Incident Response Steps: A Step-By-Step Plan

인시던트 대응은 조직의 시스템 내에서 보안 인시던트를 관리하는 프로세스입니다. 보안 사고는 다양할 수 있지만, 보안 사고를 식별, 수정 및 복구하는 프로세스가 정립되어 있으면 조직에 미치는 영향을 제한하는 데 도움이 될 수 있습니다.

사고 대응 서비스 샘플 보고서 다운로드

인시던트 대응 완화 단계

미국 국립표준기술연구소 (NIST) 에서는 보안 인시던트 관리를 위한 4단계 프로세스를 정의하고 있습니다:

#1. 인시던트 대응 준비

사고가 발생했을 때 조직이 사고에 대비할 수 있도록 하려면 준비는 필수입니다. 준비 단계의 몇 가지 핵심 요소는 다음과 같습니다:

  • 인시던트 대응 계획: 기업은 내부자 위협과 같은 다양한 사이버 위협에 직면하고 있으므로 이에 대응할 수 있는 프로세스를 마련해야 합니다. 예를 들어 효과적인 사고 대응 계획에는 랜섬웨어, 분산 서비스 거부(DDoS) 공격, 데이터 유출 및 기타 사이버 공격을 관리하기 위한 전략이 포함되어야 합니다.
  • 인시던트 대응팀(IRT) 구성하기: IRT는 확인된 인시던트를 관리할 책임이 있으며 신속한 조치를 취할 수 있어야 합니다. 팀을 미리 정의하면 팀원들이 신속하게 대응할 수 있고, 인시던트가 발생하기 전에 대응자를 교육할 수 있는 기회를 제공합니다.
  • 역할과 책임 정의하기: 인시던트 대응 프레임워크에는 신속한 의사 결정과 조치가 필요합니다. 역할과 책임을 미리 정의하여 모든 사람이 자신의 역할과 주요 결정에 대해 누구에게 연락해야 하는지 알 수 있도록 해야 합니다.
  • 커뮤니케이션 채널 구축: 사고에 신속하게 대응할 수 있도록 IRT에 항상 연락할 수 있어야 합니다. 또한 조직은 고위 경영진, 법무, 법 집행 기관, 규제 기관 등 주요 내외부 이해관계자와 연락할 수 있는 채널을 구축해야 합니다.
  • 수행 위험 평가: 사고가 발생하기 전에 미리 예방하는 것이 사후에 관리하는 것보다 항상 낫습니다. 정기적인 위험 평가를 통해 공격자가 악용하기 전에 조직이 폐쇄할 수 있는 보안 격차를 파악할 수 있습니다.

#2. 초기 식별 및 평가

IRT가 인시던트 해결을 시작하려면 먼저 문제가 존재한다는 사실을 알아야 합니다. 인시던트 식별 및 평가를 위한 몇 가지 주요 단계는 다음과 같습니다:

  • 인식 타협 지표 (IoC): IoC는 의심스러운 네트워크 트래픽이나 컴퓨터에 멀웨어가 존재하는 등 사이버 사고가 발생했음을 나타내는 신호입니다. 지속적인 모니터링을 통해 잠재적인 보안 사고를 가리키는 이러한 IoC를 식별할 수 있습니다.
  • 보안 이벤트 탐지 및 분석: 이벤트 모니터링을 통해 IoC 식별 및 인시던트 탐지가 가능합니다. 보안 정보 및 이벤트 관리(SIEM) 및 이와 유사한 솔루션을 사용하는 분석가는 보안 사고를 가리키는 이상 징후나 추세를 식별할 수 있습니다.
  • 인시던트 유형 파악하기: 기업에서는 다양한 보안 인시던트가 발생할 수 있습니다. 인시던트의 유형과 범위를 결정하는 것은 인시던트의 우선순위를 정하고 올바른 대응을 하는 데 중요합니다.
  • 영향 및 위험도에 따라 인시던트 우선순위 지정: 조직은 여러 건의 사이버 공격을 동시에 받을 수 있습니다. 우선순위 지정은 경미한 사고에 대한 대응 때문에 중대한 사고의 관리를 간과하거나 지연하지 않도록 하기 위해 필수적입니다.

