위기대응 실무매뉴얼 - 김건웅 교수...

「사이버안 분야」

응 실 매뉴얼

이 매뉴얼은「국가 기 리기본지침( 통령훈령 제124호)」

「국가 사이버안 기 리 표 매뉴얼」을 근거로「사이버안 」

기상황 발생 시 과학기술부가 용할 세부 응 차 제반

조치사항 등을 규정하고 있으며, 련 기 과의 의하에 작성

되었음.

- 목 차 -

Ⅰ. 일반사항

1. 개요 ······················································································· 3

2. 련 법규 ··········································································· 3

3. 용 범 ··········································································· 3

4. 용어 정의 ··········································································· 4

Ⅱ. 기 형태 경보

1. 기 형태 피해 양상 ············································ 9

2. 개 양상 ··········································································· 9

3. 기 경보 ········································································ 10

Ⅲ . 기 리 기본방향

1. 목표 ·················································································· 13

2. 방침 ·················································································· 13

3. 기 리체계 ······························································· 14

Ⅳ. 기 리 활동

1. 방 ·················································································· 19

2. 비 ·················································································· 22

3. 응 ·················································································· 29

4. 복구 ·················································································· 33

Ⅴ. 기 리 업무수행 체계

1. 기 응 체계 ····························································· 41

2. 기 응 기구 ····························································· 42

Ⅵ. 기경보 수 별 응요령

1. 평시 방활동 ····························································· 52

2. 심 ·················································································· 60

3. 주의 ·················································································· 64

4. 경계 ·················································································· 66

5. 심각 ·················································································· 68

Ⅶ. 기 응 조치 차

1. 악성웜․바이러스에 의한 과학기술 요문서 유출 ········ 75

2. 홈페이지 량변조 사고 ····································· 101

3. 국제 사이버 테러 단체에 의한 국가망 DDoS 공격 ······ 127

부록

Ⅰ. 사고조사 복구 ························································ 155

Ⅱ. 사이버공격 유형별 응 ··········································· 167

Ⅲ . 평시 안 검 체크리스트 ···································· 183

붙 임

1. 경보발령문 ········································································ 221

2. 상황통보문 ········································································ 222

3. 사고신고 서식 ·································································· 223

4. 사고조치 서식 ·································································· 225

5. 긴 응반 비상연락망 ···················································· 226

6. 실무기 비상연락망 ······················································· 227

7. 자체 응반 비상연락망 ···················································· 229

8. 사이버안 유 기 비상연락망 ··································· 230

9. 정보시스템 력업체 연락처 ····································· 231

10. 피해기 종합 목록표 ················································· 232

11. 피해 황표 Ⅰ ································································· 233

12. 피해 황표 Ⅱ ································································· 234

13. 피해 황표 Ⅲ ································································· 235

I. 일 반 사 항

- 3 -

I. 일반 사항

1. 개 요

과학기술부「사이버안 분야 기 응 실무 매뉴얼」은 「 기

리 표 매뉴얼」에 따라 과학기술 소 분야에 한 웜･바이러스

해킹 등 사이버공격에 의한 침해사고가 발생할 경우, 과학기술부

(과학기술정보보호센터 실무기 포함)의 응 차와 조치 사항을

규정한 것임

2 . 법 규

가. 「국가정보원법」(법률 제8050호)

나. 「국가 기 리기본지침」( 통령훈령 제124호)

다. 「국가사이버안 리규정」( 통령훈령 제141호)

라. 「과학기술기본법」(법률 제7989호)

마. 「국가연구개발사업의 리 등에 한 규정」 ( 통령훈령 제

19872호)

3 . 용 범

가. 웜․바이러스, 해킹 등 사이버공격으로 인한 정보통신망

마비, 요자료 유출 등 기상황이 발생할 경우 용

나. 과학기술 소 분야에 침해사고가 발생하여 과학기술부

(과학기술정보보호센터 실무기 포함)의 정보통신망 마비,

서비스 단 등의 사태에 용

- 4 -

내

가

가 주 또는 가 는 정 ․경제․사 ․문 체계 등

가 심 나 가 에 가 가 가능

거나 가 고 는 상태

가 사전에 고 생에 비 생시에는

과적 복 여 그 최

조 에 전상태 복 시키고 는 제 동

주

당 에 정 동에 주 책 는

정

※ 국가정보원 (국가․공공분야), 정보통신부 (민간분야), 국방부 (국방분야)는

각각 해당 분야에 주 책임

※ 국가정보원은 국가사이버안 정책 리 총 ․조정

당 에 정 동에 주

동 원 고 조 는 정

실무

상 는 능ㆍ시 접 , 고

사 사고 생시 1차적 ․복 는 과

․정 출연연

전문

보 제․ 사고 ․정보공 등 사 전 무

는

※ 국가사이버안 센터, 국방정보 응센터, 침해사고 응지원센터,

과학기술정보보호센터

동

① : 사전에 제거 거나 감 시킴

생 체 제 거나 동

② 비 : 상 에 제 사 사전에

계 , 비, , 능 제고

시키고, 생시 각적 태

강 시 나가는 동

4 . 용 어 의

- 5 -

내

③ : 생시 가 원과 역량 적

고 신 게 처 최 고 2차

생 가능 감 시키는 동

④ 복 : 생 전 상태

복시키고, 평가 등에 제 개 과 체계 보

고 능 상시키고

는 동

경 보

① 심(Blue) : 징 가 나 그 동 낮 가

간 내에 가 전 가능 비 적 낮 상태

② 주 (Yellow) : 징 동 비 적 고 가

전 는 정 경 나타나는 상태

③ 경계(Orange) : 징 동 매 고 전개 ,

경 등 저 가 전 가능

농 상태

④ 심각(Red) : 징 동 매 고 전개 , 경

등 심각 생 실시 는 상태

정보

신망

전 신 비 거나 전 신 비 컴퓨 컴퓨

여 정보 집․가공․저 ․검색․ 신 또는

신 는 정보 신체계

정보 신

시

가 전보 ㆍ 정ㆍ ㆍ ㆍ ㆍ 신ㆍ ㆍ에너

등 무 전 적 제 ㆍ 시 정보 신망

사

전

사 공격 정보 신 시 보 정보 신

시 과 정보 ㆍ무결 ㆍ가 등 전

는 상태

- 6 -

내

사

공격

킹·컴퓨 러 ·논 폭탄· 폭탄· 비 등 전 적

단에 여 정보 신 시 · 란· 비·파

거나 정보 절취·훼 는 체 공격

킹접근 가 정보시 에 투 거나

가 갖는

비

거

시 에 과 정보시 사

는 공격 식 산 비 거 공격 또는 산 사

비 거 공격 등

드

컴퓨 러 , 웜, 트 같 시 에 거나

시 특 계 적 컴퓨

그램 나 실 가능 드

러

감염파 실 산 , 정상적 파 나 트

역에 여 러 드 추가 는 태 파 감염

시키는 그램 종

웜

복제능 갖고 네트워크 생 산

는 그램 종 파 감염시키 는

트 에 신 등 는 식 시 감염시

컴퓨 가 시 동

트

복제 능 나, 정상 능 그램 가 여

그램 내에 는 드조각 , 능

는 컴퓨 그램 또는 실 가능 드

II. 태 및 경보

- 9 -

II. 태 및 경보

1. 태 및 해 양상

2. 개 양상

내

징

견

• 보 취 점 공개 킹 견

• 험 가 높 웜ㆍ 러 출

• 적 시 탐초 • 내 웜ㆍ 러 킹 생

• 정보 신 시 량 비정상적

• 내 웜ㆍ 러 킹 가

• 심 시 에 료 출 가능 드 감염 생

• 정보 신 시 량 에 적 생

전

산

• 규 웜ㆍ 러 킹 생

• 심 시 에 료 출 생

• 전 적 정보 신 시 비 산

생

• 가 주 정보 신 시 비

• 가 료 출

태

상

․ 저 조 ․파 ․ 닉․ 출 탈취

․ 컴퓨 러 ․논 폭탄 등 그램 투

․ 량 신 ․ 정 등 정보처

․ 연 정보 신 시 전체 또는 가 비

․ 료 출, 조 또는 실

․ 사 적 란 가 신 락

상 생

- 10 -

3. 경보

가. 기경보 수

판 단 비 고

심

(Blue)

o 험 가 높 웜ㆍ 러 등 드 킹

출 생 가능

o 산 등 사 내 가능

징

동

감시

주

(Yellow)

o 험 가 높 웜ㆍ 러 등 드 킹

출 생

o 과 정보시 전 에 보 태 강

조

체계

가동

경 계

(Orange)

o 복 가 간망 또는 비

o 웜ㆍ 러 등 드 산 규

전 가능 가

비

계

점검

심 각

(Red)

o 심 시 ․시 상 생

o 역적․ 적 생, 전 적 산 가능

o 가적 차원에 공동 처

각

태

돌

※ 험 정 가 매 낮 웜ㆍ 러스, 킹 , 보 취 점 등에 는

경보 전 단계 정상(Green) 수 간주

나. 기경보 차

(1) 국가정보원(NCSC)에서 기 경보를 발령한 경우 과학기술부는

과학기술정보보호센터에 기경보 발령 사실을

(2) 과학기술정보보호센터는 기경보 발령 사실을 실무기 에

(3) 실무기 은 기경보 발령 사실을 소속원에게

III. 리 본방향

- 13 -

III. 리 본방향

1. 목 표

가. 과학기술분야 사이버 조기경보체계 확립 사 방

나. 기발생시 피해 최소화 신속한 복구

2. 방 침

가. 사이버공격에 한 과학기술부․과학기술정보보호센터․실무

기 간 력체제 강화

나. 과기부 차원의 사이버 정보의 수집․분석․ 의 체계화

다. 사이버공격 조기경보 발령 응체계 확립

라. 과학기술 연구기반시설에 한 사이버 감시 강화

마. 사이버안 리 실태 검 보완

바. 규모 기사태 발생시 합동조사 복구

- 14 -

3. 리체계

가. 종합체계도

가 정 보 원

가사 전

가사 전전략

․경보발령

가사 전 책

정보 신

넷 사고 원정보전

과

과 정보보

․정보공유

․조치사항통보

/정 출연연 /

경보수

ISP 등 민간

경보수

조 / 각

경보수

․경보발령 ․정보공유

․조치사항통보 ․경보발령 ․정보공유


․정보공유

․경보발령 의


․정보공유

․경보발령 의


N S C

․경보발령․정보공유


- 15 -

나. 기 별 책임/역할

내

N S C

o 가사 전 보 체계 축에 ․조정

o 가 경보체계 축․ 에 ․조정

o 상 니 종

가사 전

전략

o 가사 전체계 개

o 가사 전 정책 간 역 조정

o 가사 전 시사 에 조

강 ※ 원: ․ 무․ ․ ․정 차 , NSC 사무처

가사 전

책

o 가사 전 책 강

o 전략 결정사 에 시 강

o 전략 사 심

o 생시 정책결정 「 동조사팀」․「복 원팀」 ※ 원: 략회의 원기 실․국장

가정보원

( 가사

전 )

o 가사 전 정책 총 ㆍ조정

o 전략 책 에 원

o 가․공공 사 경보 각

경보

o 사 정보 총 ( 집ㆍ ㆍ전파)

o 가․공공 정보 신 시 전

o 가사 전매뉴 ㆍ 포

o 가․공공 사고신고 접 , 사고조사 복 원

o 생시 정 적 동조사ㆍ복 원팀 계 총

과

(과 정보

보 )

o 과 사 정보 총 ( 집ㆍ

ㆍ전파)

o 실무 연 시 정보 신 시 전 책

ㆍ시 감

o 사 전 실무매뉴 ㆍ 포

o 사고 신고 접 사고 보

o 사고 복 산 체 사고 조사

복 원 처 조

- 16 -

내

( 정보전

)

o 가사 전 정책에 사 전

총 ․조정

o 평가/경보체계 , 상 종 처

o 정보 신 시 전

o 사 전 실무매뉴 ․ 포

o 가적 동조사․복 원팀 동 원(

주 )

