위험관리와 침해사고 대응

정보보호 정책
정보보호 조직
자산관리
인적보안
외부자 보안
물리보안
접근권한 관리
보안교육
보안감사
ISMS / ISMS-P

위험관리
침해사고 대응

위험관리 절차를 설명하시오.
보호대책 선정 기준을 설명하시오.
잔여위험 관리가 필요한 이유를 설명하시오.
침해사고 대응 절차를 설명하시오.
침해사고 발생 시 증거 보존 방안을 설명하시오.
침해사고 보고서에 포함되어야 할 내용을 설명하시오.

위험관리 = 사고가 나기 전에 위험을 줄이는 활동
침해사고 대응 = 사고가 났을 때 피해를 줄이고 복구하는 활동

위험관리 결과로 보호대책을 세운다.
보호대책이 실패하거나 우회되면 침해사고가 발생할 수 있다.
침해사고 대응 결과는 다시 위험평가와 보호대책 개선에 반영된다.

자산 식별
→ 위험평가
→ 보호대책 적용
→ 보안관제와 모니터링
→ 침해사고 탐지
→ 사고 대응
→ 재발 방지
→ 위험관리 개선

위험관리는 조직의 자산에 대한 위협과 취약점을 식별하고, 위험을 분석·평가하여 적절한 보호대책을 수립·적용하며, 보호대책 이후 남는 잔여위험을 관리하는 과정이다.

위험관리 = 무엇이 위험한지 파악하고 줄이는 과정

자산 = 지켜야 할 것
위협 = 피해 원인
취약점 = 약점
위험 = 피해 가능성
보호대책 = 위험을 줄이는 조치
잔여위험 = 대책 후에도 남는 위험

1. 자산 식별
2. 자산 가치 평가
3. 위협 식별
4. 취약점 식별
5. 기존 보호대책 확인
6. 위험 분석
7. 위험 평가
8. 위험 처리
9. 잔여위험 승인
10. 지속적 모니터링

위험관리는 자산을 식별하고 자산 가치를 평가한 뒤, 자산에 대한 위협과 취약점을 식별하여 위험의 가능성과 영향을 분석·평가하는 과정이다. 이후 위험 감소, 회피, 전가, 수용 중 적절한 처리 방법을 선택하고, 보호대책 적용 후 남는 잔여위험을 책임자의 승인 하에 지속적으로 관리해야 한다.

위험평가는 식별된 위험의 가능성과 영향을 분석하여 위험 수준을 산정하고, 조직의 위험 수용기준에 따라 처리 우선순위를 결정하는 과정이다.

위험평가 = 이 위험을 얼마나 심각하게 볼 것인가?

위험 = 가능성 × 영향도

높음 / 중간 / 낮음
상 / 중 / 하
1점 / 2점 / 3점 / 4점 / 5점

빠르고 쉽다.
데이터가 부족해도 가능하다.
우선순위 선정에 유용하다.

주관성이 개입될 수 있다.
정확한 금전 손실 계산은 어렵다.

SLE = AV × EF
ALE = SLE × ARO

AV = 1억 원
EF = 30%
SLE = 3천만 원
ARO = 2
ALE = 6천만 원

정성적 위험분석은 위험을 높음, 중간, 낮음 등 등급으로 평가하는 방식으로 수행이 쉽지만 주관성이 개입될 수 있다. 정량적 위험분석은 자산 가치, 손실률, 발생빈도 등을 수치화하여 SLE와 ALE 같은 예상 손실액을 계산하는 방식으로 비용·효과 판단에 유용하지만 정확한 데이터 수집이 어렵다.

보호대책은 위험 수준, 자산 중요도, 법규 요구사항, 비용·효과, 업무 영향, 기술적·운영적 가능성을 고려하여 선정해야 한다. 또한 단일 대책에 의존하지 않고 관리적, 기술적, 물리적 대책을 조합하여 위험을 허용 가능한 수준으로 낮추어야 한다.

잔여위험은 보호대책을 적용한 후에도 완전히 제거되지 않고 남아 있는 위험이다.

