보안관련 직무: CERT(침해사고 대응팀)이란?

1. CERT란?

etc-image-0

 

화재가 일어났을때 소방관이 화재를 진압한다. 그렇다면, 보안사고가 발생하면 누가 처리 할까? 여기서 CERT가 등장한다.

 

CERT는 조직내에서 침해사고가 발생했을 때, 사고의 원인과 피해규모를 신속하게 파악하여 피해를 최소화하기 위한 대책을 마련하고, 사고조치 이후에는 재발방지를 위한 보안정책 수립 및 보안강화 등의 업무를 수행하는 직무이다.
 
침해사고대응팀(CERT, Computer Emergency Response Team)

기업 등 한 조직內에서 발생하는 침해사고 대응을 위해 사고처리 및 피해 복구, 보안정책 수립, 보안강화 등의 임무를 수행하는 대응조직

출처: KISA 정보보호용어

 

 

1.1 CERT와 보안관제의 차이점

CERT와 보안관제는 침해사고 대응과 밀접하게 연관되어 있으며, 회사의 규모에 따라 보안관제업무를 수행하다가 침해사고가 발생하면 CERT업무도 수행한다. 하지만 둘의 주요 업무에는 차이가 있다.

 

보안관제는 24시간 365일 보안장비를 실시간 모니터링하여, 침해사고를 탐지하고 초기대응 하는데 집중한다면, CERT는 침해사고의 근본적인 발생원인을 파악해 사고 조치와 재발 방지를 위한 대책을 수립한다.

etc-image-1
출처:   https://www.kisa.or.kr/2060204/form?postSeq=11&page=1

 
 

2. CERT 업무 및 절차

etc-image-2
출처: https://rybbit-life-debugging.tistory.com/21

CERT 전체적인 업무 절차는 보안관제와 매우 유사하다. 사고를 예방하기 위한 보안교육, 모의훈련등을 수행하고, 사고가 발생시 침해사고에 대한 악성코드 분석, 취약점분석, 포렌식등을 수행하여 보고서를 작성하고 이를 공유하고 개선하는 과정을 통해 동일한 침해사고를 예방하는 과정을 거친다.

 

하지만 보안관제는 주요 업무가 보안 장비를 모니터링 하는 업무이기 때문에 상대적으로 루틴화 되어있고 수동적인 편이다. 그에 반에 CERT는 침해사고에 대응하기 위한 다양한 지식을 습득하기 위해 세미나 참여와 교육의 기회가 많고, 사고를 처리하고 대응하는 직무 특성상 보안관제 업무보다 능동적인 편이다.

 

 

보안관제

1. 보안관제란? 보안관제란 IT 자원을 보호하기 위해 보안 장비를 24시간 365일 실시간으로 모니터링하는 업무입니다. 보안관제 업무담당자는 IP와 Port 등의 네트워크 정보를 분석하여 악성 트래

rybbit-life-debugging.tistory.com

 

 

2.1 CERT가 수행하는 업무 또는 역량

CERT는 다양한 역량을 요구하기 때문에, 신입으로 들어가기는 어려운 편이며 보안관제 직무에서 2년 이상의 경력을 쌓고 전직을 하는 경우가 일반적이다. 보안 및 네트워크 기초지식은 너무 기본이라서 역량에서 제외하였다.

 

1) 최신 보안 정보 수집

  • 최신 공격 기법 동향 파악 (예: DDoS, APT, 랜섬웨어 등)
  • 새로운 취약점 및 제로데이 공격에 대한 정보 수집
  • 수집된 정보를 바탕으로 상세한 분석 및 대응 보고서 작성
  • 보안 커뮤니티 및 타 기관과의 정보 공유 네트워크 유지

2) 보안 장비 운영 및 최적화

  • IDS/IPS 탐지 패턴 개발 및 튜닝 (예: Snort, Suricata 등)
  • 웹 애플리케이션 방화벽(WAF) 규칙 업데이트 및 관리
  • 방화벽(FW) 정책 검토 및 최적화
  • SIEM(예: Splunk) 활용:
    • 이상 징후 탐지를 위한 상관관계 분석 시나리오 개발
    • 보안 현황을 한눈에 파악할 수 있는 대시보드 구축

3) 로그 분석

  • 방화벽, IDS/IPS, 서버, 애플리케이션 등 다양한 로그 수집 및 분석
  • 인바운드/아웃바운드 트래픽 연관 분석을 통한 공격 경로 및 방법 파악

4) 취약점 분석

  • 발견된 취약점에 대한 대응방안
  • 중요 시스템에 대한 모의해킹 및 침투 테스트 수행
  • 공격에 악용된 취약점 식별 및 분석

5) 악성코드 분석

  • 감염된 시스템에서 악성코드 샘플 수집
  • 정적/동적 분석을 통한 악성코드의 기능 및 목적 파악
  • 악성코드 제거 방법 수립

6) 디지털 포렌식

  • 증거 수집 및 보존
  • 타임라인 분석을 통한 공격 과정 재구성
  • 데이터 복구 및 숨겨진 정보 발견

7) 개발 업무

  • Python 등 프로그래밍 언어를 활용한 보안 업무 자동화 도구 개발
  • 위협 정보 수집 및 분석을 위한 크롤러 또는 API 기반 도구 개발

 

 

참고자료