정보 신

( 넷

사고

원 )

o 가사 전 정책에 민간 사 전

총 ․조정

o 민간 평가/경보체계 , 상 종 처

o 정보 신 비 제공 집적정보 신시 사 상

정보 신망 또는 집적정보 신 시 정보보

전 단

o 민간 사 전 실무매뉴 ․ 포

o 가적 동조사․복 원팀 동 원(민간

주 )

실무

o 당 연 시 정보 신 시 전

책 시

o 사고 생 경 적 조 과 과

정보보 에 보

o 과 ․과 정보보 조, 사 전

- 비- -복 동

IV. 리 활동

- 19 -

IV. 리 활동

1. 방

가.

(1) 과학기술 련 사이버 안 책 수립ㆍ시행

(2) 기징후 실시간 감시, 정보 수집, 분석

(3) 연구기반시설 정보통신기반시설에 한 안 책 수립

(4) 국내․외 사이버안 련기 과 공조

나. 세부 활동내용

(1) 평시․ 기시 사이버안 책 수립ㆍ시행

(가) 실무기 은 국가정보원에서 제공하는 평시 시스템 운용

안 기 에 따라 정기 검을 시행

(나) 과학기술부는 안 기 의 이행 여부 확인 필요시

시정 조치 등을 권고

(다) 과학기술부 실무기 은 기시에 비한「 기 응

실무매뉴얼」을 작성

(2) 기징후 실시간 감시 정보 수집․분석․

(가) 과학기술정보보호센터(과학기술분야)는 소 분야에

해 24시간 사이버공격 징후 감시

(나) 실무기 은 사이버 정보를 입수한 경우, 과학기술

정보보호센터에 련 정보를 통보

- 20 -

(다) 과학기술정보보호센터는 과학기술부에 통보

(라) 과학기술부는 국가정보원에 통보

(3) 연구기반시설 정보통신기반시설에 한 안 책 수립

(가) 실무기 은 연구기반시설 정보통신망 신․증설 등

환경 변화시 자체 보안 책을 강구하고 과학기술부에

보안성 검토를 의뢰

(나) 과학기술부는 실무기 의 보안성 검토 요청을 국가

정보원에 의뢰

(4) 국내․외 사이버안 련기 과 공조

(가) 과학기술부와 과학기술정보보호센터는 국내․외 사이버

안 련기 과 공조체제 강화 련 정보 입수․

(나) 실무기 은 보안 제․침해사고 응․정보공유분석 등의

업무를 수행하는 과학기술정보보호센터와 력창구 운 ,

정보공유 체계 구축

- 21 -

다. 기 별 책임/역할

내

N S C

사무처

o 가 사 전 체계 축ㆍ개 ㆍ조정

o 가 사 전 체계 처 상태

가정보원

( 가사

전 )

o 사 전 가정책 총 ㆍ조정

o 가차원 사 정보 총 ( 집ㆍ ㆍ전파)

o 가․공공 24시간 사 공격 징 감시

o 가․공공 정보 신 시 에 전

o 보 시 등 시 에 보 정 실시

o 가․공공 정보 신 시 신․ 시 보 검

과

o 과 정보 신 시 에 전 책 여

o 사 정보 시 가정보원에 보

o 시 비 체 사 전 실무매뉴

과 정보

보

o 과 24시간 사 공격 징 감시

o 사 정보 시 과 에 보

o 사 전 산ㆍ ㆍ연 연계체계 축

실무

o 체 사 전 책 에 점검

o 정보보 전담 조

o 사 정보 사고 시 내

과 정보보 에 보

- 22 -

2. 비

가.

(1) 기경보 발령

(2) 실무기 기 응 능력 강화

(3) 사이버안 에 한 교육 인식 제고

(4) 사이버 안 분야 국가 기 리 훈련/연습

(5) 기상황 비 Backup 응책 강구


(1) 기경보 발령

(가) 기경보 발령의 경우 과학기술부는 과학기술정보

보호센터에 기경보 발령을

(나) 과학기술정보보호센터는 실무기 에 기경보 발령을

(다) 실무기 은 소속원에게 기경보 발령을

(라) 문자메시지, 자우편, 화, 팩스, 홈페이지 등을 활용

하여 신속하게 경보를

(2) 실무기 기 응 능력 강화

(가) 백신 로그램 정보보호시스템 의무 설치

※ 정보보 시스 가정보원 또는 보 검

제 상 정

(나) 운 체제 보안패치 용 응용 로그램 업데이트

- 23 -

(다) 기 리 실태 상시 검체계 확립

(라) 사이버안 을 한 기 리 담조직 운 계획 수립

자체 응․복구를 한 「자체 응반」 사 구성

(3) 사이버안 에 한 교육 인식 제고

(가) 과학기술부는 정보 신 의회를 통해 실무기 정보

보호 담당자 상으로 사이버 안 에 한 교육과,

사이버안 에 한 의견을 수렴하여 정책반 수립

체제 구축

(나) 실무기 은「 기 응 실무매뉴얼」에 따른 실행교육 실시

(다) 정보 신 의회 세미나 개최 지원

o 사이버안 분야 민․ 의회 극 활용

(4) 사이버 안 분야 국가 기 리 훈련/연습

(가) 국가정보원, 국회 등에서 실시하는 사이버공격 훈련/

연습에 비하여 응계획 수립

(나) 범정부 사이버공격 훈련/연습에 비하여 응계획

수립

(다) 사이버공격 훈련/연습 결과를 종합하여 보안취약

개선․보완


(가) 요 자료 시스템의 복구를 한 백업 실시

(나) 백업된 자료의 복구 테스트 등 비상시 시스템 복구

차 마련

(다) 하드웨어 소 트웨어 업체와의 비상연락체계 검

- 24 -

다. 기경보 수 별 기 의 책임/역할

(1) 심(Blue)

내

징

o 험 가 높 웜ㆍ컴퓨 러 킹

출 생 가능

o 산 등 사 내

가능

책 ․

역

N S C

사무처

o 징 감시 니

o 가 사 전체계 가동 점검

가정보원

o「 체 평가 」개최 가․공공 상

심 경보

o 가차원 사 니 강

o 보 고문 ․ 포

o 실무 에 처 신 전파

o 사 정보 공 (종 ㆍ ㆍ전파)

과

o 과 정보보 에 심 경보 전파

o 과 정보보 에 보 고문 포

o 체 가동 비 시

o 상징 사고 생 견시 가정보원에 보

o 상 조 정보 가정보원에 보

과 정보

보

o 실무 에 심 경보 전파, 보 고문 포

o 과 시 원

o 사 제 니 강

o 새 드, 취 점, 공격 정보 파

o 상 조 결과 취 여 과 에 보

실무

o 원에게 경보전파 보 고문 포

o 체 정보 신시 니 강

o 적 보 책 시

※ 경보 수 술적 보 책 참조(p28)

- 25 -

(2) 주 의(Yellow)

내

징

o 험 가 높 웜ㆍ 러 킹 출

생

o 네트워크 트래 격 가

책 ․

역

N S C

사무처

o 니 강 간 조체계

o 정 차원 비계

가정보원

o 가․공공 상 주 경보

o 전문 간 조 강

o 산 에 주

과

o 에 비상연락망 원

연락처 점검 갱신

o 시 체 비상 집

과 정

보보

o 과 비상 집시 원

o 실무 과 연락체계( 원, 연락처 등) 점검

갱신

실무

o 체 과 ․과 정보보 에

비상연락망 원 연락처 점검․갱신

o 내 정보보 시 , 네트워크 비등 시

그램 제공 체 연락체계 점검

o 적 보 책 시


※ 전 단계( 심) 경보시 조 시

- 26 -

(3) 경 계(Orange)

내

징

o 복 가 간망에 생

o 웜ㆍ 러 산 규

전 가능 가

책 ․

역

N S C

사무처

o 가 평가 개최 ( 시)

o 각 태 점검 조정

가정보원

o 가․공공 상 경계 경보

o 정 적 동조사 복 원팀 검

o「 가사 전 책 」개최

o 실무 비태 종

과

o 과 정보보 에 제공 사 에

고 는

o 원 비계 점검

과 정보

보

o 실무 에 제공 사 에

고 는

o 과 원 원 원

o 산 시 네트워크 연결 차단 고

실무

o 시「 체 」

o 각적 시 복 실시 고 산 차단

o 산 시 네트워크 연결 차단

o 적 보 책 시


※ 전 단계(주 ) 경보시 조 시

- 27 -

(4) 심 각(Red)

내

징 o 심 시 ․시 상 생


책 ․

역

N S C

사무처

o 가 평가 개최

o 각 태 점검 조정

가정보원

o 가․공공 상 심각 경보

o「 가사 전전략 」개최

o 정 적 동조사 복 원팀 가동

과

o 사고 책본 고 각 태 돌

o 동조사팀, 복 원팀

o 정 동조사팀, 복 원팀 조 원

과 정

보보

o 과 사고 책 본 원팀, Help-Desk팀

o 동조사팀, 복 원팀 원(조사 복

주 )

실무

o 「 체 」 각 태 돌

o 내 PC 사 최 라 무 고

o 적 보 책 시


※ 전 단계(경계) 경보시 조 시

- 28 -

※ 실무 경보 수 술적 보 책

적 보 책

심

(Blue)

o 비 점검 차단 또는 제거

o 신 그램 탐 패 트

o 트웨 보 패 트

o 라 차단시 차단규 점검 정

o 주 시 원 사 량 니

o 취 시 , 비 포트 등에 니

o 출처가 삭제

o P2P, 신저 등 파 그램 사 제

o 료에 정 적 실시

o 민감 료는 넷에 연결 PC에 저

o PC내 공 폴 사 최 사 시 패 워드 적

주

(Yellow)

o 닝 동 닝 상 트에 감시 강

o 특정 트에 닝 차단

o 드 상 경 차단

경 계

(Orange)

o 비 거 공격 징 포착시 공격 차단

o 집 니 상 취 점 점검

o 료 실 복 트

심 각

(Red)

o 경보 공격 상 비 포트 차단

o 민생 에 본 는 비 제 비 제

o 네트워크 시 에 실시간 감시

※ 각 단계는 전 단계 술적 보 책 포 . 단, 상 에 라

전단계에 다 단계 술적 보 책 실 가능

- 29 -

3. 응

가.

