Categories: 정보관리기술사

제135회 정보관리기술사 1교시 9번 — CSIRT와 침해사고 대응 6단계·SIEM·SOAR

정보관리기술사 · 135회 1교시 · 9번 · 배점 10점

제135회 정보관리기술사 1교시 9번

단답형 | 10점
[문제] CSIRT(Computer Security Incident Response Team)의 개념과 역할을 설명하고, 사이버 침해 사고 대응 6단계(준비-탐지-봉쇄-박멸-복구-사후활동)를 서술하시오. 또한 SIEM과 SOAR의 차이와 연계 방식을 설명하시오.

1. CSIRT 개념과 역할

CSIRT(Computer Security Incident Response Team)는 사이버 보안 침해 사고를 탐지·분석·대응·복구하는 전담 조직이다. 국가 CSIRT(KrCERT), 기업 CSIRT, 부문 CSIRT로 구분된다.

주요 역할: 침해 사고 탐지·분석, 취약점 정보 수집·배포, 보안 경보 발령, 포렌식 조사, 사고 보고서 작성

2. 침해 사고 대응 6단계 (NIST SP 800-61)

단계 내용 주요 활동
준비(Preparation) 사고 대응 역량 사전 구축 정책 수립, 도구 준비, 훈련·모의 훈련
탐지·분석(Detection) 침해 징후 식별 SIEM 알림, 이상 트래픽 분석, IOC 확인
봉쇄(Containment) 피해 확산 차단 감염 시스템 격리, 계정 비활성화
박멸(Eradication) 공격 원인 제거 악성코드 제거, 취약점 패치, 백도어 삭제
복구(Recovery) 정상 운영 복원 백업 복구, 시스템 재가동, 모니터링 강화
사후 활동(Lessons Learned) 재발 방지 원인 분석 보고서, 보안 정책 업데이트

3. SIEM vs SOAR

구분 SIEM SOAR
기능 보안 이벤트 수집·상관분석·알림 (탐지) 알림에 대한 대응 자동화·오케스트레이션 (대응)
자동화 알림 생성까지 Playbook으로 봉쇄·박멸 자동화
연계 SOAR에 알림 전달 SIEM 알림을 받아 자동 대응 실행
핵심 키워드: CSIRT, 침해사고대응, NIST SP800-61, SIEM, SOAR, IOC, Playbook, KrCERT
CSIRT는 사이버 침해 사고 대응의 핵심 조직으로, NIST 6단계 프로세스를 따라 체계적으로 대응한다. SIEM이 탐지 역할을, SOAR가 Playbook 기반 자동 대응 역할을 담당하여 대응 시간을 단축한다.

zerg96

Recent Posts

충격! 코스피 8% 폭락에 SK텔레콤 AI 차단까지 – 한국의 AI 도박이 터졌다

코스피 8% 폭락, 서킷브레이커 발동, SK텔레콤 Claude AI 차단까지. 한국의 AI 레버리지 버블이 단 하루…

2주 ago

당신 얼굴이 이미 쓰이고 있다… AI 딥페이크 범죄, 생각보다 훨씬 심각합니다

SNS 사진 1장으로 30초 만에 딥페이크 영상이 완성됩니다. 당신의 얼굴이 이미 범죄에 악용되고 있을 수…

3주 ago

당신 얼굴이 이미 쓰이고 있다 — AI 딥페이크 범죄, 생각보다 훨씬 심각합니다

SNS 사진 1장으로 30초 만에 딥페이크 영상이 완성됩니다. 당신의 얼굴이 이미 범죄에 악용되고 있을 수…

3주 ago

달러·원 환율 급등, 지금 당신이 꼭 알아야 할 것들

달러/원 환율이 급등하는 이유와 실생활 영향을 정리했습니다. 지금 당장 활용할 수 있는 환전·투자 대응 전략까지…

3주 ago

미래에셋·미래에셋벤처투자·미래에셋생명 동반 급등, 스페이스X와 무슨 관계?

미래에셋·미래에셋벤처투자·미래에셋생명이 동반 급등한 이유는 스페이스X 상장 기대감입니다. 세 회사가 스페이스X와 어떻게 연결되어 있는지 상세히 분석했습니다.

3주 ago

스페이스X 상장 D-데이? 일론 머스크가 절대 말 안 하는 진짜 이유

스페이스X 상장이 계속 미뤄지는 진짜 이유를 파헤쳤습니다. 화성 계획, 스타링크 분리, 국방 계약... 머스크가 절대…

3주 ago