피싱으로 OTP까지 탈취될 수 있음
관리자 실수 가능성
신규 취약점 가능성
내부자 오남용 가능성

잔여위험 수준 평가
위험 수용기준과 비교
책임자 또는 경영진 승인
지속적 모니터링
환경 변화 시 재평가

잔여위험은 보호대책 적용 후에도 남는 위험으로, 모든 위험을 완전히 제거할 수 없기 때문에 조직의 위험 수용기준에 따라 평가하고 책임자 또는 경영진의 승인을 받아 관리해야 한다. 이후에도 모니터링을 통해 위험 수준이 변하면 재평가와 추가 대책을 수행해야 한다.

침해사고는 해킹, 악성코드, 서비스거부 공격, 비인가 접근, 정보 유출, 데이터 변조 등으로 정보시스템의 기밀성·무결성·가용성이 침해된 사고를 의미한다.

침해사고 = 보안 사고가 실제로 발생한 것

침해사고 대응의 목적은 피해 확산을 방지하고 사고 원인과 피해 범위를 분석하며, 서비스를 복구하고 증거를 보존한 뒤 보고·신고와 재발 방지 대책을 수행하는 것이다.

준비
→ 탐지
→ 초기 대응
→ 분석
→ 차단
→ 제거
→ 복구
→ 보고
→ 사후 분석
→ 재발 방지

탐지
→ 분석
→ 차단
→ 복구
→ 보고
→ 재발 방지

침해사고 탐지는 보안장비 이벤트, 서버·DB·웹 로그, 인증 실패 기록, 네트워크 트래픽, EDR 탐지, 사용자 신고 등을 통해 수행한다. 로그인 실패 급증, 관리자 계정 비정상 접속, 웹 공격 패턴, 외부 의심 IP 통신, 파일 암호화, 로그 삭제 흔적 등은 침해사고 징후로 볼 수 있다.

무작정 전원을 끄거나 로그를 삭제하면 증거가 훼손될 수 있다.

언제 발생했는가?
어디서 시작되었는가?
어떤 취약점을 이용했는가?
어떤 계정이 사용되었는가?
어떤 시스템이 영향을 받았는가?
어떤 데이터가 유출·변조·삭제되었는가?
공격자가 아직 내부에 남아 있는가?
피해가 확산되었는가?

침해사고 분석 단계에서는 웹·서버·DB·인증·보안장비 로그를 수집하여 사고 발생 시점, 공격 IP, 공격 경로, 악용된 취약점, 사용된 계정, 영향 시스템, 유출·변조된 데이터 범위를 확인해야 한다. 또한 공격자가 내부에 지속적으로 접근할 수 있는 백도어나 악성코드가 남아 있는지 점검해야 한다.

차단은 피해 확산 방지에 필요하지만, 업무 영향과 증거 보존을 함께 고려해야 한다.

눈에 보이는 악성 파일만 삭제하면 안 된다.
침해 경로와 재침입 수단까지 제거해야 한다.

취약점 제거 없이 백업만 복구하면 다시 침해될 수 있다.

복구 단계에서는 악용된 취약점과 악성 요소를 제거한 후 신뢰할 수 있는 백업본이나 재설치 절차를 통해 시스템을 정상화해야 한다. 복구 후에는 데이터 정합성, 서비스 정상 동작, 보안패치 적용 여부를 확인하고, 재공격 여부를 모니터링해야 한다.

정보보호책임자
개인정보보호책임자
경영진
법무·홍보·고객대응 부서
시스템·네트워크 운영부서
관련 사업부서

사고 개요
발생 시각
탐지 경위
영향 시스템
피해 범위
초기 조치
추가 조치 계획
외부 신고 필요 여부

침해사고나 개인정보 유출 사고 발생 시 내부 보고 체계에 따라 정보보호책임자와 경영진에게 보고하고, 사고 유형에 따라 침해사고 24시간 신고와 개인정보 유출 72시간 신고·통지 요건을 분리해 검토해야 한다.

재발 방지를 위해 사고 원인이 된 취약점을 제거하고 보안패치, 접근권한 조정, 보안장비 정책 개선, 로그 수집 강화, 모니터링 시나리오 추가, 임직원 교육, 사고 대응 절차 개정, 모의훈련을 수행해야 한다. 또한 사고 결과를 위험평가에 반영하여 관리체계를 개선해야 한다.