(1) 심각경보 발령의 경우 과학기술부 자체 합동조사 을

가동하여 신속한 응조치 범정부 합동조사 지원

(2) 과학기술정보보호센터 지원 구성 후 과학기술부 긴

응반 장지원을 통한 신속한 응 조치

(3) 실무기 「자체 응반」에 의한 신속한 응 조치


(1) 심각경보 발령의 경우 과학기술부 자체 합동조사 을

가동하여 신속한 응조치 범정부 합동조사 지원

(가) 임 무

o 피해확산 차단

o 피해 상황의 종합 처리 보고

o 사고원인에 한 조사 분석

o 실무기 「자체 응반」총 지휘 응방법

(나) 구 성

o 과학기술부, 과학기술정보보호센터, 피해기 담당자,

산업체 문가로 구성

- 30 -

- 정보보호 문인력 풀(Pool)제 운 을 통해 산업체

정보보호 문가 참여 유도

(다) 운

o 기유형별 합동조사 을 구성하고 합동조사를 주

o 범정부 합동조사 지원

(2) 과학기술정보보호센터 지원 구성 후 과학기술부 긴

응반 장지원을 통한 신속한 응 조치

(가) 피해기 의 사례 분석을 통해 방 응방안을 실무

기 에 신속히

(나) 과학기술부ㆍ실무기 간 비상연락체계 상시 가동

(3) 실무기 「자체 응반」에 의한 신속한 응 조치

(가)「 기 응 실무매뉴얼」에 따라 상황별 응책 용

(나) 시스템 는 산센터 장애 발생시 백업시스템 는

백업사이트 가동

(다) 사고조사 복구에 필요한 자료를 제공

(라) 신속한 동조치 후 과학기술정보보호센터에 상황조치

통보

- 31 -

(마) 설치 업무수행 체계

대 통 령

국가사이버안 략회의

국가사이버안 책회의

N S C

상황보고

과 술 ( 동조사팀)

동조사팀 가동( 심각 판단(경미, ,심각))

① 상 황 발 생

③ 합동조사

담당

정 동조사

과 술정보보

産學硏정보보 전문가

실무

체

② 상황보고

③ 상황통보

④ 범정부 합동조사

- 32 -


내

N S C

사무처

o 상 니 , 정 상태 종 보고

o 처․ 체계 가동 실태

가정보원

o 정 적「 동조사팀」 총 원 결과 보고

o 시 가사 전전략 ․ 책 개최

o 가차원 사 공격 조 강

o 내 전문 간 정보 강

과

o 과 동조사팀

o 가정보원(NCSC) 과 정보보 비상연락체계

o 과 상 종

o 정 동조사팀 원

과 정보

보

o 보 제 강 초

o 과 동조사팀 원(과 조사주 )

실무

o 체

o 과 과 정보보 비상연락체계

o「 실무매뉴 」에 거 단계 처

o 사고조사 복 에 료제공

- 33 -

4. 복 구

가.

(1) 과학기술부ㆍ과학기술정보보호센터․실무기 간 긴 한 조

(2) 복구 차에 따른 피해복구 수행

(3) 사고 재발 방지를 한 보안 책 수립 시스템 개선

(4) 심각경보 발령의 경우 과학기술부 자체 복구지원 가동

범정부 복구 지원 지원


(1) 과학기술부ㆍ과학기술정보보호센터․실무기 간 긴 한

조

(가) 경미한 사고는 피해 기 이 자체 복구

※ 복 상 처 료시 과 술정보보 에 보, 과 술

정보보 는 과 술 에 보

(나) 한 사고는 과학기술부(과학기술정보보호센터) 지원

하에 복구

(다) 심각한 사고는 범정부「복구지원 」에 의해 복구

- 34 -

(2) 복구 차에 따른 피해복구 수행

절 차 내

1

복

결 정

복 o 시 내 만 상

트웨 복o 시 내 그램 체제에

생

체제 o 체제 복 가능

드웨 체 o 시 드웨 상

2

결 정

복 복 상에 복 결정

3

복

복 o 료 복원

트웨 복

o 신 그램 , 드

제거

o 공격에 취 점 제거

o 그램

o 체제 복

체제

o 체제 그램

o 료 복원

o 체제 료 정상상태

복

드웨 체 o 파 드웨 체

4사

o 시 가동 정 간 동 니 실시

o 처 결과 보고

o 정 간동 시 네트워크 주 적 점검

- 35 -

(3) 사고 재발 방지를 한 보안 책 수립 개선

(가) 사고 원인 분석에 따라 보안취약 검사 개선

(나) 사이버안 책의 실효성 검 수정․보완

(4) 심각경보 발령의 경우 과학기술부 자체 복구지원 가동

범정부 복구 지원 지원

(가) 임 무

o 피해 상황의 악 복구 차 수립․시행

o 심각한 피해의 경우 범정부「복구지원 」과 연계,

복구활동 지원

o 피해 복구 사후 처리 결과 종합 보고

(나) 구 성

o 과학기술부, 과학기술정보보호센터, 피해기 담당자




(다) 운

o 복구유형에 따라 복구지원 을 구성하고 합동복구를

주

o 범정부 복구지원 지원

- 36 -

(라) 설치 업무수행 체계

대 통 령



N S C

상황보고

과 술 (복 원팀)

복 원팀 가동( 심각 판단(경미, ,심각))

① 상 황 발 생

③ 복구지원

담당

정 복 원

과 술정보보


실무

체

② 상황보고

③ 상황통보

④ 범정부 합동복구

- 37 -


내

N S C

사무처

o 복 종 보고

o 정 적 사 전 체계 개 책 ․조정

가정보원

o 정 적「복 원팀」 주 결과보고

o 시 가사 전전략 ․ 책 개최

o NSC 정보 공

o 복 절차 정보보 전문 POOL제

과

o 과 복 원팀

o 가정보원(NCSC) 과 정보보 비상연락체계

o 과 연 시 정보 신 시 복

o 과 복 상 종

과 정보

보

o 보 제 강 초

o 과 복 원팀 원(복 주 )

실무

o 체

o 과 과 정보보 비상연락체계

o「 실무매뉴 」에 거 단계 처

o 복 에 료제공 무 원

V. 리 업 행

체계

- 41 -

V. 리 업 행 체계

1. 응 체계

과 정보보

원팀, Help-Desk팀

경보 발령

과

사고 책본

비상총

가 정 보 원

가사 전

② 동조치 이상징후 보고

상 총

복 원

체

출연연

체 체

⑤ 응방향/지침

⑥ 응조치안내

① 신고 정보제공

③ 상황통보

④ 경보발령

- 42 -

2. 응 구

가. 과학기술부 사고 책본부

(1) 구성

(가) 기 수 이 심각, 는 그에 하는 경우에 사고 책본부

(본부장 : 정책홍보 리실장)를 구성․운

(나) 사고 책본부 아래 비상총 반, 긴 응반(분석 응 ․

복구지원 ․상황총 )을 구성․운

(다) 과학기술정보보호센터는 사고 책본부(긴 응반) 지원

(라) 운 장소 : 과학기술부 산실(2동 7층 산실 712호)

(2) 역할

(가) 피해 황 악 피해복구 활동 총

(나) 사이버 정보수집․분석 우선조치사항 도출․조치

(다) NSC, 국정원 등 사이버 유 부처 등과 조체제 유지

- 43 -

(3) 세부 임무

무

본

(정책 보 실 )

o 과 술정보보 과 내 사 전

능 총 휘

o 과 술 ･차 보고

비상총

(비상계 담당 )o 계 수 원

(정보 담당 )

o 총

o 계 수 결과 종

o 보고 종

상 총

o 신고 접수 보 제 실시

o 경보 제 전

o 제 (NCSC, KrCERT 등)

o 보 료

o 사 전 과 조체계 축

o 사고원 조사 규

o 공격 ･

o 공격 원 차단 책 강

o 정 동조사 원

복 원

o 복 책 수 전

o 견 신 복 보 술 원

o 정보보 전문 ( 신 체 등)과 정보

o 사 전

o 정 복 원 조

과 술정보보

( :과 술정보보 )

o 원

o 경보 제 전

o 공격 ･

o 복 보 술 원

실무

( 체 )

o 체 전 책 수 ･시

o 사고에 조 조 결과 보

o 체 ･

o 술적 보 책 시

- 44 -

나. 과학기술부 비상총 반

(1) 구성

(가) 기경보수 이 심각의 경우 비상총 반(반장 : 비상계획

담당 )을 구성․운

(2) 역할

(가) 비상사태 기 리에 한 계획 수립 이에 따라 긴

응반 지원과 부내ㆍ외 상황보고

(나) 경보발령에 따른 응조치 수행 황 모니터링 리

(다) 요시설의 지정과 보호 책 수립 시행

- 45 -

다. 과학기술부 긴 응반

(1) 구성

(가) 기경보수 이 심 이상인 경우 필요시 긴 응반을

구성․운

o 긴 응반은 상황총 , 분석 응 , 복구지원

구성․운 , 분석 응 은 합동조사 구성시 합동

조사 으로 역할 환

(나) 긴 응반 반장을 정보화담당 으로 하고, 긴 응반

아래 정보화담당 실 사무 을 장으로 부내 네트

워크･시스템 리자․실무자와 유지보수업체 과학기술정보

보호센터 문인력 등이 참여하는 상황총 , 분석 응 ,

복구지원 을 각각 편성․운

(2) 역할

(가) 심각 수 의 기경보가 발령될 경우 사고 책본부 구성

(나) 사이버 경보에 따른 응계획 수립 조치결과를

종합하여 사고 책본부장에게 상황보고

(다) 사이버공격으로 인한 사고 발생 는 징후 발견시 국가

정보원(사이버안 센터)에 신고

(라) 사고에 한 증거 확보 보존

(마) 긴 응반 편성 인원에 한 비상연락망 유지

- 46 -

라. 과학기술정보보호센터

(1) 구성

(가) 과학기술분야 핵심연구정보 보호체계를 체계 으로 지원하기

한 종합상황실, 지원 구성․운

(나) 심 수 이상의 사이버 경보가 발령될 경우 장기술을

지원할 수 있는 Help-desk 구성․운

(2) 역할

(가) Non-Stop(365일/24시간) 모니터링하고 각종 정보 분석

응

(나) 사이버 경보가 발령될 경우 실무기 에 사이버 경보

발령 해제

(다) 사고원인 조사 피해규모 확인 지원

(라) 공격기법, 해킹방법 분석후 응방안 마련

(마) 침해사고 원인분석 응방안 강구 지원

(바) 장 조사 복구 지원

(사) 조치결과 취합 종합 보고서 작성지원

- 47 -

(3) 세부 임무

무

과

술

정

보

보

상 제

o 24시간 종 상 실

o 실무 상 경보 제 전

o 과 술정보보 상 네 워크 니

o 내ㆍ 주 보 사 니

o 사고 초동

o 사고 전 접수 원

o 사고 원 술적 강

o 웜ㆍ 러스 샘 채취

o 킹

o 공격 원 차단 책 강

o 규

복 원

o 복 책 수 전

o 킹 술 전

o 킹사고 조사 술 원

o 정보보 전문 ( 신 체 등)과 정보

o 결과 종

- 48 -

마. 실무기

(1) 구성

(가) 정보 정보보호책임자( 장 이상)를 반장으로 하는 자체

응반 구성･운

o 정보통신시스템실무자 력사 등이 참여

(2) 역할

(가) 과학기술정보보호센터에서 사이버 경보가 된 경우

기 내 소속원에게 즉시 경보 발령 해제

(나) 자체 네트워크･시스템 등 모니터링 수시 검

(다) 조치결과 피해상황 등을 과학기술정보보호센터에 통보

(라) 자체 기상황 탐지․ 응결과 피해상황 등의 보고

(마) 침해사고 원인 분석을 한 장 조사 복구 조

(바) 기 특성에 합한 사이버안 분야 기 응 실무

매뉴얼 작성․운

VI. 경보 별

응요

- 51 -

VI. 경보 별 응요

사이버 경보수 은 심․주의․경계․심각의 4단계로 구분

된다. 과학기술부는 국가정보원으로부터 경보발령을 수한 경우에는

본 장에 수록된 경보수 별 응요령을 수행하여야 한다.

