주 콘텐츠로 건너뛰기
로그인

검색

Tech Support Center 2.0

보안 침해 사고 대응 절차

서건혁
  • 업데이트 시간

1. 개요

본 문서는 AWS 클라우드 서비스 관리형 서비스 제공자(MSP)의 보안 침해 사고 대응 절차를 정의하여 보안 사고 발생 시 신속하고 효과적으로 대응할 수 있도록 하기 위한 기준을 마련하는 것을 목적으로 합니다.

 

2. 보안 침해 사고 정의

보안 침해 사고(Security Incident)는 다음과 같은 상황을 포함합니다:

  • AWS 환경 내 무단 액세스 또는 계정 탈취

  • 데이터 유출 또는 무단 변경

  • 서비스 거부(DDoS) 공격

  • 악성 코드 감염 또는 시스템 취약점 악용

  • 내부자의 부정 행위 또는 보안 정책 위반

  • 기타 클라우드 리소스의 비정상적인 동작

 

3. 보안 침해 사고 대응 절차

3.1. 사고 감지 및 초기 대응

  1. 자동화된 모니터링: AWS CloudTrail, AWS GuardDuty, AWS Security Hub, AWS Config, Amazon CloudWatch, AWS WAF를 활용하여 보안 이벤트 모니터링

    1. AWS 환경 내 무단 액세스 또는 계정 탈취

      • CloudTrail → EventBridge → Lambda → SNS(SMS, Email, Messanger)

    2. 데이터 유출 또는 무단 변경

      • GuardDuty 지능형 탐지 시스템

    3. 서비스 거부(DDoS) 공격

      • Shield Standard 기본 적용

    4. 악성 코드 감염 또는 시스템 취약점 악용

      • 3rd Party Vaccine 적용

    5. 내부자의 부정 행위 또는 보안 정책 위반

      • CloudTrail을 통한 위반사항 감지 및 알림

      • IAM Access Analyzer를 통한 주기적인 권한검토

    6. 기타 클라우드 리소스의 비정상적인 동작

      1. CloudTrail + EventBridge Rule을 통한 보안이벤트 모니터링 알림

  2. 알림 수신: 이상 징후 감지 시 AWS SNS 또는 이메일/Slack을 통해 담당자에게 즉시 알림 전송

    1. 자동화된 모니터링 시스템에 의한 상황전파

    2. 업무 외 시간 On Call System에 의한 On Call 담당자 호출

    3. 정보보안팀으로의 상황전파

  3. 초기 평가: 사고 발생 여부를 확인하고 영향 범위를 분석

  4. 격리 조치: 피해 확산 방지를 위해 침해된 인스턴스 또는 리소스를 격리

    1. Security Group 변경

    2. IAM 계정 비활성화

    3. 네트워크 차단

3.2. 사고 분석 및 대응

  1. 로그 분석: AWS Detective를 통한 다음의 로그 및 탐지 내역 분석

    1. AWS CloudTrail

    2. VPC Flow Logs

    3. Amazon GuardDuty

  2. 침해 경로 파악: 공격자의 침입 경로 및 영향을 받은 리소스를 파악

    1. GuardDuty 탐지내역 확인

      1. AWS Detector

  3. 취약점 확인 및 패치: 보안 취약점이 존재하는 경우 즉시 보안 패치 적용

    1. AWS Inspector를 통한 보안취약점 검사

      1. Inspector → Security Hub → Patch Manager를 통한 패치 자동화

    2. Patch Manager를 통한 일괄 패치적용

  4. 데이터 무결성 확인: 무단 변경 또는 삭제된 데이터 확인 및 백업 복구 수행

    1. AWS Backup을 통한 복원

3.3. 복구 및 후속 조치

  1. 정상 운영 복구: 보안 조치 완료 후 AWS 리소스 및 서비스 정상화

  2. 보안 정책 강화: IAM 정책 검토 및 최소 권한 원칙(Least Privilege) 적용 강화

  3. 보안 교육 및 재발 방지: 내부 직원 교육 및 보안 절차 업데이트

  4. 감사 및 보고서 작성: 사고 대응 결과 문서화 및 고객 및 관련 기관 보고

 

4. 사고 대응 도구 및 활용

도구

 

목적

 

AWS GuardDuty

침입 탐지 및 이상 활동 감지

AWS Security Hub

보안 이벤트 통합 관리

AWS CloudTrail

API 호출 로그 분석 및 감시

AWS Config

변경 사항 추적 및 정책 준수 확인

AWS CloudWatch

성능 및 보안 이벤트 모니터링

AWS WAF & Shield

DDoS 및 웹 애플리케이션 공격 방어

AWS IAM

사용자 및 권한 관리

 
 
 

5. 보안 침해 사고 대응 시 고려 사항

  • 법적 및 규제 준수: AWS 서비스 제공자는 보안 침해 사고 대응 시 관련 법규 및 규제를 준수해야 함 (예: GDPR, ISO 27001, NIST CSF 등)

  • 고객 커뮤니케이션: 고객에게 영향을 미치는 보안 사고 발생 시 신속한 공지 및 지원 제공

  • 클라우드 네이티브 보안 적용: AWS Well-Architected Framework의 보안 원칙 준수 및 지속적인 보안 개선

 

6. 예외 사항 및 업데이트 관리

  • 본 문서에서 정의되지 않은 예외적인 보안 침해 사고 발생 시, MSP 사업자 내부 보안 팀 및 AWS Support와 협력하여 추가적인 조치를 결정함

  • 보안 위협 환경 변화에 따라 주기적으로 본 절차서를 검토 및 업데이트

댓글

댓글 0개

댓글을 남기려면 로그인하세요.