본문 바로가기
카테고리 없음

CERT 전문가 침해사고 대응 분석 정보보안 전문가

by Dr.Frank 2024. 2. 3.
반응형

정보보안 전문가 10개 분류 중 5번째로 CERT 전문가에 대해서 알아보도록 하겠습니다.
 
CERT(Cyber Emergency Response Team) 전문가는 보통 보안관제 전문가와 협업을 하며 업무를 수행하고 있으며, 보안관제 전문가는 이벤트, 이슈 등 위협에 대응을 한다면 CERT 전문가는 주로 위험이 발생한 사이버 공격, 사고 대응 및 분석을 하는 업무를 합니다. 따라서, CERT 전문가는 긴급한 대응을 위해 다양한 기술적 도구 활용 및 기술에 대한 전문적 지식을 통해 긴급 대응 및 해킹 공격 방법 등 사고 대응 및 분석에 대한 뛰어난 역량이 필요합니다.

CERT 전문가

 
CERT 전문가의 정의와 역할, 업무에 대해서 알아보겠습니다. 

1. CERT 전문가의 정의

CERT 전문가란 조직 또는 기업의 사이버 보안을 관리하고, 사이버 공격에 대응하며, 보안 이슈에 대한 대응 및 예방을 수행하는 전문가를 말합니다. CERT는 주로 사이버 보안 사고 대응 및 관리를 담당하며, 조직의 정보 시스템을 보호하고 사이버 위협으로부터 효과적으로 방어하는 역할을 수행합니다. 

2. CERT 전문가의 주요 역할

  • 사이버 공격 대응: CERT 전문가는 조직 내에서 발생하는 사이버 공격에 신속하게 대응하고, 공격의 성격과 범위를 이해하여 효과적으로 대처합니다.
  • 보안 사고 관리: CERT는 보안 사고를 감지하고 분석하여 조직의 보안 수준을 평가하며, 발생한 사고에 대한 대응 계획을 수립하고 실행합니다.
  • 위협 분석: CERT는 실시간으로 발생하는 사이버 위협에 대해 분석을 수행하여 향후 발생 가능성이 있는 위협을 사전에 예측하고 대비합니다.
  • 보안 교육 및 훈련: 조직 내에서 보안 인식을 높이고 직원들에 대한 보안 교육 및 훈련 프로그램을 개발하고 실행하여 내부 사용자의 보안 인식을 향상합니다.
  • 취약점 관리: 시스템 및 네트워크의 취약점을 식별하고, 해당 취약점을 보완하기 위한 조치를 취하여 보안을 강화합니다.
  • 사이버 위협 인텔리전스 수집: 외부의 사이버 위협 정보를 수집하고 분석하여 조직에 유용한 통찰력을 제공합니다.
  • 사이버 보안 정책 개발: CERT는 조직의 사이버 보안 정책을 개발하고 이를 유지, 관리하여 조직 내에서 일관된 보안 수준을 유지합니다.

사이버 침해사고 분석 및 사고 대응하는 CERT 전문가

3. CERT 전문가의 일상적인 업무

  • 실시간으로 발생하는 보안 이슈 및 사이버 위협을 감지하고 분석합니다.
  • 보안 이슈에 대한 대응 및 조치 계획을 수립하고 실행합니다.
  • 보안 이벤트와 사고에 대한 상세한 보고서를 작성하고 관리자 및 이해관계자에게 제공합니다.
  • 보안 Solution 및 도구를 사용하여 네트워크 및 시스템을 모니터링하고 보호합니다.
  • 최신 보안 동향과 새로운 위협에 대한 정보를 지속적으로 수집하고 분석합니다.
  • 향후 보안 이벤트를 예측하고 조직 내에서 보안 정책 및 절차를 개선하는 데 기여합니다.