□ 경보수 별 응요령 요약

단계 요 요약

경

보

심

각

○ 경계 경보 조치 지속 시행

○ 국가차원의 즉각 태 돌입

○ 과학 부 합동조사 및 복구지원 가동

경

계

○ 주의 경보 조치 지속 행

○ 과학 보보 는 상 체계 가동

○ 과학 부는 반, 실 자체 반 가동

주

의

○ 심 경보 조치 지속 행

○ 분야별 사이버안 및 보안업체 공조체계 확인

○ 과학 부는 반, 실 자체 반 가동 ( 요시 소집)

심

○ 보안권고 등 보안조치 이행

○ 이상 징후 탐지시 동 처 후 국가사이버안 에 통보

○ 사고발생 반, 자체 반 연락체계 확인

○ 사이버공격 여부 감시 강화

상

○ 과학 부(과학 보보 ) 페이지 및 SnT Net 등 보공 시스템의

최신 보 지속 확인

○ 보안취약 발굴 및 실 간 공 체계 활 화

○ 과학 분야 사이버안 매뉴얼에 의거 검 실시

○ 사고발생 반 구 , 실 자체 반 구

○ 사이버안 모의훈 실시 및 취약 개 ㆍ보

○ 보 신 의회를 통한 사이버안 및 훈 실시

- 52 -

1. 평시 방활동

가. 평시 업무체계

가 정 보 원

가사 전

가사 전전략

가사 전 책

정보 신

넷 사고 원정보전

과

과 정보보

․정보공유

․보안성검토요청


/정 출연연 /

경보수

ISP 등 민간

경보수

조 / 각

경보수

․ 경보

․안 성확인

․교육훈련

․정보공유


․정보공유

․안 진단결과통보


․정보공유

․조치사항통보․정보공유


N S C 사 무 처

․ 경보

․안 성확인

․교육훈련

․정보공유

․보안성검토요청


․ 경보

․안 성확인

․교육훈련

․ 경보

․교육훈련

- 53 -

과학기술부와 과학기술정보보호센터(보안 제, 침해사고 응, 정보

공유분석 등 사이버안 업무를 담하는 기구)는 다음의 임무를

수행

(1) 과학기술부는 소 분야 실정에 맞는 보안 리 기 을 수립

(2) 국가정보원은 과학기술부의 정보통신망 안 성을 확인할 수

있고, 과학기술부 실무기 의 정보통신망에 한 안 성

확인은 과학기술부 장 과 의하여 수행

(3) 과학기술정보보호센터는 24시간 사이버공격 징후

감시, 침해사고 응, 정보공유분석 등의 업무를 수행

평시 실무기 은 다음의 임무를 수행

(1) 실무기 의 장은 사이버 으로부터 할 정보통신망의

보호를 해 부록 Ⅲ.「평시 안 검 체크리스트」를 참조

하여 정기 으로 보안 검을 시행

(2) 정보통신망 신․증설 등 정보화사업 추진시 자체 보안 책을

강구하고 과학기술부에 보안성 검토를 의뢰

(3) 과학기술부는 실무기 의 보안성 검토 요청을 국가정보원에

의뢰

(4) 실무기 은 규모 사이버공격 발생시 신속하고 효과 으로

응하기 하여 정보보안 문인력으로 자체 응반을 구성

※ 체 Ⅰ. 「2-나-(3) 실무 체 사고조사

(p160)」참조

- 54 -

나. 방활동

(1) 사이버안 책 수립

(가) 과학기술부는 국가사이버안 매뉴얼을 바탕으로 과학

기술부 실정에 맞게 소 분야 안 책(사이버안 분야

매뉴얼 포함)을 수립하고, 이를 소속 산하기 에 배

포하여 활용

(나) 과학기술부는 소 분야 안 책을 수립․시행할 경우에는

국가정보원에 통보

(다) 실무기 은 과학기술부의 안 책에 따라 자체 안 책을

수립․시행

(2) 안 성확인 검조치

(가) 안 성 확인 정기 검

o 과학기술부는 자체 수립한 안 책에 따라 소 분야

정보통신망에 한 안 성과 안 책 이행여부에 해

정기 검을 실시할 수 있음

o 과학기술부는 국가정보원과 의하여 실무기 에 해

장방문 는 원격 측정을 통하여 사이버안 책 이행

여부와 정보통신망의 안 성 확인할 수 있음

o 실무기 은 자체 으로 정보통신망에 한 안 책의

성 이해 여부 등에 해 정기 으로 검 실시

- 55 -

(나) 안 성 확인의 시정 조치

o 국가정보원장은 과학기술부 실무기 에 한 정보

통신망의 안 성과 안 책 이행여부에 해 확인을

실시한 경우에 필요한 시정조치를 권고할 수 있음

o 과학기술부 장 실무기 의 장은 국가정보원이

제시한 시정 권고사항에 해 조속히 조치를 취하고,

그 결과를 국가정보원장에게 통보

(3) 정보 수집․분석

(가) 정보 공유체계 구축

o 과학기술부는 국가차원의 사이버 정보가 종합

수집․분석될 수 있도록 사이버 정보수집의 보안

제망 연동 지원

o 과학기술정보보호센터는 국가정보원에서 주 하는 사이버

정보수집 시스템을 연동한 기 을 상으로 보안

제 정보공유 등을 한 의체(회의체) 참석

(나) 사이버 정보 수집

o 과학기술정보호호센터는 사이버 정보 는 이상

징후 정보 등과 같은 다양한 정보를 수집하기

해 과학기술부 실무기 의 산망을 상으로 24시간

공격 징후 모니터링

o 과학기술정보보호센터와 실무기 은 보안 제시스템

는 오 라인 등을 통해 사이버 정보를 인지한

경우에는 동조치 후 과학기술부에 통보하고 과학

기술부는 국가정보원에 통보

- 56 -

(다) 보안정보 응책 작성․배포

o 과학기술부는 국가정보원에서 발표한 보안권고문 는

취약 분석정보를 과학기술정보보호센터에 배포하고

과학기술정보보호센터는 실무기 에 배포

o 실무기 은 보안정보, 보안권고문 는 취약 분석

정보를 바탕으로 보안 업데이트 응조치를 수행

하고, 기 내부에 배포

(라) 사이버 인지 는 사고 발생시 신고 조사

o 실무기 은 과학기술정보보호센터와 정보

사고신고 연락체계를 구성 유지

o 사이버 사고 는 징후 발생시 실무기 은 과학기술

정보보호센터에 통보하고 과학기술정보보호센터는

과학기술부에 통보

o 사이버 사고 는 징후 발생시 과학기술부는 국가정보원

(NCSC)에 통보

o 국가 기 문서가 장된 정보시스템에 해킹 사고가

발생했을 경우에는 의무 으로 신고

(4) 사이버안 련기 과 정보공유

(가) 사이버안 문기구와의 정보공유 공조체계

o 과학기술정보보호센터는 사이버안 문기 과 정보

공유 력체계를 구축하고 계 문가 회의에 참석

- 57 -

(5) 정보통신망에 한 보안성 검토 보안측정

※ 보 검 보 정 「 가정보보 본 」참조

(가) 정보통신망 보안 책 수립 보안성 검토

o 실무기 은 정보통신망 신․증설 등 정보화 사업을

추진하는 경우 자체 으로 보안 책을 수립

o 실무기 은 자체 수립한 보안 책의 성 여부에

해 과학기술부에 보안성검토를 요청

o 과학기술부는 실무기 이 자체 수립한 보안 책의

성 여부에 해 국가정보원에 보안성검토를 요청

o 국가정보원은 각 기 이 요청한 보안 책에 한

보안성을 검토하여 합한 책을 제시

(6) 사이버안 에 한 교육․홍보 훈련 등

(가) 사이버 응 교육 훈련 강화

o 과학기술부 정보보안담당 (자)은 국가정보원에서 실시

하는 국가 정보보안설명회에 참석

o 실무기 은 사이버 에 비하여 정기 인 교육

훈련을 통해 소속직원의 보안의식 제고와 보안 리

요령을

(나) 사이버공격 응훈련

o 실무기 은 국가정보원이나 국회 등에서 실시하는

사이버안 모의훈련을 통해 발견되지 않았던 새로운

취약 이나 리가 허술했던 부분을 찾아내고 이를

보완하기 하여 극 조

- 58 -

o 실무기 은 기 의 보안취약성을 진단하기 해 필요한

경우 국가정보원에 수시 모의훈련 실시를 요청할 수 있음

(다) 사이버안 기술 확보

o 과학기술부는 소 분야 정보통신망을 보호하기 해

사이버안 기술 연구개발의 소요를 국가정보원에

제기할 수 있음

(7) 기본 검 활동

(가) 사이버 동향 악

o 실무기 은 과학기술정보보호센터 등 사이버안 문

기구 보안업체의 홈페이지를 수시방문, 련내용을 악

o 국내외 방송이나 언론의 사이버 련 보도 주시

(나) 주요 정보시스템의 정기 검

o 웹서버, 메일서버 등의 정보시스템이 정상 으로 운

되는지 는 불법침입자에 의한 요 데이터의 괴

․변조가 발생되었는지 여부를 정기 으로 검

(다) 업무와 련 없는 P2P등의 인터넷 연결 로그램 사용

자제

o P2P 등의 일공유 로그램은 웜이나 트로이목마 등과

같은 악성 로그램을 할 가능성이 있으므로 가

사용을 자제

(라) 백신 탐지 패턴 소 트웨어 보안패치 업데이트 실시

o 악성 로그램의 특성은 계속 으로 변하기 때문에

백신 로그램의 엔진은 항상 최신버 으로 업데이트

- 59 -

o 사용 인 소 트웨어의 보안패치사항이 발표된 경우

해당패치를 수행하여 취약 을 최소화 하도록 노력

(마) 네트워크 트래픽량 변화 모니터링

o 라우터, 침입탐지시스템 등을 이용하여 트래픽량이

증하는지를 지속 으로 모니터링

o 네트워크 트래픽량 모니터링을 통해 서비스거부 공격,

웜 확산 등의 이상 징후 발생여부를 찰

(바) 출처가 불분명한 이메일 삭제

o 출처가 불분명한 이메일을 통해 웜․바이러스가 감염될

우려가 있으므로 의심되는 이메일은 열지 않고 삭제

o 사용자가 이메일을 미리보기만 하더라도 악성코드가

사용자 PC에 사용자도 모르는 사이에 설치될 우려가

있으므로 미리보기 기능을 삭제

(사) 폴더 일 공유 사용 자제

o 자료 교환 등을 해 사용하는 컴퓨터 폴더 일

공유를 통해 사이버공격이 발생될 우려가 있으므로

폴더 일 공유 사용을 자제

(아) 복잡한 패스워드 사용 주기 인 변경

o 컴퓨터의 불법 인 근을 방지하기 해 유추하기

힘든 복잡한 패스워드를 사용하며, 반드시 특수문자를

