침해사고 유형과 대응 방법론

침해사고의 정의

1. 법적인 정의(정보통신기반보호법 제 1장 2조 2항)
   • “전자적 침해행위”라 함은 정보통신기반시설을 대상으로 해킹, 컴퓨터바이러스, 논리ㆍ메일폭탄, 서비스거부 또는 고출력 전자기파 등에 의하여 정보통신기반시설을 공격하는 행위를 말한다.
2. 실무에서 정의
   • 해킹과 컴퓨터 바이러스 유포에 한정되지 않고 모든 전자적인 공격 행위 및 그 결과에 따라 초래된 각종 피해

 

침해사고의 유형

일반적으로 발생하는 침해사고들을 다음과 같이 7가지로 분류할 수 있다.

1. 비인가자의 정보시스템, 어플리케이션에 대한 접근 및 접근 시도
2. 정보자산의 유출
3. 비인가자에 의한 중요 정보의 위변조 및 삭제
4. 악성 프로그램 유포
5. 정보시스템에 대한 서비스 거부 공격
6. 네트워크 장비, 서버 및 PC등에 대한 해킹
7. 그 밖에 정보보안 침해사고에 해당하는 사항

이러한 침해사고들은 일반적으로 아래와 같은 공통적인 특징을 가진다.

• 대규모: 동시에 다수의 서버를 공격
• 분산화: 다수의 서버에서 목표 시스템을 공격
• 대중화: 해킹 관련 정보의 손쉬운 획득
• 범죄적 성향: 금전적 이익, 산업 정보 침탈, 정치적 목적

 

침해사고 대응 방법론

 미국 국립 표준 기술 연구소(NIST)는 [예방], [탐지/분석], [대응], [복구]의 4단계로 대응 절차를 정의한다.

 

1단계 : 예방

침해요인을 사전에 제거, 감소시킴으로써 침해의 발생 자체를 억제, 방지하기 위한 일련의 활동을 수행하는 단계이다. 침해발생 시 수행해야 할 제반 사항을 미리 준비/계획하고, 침해에 대해 즉각적으로 대응할 수 있는 태세를 강화하기 위한 훈련과 교육 등의 보안인식제고 활동을 수행한다.

 

2단계 : 탐지/분석

침해에 대한 징후나 징조를 탐지하는 단계이다. 초기 분석을 통해 침해 여부를 판단하고, 사건의 상관관계 분석과 자료조사 등의 활동을 수행한다.

 

3단계 : 대응

침해사고 발생 시, 제한된 자원(정보자산, 인력 등)과 역량을 효율적으로 활용하고, 신속하게 대처함으로써 피해를 최소화하고 2차 위기 발생 가능성을 감소시키는 일련의 활동을 수행한다. 예방 단계에서 수립된 대응전략에 따라 침해 유형별, 우선순위별 대응을 수행한다.

 

4단계 : 복구

침해로 인해 발생한 피해를 이전 상태로 회복 시키고, 평가를 통해 재발 방지를 위한 원인 파악과 시스템 보안설정을 강화하는 일련의 활동을 수행한다.

 

 

이 외에도 한국정보보호진흥원(KISA)에서 발간한 침해사고 분석 절차 가이드에서는 침해사고 대응 절차를 [사고 전 준비 과정], [사고 탐지], [초기 대응], [대응 전략 체계화], [사고 조사], [보고서 작성], [해결]의 7단계로 제시하고 있다.