보고가 늦어진다.
차단과 복구 책임이 불명확하다.
증거가 훼손될 수 있다.
외부 신고와 고객 안내가 지연된다.

침해사고 대응 조직은 사고 발생 시 신속한 의사결정과 역할 분담을 위해 필요하다. 사고 대응 총괄, 기술 분석, 시스템 복구, 개인정보 대응, 법무, 홍보, 고객대응, 경영진 역할을 사전에 정의하고 비상연락망과 외부 전문기관 협력 체계를 마련해야 한다.

침해사고 증거는 원인 분석과 법적 대응의 근거이므로 원본 훼손을 최소화하고, 가능한 복제본을 생성하여 분석해야 한다. 로그, 메모리, 디스크 이미지, 악성 파일, 네트워크 패킷 등을 수집하고 해시값으로 무결성을 검증하며, 수집자·시간·인수인계 이력을 기록하여 증거 연계성을 유지해야 한다.

침해사고 보고서에는 사고 개요, 발생·탐지 시각, 탐지 경위, 사고 유형, 영향 시스템, 피해 범위, 원인 분석, 공격 경로, 대응 조치, 복구 결과, 증거 목록, 신고·통지 내역, 재발 방지 대책과 향후 개선 계획이 포함되어야 한다.

보안관제는 방화벽, IDS/IPS, WAF, 서버, DB, 네트워크 장비 등에서 발생하는 로그와 이벤트를 수집·분석하여 보안 위협을 탐지하고 대응하는 활동이다.

보안관제 = 보안 이벤트를 계속 지켜보고 이상 징후에 대응하는 활동

SIEM = Security Information and Event Management

VPN 해외 로그인 성공
→ 곧바로 관리자 페이지 접속
→ 대량 DB 조회
→ 외부 파일 전송

탐지
→ 감염 시스템 격리
→ 악성 프로세스와 파일 분석
→ 감염 경로 확인
→ 악성코드 제거
→ 백업 복구
→ 패치와 보안설정 강화
→ 사용자 교육

격리, 백업 복구, 패치, EDR, 사용자 교육

웹 로그와 WAF 로그 분석
공격 파라미터와 취약 URL 확인
공격 IP 차단
취약 코드 수정
웹셸·변조 파일 점검
DB 유출 여부 확인
WAF 정책 강화

로그 분석, 취약점 수정, 웹셸 점검, DB 영향 확인

인증 로그 분석
비정상 IP와 접속 시간 확인
해당 계정 잠금
비밀번호 재설정
MFA 적용
접근 이력 조사
권한 오남용 확인
사용자 통지

계정 잠금, 비밀번호 변경, MFA, 접근 이력 분석

트래픽 급증 탐지
공격 유형 분석
방화벽·IPS·ACL·Rate Limiting 적용
DDoS 방어센터 연계
CDN·Anycast·로드밸런싱 활용
서비스 복구
공격 패턴 분석

트래픽 분석, 차단·완화, 방어센터 연계, 분산

유출 여부와 범위 확인
유출 항목과 정보주체 규모 파악
추가 유출 차단
증거 보존
내부 보고
관계기관 신고와 정보주체 통지 검토
피해 최소화 조치
재발 방지

1. 사고 유형과 중요도 판단
2. 사고 대응 조직과 책임자에게 보고
3. 로그와 증거 보존
4. 피해 확산 방지를 위한 차단·격리
5. 웹·서버·DB·보안장비 로그 분석
6. 공격 경로와 원인 파악
7. 유출·변조·삭제 등 피해 범위 확인
8. 악성코드, 웹셸, 백도어 제거
9. 취약점 패치와 보안설정 강화
10. 백업 복구와 서비스 정상화
11. 관계기관 신고·정보주체 통지 여부 검토
12. 사고 보고서 작성
13. 재발 방지 대책 수립
14. 위험평가와 관리체계 개선