포함

※ CMOS 스워드, 계정 스워드, 보 스워드, 공

스워드, 네 워크 접근 등 컴퓨 에 사 는 스워드

o 계정 패스워드는 월 1회 이상 주기 으로 변경

- 60 -

2. 심

가. 상 황

o 험 가 높 웜ㆍ 러 등 드 킹 출

생 가능

o 산 등 사 내 가능

나. 기 별 응요령

(1) 과학기술부

(가) NCSC에서 기경보를 발령할 경우 과학기술정보보호센터에

경보발령

※ 경보 식 「 1」참조

△ 상 : 과학기술정보보호센터

△ 수단 : SMS, FAX, 화, 자우편 홈페이지

(나) 과학기술정보보호센터에서 이상징후 는 사고 발생이

통보된 경우 과학기술부는 NCSC에 련사항을 통보

< 과 술 연락처 >

o 전 02-503-7619/ FAX 02-2110-3609

o 전 [email protected] 또는 www.most.go.kr

< NCSC 연락처 >

o 전 111 또는 02-557-0716/ FAX 02-3432-0463(24시간)

o 전 [email protected] 또는 www.ncsc.go.kr

※ 사고신고 식 사고조 식 「 3, 4」참조

- 61 -

(다) 보안권고문 보안조치 이행 권고문이 NCSC에서 배포된

경우 과학기술정보보호센터에 배포

※ 경보 식 「 1」참조



(라) 긴 응반 가동 비 필요시 긴 응반원 비상소집

(마) 실무기 상황조치 련 정보를 취합하여 NCSC에 통보

※ 상 조 식 「 2」참조

(2) 과학기술정보보호센터

(가) 과학기술부 긴 응반이 가동될 경우 신속한 장지원

(나) 과학기술부에서 기경보를 할 경우 실무기 에

※ 경보 식 「 1」참조

△ 상 : 실무기


(다) 실무기 에서 이상징후 는 사고 발생이 통보된 경우

과학기술부에 련사항을 통보

< 과 술정보보 연락처 >

o 전 032-869-0808/ FAX 042-869-0809(24시간)

o 전 [email protected] 또는 www.sntsec.or.kr


(라) 보안권고문 보안조치 이행 권고문이 과학기술부에서

배포된 경우 실무기 에 배포

※ 경보 식 「 1」참조

△ 상 : 실무기


- 62 -

(마) 새로운 악성코드, 취약 , 공격도구를 악하여 실무기 에

응요령 배포

(바) 긴 응반 가동될 경우 신속한 장지원

(사) 실무기 상황조치 련 정보를 취합하여 과학기술부에 통보

※ 상 조 식 「 2」참조

(3) 실무기

(가) 과학기술부에서 기경보를 할 경우 소속원에게 경보발령

(나) 이상징후 는 사고가 발생한 경우 과학기술정보보호센터에

련사항을 통보


(다) 과학기술정보보호센터에서 배포한 새로운 악성코드, 취약 ,

공격도구 응요령에 따른 보호 책 이행

(라) 보안 권고문은 일정수 이상의 험성을 갖고 있는 웜․

바이러스, 보안 취약 , 해킹기법 등 사이버 요소에 한

특성과 한 응방법을 제공하고 있으므로 이에

따라 보호 책 이행

(마) 새로운 보안취약 이 발표되거나 험도가 높은 웜․해킹

기법에 한 피해 발생 가능성이 높은 상태이므로

지속 으로 모니터링 하여 피해 발생 여부를 체크하고

기징후 감시

(바) 해외에서 피해가 확산되는 경우 사이버 의 국내 유입

가능성이 높아지므로 이에 한 감시 철

- 63 -

(사) 업무수행에 반드시 필요한 서비스를 제외한 일반 인 시스템

서비스에 해서는 해당 로세스의 실행을 지시키거나

서비스 포트를 차단하여 취약 에 한 을 최소화

(아) 라우터의 CAR(Committed Access Rate), ACL(Access

Control List) 설정 내용과 스 치, 침입차단 시스템의

IP주소 는 포트번호에 한 허용 차단 규칙을 확인

(자) 서비스 포트를 허용할 때는 서비스를 제공하는 특정 포트

만을 허용 하도록 설정하 는지 검

(차) 상황조치 련정보를 과학기술정보보호센터에 통보

※ 상 조 식 「 2」참조

- 64 -

3.주 의

가. 상 황

o 험 가 높 웜ㆍ 러 등 드 킹 출

생

o 과 정보시 전 에 보 태 강

□ 심경보 조치 지속 수행


(1) 과학기술부

(가) 평시에 긴 응반 운 계획(반장, 인원, 역할, 연락처 등)

수립 유지

(나) 긴 응반 운 에 한 비상연락망 인원 연락처를

검하여 최신 내용으로 갱신

※ 비상연락망 식 「 5」참조

(다) 경보발령 체계도에 따른 연락체계 확인

(라) 필요시 긴 응반원을 비상소집


(가) 과학기술부, 사이버안 유 기 실무기 연락체계(인원,

연락처) 검 갱신

※ 실무 , 사 전 비상연락망 식 「 6, 8」참조

- 65 -

(3) 실무기

(가) 자체 응반 운 에 한 비상연락망 인원 연락처를

검하여 최신 내용으로 갱신

※ 체 비상연락망 식 「 7」참조

(나) 과학기술부 과학기술정보보호센터 연락체계 검 갱신

※ 체 비상연락망 식 「 7」참조

(다) 기 내에서 사용 인 정보보호시스템, 네트워크 장비 등

시스템 로그램을 제공한 업체 간의 연락체계 검

※ 정보시스 체 연락처 식 「 9」참조

(라) 악성코드, 취약 , 공격도구 등에 한 분석정보가 발표될

경우, 공격 상이 될 수 있는 시스템, 서비스 포트번호 등을 상

(마) 공격 상 시스템의 IP주소 는 공격 상 서비스 포트번호의

차단 상태 확인

(바) 칩입차단시스템, 칩임탐지시스템 등을 이용하여 공격 상

시스템, 서비스 포트번호 등에 하여 모니터링 강화

(사) 악성코드의 유입경로가 이메일의 첨부물을 통한 것인지,

웹 사이트의 이동코드를 통한 것인지, 특정한 소 트웨어의

배포를 통한 것인지 단

(아) 이메일이나 웹을 통해 악성코드에 감염될 경우, 침입차단

시스템, 침입탐지시스템, 이메일 서버 클라이언트

로그램, 웹 록시 서버 등에 차단규칙 추가

(자) 특정 소 트웨어 배포를 통해 악성코드에 감염될 경우,

해당 소 트웨어를 해지하고 추가 설치를 함

- 66 -

4. 경 계

가. 상 황

o 복 가 간망 또는 비

o 웜ㆍ 러 등 드 산 규 전

가능 가

□ 주의경보 조치 지속 수행


(1) 과학기술부

(가) 과학기술정보보호센터가 실무기 에 사이버 에 한

응요령을 모두 하 는지 한 NCSC, 백신업체에서

제공하는 사이버 에 한 응요령을 모두 이행하고 있는지

재확인

(나) 긴 응반 증원 비계획 검


(가) 실무기 이 과학기술정보보호센터에서 제공하는 사이버 에

한 응요령을 모두 이행하고 있는지 재확인

(나) 긴 응반 장 견 인원 증원

(다) 속한 피해확산이 우려되는 경우 과학기술부에 통보하고

실무기 에 네트워크 연결 차단 권고

- 67 -

(3) 실무기

(가) 필요시 자체 응반 운

(나) 피해가 상되거나 피해상황 추이에 따라 자체 응반을

투입, 즉각 인 시스템복구를 실시하고 피해확산 차단조치

(다) 서비스거부공격에 한 이상 징후를 포착한 경우 정보

보안담당자는 신속하게 라우터, 침입차단시스템 등의

차단규칙을 재설정하여 공격 진행을 차단

※ 비스거 공격 상징 포착시 공격전개 차단에

가사 전매뉴 참조(p249)

(라) 요 정보자료를 갖고 있는 서버 요한 서버의 자료를

백업하여 네트워크와 단 된 안 한 곳에 보

(마) 악성코드, 취약 , 공격도구 등에 한 분석정보에 따른

공격 상 시스템의 IP 주소 는 공격 상 서비스 포트

번호의 차단 상태를 수시로 확인

(바) 침입차단시스템, 침입탐지시스템 등을 이용하여 취약 을

재 검하여 발견된 취약 제거

(사) 피해발생 가능성이 높은 네트워크를 상으로 물리 인

이블 분리 등의 단 시행 여부를 검토하고, 필요할 경우

기 장의 승인하에 단

- 68 -

5. 심 각

가. 상 황

o 심 시 ․시 상 생


o 가적 차원에 공동 처

□ 경계경보 조치 지속 수행


(1) 과학기술부

(가) 정책홍보실장을 본부장으로 하는 사고 책본부를 구성

하여 즉각 응태세 돌입

(나) 비상계획 담당 을 반장으로 하는 비상총 반 구성

(다) 과학기술부 합동조사 , 복구지원 구성 운 , 분석응 역할 환

o 과학기술부「합동조사 」임무

- 피해확산 차단

- 피해 상황의 종합 처리 보고 ※ 상 종 식 「 10～13」참조

- 사고원인에 한 조사 분석

- 실무기 「자체 응반」총 지휘 응방법

o 과학기술부「합동조사 」구성

- 과학기술부, 과학기술정보보호센터, 피해기 담당자,


- 69 -



o 과학기술부「합동조사 」운

- 기유형별 합동조사 을 구성하고 합동조사를 주

- 범정부 합동조사 지원

o 과학기술부「복구지원 」임무

- 피해 상황의 악 복구 차 수립․시행

- 「긴 응반」과 연계, 복구활동 지원

- 피해 복구 사후 처리 결과 종합 보고

※ 상 종 식 「 10～13」참조

o 과학기술부「복구지원 」구성

- 과학기술부, 과학기술정보보호센터, 피해기 담당자,




o 과학기술부「복구지원 」운

- 복구유형에 따라 복구지원 을 구성하고 합동복구를

주

- 범정부 합동복구 지원

(라) 사이버 에 한 철 한 원인 분석을 통해 피해규모

한 응 방법 등을 제시

(마) 피해규모를 단하여 범정부 차원의 합동조사 , 복구

지원 력 요청

- 70 -


(가) 과학기술부 사고 책본부를 지원하기 한 지원 ,

Help-Desk 가동하고 즉각 응태세 돌입

(나) 과학기술부 합동조사 , 복구지원 장지원(조사

복구지원 주 )

