- 출처 : 그림으로 배우는 보안구조
8. 위험에 대한 적절한 대응이란
올바른 위험 대응은 적절한 위험 평가로부터
- 정보 자산을 보호하기 위해서는 관리 대상 하나하나에 대해서 어떤 위험이 있는지 생각하지 않으면 안된다.
- 각 정보 자산에 대한 위험의 유무, 피해가 발생했을 떄의 영향도, 발생하는 빈도, 복구에 걸리는 시간 등을 확실하게 확인하여 위험을 평가한다.
- 위험 평가(Risk Assessment)
- 위험을 파악, 분석하고 평가하는 전체 프로세스.
- 위험 관리(Risk Management)
- 또한 "위험 평가로부터 위험 대응까지"를 총칭
위험관리와 위험 평가
- 위험식별
- 자산의 식별
- 위험의 명확화
- 위험분석
- 영향도 분석
- 발생 빈도의 분석
- 위험평가
- 허용할 수 있는가(위험 기준과 비교)
- 우선 순위 설정
- 위험대응
- 대응책의 수립
- 대응계획의 작성
위험 대응 4종류
- 위험을 분석하고 평가한 후 해당하는 위험에 어떻게 대응할 것인지 생각해야 한다.
- 일반적으로 위험대응은 위험회피, 위험감소, 위험이전, 위험보유의 4가지로 나뉜다.
- 위험 회피
- 위험 그 자체를 없애는 것
- 어떤 소프트웨어를 사용할 때 위험이 있는 경우 해당 소프트웨어를 사용하지 않는것
- 서류를 분실할 위험이 있는 경우 서류를 보관하고 나가지 않는 방법을 검토하는 것
- 위험 감소
- 위험의 발생 확률과 피해를 감소시키는 것
- 바이러스 백신 소프트웨어 도입 또는 소프트웨어 업데이트 등
- 위험 이전
- 위험을 다른 회사와 나누거나 대체 수단을 획득하는 것
- 아웃소싱을 통해 업무를 외부 사업자에게 위탁하고, 위험이 현실화되면 보험으로 대응하는 등
- 위험 보유
- 위험 방지를 하지 않거나 위험을 받아드리는 것.
- 영향이 그다지 크지 않은 위험인 경우 대응 비용을 생각해서 대응을 하지 않는 것도 하나의 방법이다.
Point
- 위험 평가로부터 위험 대응까지를 포함한 활동을 위험 관리라고 한다.
- 위험 대응은 크게 4개로 구분되며, 그 발생 가능성과 손해의 크기에 따라 대책을 검토한다.
9. 부적절한 콘텐츠로부터 보호
기업에도 도입이 확산되는 "URL 필터링"
- 인터넷에는 공공의 질서와 선량한 풍속에 반하는 사이트 및 방문한 것만으로 악성 코드에 감염되는 사이트가 있다.
- 이러한 사이트에 의도치 않게 접속하게 되는 이용자를 보호해야 한다.
- 미성년자 들이 악질적인 사이트에 접속할 수 없도록 하는 기술의 하나로 URL필터링이 있다.
- 접속하고자 하는 URL이 유해한 URL 목록에 포함되어 있는지 판단하는 기법이 일반적
- 최근에는 기업에서도 직원의 생산성 향상(업무와 관련없는 사이트에 접속하지 않는다.)을 위해, 게시판의 게시물을 통한 정보 유출로부터 조직을 보호하기 위해 도입이 증가하고 있다.
페이지 내용으로부터 접속 가능 여부를 판단한다.(콘텐츠 필터링)
- URL 필터링에서 허용하는 URL을 하나 하나 관리하는 것은 힘든일이다.
- 그래서 표시하려고 하는 콘텐츠 내용을 감시하여 유해 정보 여부를 판단하는 콘텐츠 필터링이 있다.
- 부적절한 키워드가 포함된 페이즈 등 그 내용에 문제가 있는 경우 접속을 거부하거나, 직장, 학교 등에서 사적으로 네트워크를 이용하면 통신을 차단하는 방법이 사용된다.
