10.2. 사고 대응 계획 세우기

10.2.1. 컴퓨터 비상 대응팀 (CERT)

컴퓨터 비상 대응팀 (CERT)은 심각한 컴퓨터 침입 사고 발생시 신속하게 대응할 준비가 된 회사 내 전문가들로 이루어진 그룹을 말합니다. 이 팀의 구성원은 전문적인 기술 뿐만 아니라 비상 사태 발생시 자신의 개인 생활을 제쳐두고 회사를 먼저 생각하는 태도가 필요합니다. 비상 사태는 계획된 사건이 아니며 언제든지 발생할 가능성이 있기 때문에 모든 CERT 팀 구성원은 언제든 비상시에 대처할 책임을 맡습니다.

CERT 팀은 일반적으로 시스템 관리자와 네트워크 관리자를 비롯하여 정보 보안 전문가들로 이루어집니다. 시스템 관리자는 데이터 백업, 사용 가능한 백업 하드웨어와 같은 시스템 자원에 대한 전문 지식을 제공합니다. 네트워크 관리자는 네트워크 프로토콜에 대한 정보와 네트워크 트래픽을 동적으로 다시 라우팅할 수 있는 기술을 제공합니다. 정보 보안 전문가는 보안 문제점을 철저하게 추적하고 기록할 뿐만 아니라 침입당한 시스템의 사후 분석(post-mortem: 일이 발생 후 분석) 작업을 돕습니다.

항상 가능한 것은 아니지만 경우에 따라서 CERT 내에서 한 사람이 여러 역할을 맡을 수도 있습니다. 기업체에 따라서 가능하다면 한 사람이 자신의 전문 분야 뿐만 아니라 다른 분야에 대한 교육도 받도록 해야합니다. 만일 오직 한 사람만이 기업 전체 데이터와 보안을 책임지고 있다면, 그 사람이 없는 경우 전체 기업이 속수 무책이 됩니다.

10.2.2. 법적 고려 사항

사고 대응책을 수립시 법적인 측면을 고려하는 것이 중요합니다. 반드시 법률 고문이나 대표 변호사와 함께 보안 대책을 수립하셔야 합니다. 모든 회사마다 자체적인 회사 보안 정책을 갖고 있듯이, 회사마다 법적인 측면에서도 자체적으로 사건을 처리하는 방식이 있습니다. 지방 정부, 주 정부 및 연방 정부의 규제 방침을 다루기에는 이 문서의 범위를 벗어나 모두 설명할 수는 없지만 사고 발생 후 분석에 사용되는 방법이 부분적으로 법률 자문에 의해 지시되기 때문에 이러한 규제 방침이 언급되어 있습니다. 법률 자문은 기술 담당자에게 보안 침해의 법적으로 고려할 사항 및 시스템 침해 사고로 인하여 고객의 개인 신상 정보, 의료 기록이나 재정 정보를 누출하게 될 경우 위험성, 그리고 병원이나 은행과 같이 시스템의 보안이 매우 중요한 환경에서 서비스 복구의 중요성을 충고합니다.