(3) 실무기

(가) 자체 응반을 가동하고 즉각 응태세 돌입

(나) 악성코드, 취약 , 공격도구 등에 한 분석정보가 발표될

경우, 라우터․스 치 침입차단시스템의 차단규칙을

추가 설정하여 공격 상 서비스 포트를 차단

※ 공격 상 비스 포 차단에 가사 전매뉴

참조(p249)

(다) 기 내 PC사용을 최소화하여 만약에 발생할 수 있는

잠재 인 사고를 미연에 방지

(라) 서비스거부공격 웜 발생을 확실하게 상할 수 있거나

내부 시스템 네트워크에 규모 피해 확산을 상할 수

있는 경우, 기 장의 승인을 받고 물리 인 이블 분리

등을 통해 피해 상 네트워크를 단

(마) 피해를 당한 해당 기 의 정보보안담당자는 사고와 련된

데이터뿐만 아니라 데이터백업 로그 리 등 사고조사

복구에 필요한 자료를 제공

- 71 -

o 경미한 사고는 피해 기 이 자체 복구

※ 복 상 처 료시 과 술 과 술정보보

에 보

o 한 사고는 과학기술부(과학기술정보보호센터) 지원 하에

복구

o 심각한 사고는 범정부「복구지원 」에 의해 복구

- 73 -

Ⅶ. 응 조치 및 차

- 75 -

Ⅰ. 악 웜･바이러스에 의한 과학 요 출

1. 심의 경우 조치사항 및 처리 차

가. 상 황

□ 개

o 체제 최신 취 점 여 시 비

시키고, 시 내 파 특정 출시키는 AA-1웜

미 에 최초 견 시간 만에 나다 등 접

럽 산 에 라 미 등 연 고

는 연 등 내 고

□ 내

o 사고신고 시 내 : 7월 6 10:30

- AA-1웜과 내 사고는 보고

- 미 DHS( 보 ) AA-1웜 주 청 는 신

- NISCC( 가 시 보 조정 ) AA-1웜 주

청 는 신

- 가정보원 가사 전 (NCSC)에 심 경보

AA-1웜 주 청

o

- 미 주 공 등 가․공공 시 비

시간 동 넷 비 가 루

- , 랑 등 럽 가 공공 연 시 시

비 고 내 정보가 출 사고가 생

- 76 -

나. 조치사항 차

(1) 조치 목록

조 사 내

상

접

보고/전파

o 보고 내 상 전파

초동조

o 사

o 「 심」경보 전파

※ 과 는 경보 내 접 시 과 정보보

실무 등에 신 전파

o 보 고문 보 조 등 고문

NCSC에 포 경 전파/보 책

조

o 신 탐 룰 트 포

o 과 차원 「」가동 비 시

비상 집

o 내 동 파 조

o 니 강

o 비 차단 차단규 점검

o 상 조 결과 취

※ 과 는 실무 등 조 결과 취 , NCSC 보

o 생시 주 단계 조

처 상

보고o 조 상 종 보고

- 77 -

다. 조치 내용

(1) 기상황 수 보고/

(가) 보고 내부 상황

o NCSC에서 심 경보 발령의 경우 긴 응반 상황총 은

사이버 내용을 상부에 보고하고 과학기술부 직원

에게 신속히

※ 보고내 식 「 1」참조

(2) 동조치

(가) 사이버 분석

o 긴 응반 분석 응 은 공격기법 피해 가능성 등을

분석

o 긴 응반 상황총 은 AA-1 웜에 한 피해 가능성이 높은

상태이므로 지속 으로 모니터링하고 기 징후를 감시

o 정보보호 제품 공 社와 상황공유 업데이트 의뢰

- 긴 응반 분석 응 은 정보보호 제품 공 社(침입차단․

탐지시스템 제작업체, 백신업체 등)에 정보제공

웜․바이러스 백신 탐지룰 업데이트 요청

※ 드 샘 제공 정보보 체 「 9」참조

(나) 심 경보 발령

o 심 경보 발령의 경우 수 후, 반장에게 보고하고 과학

기술정보보호센터 실무기 에 신속히

- 78 -

- 긴 응반 상황총 은 사이버 기경보를 반장에게

보고하고, NCSC의 심 경보 발령사실을 과학기술정보

보호센터에 신속히



- 과학기술정보보호센터는 실무기 에 심 경보 발령

사실을 신속히

△ 상 : 실무기


- 실무기 은 기경보를 수하고 신속히 기 내 소속원

에게 심 경보 발령 사실을

※ 경보 식 상 조 식 「 1, 2」참조

(다) 보안권고문 보안조치 등 이행 권고문이 NCSC에서

배포된 경우 /보호 책 이행

o 긴 응반 상황총 은 보안권고문 보안조치, 응요령 등

이행 권고문이 NCSC에서 배포된 경우 이를 과학기술정보

보호센터에 하고, 과학기술정보보호센터는 실무기 에

o 실무기 은 보안권고문 보안조치, 응요령 등 이행

권고문에 따른 보호 책 이행

(3) 긴 응 조치

(가) 백신 탐지룰 업데이트 배포 용

o 백신 탐지룰이 제공되는 경우 과학기술정보보센터를 통

하여 실무기 에 배포

- 79 -

o 실무기 은 배포된 백신 탐지룰을 자체 시스템에 용

(나) 긴 응반 가동 비 필요시 긴 응반 비상소집

o 긴 응반 반장은 상황을 의 주시하고 긴 응반 가동

비 필요시 긴 응반 비상소집

o 과학기술정보보호센터는 긴 응반이 가동될 경우 신속한 장

지원

(다) 국내외 유 기 동향 악 조

o 국가사이버안 센터(NCSC), 정보통신부 등 보안 제를 수행

하는 기 에 한 동향 악 상호 조

(라) 모니터링 강화

o AA-1웜에 한 피해 발생가능성이 높은 상태이므로

지속 으로 모니터링 기징후 감시 강화

- 과학기술정보보호센터 실무기 은 사이버 에 한

모니터링 기징후 감시체제 강화

(마) 불필요한 서비스 차단 차단규칙 검

o 업무수행에 반드시 필요한 서비스를 제외한 일반 인 시스템



o 라우터의 CAR(Committed Access Rate), ACL(Access Control

List) 설정 내용과 스 치, 침입차단 시스템의 IP주소 는

포트번호에 한 허용 차단 규칙을 확인

- 80 -

o 서비스 포트를 허용할 때는 서비스를 제공하는 특정 포트


(바) 상황조치 결과 취합

o 실무기 은 경보발령에 따른 응조치 수행 후 과학기술

정보보호센터 기술지원 에 상황통보

※ 상 조 보 는「 2」참조

o 과학기술정보보호센터 기술지원 은 상황조치 결과를 취합

하여 과학기술부 상황총 에 보고

o 긴 응반 상황총 은 상황조치 결과를 취합하여,

반장에게 보고하고 국가정보원(NCSC)에 통보

(사) 피해 발생시 주의 단계 조치 수행

o 피해가 발생되어 NCSC에서 주의 단계로 상향조정하는

경우 주의 단계 조치 시행(P81 참조)

