침해사고 발생 시 타 회사는 어떻게 대응하고 계신지요?
이번에 저희 회사에서 대응 매뉴얼을 만들려고 하고 있는데,
만약 네트워크 단절이 있을 때, 업무는 모두 수기 작업하는게 과연 최선일까? 라는 생각이 들었습니다.
혹시 다른 회사는 침입사고로 인해 네트워크 단절이 불가피하다면 업무 진행은 어떻게 하시는지 궁금합니다
감사합니다~!
해당 질문의 문제를 해결, 도움이 되는 선택된 답변이 있습니다.
작성된 다른 답변도 확인해 보시기 바랍니다..
5개의 답변이 있습니다.
침해사고 발생 시 KISA 메뉴얼을 참고하시면 좋습니다.
위에서 설명들 해주셨는데, 재발방지 및 측면이동 여부를 확인하기 위해서 우선적으로 네트워크 단절 후 로깅은 당연하고, 상황에 따라선 디스크 or 메모리 덤프가 필요합니다.
외부 Outbound만 막은 상태에서 역량만 되시면 빠르게 라이브 분석도 좋습니다.
원인이 되는 악성코드 유입경로 차단 및 악성코드의 C&C 차단, 측면이동 여부 확인,
최근에는 악성코드가 powershell 명령을 이용하여, file less 공격을 수행하기에.. 악성코드 파일이 없는 경우가 많습니다. 이를 위하여 사후 분석을 위한 로깅을 잘 하는게 중요합니다.
침해 발생시 서버의 경우 Outbound 차단 후 분석을 수행하고, 사용자 PC의 경우는 임시 노트북 대여 후 분석을 수행하고 있습니다.
대형사고 아닌 이상 KISA 도 별 관심이....
https://www.krcert.or.kr/data/guideView.do?bulletin_writing_sequence=398&queryString=cGFnZT0zJnNvcnRfY29kZT0mc2VhcmNoX3NvcnQ9dGl0bGVfbmFtZSZzZWFyY2hfd29yZD0=
Kisa에서 제공된 침해사고 대응 메뉴얼이 있습니다
참고하세요
직원들에게 교육및 메일로 교육 내용을 배포 하기도 합니다.
아래 내용 참고 하시면 도움이 될겁니다.
https://blue-shadow.tistory.com/39
http://www.kisa.or.kr/uploadfile/201603/201603181400409056.pdf
침해 사고가 발생했다면...
추가적인 피해가 발생하지 않도록 조치를 취하는게 우선일 것 같은데...
그렇다면...
외부와의 네트워크 차단이 되어 줘야 하지 않을까 싶고...
랜섬웨어 처럼 악성 코드가 스스로 작동하면서 외부의 지령을 받지 않고서도 계속적으로 피해를 확대 시키는 경우도 있기 때문에 악성 코드가 작동되고 있는 컴퓨터를 재 부팅 시킨다거나 네트워크로 부터 분리 시킬 필요도 있을 것 같고요.
그리고, 피해 현황 조사가 필요하지 않을까 싶고요.
어떤 내용의 어느 정도의 피해가 발생했는지를 조사해야 할 것 같고요.
그리고, 관계 법에 따라서 KISA에 신고해야할 것 같고요.
개인정보 유출, 침해 신고 : 국번없이 118, privacyclean@kisa.or.kr
해킹 사고 신고 : https://www.krcert.or.kr/consult/hacking.do?orgSiteUrl=http://krcert.or.kr
구분
개인정보 유출 신고
침해사고
신고
일반이용자(정보주체)
개인정보처리자
정보통신서비스
제공자
상거래 기업 및 법인
개인정보 침해 신고
근거법령
개인정보보호법 제34조
개인정보보호법
제39조의4
신용정보의 이용 및 보호에 관한 법률 제39조의4
정보통신망법 제48조의3
개인정보보호법 제62조
신고대상
공공기관 및 민간기업
(정보통신서비스 제공자 제외)
정보통신서비스 제공자
상거래 기업 및 법인
(금융위 감독을 받는 곳은 제외)
정보통신서비스 제공자
집적정보통신시설 사업자
정보주체
신고기관
개인정보보호위원회 및 KISA
개인정보보호위원회 및 KISA
개인정보보호위원회 및 KISA
과기정통부 및 KISA
KISA
개인정보침해신고센터
신고기한
지체없이(5일이내)
지체없이(24시간 이내)
지체없이
즉시
-
신고기준
1천명 이상 정보주체의
개인정보 유출 시
1건이라도 정보주체의
개인정보 유출 시
1만명 이상 이용자의 개인신용정보가 업무 목적 외로 누설되었음을 알게 된 때
-
개인정보에 대한 권리
또는 이익 침해 시
과 태 료
3천만원 이하
3천만원 이하
3천만원 이하
1천만원 이하
-
다음으로 누가 무슨 목적으로 어떤 경로를 통해서 들어 왔는지에 대한 구체적인 조사를 위한 증거 자료등을 남길 수 있도록 해 야 할 것 같고요.
침해와 연관 있는 컴퓨터들을 보존한다거나 하드디스크를 떼어내어서 보존한다거나, 디스크 이미지를 복제해서 보존한다거나 등으로 포렌식을 위한 자료 보존을 해야 할 것 같고요.
반복적인 Test 및 여러 사람이 동시에 조사하기 위해서는 물리적인 디스크를 보관해 두는 것 이외에 디스크 이미지를 받아 두는 작업은 꼭 필요할 것 같고요.
그리고는 업무 정상화를 위한 작업을 진행해야 하지 않을까 싶네요.
침해를 입었거나 조금이라도 위험이 있는 모든 컴퓨터들을 초기화 시키고, 복구 가능한 자료들을 복원 시키고, 업무용 소프트웨어들을 설치하고, 사용하는 소프트웨어들의 최신 패치 작업 등을 해서 하나 하나씩 업무를 정상화 시켜야 하지 않을까 싶어 보이네요.
날쌘돌이 치타 | 2년 이상 전
항상 많이 배웁니다!!!! 감사합니다