1. WAF에서 SQL Injection 공격 탐지
2. 웹 로그에서 동일 IP의 반복 공격 확인
3. DB 로그에서 비정상 대량 조회 확인
4. 사고 대응 조직에 보고
5. 공격 IP와 취약 URL 임시 차단
6. 웹 서버와 DB 로그 보존
7. 유출 가능 데이터 범위 분석
8. 취약 코드 수정과 Prepared Statement 적용
9. DB 계정 권한 점검
10. 서비스 복구와 모니터링 강화
11. 개인정보 유출 여부에 따라 신고·통지 검토
12. 사고 보고서 작성
13. 개발자 보안교육과 WAF 룰 개선
14. 위험평가에 반영

탐지 → 보고 → 증거 보존 → 분석 → 차단 → 제거 → 복구 → 신고·통지 검토 → 재발 방지

위험관리는 자산을 식별하고 자산 가치를 평가한 뒤, 자산에 대한 위협과 취약점을 식별하여 위험의 가능성과 영향을 분석·평가하는 과정이다. 이후 위험 감소, 회피, 전가, 수용 중 적절한 처리 방법을 선택하고, 보호대책 적용 후 남는 잔여위험을 책임자의 승인 하에 지속적으로 관리해야 한다.

보호대책은 위험 수준, 자산 중요도, 법규 요구사항, 비용·효과, 업무 영향, 기술적·운영적 가능성을 고려하여 선정해야 한다. 또한 단일 대책에 의존하지 않고 관리적, 기술적, 물리적 대책을 조합하여 위험을 허용 가능한 수준으로 낮추어야 한다.

침해사고 대응은 사전 준비, 사고 탐지, 초기 대응, 원인과 피해 범위 분석, 피해 확산 차단, 악성 요소 제거, 서비스 복구, 보고와 신고, 사후 분석 및 재발 방지 순서로 수행한다. 각 단계에서 로그와 증거를 보존하고, 사고 대응 조직의 역할에 따라 신속하게 조치해야 한다.

침해사고 증거는 원인 분석, 피해 범위 확인, 법적 대응, 재발 방지의 근거가 되므로 훼손되지 않도록 보존해야 한다. 로그, 메모리, 디스크 이미지, 악성 파일, 네트워크 패킷 등을 수집하고 해시값으로 무결성을 검증하며, 수집자·시간·인수인계 이력을 기록하여 증거 연계성을 유지해야 한다.

침해사고 보고서에는 사고 개요, 발생·탐지 시각, 탐지 경위, 사고 유형, 영향 시스템, 피해 범위, 원인 분석, 공격 경로, 대응 조치, 복구 결과, 증거 목록, 신고·통지 내역, 재발 방지 대책과 향후 개선 계획이 포함되어야 한다.

보안관제는 방화벽, IDS/IPS, WAF, 서버, DB, 네트워크 장비 등에서 발생하는 로그와 이벤트를 모니터링하여 보안 위협을 탐지하고 대응하는 활동이다. SIEM은 이러한 로그를 통합 수집·정규화하고 상관분석하여 단일 로그로는 파악하기 어려운 공격 흐름을 탐지하고 사고 분석과 보고를 지원한다.

위험관리는 자산에 대한 위협과 취약점을 식별하고 위험을 분석·평가하여 적절한 보호대책을 수립·적용하며 잔여위험을 관리하는 과정이다.

보호대책은 위험 수준, 자산 중요도, 법규 요구사항, 비용·효과, 업무 영향, 운영 가능성을 고려하여 선정해야 한다.

잔여위험은 보호대책 적용 후에도 남아 있는 위험이며, 조직의 위험 수용기준에 따라 책임자 또는 경영진의 승인을 받아 관리해야 한다.

침해사고는 해킹, 악성코드, 정보 유출, 데이터 변조, 서비스거부 공격 등으로 정보시스템의 기밀성·무결성·가용성이 침해된 사고를 의미한다.

침해사고 대응은 준비, 탐지, 초기 대응, 분석, 차단, 제거, 복구, 보고, 사후 분석, 재발 방지 순서로 수행한다.

침해사고 초기 대응에서는 피해 확산 방지와 증거 보존이 중요하다.

사고 분석 단계에서는 사고 발생 시점, 공격 경로, 악용된 취약점, 사용된 계정, 영향 시스템, 유출·변조된 데이터 범위를 확인해야 한다.

복구 단계에서는 악성 요소와 취약점을 제거한 후 신뢰할 수 있는 백업본이나 재설치 절차를 통해 서비스를 정상화해야 한다.

