[문제] CSIRT(Computer Security Incident Response Team)의 개념과 역할을 설명하고, 사이버 침해 사고 대응 6단계(준비-탐지-봉쇄-박멸-복구-사후활동)를 서술하시오. 또한 SIEM과 SOAR의 차이와 연계 방식을 설명하시오.
1. CSIRT 개념과 역할
CSIRT(Computer Security Incident Response Team)는 사이버 보안 침해 사고를 탐지·분석·대응·복구하는 전담 조직이다. 국가 CSIRT(KrCERT), 기업 CSIRT, 부문 CSIRT로 구분된다.
주요 역할: 침해 사고 탐지·분석, 취약점 정보 수집·배포, 보안 경보 발령, 포렌식 조사, 사고 보고서 작성
2. 침해 사고 대응 6단계 (NIST SP 800-61)
| 단계 | 내용 | 주요 활동 |
|---|---|---|
| 준비(Preparation) | 사고 대응 역량 사전 구축 | 정책 수립, 도구 준비, 훈련·모의 훈련 |
| 탐지·분석(Detection) | 침해 징후 식별 | SIEM 알림, 이상 트래픽 분석, IOC 확인 |
| 봉쇄(Containment) | 피해 확산 차단 | 감염 시스템 격리, 계정 비활성화 |
| 박멸(Eradication) | 공격 원인 제거 | 악성코드 제거, 취약점 패치, 백도어 삭제 |
| 복구(Recovery) | 정상 운영 복원 | 백업 복구, 시스템 재가동, 모니터링 강화 |
| 사후 활동(Lessons Learned) | 재발 방지 | 원인 분석 보고서, 보안 정책 업데이트 |
3. SIEM vs SOAR
| 구분 | SIEM | SOAR |
|---|---|---|
| 기능 | 보안 이벤트 수집·상관분석·알림 (탐지) | 알림에 대한 대응 자동화·오케스트레이션 (대응) |
| 자동화 | 알림 생성까지 | Playbook으로 봉쇄·박멸 자동화 |
| 연계 | SOAR에 알림 전달 | SIEM 알림을 받아 자동 대응 실행 |
핵심 키워드: CSIRT, 침해사고대응, NIST SP800-61, SIEM, SOAR, IOC, Playbook, KrCERT
CSIRT는 사이버 침해 사고 대응의 핵심 조직으로, NIST 6단계 프로세스를 따라 체계적으로 대응한다. SIEM이 탐지 역할을, SOAR가 Playbook 기반 자동 대응 역할을 담당하여 대응 시간을 단축한다.