Security Governance - 국내/외 침해 대응 프로세스

 

이번에는 Security Governance 중 침해사고 대응에 대해서 크게 국내와 해외로 나누어 프로세스들을 소개합니다.

먼저 국내의 개인정보사고(개인정보보호 위원회)와 침해사고(KISA) 두가지에 대한 대응 프로세스를 소개하며,

이어서 미국의 미국 국립 표준 기술연구소(NIST)의 컴퓨터 보안 사고 처리 가이드를 소개합니다.

1. 개인정보 사고 대응 (대한민국 개인정보보호위원회)

1.    유출 대응체계 구축 - 인력 할당

CEO : 대응 방향을 포함한 최종 의사 결정

개인정보보호 책임자 : 유출 대응팀 구성 및 운영

개인정보보호 담당자 : 유관 기관에 유출 신고 및 통지

정보보호 담당자 : 유관기관에 침해사고 신고, 분석 및 복구 등 침해 대응

고객 지원 부서 : 민원 대응, 피해구제 및 분쟁 조정 기구 안내

전 직원 : 사고 신고 및 유출 대응 지원

2.    유출 정황 발견

3.    피해 최소화 및 긴급 조치

해킹에 의한 유출 : 시스템 분리 및 차단, 증거 자료 확보, 원인 분석

내부자에 의한 유출 : 유출 경로 확인, 유출 기기 확보, 접근 권한 확인 및 경로 차단

이메일에 의한 유출 : 발송 이메일 회수, 삭제 요청, 암호화 추가 등

기타 유출 : 원인 파악 및 수정

4.    정보 주체에 통지

      a.    통지 주체

개인정보 보호법 제34조(개인정보 유출 통지 등) : 개인정보처리자

개인정보 보호법 제39조의4(개인정보 유출등의통지․신고특례) : 정보통신서비스 제공자

신용정보법 제39조의4(개인신용정보 누설통지 등) : 신용정보회사등에서의 상거래 기업 및 법인

b.    통지 시점

개인정보 보호법 제34조 : 5일 이내 (긴급 조치 가능)

개인정보 보호법 제39조의4 : 24시간 이내

신용정보법 제39조의4 : 5일 이내 (긴급 조치 가능)

c.     통지 방법

개인정보 보호법 제34조 : 1천명 이상의 경우에 서면등의 방법과 동시에, 홈페이지 또는 사업장에 7일 이상 게시

개인정보 보호법 제39조의4 : 이용자의 연락처를 알 수 없는 등의 경우에는 홈페이지에 30일 이상 게시

신용정보법 제39조의4 : 1만명 이상의 경우에는 홈페이지 또는 사업장에 15일 이상 게시 또는 신문 등에 7일 이상 게시

d.    통지 내용

유출된 개인정보 항목, 

유출된 시점과 그 경위,

정보주체가 취할 수 있는 피해 최소화 조치,

개인정보처리자 대응조치 및 피해 구제절차,

정보주체가 피해 신고, 상담 등을 접수할 수 있는 부서 및 연락처

5.    유관 기관에 신고

       a.    신고 주체

개인정보 보호법 제34조(개인정보 유출 통지 등) : 개인정보처리자

개인정보 보호법 제39조의4(개인정보 유출등의통지․신고특례) : 정보통신서비스 제공자

신용정보법 제39조의4(개인신용정보 누설통지 등) : 신용정보회사 등에서의 상거래기업 및 법인에 한정

b.    신고 시점

개인정보 보호법 제34조 : 5일 이내

개인정보 보호법 제39조의4 : 24시간 이내

신용정보법 제39조의4 : 5일 이내

c.     신고 규모 (아래 규모 이상의 정보주체에 관한 개인정보가 유출된 경우 신고)

개인정보 보호법 제34조 : 1 천명 이상

개인정보 보호법 제39조의4 : 1 명 이상

신용정보법 제39조의4 : 1 만명 이상

d.    신고 방법

개인정보보호위원회 또는 한국인터넷진흥원의 홈페이지, 전화, 팩스, 이메일, 우편 등의 방법으로 신고

e.    신고 내용

유출된 개인정보 항목, 

유출된 시점과 그 경위,

정보주체가 취할 수 있는 피해 최소화 조치,

개인정보처리자 대응조치 및 피해 구제절차,

정보주체가 피해 신고, 상담 등을 접수할 수 있는 부서 및 연락처

 

6.    피해 구제 및 재발 방지

       a.    정보 주체 피해 구제

홈페이지 등을 통한 유출 여부 조회기능 제공

유출 피해 신고, 접수, 상담, 문의 등 민원 대응 방안 마련

유출 혼란 최소화 방안 강구

2차 피해 방지를 위한 유의 사항 안내

피해 보상 계획 마련 및 관련 제도 안내

b.    재발 방지 대책 마련

원인에 대한 개선 방안 마련

정보보호 교육 실시

취약점 제거 등 기술적 조치

 

2. 침해 사고 대응 (한국 정보보호진흥원)

1.    준비 - 인력 할당

대응팀 및 대처 방안 준비

2.    사고탐지

장비에 의한 징후 탐지

관리자에 의한 사고 식별

사고 징후 확인

3.    대응 전략 체계화

초기 조사 수행, 세부 사항 기록

사고 대응팀 신고 및 소집

정보 수집 및 식별, 영향도 평가

4.    사고조사

6하원칙에 따른 사항 조사

기기, 네트워크 기반으로 나누어 조사

공격 수행 시점, 실제 공격 범위 조사

5.    보고

보고서 작성 및 보고

6.    복구 및 해결

위험 우선 순위 식별 및 리스크 관리

3. 침해 사고 대응 (NIST)

1.    예방 (전체 임직원)

CERT(Computer Emergency Response Team) 구성 및 운영

침해 발생시 수행할 사항에 대해 준비 및 계획

훈련과 교육 등 보안 인식 제고 활동 수행

2.    탐지 및 분석 (운영 담당자, 보안 담당자)

정보자산 모니터링

초기 분석 - 사건 상관관계 분석 및 자료조사 활동

3.    대응 (운영 담당자, 정보보호 담당자)

증거 데이터 수집 및 보호

우선 순위, 침입 유형별 긴급 조치

4.    복구 (운영자 담당자, 정보보호 담당자, 정보보호 책임자)

재발 방지 조치

시스템 회복 후 대책 수립

 

한국, 미국의 침해 대응 프로세스 총 3가지를 살펴 보았는데요. 

조금씩 다르지만 크게 보면 

1. 예방을 위해 인력 배치 및 계획을 먼저 세우고,

2. 사고 정황을 탐지 후 분석을 하고

3. 대응 및 문제 해결을 하는

내용임을 알 수 있었습니다.

이외에도 예방을 위해 버그 바운티라던지 커뮤니티를 운영하는 것도 하나의 추가적인 방법이 되겠습니다.