이번 시간은 다양한 보안 직무 중 CERT 에 대해서 알아보도록 하겠습니다.
CERT 란 ?
우선 보안에는 다양한 직무가 있습니다.
보안관제, 모의해킹, 취약점 진단, 악성코드 분석가, CERT 등 다양한 직무가 존재하고 있습니다.
이 중 CERT 란?
Computer Emergency Response Team 의 약어로 '컴퓨터 비상 상황 대응팀' 을 의미합니다.
주로 사이버 보안 사고를 예방하는 업무를 진행하고, 보안 사고가 발생하였을 때 해당 사고에 대한 원인과 피해 규모를 신속하게 파악하여 대책을 수립하고, 최종적으로는 피해를 최소화 시키는 업무를 수행하는 직무 입니다.
CERT 의 업무
위에서 CERT가 어떠한 직무를 뜻하는지 CERT가 어떠한 일을 하는 것인지에 대해 간략하게 알아봤습니다.
이번에는 CERT의 다양한 업무들에 대해서 말씀드리겠습니다.
1. 보안 사고 예방을 위한 활동을 한다.
2. 사고 발생 시 해당 사고에 대한 원인과 피해 규모 분석을 실시한다.
3. 해당 사고에 대한 대책을 수립한다.
4. 피해를 최소화 시키기 위한 다양한 활동을 한다.
5. 유사한 공격 등 사고를 방지하기 위한 활동을 한다.
※ 여러 기업들마다 다르지만, CERT가 악성코드 분석, 모의해킹 등의 업무를 진행하는 경우도 있습니다.
CERT의 업무 절차
다음은 CERT 의 업무 절차입니다.
CERT의 업무 절차는 총 7가지 단계로 구성이 되어있는데 각 단계에 대해서 좀 더 알아보도록 하겠습니다.
- 사고 전 준비 ( 예방 )
- 침해 사고가 발생하기 전 침해사고가 발생하게 될 경우 어떻게 대처를 할 것인지 등 대응을 준비하는 단계
- 사고 탐지
- 보안 시스템에 의한 이상 징후를 포착하는 단계
- 대부분의 탐지는 보안 시스템에 이상 징후가 포착되는 것을 확인하여 탐지를 하게되지만, 관리자에 의해서 침해사고가 식별이 되는 경우도 종종 있습니다.
- 초기 대응
- 초기에 사고에 대한 조사를 수행하는 단계
- 사고 정황에 대한 세부적인 내용을 파악하는 단계로 이때 해당 관련 부서에 침해 사고 발생 여부를 통지합니다.
- 대응 전략 체계화
- 사고에 대한 대응 전략을 수립하는 단계
- 이전 대응 단계에서 확인한 정보를 바탕으로 사고에 대응하는 단계로 여러 상황들을 종합해 대응 전략을 수립
- 이 때 대응하는 방법에 따라 다른 조직의 업무에도 영향을 미칠 가능성이 존재하기 때문에 신중하게 선택해야 한다.
- 사고 조사
- 사고의 원인과 피해 규모를 분석하는 단계
- 공격의 시작 ~ 종료까지 어떤 공격이 이루어졌는지 피해 규모를 파악하고 피해 확산 및 재발 방지 방안을 수립
- 보고서 작성
- 사고 발생 전 과정을 기록하고 분석한 내용을 바탕으로 보고서를 작성하는 단계
- 이전 단계에서 수행한 모든 정보를 바탕으로 육하원칙에 따라 객관적인 태도로 정리하고 보고한다.
- 이때 보고서를 작성할 때 가장 중요한 점은 각각의 수행 시간(공격 시간, 대응 시간 등)을 정확하게 기입을 해야한다.
- 복구 및 해결
- 복구 및 해결을 하는 단계
- 사고 발생 전 상태로 복구하기 위한 적절한 대응 조치를 취하는 단계
- 대응 조치가 마무리 된 후 유사 공격을 예방하기 위해 보안 정책 수립 및 절차 변경 등의 과정을 진행하고 다시
사고 전 준비 단계로 돌아가 업무를 수행하게 됩니다.
CERT / 보안관제 비교
CERT 와 보안 관제는 상당히 유사한점이 많지만 차이점을 명확하게 파악을 해야합니다.
보안 관제의 경우는 실시간 보안 시스템을 관제하고 사고 발생 시 빠르게 대처를 하는 업무로 실시간 유해 행위 예방, 이에 대한 분석, 보고 및 개선 방안을 수립하는 업무를 진행합니다.
반면 CERT의 경우는 침해사고가 발생했을 때 원인과 피해규모를 신속하게 파악하고 대응하는 업무로 침해 사고에 대한 조사, 보고서 작성, 복구 및 해결 등을 수행하는 업무입니다.
즉, 보안 관제의 경우는 실시간 탐지 및 대응에 목적을 가지고 업무를 수행하는 반면 CERT는 침해사고에 대해 좀 더 자세한 분석과 앞으로의 대책 등을 설립하는 업무로 실무진에 가까운 컨설턴트의 역할이라고 봐야합니다.
※ 하지만 기업별로 보안관제와 CERT의 업무를 따로 구분하지 않고, 평소에는 관제로서 업무를 진행하다 침해사고가 발생하였을 때에만 CERT 업무를 진행하는 곳도 있다.
'CERT' 카테고리의 다른 글
| IoT의 정의 / IoT 기기 종류 / IoT 기기 사용 장점 및 문제점 (1) | 2023.03.11 |
|---|
