15. 개인정보 침해사고 대응

 

◎ 개인정보 침해사고 대응

개인정보 운영센터(POC)의 핵심적인 활동은 침해사고의 사전 예방 및 발생 시 효과적인 대응체계를 구축하는 것.

• 침해사고 예방
• 침해 징후 파악 및 보고
• 침입자 발견 시 조치 방법
• 침입 후 사후처리
• 사후 분석 및 보고

 

1) 침해 사고 예방

침해 사고 예방 부분에서 보안 담당자는 내부 및 불법침입자를 감지할 수 있는 대책을 마련하여야 한다. 시스템 운영 실무자는 보안사고 신고를 위한 보안 담당자의 이메일 주소나 전화번호 등을 목록으로 관리하여야 한다.

 

2) 침해 징후 파악 및 보고

침해 징후 파악 및 보고 부분에서 시스템 운영 실무자는 자신의 시스템에 비정상적인 활동이나 징후가 보이면 확인 및 점검 후 침입사고로 판단될 경우 보안 담당자에게 보고해야 한다.

• 한 사용자가 둘 이상 로그인 한 경우
• 일반사용자가 컴파일러, 디버거를 사용하고 있는 경우
• 네트워크에 과도한 부하를 발생시키는 프로그램을 실행한 경우
• 시스템 관리자가 아닌데 관리자 명령을 하는 경우
• 침임탐지시스템 등 정보보호 시스템에서 경고가 발생한 경우
• 기타 침해의 징후로 의심이 되는 경우

 

3) 침입자 발견 시 조치방법

보안 담당자 및 시스템 운영 실무자는 침입자에 의한 주요 데이터 변경, 삭제 및 관리자 권한 획득 등의 시스템의 보호에 심각한 문제가 발생하는 경우 즉시 접속을 차단한다. 그렇지 않은 경우에는 다음과 같은 조치를 취한다.

1. 접속을 추적한다.
2. 침입자의 접속을 차단한다.
3. 침입자 및 해당 시스템/사이트 관리자에게 메시지를 보낸다.

 - 침입자의 이메일 주소가 파악된 경우 경고 메시지를 보낸다.

 - 직접적인 신속한 대응이 필요할 경우에 전화를 사용한다.

 

○ 공격이 진행 중일 경우

 - 내부 네트워크 사용자의 공격인지, 외부에서 네트워크를 통해 접근한 공격인지 파악한다.

 - 내부 사용자에 의한 것이라면 인가된 사용자에 의한 공격인지 도용한 공격인지 확인한다.

 

○ 네트워크가 끊어져도 큰 문제가 없다면

 - 우선 네트워크 연결을 중지한다.

 

○ 네트워크 연결을 중단시킬 수 없다면

 - 침입자의 사이트에서 들어오는 모든 사용자의 접속을 중단한다.

 

○ 침입자의 사이트에서 들어오는 사용자들의 접속을 중단시킬 수 없다면

 - 사용자들의 계정을 폐쇄한다.

 

○ 공격을 당한 경우라면

 - 침입자가 어떠한 방법으로 네트워크 및 시스템에 접근한 것인지 확인 후 공격 루트를 차단한다.

 

< 접속 추적 단계 및 방법 >

 

4) 침해 후 사후처리

침입 후 사후처리 단계에서 침입을 차단했거나 침입한 흔적이 발견된 경우 보안진단 도구 등을 이용하여 다음과 같은 여러가지 사항을 점검해야 한다.

• 새로운 계정 존재 여부
• Password 파일의 변경, 접근권한 변경 여부
• 외부에서 허가 없이 접속 가능한 파일들의 변경 유무
• 특정 파일의 접근모드 변경 여부
• 시스템 유틸리티의 변경 및 수정 여부
• 기타 해킹 스크립터를 이용한 경우 변경될 수 있는 부분

 

5) 사후 분석 및 보고

○ 침입이 중대한 침해 사고로 판단된 경우
 - 반드시 보안 담당자에 의해 철저한 조사 이행

 

○ 법이나 규정상 보안사고를 외부기관에 보고해야 할 경우
전산분임 보안담당관의 인가, 해당 보안사고의 재발 방지 및 효과적인 보안대책 수립을 위한 조치를 위해 외부기관 보고

 - 보안 담당자는 보안사고 목록에 해당 보안사고 내용을 기입한 후

 - 보안사고 분석 보고서를 작성해 보안팀장에게 보고

 - 보안사고 기록은 비밀로 분류하여 3년간 보존

 - 보안팀장은 침해사고 대응현황을 정기적으로 전산분임 보안담당관에게 보고