이와 같이 CERT 전문가는 평상시에도 조직의 사이버 보안을 유지하고 향상하는 데 중요한 역할을 수행하고 있으며,
사이버 위협으로부터 효과적으로 보호하고 사이버 공격에 대응할 수 있도록 돕는 역할을 하고 있습니다. 


다음은 CERT 전문가가 이벤트 발생, 공격 대응, 분석하는 업무에 대해서 단계별로 알아보겠습니다. 

4. CERT 전문가의 단계별 업무 : 이벤트 발생, 공격 대응, 및 분석

  • 이벤트 발생 감지: CERT 전문가는 보안 시스템 및 모니터링 도구를 사용하여 조직 내에서 발생하는 이상 징후나 보안 이벤트를 감지합니다. 로그, 경보, 및 다양한 데이터 소스를 실시간으로 모니터링하여 이벤트 발생을 감지합니다.
  • 이벤트 분석: 감지된 이벤트에 대한 초기 분석을 수행합니다. 이 단계에서는 이벤트의 성격, 원인, 그리고 영향을 평가하고, 사이버 위협 또는 공격의 초기 판단을 수행합니다.
  • 사이버 공격 대응 계획 수립: 이벤트의 심각성에 따라 CERT 전문가는 사이버 공격 대응 계획을 수립합니다. 대응 계획은 사고의 범위, 조직 내에서의 역할 및 책임, 그리고 대응에 사용될 도구 및 자원 등을 명시합니다.
  • 사이버 공격 대응: 대응 계획에 따라 CERT는 발생한 사이버 공격에 신속하게 대응합니다. 대응 활동은 이벤트의 특성에 따라 다를 수 있지만, 대표적인 대응 활동으로는 악성 활동 차단, 시스템 격리, 공격 탐지 시스템 강화 등이 포함됩니다.
  • 이벤트 및 사고 분석: CERT는 대응 활동을 수행한 후, 발생한 이벤트와 사고를 깊이 있는 분석을 수행합니다. 분석을 통해 공격의 전체적인 경로와 행동을 이해하고, 유사한 공격에 대비하기 위한 지속적인 향상이 이루어집니다.
  • 피해 평가 및 복구 계획: CERT는 발생한 사이버 공격으로 인한 피해를 평가하고, 시스템 및 데이터 복구 계획을 수립합니다. 이 단계에서는 재발 방지 및 향후 대응 강화를 위한 교훈을 얻습니다.
  • 사고 보고서 작성: 발생한 이벤트와 사이버 공격에 대한 상세한 보고서를 작성합니다. 보고서는 사고의 원인, 대응 활동, 피해 평가, 그리고 향후 예방을 위한 권장 사항 등을 포함합니다.
  • 지속적인 모니터링 및 향상: CERT는 이벤트 및 사고에 대한 대응 후에도 지속적인 모니터링을 수행하고, 보안 정책 및 절차를 지속적으로 향상합니다.

CERT 전문가 항상 새로운 위협에 대비하고 향후 대응 능력을 향상하기 위한 노력을 하고 있습니다. CERT 전문가는 사이버 공격의 발생부터 대응, 분석까지의 전 과정을 체계적으로 수행하여 조직의 정보 시스템을 보호하고 보안 수준을 높이는 아주 중요한 역할을 담당합니다. 

 

이번에는 CERT 전문가가 이벤트 발생, 공격 대응, 분석할 때 사용하는 도구와 툴, 기법 등에 대해서 알아보겠습니다. 

