본문내용
1. 사이버테러 대응 매뉴얼
1.1. 적용범위
본 매뉴얼의 적용범위는 웜, 바이러스, 해킹, 랜섬웨어 등 사이버공격으로 인한 사내 정보통신망 마비 시에 정보보안 담당부서 및 위기상황이 발생한 단위부서의 위기관리 활동 전반에 대하여 적용된다"이다.사이버공격으로 인한 정보통신망 마비 상황에서 정보보안 담당부서와 위기상황 발생 단위부서의 위기관리 활동 전반을 다루는 것이 본 매뉴얼의 주요 적용범위라고 할 수 있다. 이를 통해 신속한 사고 대응 및 복구를 통해 피해를 최소화하는 것이 주된 목적이라고 할 수 있다.
사이버공격의 유형으로는 웜, 바이러스, 해킹, 랜섬웨어 등이 언급되고 있는데, 이러한 다양한 유형의 사이버 위협에 효과적으로 대응하기 위한 체계적인 매뉴얼이 필요하다고 볼 수 있다. 특히 정보통신망 마비와 같은 심각한 피해가 발생할 수 있는 상황에 대비하여 부서 간 협업과 통합적인 위기관리가 중요함을 알 수 있다.
따라서 본 매뉴얼은 사이버 위협에 대한 체계적인 대응 및 복구 체계를 구축하여 피해를 최소화하는 데 기여할 것으로 기대된다. 특히 정보보안 담당부서와 위기상황 단위부서의 긴밀한 협력과 통합적 대응을 통해 신속하고 효과적인 위기관리가 가능할 것으로 보인다.
1.2. 목적
본 매뉴얼의 목적은 당사 정보기술시스템(ITS)에 대한 해킹, 인터넷 웜, 랜섬웨어, 서비스 거부공격과 같은 사이버 공격에 대해 침해사고대응체계와 절차를 규정하여 신속한 대응 복구로 피해를 최소화하는 것이다.""
1.3. 정보보안조직
정보보안조직은 해킹, 인터넷 웜, 랜섬웨어, 서비스 거부공격과 같은 사이버 공격에 대해 신속한 대응 및 복구로 피해를 최소화하기 위해 구성된다. 정보보안조직은 사이버 공격 발생 시 피해 최소화 조치 및 신고, 대응책 마련, 사고 대응 지원, 부서 협조 체계 유지 등의 역할을 담당한다.
정보보안조직은 크게 사이버공격으로 인한 사고 발생 또는 징후 발견 시 피해 최소화 조치 후 신고, 사고에 대한 대응책을 마련하여 부서 내부에 공지하거나 사고 대응을 직접 수행, 사고에 대한 증거 확보 및 보존, 사이버안전 유관 부서와 긴밀한 협조체계 유지, 부서 특성에 맞는 사이버침해사고 대응 및 복구지침 작성 등의 임무와 기능을 수행한다.
정보보안조직에서는 사전 준비, 사고 인지, 침해사고 확산 방지, 시스템 분석과 원인 제거, 시스템 복구 및 서비스 재개, 보고서 작성 등의 과정을 거치며, 사이버 공격 발생 징후 발견 시 신속한 대응을 통해 피해를 최소화하고자 한다.""
1.4. 대응절차
""사이버테러 대응 절차는 사고 발생 이전 사전준비, 사고 발생 인지, 대응조치, 복구 및 재개, 보고 절차로 이루어진다. 사전준비 단계에서는 침해사고 대응팀을 구성하고 훈련하며 비상연락체계를 구축하고 침해사고 접수창구를 마련한다. 사고 발생 인지 단계에서는 직원들의 신고, 네트워크 모니터링, 보안장비를 통해 사고를 감지한다. 대응조치 단계에서는 피해 확산 방지를 위해 감염된 시스템을 네트워크에서 분리하고 네트워크 접근을 통제한다. 시스템 분석과 원인제거 단계에서는 백업본을 활용하여 상세 분석을 수행하고 취약점을 제거한다. 복구 및 재개 단계에서는 백업본으로 시스템을 복구하고 주기적 모니터링을 실시한다. 마지막으로 보고서를 작성하여 상위 관리자에게 보고한다.""
1.5. 세부대응절차
세부대응절차는 사이버테러 사고에 대한 단계별 대응 방법을 상세하게 설명하고 있다.
5.1 사전준비 단계에서는 침해사고 대응팀을 구성하고 훈련하며, 대응 계획을 수립하고 비상연락체계를 구축하는 등 신속한 사고 처리를 위한 준비 활동을 한다. 네트워크 모니터링 센터를 운영하고 침해사고 접수 창구를 마련하며, 신규 취약점이나 바이러스 정보를 수집한다.
5.2 사고인지 단계에서는 내부 직원의 신고, 네트워크 장비 상태 확인, 침입탐지시스템 등을 통해 사고 발생 사실을 인지한다.
5.3 침해사고 확산방지 단계에서는 감염된 서버를 네트워크로부터 분리하거나 접근을 통제하는 등 신속한 조치를 취하여 피해의 확산을 방지한다.
5.4 시스템분석과 원인제거 단계에서는 백업 본을 활용하여 해킹의 원인과 피해 정도를 상세히 분석하고, 취약점을 제거하기 위한 대책을 마련한다. 회사의 전반적인 보안 수준을 평가하고 관리적·기술적·물리적 보안대책을 수립한다.
5.5 시스템 복구 및 서비스 재개 단계에서는 피해 시스템을 백업 본을 이용하여 복구하고, 공격자가 남긴 백도어 프로그램이 존재하지 않는지 확인한 후 서비스를 재개한다. 일정 기간 동안 모니터링하며 재침입 시도나 비정상적 작동을 감시한다.
5.6 보고서 작성 단계에서는 사고 대응 전 과정을 상세히 기록하여 보고서로 작성한다. 이는 법적 증거자료로도 활용될 수 있으며, 침해사고대응팀원 간 경험 공유에도 유용하다. 보고서에는 해당 침해사고에 대한 원인과 대응 내용뿐만 아니라 중장기적인 정보보호 대책도 포함한다.
5.7 국가 신고 연락처 단계에서는 국가정보원, 교육사이버안전센터 등 유관 기관에 침해사고를 신고하고 협조를 요청한다.
이와 같이 사이버테러 사고에 대한 단계별 세부 대응절차를 마련하여 신속하고 체계적인 대응이 가능하도록 하고 있다.
1.6. 정보보안 장애처리 방법
PC 장애처리 세부 순서도는 PC 장애 발생 시 처리 절차를 단계별로 보여주고 있다. 먼저 장애 발생을 인지하고 해당 사항을 신고한다. 그 다음 장애 원인을 진단하고 조치한다. 장애가 해결되지 않으면 관리지원팀에 추가 지원을 요청한다. 또한 정보보안 장애가 발생할 경우, 정보보안 담당자에게 즉시 연락하여 피해를 최소화하고자 하는 것을 알 수 있다. 전화 장애처리 세부 순서도와 네트워크 장애처리 세부 순서도 또한 각 장애 유형에 따른 단계별 대응 절차를 보여주고 있다. 이를 통해 사이버테러로 인한 정보보안 장애 발생 시 신속하고 체계적인 대응이 가능할 것으로 보인다.
1.7. 기록관리
본 매뉴얼에서 발생된 문서 및 기록은 관련 법규정에 정한 기한이 있는 경우 그에...
