사고 대응

사고 대응

백업 복구, 재해 복구

랜섬웨어와 같은 보안 침해를 당하거나 데이터에 손상이 발생했을 경우 백업 복구 조치를 수행해야 합니다.

먼저 이를 수행하는 과정에서 발생할 수 있는 서비스 중단 등의 잠재적인 영향을 파악해야 합니다.

더불어 다음 중 어느 수준의 복구가 필요할 것인지 검토하고, 백업 계획을 수립해야 합니다.

  • 파일 수준
  • Application 데이터 수준
  • Application 수준
  • 서버 볼륨 수준
  • 서버 수준
  • 관리형 서비스 수준

만약 복구 수행 기간 동안 서비스 중단이 허용되지 않는다면 재해 복구 시나리오를 검토해볼 수도 있습니다.

백업 복구 및 재해 복구와 관련한 사항은 안정성 원칙에서 더 상세하게 다룹니다.

사고 대응 시나리오

침해사고와 개인정보 유출은 조직의 신뢰도를 저하시킬 뿐만 아니라, 법적, 경제적 피해를 초래할 수 있습니다.

사고 발생 시 신속하고 효과적으로 대응하려면, 종합적이고 체계적인 대응 방안을 사전에 마련해야 합니다.

침해 시도가 감지된 후에는 신속하고 체계적인 대응이 요구됩니다.

대응 절차는 단계별로 명확히 구분되어야 하고, 모든 구성원이 해당 절차를 충분히 이해하고 있어야 합니다.

사고 인지 및 보고, 초기 대응, 사고 조사 및 복구, 사후 분석 및 개선 단계는 각각 중요한 역할을 합니다.

특히 사고 발생 직후 시스템의 신속히 정상화하려면, 초기 대응 단계에서의 빠른 조치가 매우 중요합니다.

여기에는 사고 확산을 방지하기 위한 네트워크 차단과 같은 기술적 조치뿐만 아니라, 관련 부서와의 신속한 의사소통도 포함됩니다.

침해 사고가 발생하면 사고의 원인을 정확히 분석하고 피해 범위를 파악하는 것이 중요합니다.

이를 위해서는 로그 데이터를 체계적으로 수집하고 분석할 수 있는 역량이 필요하며, 디지털 포렌식 도구를 활용하여 사고 원인을 정밀하게 조사하고, 재발 방지 대책을 수립해야 합니다.

침해 사고 분석을 통해 수집된 정보는 향후 보안 대응 전략을 개선하는 데 중요한 자료로 활용될 수 있으므로 사고 발생 시 신속히 참고할 수 있도록 관리되어야 합니다.

다음은 사고 대응 시나리오에 포함해야 하는 항목입니다.

  • 개인정보 유출, 데이터 변조 등 침해사고의 정의 및 범위
  • 비상연락체계(외부 전문가, 전문업체, 전문기관 등 포함)
  • 침해사고 선포 절차 및 방법
  • 침해사고 발생 시 신고, 통지, 기록, 보고 절차(관계기관, 이용자 등)
  • 침해사고 원인 분석, 대응, 복구 절차
  • 침해사고 복구 조직의 구성 및 책임, 역할
  • 침해사고 복구 장비 및 자원 조달
  • 침해사고 원인 분석 및 대응 보고서 작성
  • 침해사고 대응 및 복구 훈련, 훈련 시나리오
  • 기타 보안사고 예방 및 복구를 위하여 필요한 사항

다음 그림은 보안사고 대응 절차의 예이며, 각 조직에 맞게 사고 대응 절차를 구성할 수 있습니다.

구성도
그림. 침해사고 대응 절차 예시

사고 대응 자동화

모범 사례
보안 이벤트에 대해 즉시 대응할 수 있는 자동화 조치를 수립/실행합니다.

이벤트 발생 시 즉시 대응할 수 있도록 자동화된 대응 방안을 사전에 수립하고 실행할 수 있어야 합니다.

예를 들어, DDoS 공격에 대응하기 위해 DDoS Protection 서비스를 활용할 수 있으며, Auto-Scaling을 통해 서버의 수를 증가시켜 공격에 대응할 수 있습니다.

Scaling이 개시될 때 알림을 설정해 놓으면, 관리자에게 서버가 비정상적으로 확장되는 상황이 통보되고, 관리자는 이를 인지하여 신속하게 대응할 수 있습니다.

구성도
그림. Auto-Scaling을 이용한 DDoS 공격 완화 아키텍처 예시
설계 원칙
  1. 관리형 보안 서비스를 활용해 보안 공격에 대응합니다.
  2. 침해 유형별 대응 방안을 마련하고, 서비스 중단을 방지하기 위한 자동화 조치를 적용합니다.