어떤 기업이든 회사 내 중요 자산에 대한 보호는 필수입니다. 특히 ISMS 인증대상 기업에서는 더더욱 중요합니다. 정보보안팀을 꾸려 각 파트에 맞게 R&R을 정립하고 지속적으로 보안 이슈에 대해 대응해야 합니다.
이번 포스팅에서는 CERT 즉, 침해사고대응팀은 어떤 일을 주로 하는지에 대해서 정리해 봅니다. 보안 꿈나무들이나 현재 관련 분야에 종사하고 있는 분들께 도움이 되었으면 합니다. CERT는 보안관제를 통해 발생하는 이슈를 보다 깊게 분석하는 것이 주 업무입니다.
즉, 보안장비 (방화벽, IPS, DDoS, WAF) 등 에서 발생하는 각종 로그를 모니터링하고 분석이 필요한 로그를 검출하여 위험도를 판단하고 보안관제와 보안운영팀과 유기적으로 긴밀히 협조하여 실시간 사이버 위협으로 부터 신속한 대응을 하기 위한 팀입니다.
또한 기본적으로 모니터링을 통해 분석을 수행하지만, 네트워크 연결이 불가한 상황이 생길 경우 Off Site를 통해 장비를 확인해야 하므로 전산센터 및 보안장비에 높은 수준의 출입권한 및 접근권한이 필요합니다.
이를 위해서는 보안관제, 운영, CERT가 단일팀으로 운영되는 것이 고수준의 보안팀을 운영하는 데 있어 필수적인 사항입니다. 침해사고발생 시에는 역공격, 역공학을 통해 더 큰 피해를 방지하는 역할을 충실히 수행해야 합니다. 보통 CERT 침해대응팀에서 주요 업무를 보자면 모니터링, 점검, 분석, 대응, 사후처리 등을 볼 수 있습니다
조금 더 상세 업무를 들여다보자면, 하기와 같은 일을 주로 하며 각 기업마다 환경과 구성인원 그리고 보안팀 운영 기준에 따라 차이는 있습니다.
1. 침해사고 대응 및 사후 조치 및 재발 방지대책 수립
– 침해사고 분석, 보고서 제출, 이행 조치 계획 수립등
2. 엘라스틱 서치(ELK스택)를 활용한 사전 보안위협탐지 및 대응
– 중요 위협에 대한 자동화 시스템 개발 (slack 활용 자동 알람 시스템)
– 외부 보안 취약점 스캐너 Shodan을 활용한 그룹사 및 고객사 서버 점검/조치
– 정보보안팀 자체 내부적 보안위협 처리에 대한 프로세스 확립 필요
– 주간/월간 보고 형태의 보고서 제출 (예: 보안 위협 사전 탐지 x건 처리)
– 고객사 서버 및 서비스에 대한 보안위협 탐지 대응
3. APT 보안 장비 운영 및 활용 보안 위협에 대한 리스크 최소화
– 자동 알람 시스템 및 보고 체계 확립
– 주간, 월간 보고 형태의 보고서 제출
– 월간 정기점검 방문 형태의 업체 컨트롤
4. 패킷분석 장비를 활용한 보안 위협 분석 및 사전예방
– 월간 보고 형태의 보고서 제출
– 월간 정기점검 방문 형태의 업체 컨트롤
5. 취약점 분석 업무
– 웹서비스 : 그룹사 주요 웹사이트 및 ISMS 대상 웹사이트?
(IBM APP SCAN 이나 Arachni(오픈소스)등 활용 점검 및 결과 검토 / 회사별 운영 솔루션마다 다릅니다)
– 서버군 : ISMS 대상 서버 취약점 분석 및 리포팅
– 신규 취약점 분석 요청 서비스에 대한 웹 취약점 분석
6. 모의해킹
– 대상 : ISMS 대상 및 중요 서비스 사이트
– 점검 결과서 제출 및 이행조치 확인
제가 근무 중인 회사에서는 cert팀이 상기 내용과 같은 업무를 주로 하고 있습니다. 본문 내용에도 언급하였다시피 각 기업 보안팀 운영기준에 따라 R&R등은 많은 차이가 있다는 점을 참고하시기 바랍니다.
요즘 정보보안팀 운영 트렌드는 cert팀을 blue 파트, red 파트로 구분하여 운영하는 경우도 있습니다. 쉽게 이야기하자면, blue 파트는 해킹을 막는 업무이며 red 파트의 경우는 해킹 공격을 진행하는 파트입니다. 파트 단위가 아닌 팀 단위로 분리하는 경우도 많습니다.