5. 이벤트 생성, 공격 대응, 및 분석에 사용되는 CERT 전문가의 도구, 기술 및 기법

  • SIEM 도구 (Security Information and Event Management): 이벤트 및 로그 데이터를 수집, 분석, 모니터링하는 데 사용됩니다. SIEM 도구는 보안 이벤트를 감지하고 경보를 생성하는 데 도움이 됩니다.
  • IDS/IPS 시스템 (Intrusion Detection System / Intrusion Prevention System): 이상 행위나 침입을 탐지하고 차단하는 데 사용됩니다. CERT는 네트워크 및 시스템에서의 악성 활동을 감지하고 대응합니다.
  • 안티바이러스 및 앤트리위러 Solution: 악성 코드 및 악성 소프트웨어를 탐지하고 차단하여 엔드포인트 보호에 사용됩니다.
  • 패킷 분석 도구: 네트워크에서 전송되는 패킷을 분석하여 이상 징후나 악성 활동을 탐지합니다. Wireshark 등이 포함됩니다.
  • 포렌식 도구: 공격 발생 시에 디지털 증거를 수집하고 분석하는 데 사용됩니다. EnCase, Forensic Toolkit 등이 포함됩니다.
  • 인텔리전스 및 위협 정보 수집 도구: 외부에서의 사이버 위협 정보를 수집하고 분석하여 조직에 유용한 통찰력을 제공합니다. Threat Intelligence Platform 등이 사용됩니다.
  • 로그 관리 도구: 시스템 및 네트워크에서 생성되는 로그를 수집하고 관리하는 데 사용됩니다. LogRhythm, Splunk 등이 사용됩니다.
  • 사이버 공격 시뮬레이션 도구: 실제 사이버 공격을 시뮬레이션하여 조직의 취약점을 식별하고 대응 능력을 향상하는 데 사용됩니다. Metasploit 등이 사용됩니다.
  • 취약점 스캐닝 도구: 시스템 및 네트워크의 취약점을 스캔하고 식별하는 데 사용됩니다. Nessus, OpenVAS 등이 사용됩니다.
  • 사이버 위협 헌팅 기법: 조직 내에서 숨겨진 공격자를 찾기 위해 적극적으로 탐색하는 기법을 사용합니다.
  • 사이버 트라이지 및 대응 계획 도구: 사이버 공격 발생 시의 긴급 상황을 처리하기 위한 대응 계획 및 트라이지 도구를 사용합니다.

CERT 전문가의 도구, 기술 및 기법

 

 CERT 전문가는 이러한 도구, 기술, 및 기법을 조합하여 이벤트의 발생을 모니터링하고, 공격에 신속하게 대응하며, 발생한 사건을 깊이 있게 분석하여 조직의 사이버 보안을 유지하고 향상합니다. 

6. CERT 전문가와 외부 및 대외 기관과의 협력 관계

대한민국의 사이버 비상대응팀(CERT)은 KrCERT/CC이며, 한국인터넷진흥원(KISA)에서 운영하고 있습니다. CERT 전문가와 KrCERT/CC가 협력하는 특정 외부 기관에 대해 자세한 정보는 알 수 없습니다. 하지만 사이버 사고에 대응하는 일반적인 외부 협력은 다음과 같습니다.

  • 국제 CERT 및 CSIRT: KrCERT/CC는 전 세계적으로 다른 CERT 및 CSIRT과 협력하고 있습니다. 여기에는 미국의 US-CERT, 유럽의 CERT-EU, 기타 지역 및 국제기관이 포함됩니다.
  • 법 집행 기관: 사이버 사고, 특히 사이버 범죄와 관련된 사건을 처리하기 위해 법 집행 기관인 검찰청, 경찰청 등과의 협력을 하고 있습니다.
  • 정부 기관: KrCERT/CC는 과학기술정보통신부, 국방부, 국가정보원 등 사이버 보안과 관련된 다양한 정부 기관과 협력하고 있습니다.

CERT 전문가는 사이버 공격의 발생부터 대응, 분석, 대외 협력까지의 전 과정을 체계적으로 수행하여 조직 및 국가의 정보 시스템을 보호하고 보안 수준을 높이는 역할을 담당합니다.


CERT 전문가의 직업에 대해서 관심 있으신 분들께 이 글이 도움 되셨길 바랍니다.
지속적인 관심 부탁드립니다.

티스토리툴바