은 Process를 통해 대응이 이뤄진다.
1. 탐지
2. 확정/채증
3. 추적
앞으로 이어 나갈 이야기는 모두 Open Source Project혹은 Free Software를 이용하겠다.
모두가 Superman이 되는 그날까지.
'침해대응' 카테고리의 다른 글
| How to use volatility (0) | 2017.07.16 |
|---|