(4) 처리상황 보고

(가) 조치상황 종합 보고

o 긴 응반 상황총 분석 응 은 피해 응

황을 종합․정리하여 보안 제 상황과 조치 황에 한

종합 보고서를 작성하여 반장에게 보고

- 81 -

2. 주의의 경우 조치사항 및 처리 차

가. 상 황

□ 개

o 체제 최신 취 점 여 시 비

시키고, 시 내 파 특정 출시키는 AA-1웜

미 연 등과 동 과제 고 는 내 연

전 편 전파 연 정보 가 출 는 가

생

□ 내

o 사고신고 시 내 : 7월 6 16:30

- OOO연 원 등 연 에 전 편 전파 웜

러 에 여 감염 시 비 는 사고 신고접

- 과 정보보 (S&T-SEC)에 OOO연 원 등 연

내에 생 고 는 트래 상 상 탐

- 과 정보보 에 는 탐 신고 접 가

사 전 에 보

- 가정보원 가사 전 (NCSC)에 “주 ” 경보

AA-1웜에 보 태 강 청

o

- OOO연 원등 연 에 AA-1웜에 감염 시 비

무 가 생 고 연 정보 료 가 출

것

- AA-1웜에 감염 OOO연 원 등에 내 네트워크

AA-1웜 전파 시 여 다량 트래 생 여 넷

가 생

- 82 -


(1) 조치 목록

조 사 내

상

접

보고/전파

o 심 단계에 생 사고 신고

초동조

o 사고원

o「주 」경보 전파



조

o 시 비상 집

o 내 동 파 조 강

o 파 사고조사

o 공격 원 ․경 접 차단 보 책 시

o 산시 경계 단계 조

복

조

o 산 복 조

o 복 추 실태 파

처 상

보고o 심 경보단계 조

조 o 책 ․전파

심 경보 조치 지속 행

- 83 -

다. 조치 내용


(가) 심단계에서 피해발생 사고신고

o 실무기 에서 AA-1 웜에 한 피해가 발생하여 련

사실을 과학기술정보보호센터에 신고

o 과학기술정보보호센터는 AA-1 웜에 한 피해발생 사실을

과학기술부에 보고

o 과학기술부는 피해사실을 NCSC에 통보

※ 사고신고 식 「 3」참조

(2) 동조치

(가) 사고 원인분석

o 긴 응반 분석 응 은 피해기 에 출동, 공격기법․피해

양상 등을 분석하고, 상황총 은 제시스템에 탐지룰

용

(나) 주의 경보 발령

o 주의 경보 발령의 경우 수 후, 반장에게 보고하고 과학

기술정보보호센터 실무기 에 신속히 재


보고하고, NCSC의 주의 경보 발령사실을 과학기술정보

보호센터에 신속히 재



- 84 -

- 과학기술정보보호센터는 실무기 에 주의 경보 발령

사실을 신속히 재

△ 상 : 실무기



에게 주의 경보 발령 사실을 재

※ 경보 식 상 조 식 「 1, 2」참조

(3) 긴 응 조치

(가) 필요시 긴 응반 비상소집

o 긴 응반 반장은 평시 긴 응반 운 계획을 수립유지

o 긴 응반 운 에 한 비상연락망 인원 연락처를 검

하여 최신 내용으로 갱신

o 경보발령 체계도에 따른 연락체계 확인

o 필요시 긴 응반 비상소집

o 과학기술정보보호센터 실무기 등도 비상연락망

연락처를 검하여 최신 내용으로 갱신

o 실무기 은 정보보호시스템, 네트워크 장비 등 시스템

로그램을 제공한 업체간의 연락체계 검

(나) 국내외 유 기 동향 악 조 강화

o 국가사이버안 센터(NCSC), 정보통신부 등 보안 제를

수행하는 기 에 한 동향 악 상호 조 강화

- 85 -

(다) 피해 황 악 사고조사

o 과학기술부 실무기 정보보호담당자는 해당 기 에 사고

발생시 즉시 과학기술정보보호센터에 피해내용을 통보하고,

자체 조사 복구 수행, 결과를 과학기술정보보호센터에

통보

※ 사고신고 사고조 식 「 3, 4」참조

o 과학기술정보보호센터는 과학기술부에 피해 내용을 보고

o 과학기술부는 피해내용을 NCSC에 통보

o 긴 응반 상황총 ․분석 응 ․복구지원 은 피해 황을

악하고 사고조사 계획을 수립하는 등 응조치

o 긴 응반 분석 응 은 사고 조사를 수행하여 원인을

분석하고 공격․경유지 등을 확인

(라) 공격진원지․경유지 속 차단 보안 책 시행

o 긴 응반 분석 응 은 피해확산 방지를 해 공격지

경유지에 한 속 차단을 긴 응반장에 건의

o 긴 응반 상황총 은 NCSC에 공격․경유지에 한

속을 차단토록 요청

o 공격 상 시스템의 IP주소 는 공격 상 서비스 포트번호의


o 칩입차단시스템, 칩임탐지시스템 등을 이용하여 공격 상


- 86 -

o 악성코드의 유입경로가 이메일의 첨부물을 통한 것인지, 웹

사이트의 이동코드를 통한 것인지, 특정한 소 트웨어의 배포를

통한 것인지 단

o 이메일이나 웹을 통해 악성코드에 감염될 경우, 침입차단

시스템, 침입탐지시스템, 이메일 서버 클라이언트 로그램,

웹 록시 서버 등에 차단규칙 추가

o 특정 소 트웨어 배포를 통해 악성코드에 감염될 경우, 해당

소 트웨어를 해지하고 추가 설치를 함

(마) 피해 확산시 경계 단계 조치 수행

o 피해가 확산되어 NCSC에서 경계 단계로 상향조정하는

경우 경계 단계 조치 시행(P88 참조)

(4) 피해복구 조치

(가) 피해확산 방지 복구조치

o 긴 응반 분석 응 은 피해기 목록 작성 후 피해

복구 우선순 를 산정하고 원격․ 장 복구계획을 수립

※ 식 「 10～13」참조

o 복구 우선순 산정 시 피해기 의 연구정보자원의 요도,

경제․사회 요도 등을 고려해 단

o 긴 응반(과학기술정보보호센터 심)으로 복구 인력을

편성하되, 필요시 피해기 산망 유지보수 업체등과

합동 복구 실시

- 87 -

(나) 기 별 피해복구 추진실태 악

o 긴 응반 복구지원 은 기 별 피해복구 추진실태를

수시 악, 복구가 미흡한 기 에 인력․장비 등 가용자원을

집 투입할 수 있도록 피해복구 우선순 를 재설정

o 긴 응반 분석 응 은 상황 조치 결과를 취합해 피해

범 피해 방조치 황을 악하는 한편, 조치가

미흡한 기 에 해서는 보완을 권고


(가) 심 경보단계 조치 수행

o 심 경보단계 조치 수행

(6) 후속조치

(가) 재발 방지 책 수립․

o 긴 응반 분석 응 은 사고원인이 된 AA-1 웜에 한

보안취약 분석결과, 도출된 문제 개선 재발 방지

책을 수립․

- 88 -

3. 경계의 경우 조치사항 및 처리 차

가. 상 황

□ 개

o 체제 최신 취 점 는 AA-1웜 생

전 편 신저 전파 는 종(AA-1a) 웜 러 가

추가 생 여 초고 연 망 는 연 상 시

비 고 연 정보가 출 는 가 생

□ 내

o 사고신고 시 내 : 7월 7 20:30

- △△△연 원 등 다 연 에 전 편 신저

전파 는 웜 러 에 여 원내 다 시 비

다는 사고가 신고 접

- 과 정보보 (S&T-SEC)에 △△△연 원 등 다

연 내에 생 고 는 트래 상 상 탐


사 전 에 보

- 가정보원 가사 전 (NCSC)에 “경계” 경보

AA-1웜 종에 보 공조 청

o

- △△△연 원등 다 연 에 AA-1웜 AA-1a웜에 감염

시 비 무 가 생 고 연 정보 료

가 출 것

- AA-1웜 AA-1a웜에 감염 다 시 생 는 트래

에 여 본 네트워크가 다 넷

는 가 생

- 89 -


(1) 조치 목록

조 사 내

상

접

보고/전파

o 주 단계에 산 사고 신고

초동조

o「경계」경보 전파



조

o 원

o 실무 시 체


복

조o 주 경보단계 조

처 상

보고o 주 경보단계 조

조 o 출 료에 보 평가 실시

주의 경보 조치 지속 행

- 90 -

다. 조치 내용


(가) 주의 단계에서 피해확산 사고 신고

o 실무기 에서 AA-1 웜 AA-1a 웜에 한 피해가 확산

되어 련 사실을 과학기술정보보호센터에 신고

o 과학기술정보보호센터는 AA-1 웜 AA-1a 웜에 한 피해

확산 사실을 과학기술부에 보고

o 과학기술부는 피해확산 사실을 NCSC에 통보


(2) 동조치

(가) 경계 경보 발령

o 경계 경보 발령의 경우 수 후, 반장에게 보고하고 과학



보고하고, NCSC의 경계 경보 발령사실을 과학기술정보

보호센터에 신속히 재



- 과학기술정보보호센터는 실무기 에 경계 경보 발령


△ 상 : 실무기


- 91 -


에게 경계 경보 발령 사실을 재

※ 경보 식 상 조 식 「 1, 2」참조

(3) 긴 응 조치

(가) 긴 응반 증원 운

o 긴 응반 반장은 증원 비계획 검

o 과학기술정보보호센터는 긴 응반 장 견 인원 증원

o 과학기술부는 실무기 이 NCSC 백신업체에서 제공한

AA-1 웜 AA-1a 웜 응요령을 모두 이행하고 있는지

재확인

o 과학기술정보보호센터는 속한 피해확산이 우려되는 경우

과학기술부에 통보하고 실무기 에 네트워크 연결 차단

권고

(나) 실무기 은 필요시 자체 응반 운

o 과학기술부는 피해확산이 상되거나 피해상황 추이에 따라

시스템 복구 피해확산 차단을 해 실무기 에 자체

응반 가동을 독려

o 피해가 상되거나 피해상황 추이에 따라 자체 응반을 투입,

즉각 인 시스템복구를 실시하고 피해확산 차단조치

o 서비스거부공격에 한 이상 징후를 포착한 경우 정보보안

담당자는 신속하게 라우터, 침입차단시스템 등의 차단

규칙을 재설정하여 공격 진행을 차단



- 92 -

o 요 정보자료를 갖고 있는 서버 요한 서버의 자료를 백업

하여 네트워크와 단 된 안 한 곳에 보

o 악성코드, 취약 , 공격도구 등에 한 분석정보에 따른 공격

상 시스템의 IP 주소 는 공격 상 서비스 포트번호의

차단 상태를 수시로 확인

o 침입차단시스템, 침입탐지시스템 등을 이용하여 취약 을 재

검하여 발견된 취약 제거

o 피해발생 가능성이 높은 네트워크를 상으로 물리 인



(다) 피해 확산시 심각 단계 조치 수행

o 피해가 확산되어 NCSC에서 심각 단계로 상향조정하는

경우 심각 단계 조치 시행(P94 참조)


(가) 주의 경보단계 조치 수행

o 주의 경보단계 조치 수행




- 93 -

(6) 후속조치

(가) 유출 자료에 한 안보 향평가 실시

o 외비 이상의 비 이 유출된 경우 과학기술부는 해당

비 자료의 국가안보상 효과 분석을 해 해당기

담당자 련 분야 문가를 소집, 안보 향평가 실시

o 안보에 향이 있다고 단된 경우, 피해기 은 해당 비 에

효력정지 취소 등의 조치 수행

- 94 -

4. 심각의 경우 조치사항 및 처리 차

가. 상 황

□ 개

o 초고 연 망 심 전파 AA-1웜 AA-1a웜 전

정 망과 KT, 등 내 주 ISP 전파

넷 전 정 비 , 전 상거래 비 , 넷 킹

비 등 비 는 가 생

□ 내

o 사고신고 시 내 : 7월 8 06:30

- 다 가․공공 넷 비 체, 등 네트워

크가 비 다는 사고가 신고 접

- 과 정보보 (S&T-SEC), 전 정 등에 전

적 생 고 는 상 트래 탐


사 전 에 보

- 가정보원 가사 전 (NCSC)에 “심각” 경보

AA-1웜 종에 가적 차원 공동 처 청

o

- 다 공공 연 에 AA-1웜 AA-1a웜

트래 가 시 접 생

- 가 료가 넷에 출, 보

민감 료 문제 생 가능 높

- 연 연 비 정보 료가 출 에 라

경제적 가경 실

- 95 -


(1) 조치 목록

조 사 내

상

접

보고/전파

o 경계 단계에 산 사고 신고

초동조

o「심각」경보 전파



조

o 사고 책본

o 비상총

o 과 차원 동조사팀

o 과 정보보 원팀, Help-Desk팀 가동

o 실무 체 가동

o 생 가능 높 네트워크 단절여 판단

복

조o 과 차원 복 원팀

처 상

보고

o 경보 제 조정 전파

o 종결보고

조 o 사고 책 전파

경계 경보 조치 지속 행

- 96 -

다. 조치 내용


(가) 경계 단계에서 피해확산 사고신고

o 고속연구망 심으로 피해가 확산되던 AA-1 AA-1a

웜이 민간 ISP 국가공공망으로 확산되면서 국내 체로

피해확산

o 실무기 에서 AA-1 웜 AA-1a 웜에 한 피해가 확산

되어 련 사실을 과학기술정보보호센터에 신고

o 과학기술정보보호센터는 AA-1 웜 AA-1a 웜에 한 피해




(2) 동조치

(가) 심각 경보 발령

o 심각 경보 발령의 경우 수 후, 반장에게 보고하고 과학


- 긴 응반 상황총 은 사이버 기경보를 반장에게 보고

하고, NCSC의 심각 경보 발령사실을 과학기술정보보호

센터에 신속히 재



- 97 -

- 과학기술정보보호센터는 실무기 에 심각 경보 발령 사실을

신속히 재

△ 상 : 실무기



에게 심각 경보 발령 사실을 재

※ 경보 식 상 조 식 「 1, 2」참조

(3) 긴 응 조치

(가) 사고 책본부 구성 운

o 정책홍보실장을 본부장으로 하는 사고 책본부를 구성하여

즉각 응태세 돌입

- 제인력 증원 탐지룰 용 등 보안 제 강화

- 각 분야․부문별 제센터와 수시 연락 동향 악 강화

※ 사고 책본 , 역 , 무는(P42～43) 참조

(나) 비상총 반 구성

o 비상계획 담당 을 반장으로 하는 비상총 반 구성 운

o 비상사태 기 리에 한 계획 수립 검

(다) 과학기술부 차원의 합동조사 구성 운

o 피해범 복구시간 등에 따라 다수의 반으로 구성

o 피해 황 악 사고조사

- 합동조사 은 피해규모를 악하고 장․원격조사 계획

수립 이행

- 98 -

- 웜에 감염된 시각, 침입차단시스템 로그에 기록된 자료 유

출량 기간, 피해 PC내 장된 문서 등을 종합 분석

※ 동조사 무, , (P68～69) 참조

(라) 과학기술정보보호센터 지원 Help-Desk 가동

- 과학기술부 사고 책본부를 지원하기 한 지원 , Help-Desk

을 가동하고 즉각 응태세 돌입

- 과학기술부 합동조사 장지원(조사 주 )