#3. 격리, 완화 및 복구

사고가 발생한 후에는 사이버 보안 위협을 억제하고 이를 완화하는 것이 피해를 제한하는 데 필수적입니다.

이 단계의 주요 활동은 다음과 같습니다:

  • 단기 봉쇄 전략: 단기적으로 IRT는 침입의 확산을 신속하게 중단하기 위한 조치를 취해야 합니다. 여기에는 중요한 시스템이나 서비스를 중단하는 등 장기적으로 지속될 수 없는 보다 파괴적인 봉쇄 전략이 포함될 수 있습니다.
  • 장기적인 격리 전략: 조직은 장기적으로 보다 타깃화된 격리 전략이 필요할 수 있습니다. 이 전략은 사고 유형과 영향을 받는 시스템 집합을 기반으로 해야 하며, IRT는 사전에 단기 및 장기 격리 계획을 모두 수립해야 합니다.
  • 침해된 시스템 조사 및 복구: 영향을 받은 시스템이 격리된 후 IRT는 손상된 시스템에 대한 조사 및 수정을 시작할 수 있습니다. 여기에는 표적화된 문제 해결을 가능하게 하고 법적 조치를 뒷받침하기 위한 데이터 및 증거 수집이 포함됩니다.
  • 영향을 받은 시스템 및 서비스 복원하기: 인시던트가 해결된 후에는 영향을 받은 시스템을 정상으로 복원할 수 있습니다. 이 과정에서 IRT는 시스템을 모니터링하고 테스트하여 침입을 완전히 근절하고 완전히 복구할 수 있도록 해야 합니다.

#4. 이벤트 후 활동

인시던트 대응이 완료되면 IRT는 다음과 같은 마무리 활동을 수행할 수 있습니다:

  • 인시던트 문서화: 사고를 완전히 문서화하는 것은 향후 유사한 문제를 방지하고 규정 준수를 유지하기 위한 핵심 요소입니다. 인시던트 대응자는 IR 프로세스 중에 메모를 작성하고 완료 후 공식 문서를 작성해야 합니다.
  • 회고 수행하기: IRT는 일반적으로 보안 사고 발생 후 회고 조사를 실시합니다. 이를 통해 향후 수정할 수 있는 인시던트 대응 프로세스의 문제를 파악할 수 있습니다.
  • 근본 원인 해결: 조사하는 동안 IRT는 인시던트가 발생할 수 있었던 초기 취약점을 파악해야 합니다. 조직은 패치와 업데이트를 적용하거나 보안 제어를 강화하는 기타 조치를 취하여 이 문제를 해결할 수 있습니다.

체크 포인트가 있는 인시던트 대응 서비스

조직에 보안 사고가 발생한 경우 쓰렛클라우드(ThreatCloud) 인시던트 대응이 도움이 될 수 있습니다. 인시던트 대응 핫라인으로 문의하세요.

또한 체크 포인트는 기업이 잠재적인 사고를 대비하고 예방하는 데 도움이 될 수 있습니다. 자세히 알아보려면 근본 원인 분석 및 침해 평가 서비스의 샘플 보고서를 확인하세요.

시작하기

체크 포인트 인시던트 대응

Security Consulting

인시던트 대응 솔루션 요약

관련 항목

클라우드 사고 대응

MDR 보안

랜섬웨어 복구

인시던트 대응

×
  피드백
본 웹 사이트에서는 기능과 분석 및 마케팅 목적으로 쿠키를 사용합니다. 웹 사이트를 계속 이용하면 쿠키 사용에 동의하시게 됩니다. 자세한 내용은 쿠키 공지를 읽어 주십시오.
확인