- 다만, 청소년 보호 목적이라면 필터링이라고 생각되지만, 공급자가 수행하게 되면 "인터넷 검열"에 해당될 가능성이 있다.
- 예를들면, 헌법에는 "검열을 하면 안된다. 통신의 비밀이 침해받아서는 안된다."라고 되어 있다.
- 또한 전기통신사업법에 "전기통신 사업자가 취급 중에 관련된 통신은 검열되어서는 안 된다." "전기통신 사업자의 취급 중에 관련된 통신의 비밀이 침해되어서는 안된다." 라고 규정되어 있다.
Point
- 유해한 사이트로부터 이용자를 보호하는 방법으로 URL 필터링과 콘텐츠 필터링이 있다.
- 공급자 등 통신 사업자가 마음대로 검열하는 것은 헌법과 기타 법률에서 금지되어 있다.
10. 문제의 원인을 규명하는 단서는 기록
정확성이 요구되는 로그 관리
- 어떤 문제가 발생했을 때 그 원인을 규명하기 위해서는 기록이 필요하다.
- "언제", "어디서", "누가", "무엇을" 수행했는지 모른다면 상황이 파악되지 않으며 동일한 문제가 재발할 수도 있다.
- 이것은 공격이 이루어지는 경우에도 동일하다.
- 공격자가 노리고 있는 취약점을 파악하고 근본적으로 해결하지 않으면 동일한 수법으로 공격을 받게 되어 피해가 발생하게 된다.
- 피해가 발생해서 조사할 때는 저장되어 있는 로그를 분석하게 된다.
- 그러나 증거로 사용되기 위해서는 로그의 정확성이 중요하다.
- 또한 문제가 발생하지 않아도 로그를 정기적으로 확인하는 것이 필요하다.
- 로그가 기록되는 곳
- 입퇴실, 네트워크에서 접속과 공격
- 손으로 쓴 기록, 문의 대응
- 택배로 배달, USB연결
- 마우스 조작, 검침- 로그의 효과
- 부정방지
- 로그를 보고 있다느 것을 의식하면 부정행위를 주저하기 때문에 내부 범행을 억제할 수 있다.
- 전조감지
- 평상시 로그를 확인하다 보면 이상시의 전조를 발견할 수 있다.
- 사후조사
- 로그 분석을 통해 정확하고 빠른 대처와 복구가 가능해진다.
- 부정방지
모니터링의 주의점
- 이미 로그를 모니터링하고 있는 기업은 적지 않다. 그러나 실제로는 "뭔가 사건이 일어났기 때문에"로그를 보고 그 원인을 파악하는 경향이 있다.
- 실시간으로 공격의 발생 여부를 파악하려면 평상 시의 상태를 파악하는 것이 필요하다.
- 그러면 보통 떄와 다른 움직임이 있으면 비정상이므로 눈치챌 수 있다.
- 그러나 여러 시스템의 로그를 함께 분석할 수 없다면 공격을 발견할 때 까지 시간이 걸리고, 원인을 파악하기도 어렵다.
- 실제로는 각 시스템마다 개별적으로 로그가 만들어지거나 로그 형식이 통일되어 있지 않는 문제가 있어 로그를 통합하는 제품이 많이 등장하고 있다.
- 예를들어 로그를 시간에 따라 늘어놓는 것만으로 공격의 흐름을 쉽게 할 수 있을지 모른다.
- 평소와 다른 행동에 주의하면 주목하고 감시하는 것이 가능하다.
- 이처럼 실시간으로 진행되는 것이 중요하며, 발생하고 있는 공격을 실시간으로 탐지할 수 있다면 그 시점에 공격에 대처할 수 있다.
Point
- 로그는 쌓아두는 것만으로는 의미가 없으며, 올바르게 보존되어 있는지 여부와 정기적인 확인을 통해 전조를 알아내는 것이 중요
- 로그를 보고 있는 것은 부정을 저지르려는 사람들을 억제하는 효과가 있다.
개발 글 싸개