정보보안기사 기출문제 총정리 ⑰ 침해사고 대응 – CERT·분석 절차·포렌식

침해사고 대응 파트 출제 특징

침해사고 대응(Incident Response)은 실무와 직결된 파트로 최근 출제 비중이 높아지고 있습니다. 6단계 대응 프로세스, CERT/CSIRT 역할, 악성코드 분석 기법(정적/동적)을 정확히 이해해야 합니다.

【기출 토픽 1】 침해사고 대응 6단계

기출 문제 예시: 침해사고 대응 절차를 순서대로 나열한 것으로 옳은 것은?

• ① 준비 → 탐지·분석 → 봉쇄 → 근절 → 복구 → 사후 활동 ✅
• ② 탐지 → 준비 → 봉쇄 → 복구 → 근절 → 사후 활동
• ③ 준비 → 봉쇄 → 탐지 → 근절 → 복구 → 사후 활동
• ④ 탐지 → 봉쇄 → 준비 → 근절 → 복구 → 사후 활동

NIST SP 800-61 침해사고 대응 6단계 암기:

• 1단계 준비(Preparation): 대응 계획·팀·도구 준비
• 2단계 탐지·분석(Detection & Analysis): 침해 여부 식별, 로그 분석
• 3단계 봉쇄(Containment): 피해 확산 방지, 격리
• 4단계 근절(Eradication): 원인 제거, 악성코드 삭제
• 5단계 복구(Recovery): 서비스 정상화
• 6단계 사후 활동(Post-Incident Activity): 재발 방지책 수립, 보고서 작성

【기출 토픽 2】 CERT/CSIRT 역할

기출 문제 예시: 조직 내에서 사이버 침해사고를 탐지·분석·대응하는 전담 조직은?

• ① SOC (Security Operations Center)
• ② CERT/CSIRT ✅
• ③ NOC (Network Operations Center)
• ④ ISMS 인증팀

해설: CERT(Computer Emergency Response Team)와 CSIRT(Computer Security Incident Response Team)는 침해사고 대응 전담 조직입니다. SOC는 24/7 보안 모니터링에 초점을, CERT/CSIRT는 사고 대응 전반을 담당합니다. 한국인터넷진흥원의 KrCERT/CC가 국가 대표 CERT입니다.

【기출 토픽 3】 악성코드 분석 기법

기출 문제 예시: 악성코드를 실제로 실행하지 않고 코드·파일 구조를 분석하는 방법은?

• ① 동적 분석
• ② 정적 분석 ✅
• ③ 행위 분석
• ④ 샌드박스 분석

악성코드 분석 기법 비교:

• 정적 분석: 실행 없이 파일 해시, 문자열, 헤더, 역어셈블리 분석. 빠르고 안전하지만 난독화에 취약
• 동적 분석: 격리 환경(샌드박스)에서 실제 실행 후 행위 관찰(네트워크 연결, 레지스트리 변경, 파일 생성)
• 메모리 분석: 실행 중 메모리 덤프에서 악성코드 흔적 추출

【기출 토픽 4】 침해 지표(IoC)

기출 문제 예시: 침해사고 분석 시 활용하는 IoC(Indicator of Compromise)에 해당하지 않는 것은?

• ① 악성코드 파일 해시값
• ② 공격자 IP 주소
• ③ C&C 서버 도메인
• ④ 정상 업무 시간대의 로그인 기록 ✅

IoC 유형: 악성 파일 해시(MD5/SHA) / 악성 IP·도메인 / 레지스트리 변경 경로 / 이상 네트워크 트래픽 패턴 / 비정상 사용자 행위. 이를 STIX/TAXII 형식으로 공유하여 위협 인텔리전스(Threat Intelligence)로 활용합니다.

침해사고 대응 최종 정리

NIST 6단계 대응 절차(준비→탐지→봉쇄→근절→복구→사후), CERT/CSIRT 역할, 악성코드 정적/동적 분석 차이, IoC 유형을 중심으로 학습하세요. 실제 침해사고 시나리오 문제도 출제되므로 각 단계에서 수행해야 할 활동을 구체적으로 이해해야 합니다.