침해사고 증거는 로그, 메모리, 디스크 이미지, 악성 파일, 네트워크 패킷 등을 수집하고 해시값으로 무결성을 검증해야 한다.

침해사고 보고서에는 사고 개요, 피해 범위, 원인 분석, 대응 조치, 복구 결과, 신고·통지 내역, 재발 방지 대책이 포함되어야 한다.

보안관제는 보안장비와 시스템 로그를 수집·분석하여 보안 위협을 탐지하고 대응하는 활동이다.

SIEM은 여러 로그를 통합 수집하고 상관분석하여 침해사고 탐지와 분석을 지원하는 시스템이다.

1. 위험관리란 무엇인가?
2. 위험관리 절차를 순서대로 쓰시오.
3. 위험평가란 무엇인가?
4. 위험평가 시 고려해야 할 요소 5가지를 쓰시오.
5. 보호대책 선정 시 고려사항 5가지를 쓰시오.
6. 잔여위험이란 무엇인가?
7. 잔여위험 관리가 필요한 이유는 무엇인가?
8. 침해사고란 무엇인가?
9. 침해사고 유형 5가지를 쓰시오.
10. 침해사고 대응의 목적 5가지를 쓰시오.
11. 침해사고 대응 절차를 순서대로 쓰시오.
12. 침해사고 준비 단계에서 해야 할 일 5가지를 쓰시오.
13. 침해사고 탐지 수단 5가지를 쓰시오.
14. 침해사고 징후 5가지를 쓰시오.
15. 초기 대응 단계에서 중요한 활동 4가지를 쓰시오.
16. 사고 분석 단계에서 확인해야 할 질문 5가지를 쓰시오.
17. 차단과 격리 조치 예시 5가지를 쓰시오.
18. 제거 단계에서 수행해야 할 활동 5가지를 쓰시오.
19. 복구 단계에서 수행해야 할 활동 5가지를 쓰시오.
20. 침해사고 보고서에 포함되어야 할 항목 7가지를 쓰시오.
21. 증거 보존이 중요한 이유는 무엇인가?
22. 증거 보존 원칙 5가지를 쓰시오.
23. 보안관제란 무엇인가?
24. SIEM의 역할 5가지를 쓰시오.
25. 랜섬웨어 사고 대응 절차를 간단히 쓰시오.
26. 웹 해킹 사고 대응 절차를 간단히 쓰시오.
27. 계정 탈취 사고 대응 절차를 간단히 쓰시오.
28. DDoS 사고 대응 절차를 간단히 쓰시오.
29. 개인정보 유출 사고 발생 시 확인해야 할 항목 5가지를 쓰시오.
30. 재발 방지 대책 5가지를 쓰시오.

31. 사고가 발생하기 전 사고 대응 조직, 비상연락망, 로그 수집 체계를 마련한다.
32. WAF에서 SQL Injection 공격 이벤트가 발생했다.
33. 랜섬웨어 감염 PC를 내부망에서 분리했다.
34. 사고 발생 시각, 공격 IP, 공격 URL, 피해 DB를 확인한다.
35. 웹셸 파일을 격리하고 취약한 업로드 기능을 수정했다.
36. 정상 백업본으로 서버를 복구하고 서비스 동작을 확인했다.
37. 로그, 디스크 이미지, 악성 파일을 수집하고 해시값을 계산했다.
38. 사고 원인을 분석해 보안패치와 WAF 정책을 개선했다.
39. 여러 장비 로그를 통합해 VPN 로그인, 관리자 접속, DB 조회 이벤트를 연결 분석했다.
40. 개인정보 유출 가능성이 있어 유출 항목, 규모, 정보주체, 신고·통지 필요성을 검토한다.

41. 위험관리 절차를 설명하시오.

42. 보호대책 선정 시 고려사항을 설명하시오.

43. 침해사고 대응 절차를 설명하시오.

44. 침해사고 발생 시 증거 보존이 중요한 이유와 방법을 설명하시오.

45. 침해사고 보고서에 포함되어야 할 내용을 설명하시오.

46. 보안관제와 SIEM의 역할을 설명하시오.