[도서 정리] 29. CSIRT - 보안의 기본

29. CSIRT - 보안의 기본

-

CSIRT(Computer Security Incident Response Team)는 발생한 보안 사고에 대해 전문적인 지식과 적절한 다른 사람과의 인터페이스를 가지고 대응하는 팀이다.

한국어로 하면 컴퓨터 보안 사고 대응팀이다.

-

CSIRT를 구성하는 멤버에는 다양한 역할이 있다.

가장 중요한 역할은 PoC(Point of Contact)와 커맨더이다.

* 비상시 외에는 비상시를 줄이기 위해 힘쓴다.

-

CSIRT 는 보안 사고가 발생했을 때만 움직인다고 생각하는 사람도 많은데, 실제로는 사고 발생 시에만 움직이는 것이 아니다.

대응한 보안 사고로부터 ‘이렇게 해 두면 일어나지 않는다’와 같이 구체적인 예방책이나 개선책을 검토하고, 실행에 옮겨가는 것도 CSIRT 의 역할 중 하나이다.

일 년 내내 보안 사고 대응을 하고 있는 조직은 건전한 조직이라고 말하기 어렵다.

* CSIRT 에는 다양한 설치 형태가 있다.

-

CSIRT 에는 이것이라고 딱 정해진 형태가 없다.

설치하는 사업자의 비지니스 형태나 업종에 따라 다양한 형태를 취할 수 있다.

어떤 경우라도 최소한의 PoC 와 커맨더만은 자사에서 준비하고, 다른 것은 아웃소싱하는 방법도 있다.

이렇게 함으로써 인시던트에 관한 정보를 자사에서 정리한다. 자사의 상황에 맞춘 각종 대책이나 시책을 기획한다와 같은 일을 구체적으로 실시하는 것이 현실적이다.

* 역할와 업무 내용

-

정보 공유

    사내 PoC : 조직 외부 연락 담당

    사외 PoC : 조직 내부 연락 담당

정보 수집 및 분석

    리서처 : 정보 수집 담당

    큐레이터 : 정보 분석 담당

인시던트 대응

    커맨더 : CSIRT 전체 총괄

    인시던트 매니저 : 인시던트 관리 담당

    인시던트 핸들러 : 인시던트 처리 담당

* 다각적인 어프로치

-

보안을 확보해 가기 위한 다각적인 어프로치가 필요하다.

최소한 룰, 기술, 조직이라는 세 가지 시점에서 생각해봐야 한다.

-

룰에 실효성을 가지게 하는 것이 기술이며 조직이다.

보안 폴리시를 판정하기만 하는 것으로 그 폴리시를 준수하기는 어렵다.

결정한 폴시를 준수할 수 있도록 폴리시를 이탈하려고 하는(또는 이탈한) 것을 감지할 수 있도록 하기 위한 기술이 필요하다.

그리고 그 폴리시의 시행 상황을 항상 확인하고 관리를 하기 위한 역할/조직이 필요하다.

보안 사고가 발생했을 때의 대응 체제도 필요하고, 사고 대응을 위해 필요한 기술도 존재한다.

-

보안에는 균형이 중요하다.

투자한 비용과 대응하는 리스크의 밸런스를 잘 봐야 한다.

29. CSIRT - 보안의 기본, Commander, Computer Security Incident Response Team, CSIRT, POC, point of contact, 다각적인 어프로치, 대응 리스크, 룰 기술 조직, 리서처, 보안 사고, 보안 사고 개선책, 보안 사고 대응팀, 보안 사고 예방책, 보안 폴리시, 보안의 균형, 비상시 외 역할, 사내 poc, 사외 poc, 인시던트 매니저, 인시던트 핸들러, 정보 공유, 정보 분석 담당, 정보 수집 담당, 정보 수집 및 분석, 커맨더, 컴퓨터 보안 사고 대응팀, 큐레이터, 투자 비용