침해사고대응 지침

 

 

제1조 침해사고대응 절차
  ① 침입자 발견 요령
    1. 시스템관리자는 로그 점검 혹은 실시간 모니터링을 수행할 때 다음 사항에 주의하여 침입흔적을 확인한다.
      가. 같은 사용자 이름으로 두명 이상 동시 로그인이 되고 있는지 확인한다.
      나. 정규 시간외의 시스템 사용자를 확인한다.
      다. 관리자 권한외의 작업수행 시도가 있었는지 점검한다.
      라. 보안 관련 파일의 수정 및 수정 시도가 불법적으로 이루어졌는지 점검한다.
      마. 허가가 되지 않은 파일, 서비스 및 기타 자원의 접근 시도를 확인한다.
      바. 일반 사용자의 홈 디렉토리에 시스템 파일이 존재하는지 확인한다.
      사. 계정 관련 시스템 파일에 관리자 이외의 접근 시도가 있었는지 점검한다.
      아. 네트워크 전송량을 증가시키는 비정상적인 프로그램 실행 작업이 있는지 점검한다.
      자. 한 사용자가 많은 외부 접속을 시도하고 있는지 점검한다.
      차. 시스템의 비정상적인 동작이 있다면 외부의 불법적인 침입이 있는지의 여부를 점검한다.
    2. 침입의 흔적을 발견 시 그 원인이 디지털정보원 및 개발 담당 부서의 관리 담당자나 프로그래머의 실수 때문인지 확인한다.

  ② 침입자의 시스템 내 활동 시 처리 절차
    1. 시스템관리자는 침입자가 시스템 내에서 활동하고 있는 것으로 판단될 때 정보보안관리자에게 즉시 보고를 한다.
    2. 정보보안관리자은 필요시 관련 국가기관 ( KISA, CERT ) 의 협조를 받기 위한 절차를 준비한다. 이때, 협조 의뢰의 최종 결정은 정보보안담당관이 한다.
    3. 침입자의 시스템 내 활동을 발견 시 세부 처리 절차는 다음과 같다.
      가. 내부 단말기에서 침투한 경우 현재의 단말 위치를 확인한다.
      나. 현재 침입자가 시스템 내에 있다면, 가능한 도구나 명령어를 이용하여 침입자에 관련된 정보를 수집한다.
      다. 침입자가 수행하고 있는 명령어를 파일로 저장하거나 기록한다.
      라. 침입자가 중요한 데이터에 접근을 할 경우 또는 침입자를 추적할 자신이 없을 경우 침입자의 연결을 끊는다.
    4. 시스템관리자는 침입자의 시스템 내 활동에 대한 절차 적용 후 보안사고 및 대응결과를 문서로 작성하여 정보보안담당관에게 보고를 한다.

  ③ 침입흔적 발견 시 처리 절차
    1. 로그 파일의 분석 등을 통해 침입한 흔적이 발견된 경우 보안진단 도구나 체크리스트를 이용하여 다음과 같은 사항을 점검한다.
      가. 새로운 계정이 생성되어 있는지 확인한다.
      나. 패스워드 파일이 변경되었는지 확인한다.
      다. 주요 설정 및 실행 파일 등이 변경되었는지 확인한다.
      라. 특정 파일의 접근 모드가 변경되었는지 확인한다.
      마. 시스템 유틸리티가 변경 및 수정되었는지 확인한다.
    2. 데이터의 변조나 불법 접근의 흔적이 있을 경우 해당 서비스를 중지시킨다.
    3. 침입자를 식별하기 위한 증거 수집을 한다.
    4. 백업 등을 이용하여 복구한다.
    5. 시스템관리자는 침입자의 시스템 내 활동에 대한 절차 적용 후 보안사고 및 대응결과서 ( 별지 제 1호 ) 를 작성하여 정보보안담당관에게 보고를 한다.

  ④ 시스템관리자의 처리 절차
    1. 침해사고 발생 시 시스템관리자의 세부 처리 절차는 다음과 같다.
      가. 침해사고의 피해 상황을 파악한다.
      나. 침입자를 식별하기 위한 증거를 수집한다.
      다. 시스템의 복구를 지원한다.
      라. 문제점을 파악하여 대책을 제시한다.
      마. 필요시 교육과학기술부 및 보안관련 수사기관에 침해사고에 대한 수사를 의뢰 한다.
    2. 보안사고 및 대응결과서와 보안사고 발견 및 조치대장 ( 별지 제 2호 ) 을 작성한다.
    3. 교육 및 홍보를 강화하고 동일 문제가 재발하지 않도록 한다.

 

제2조 보안취약성 대응 절
  ① 보안취약성 발견
    1. 시스템관리자는 주기적으로 시스템을 모니터링하여 시스템이나 소프트웨어의 보안취약성을 파악한다.

  ② 보안취약성 발견 대응
    1. 시스템관리자는 보안취약성 발견 시 다음과 같이 대응한다.
      가. 화면상의 메시지들 또는 로그 결과들에 대하여 기록한다.
      나. 컴퓨터를 고립시키고 작업을 중지한다.
      다. 시스템관리자와 취약성에 대해 점검한다.
      라. 시스템관리자의 허가가 이루어지기 전까지는 의심스런 소프트웨어를 제거 하지 않는다.
      마. 보안사고 및 대응결과서를 작성한 뒤 정보보안담당관에게 즉시 보고한다.
    2. 정보보안담당관은 처리 결과를 보안사고 및 대응결과와 보안사고 발견 및 조치로 나누어서 별도로 문서화한다.

 

 

부 칙

 

이 지침은 2013년 5월 13일부터 시행한다.