(마) 실무기 은 자체 응반 가동

o 실무기 은 자체 응반을 가동하고 즉각 응 태세 돌입

o 악성코드, 취약 , 공격도구 등에 한 분석정보가 발표될 경우,

라우터․스 치 침입차단시스템의 차단규칙을 추가 설정

하여 공격 상 서비스 포트를 차단


참조(p249)

o 기 내 PC사용을 최소화하여 만약에 발생할 수 있는


o 서비스거부공격 웜 발생을 확실하게 상할 수 있거나 내부

시스템 네트워크에 규모 피해 확산을 상할 수 있는 경우,

기 장의 승인을 받고 물리 인 이블 분리 등을 통해 피해

상 네트워크를 단

o 피해를 당한 해당 기 의 정보보안담당자는 사고와 련된

데이터뿐만 아니라 데이터백업 로그 리 등 사고조사에

필요한 자료를 제공

- 99 -

(바) 과학기술정보보호센터는 속한 피해확산이 우려되는 경우


권고


(가) 과학기술부 차원의 복구지원 구성 운

o 피해상황의 악 복구 차 수립․시행

o 심각한 피해의 경우 범정부 복구지원 과 연계하여 복구

활동 지원

o 피해복구 사후 처리 결과 종합 보고

※ 복 원 무･･ (P69) 참조


※ 조 상 과 술 과 술정보보 에 보

o 한 사고는 과학기술부 복구지원 지원 하에 복구



(가) 경계 경보단계 조치 수행

o 경계 경보단계 조치 수행

(나) 경보해제 하향 조정

o NCSC에서 경보 해제 는 하향 조정이 된 경우 반장

에게 보고하고 경보 해제 는 하향 조정

※ 전 절차 전 수단･ 상 경 동

- 100 -

(다) 종결보고

o 경보 해제 는 하향 조정의 경우 종결보고 실시

o 보고체계 : 사고 책본부장 → 과학기술부 장

o 보 고 자 : 사고 책본부장(정책홍보 리실장)

o 보고방법 : 내부보고 양식에 따라 종결보고

※ 동조사 복 원 결과

o 보고 종료 후 상황해제 사고 책본부 해체

(6) 후속조치

(가) 사고재발 방지 책 수립

o 기 자료 유출 사고발생 기 에 한 산망 보안강화

책, 유포된 기 자료에 한 효력정지 방안을 마련

o 산 인력이 수반되는 국가차원의 책에 해서는 유

기 (국가정보원, 기획 산처, 행정자치부)에 지원 요청

- 101 -

Ⅱ. 홈페이지 량 변조 사고


가. 상 황

□ 개

o 내 공공 , 넷쇼 , 개 사 페 등 내에

가 많 쓰 고 는 AA-Board 게시판 그램 취 점

킹정보 사 트(www.securiyfocus.com)에 등 에

라 내 페 에 조 정보 출 시 는 킹

공격 고

□ 내

o 사고신고 시 내 : 7월 6 18:30

- AA-Board 게시판 그램 취 점 킹 정보 사 트

(www.securityfous.com)에 등 과 정보보

(S&T-SEC)에 신고 접

- AA-Board 게시판 그램 취 점 페

공격에 사고는 보고

- 가정보원 가사 전 (NCSC)에 는 AA-Board 게시판

그램 고 여 “ 심” 경보 페

사 에 주 청

o

- AA-Board 게시판 그램 내에 개 주 사

에 라 에 사고 생보고는

- AA-Board 게시판 그램 취 점 패 가 개 고

- 102 -


(1) 조치 목록

조 사 내

상

접

보고/전파


초동조

o 사






조



비상 집

o 내 동 파 조

o 니 강





처 상


- 103 -

다. 조치 내용



o NCSC에서 심 경보 발령의 경우 긴 응반 상황총 은

사이버 내용을 상부에 보고하고 과학기술부 직원

에게 신속히


(2) 동조치



분석

o 긴 응반 상황총 은 해킹조직의 공격에 한 피해

가능성이 높은 상태이므로 지속 으로 모니터링하고 기 징후를

감시



탐지시스템 제작업체, 백신업체 등)에 정보제공 탐지룰

업데이트 요청





- 104 -


하고, NCSC의 심 경보 발령사실을 과학기술정보보호

센터에 신속히




사실을 신속히

△ 상 : 실무기




※ 경보 식 상 조 식 「 3, 4」참조








(3) 긴 응 조치


o 백신(취약 패치) 탐지룰이 제공되는 경우 과학기술정보보

센터를 통하여 실무기 에 배포

- 105 -

o 실무기 은 배포된 백신(취약 패치) 탐지룰을 자체 시

스템에 용





지원





o 해킹에 한 피해 발생가능성이 높은 상태이므로 지속

으로 모니터링 기징후 감시 강화







- 106 -







o 실무기 은 경보발령에 따른 응조치 수행 후 과학기술

정보보호센터 기술지원 에 상황통보




o 긴 응반 상황총 은 상황조치 결과를 취합하여, 반장

에게 보고하고 국가정보원(NCSC)에 통보









- 107 -


가. 상 황

□ 개

o AA-Board게시판 그램 사 고 는 OOO연 원, OOO

가 규 넷 쇼 등 100여개 내 페 가

커에 여 조 는 가 생

□ 내

o 사고신고 시 내 : 7월 7 20:30

- AA-Board게시판 그램 사 고 는 OOO 연 원

페 조사고가 과 정보보 에 신고 접

- AA-Board게시판 그램 는 50개 공공 넷

쇼 페 조 사고가 www.zone-h.org에 게시

과 정보보 에 탐

※ www.zone-h.org : 페 킹 결과 과시 는 킹사 트


사 전 에 보


AA-Board 게시판 그램 사 에 주 청

o

- AA-Board게시판 그램 사 고 는 OOO 연 원 페

가 브라 커그룹 “△△△그룹“에 여 조 는 사고가

생

- AA-Board 취 점 패 파 개 량

가 고 생 가 추

- 108 -


(1) 조치 목록

조 사 내

상

접

보고/전파


초동조

o 사고원




조

o 시 비상 집


o 파 사고조사



복

조

o 산 복 조


처 상


조 o 책 ․전파


- 109 -

다. 조치 내용


(가) 심단계에서 피해발생 사고신고

o 실무기 에서 AA-Board 게시 로그램을 사용하고 있는

홈페이지 등에 한 피해가 발생하여 련 사실을 과학기술

정보보호센터에 신고

o 과학기술정보보호센터는 연구기 의 홈페이지에 한 피해

발생 사실을 과학기술부에 보고



(2) 동조치




용





하고, NCSC의 주의 경보 발령사실을 과학기술정보보호


- 110 -





△ 상 : 실무기




※ 경보 식 상 조 식 「 1, 2」참조

(3) 긴 응 조치













하는 기 에 한 동향 악 상호 조 강화

- 111 -





통보






o 긴 응반 분석 응 은 사고 조사를 수행하여 원인을 분석

하고 공격․경유지 등을 확인




o 긴 응반 상황총 은 NCSC에 공격․경유지에 한






- 112 -

o 특정 소 트웨어를 통해 악성코드에 감염될 경우, 해당

소 트웨어를 해지하고 추가 설치를 함








※ 식 「 10～13」참조










- 113 -







(6) 후속조치


o 긴 응반 분석 응 은 사고원인이 된 AA-Board게시

로그램에 한 보안취약 분석결과, 도출된 문제 개선

재발 방지 책을 수립․

- 114 -


가. 상 황

□ 개

o AA-Board게시판 그램 사 고 는 OOO연 원, OOO

가 넷 쇼 등 200여개 내 페 가

커에 여 조 는 가 생

특 , 당 게시판 그램 취 점 상 과 취 점 공격

는 동 킹툴 사 과 께 킹정보

사 트(www.securityfoucs.com)에 공개 에 라 내 페

에 량 가 상 고

□ 내

o 사고신고 시 내 : 7월 9 10:30

- AA-Board게시판 그램 사 고 는 △△△연 원 등

50여개 연 원 페 조사고가 과 정보보

에 신고 접

- AA-Board게시판 그램 는 100여개 공공 넷

쇼 페 조 사고가 www.zone-h.org에 게시

과 정보보 에 탐

※ www.zone-h.org : 페 킹 결과 과시 는 킹사 트


사 전 에 보


공조 청

o

- AA-Board게시판 그램 사 고 는 △△△연 원 등

200여개 페 가 조 는 사고가 생

- 115 -


(1) 조치 목록

조 사 내

상

접

보고/전파


초동조




조

o 원

o 실무 시 체


복


처 상




- 116 -

다. 조치 내용



o 실무기 에서 AA-Board 게시 로그램을 사용하고 있는

홈페이지 등에 한 피해가 확산되어 련 사실을 과학기술

정보보호센터에 신고

o 과학기술정보보호센터는 연구기 의 홈페이지에 한 피해




(2) 동조치





하고, NCSC의 경계 경보 발령사실을 과학기술정보보호






△ 상 : 실무기


- 117 -



※ 경보 식 상 조 식 「 1, 2」참조

(3) 긴 응 조치




o 과학기술부는 실무기 이 NCSC 로그램 제작업체에서

제공한 AA-Board 게시 로그램에 한 응요령을 모두

이행하고 있는지 재확인



권고












- 118 -

o 요 정보자료를 갖고 있는 서버 요한 서버의 자료를

백업하여 네트워크와 단 된 안 한 곳에 보


















- 119 -

(6) 후속조치







- 120 -


가. 상 황

□ 개

o AA-Board게시판 그램 취 점 추가 킹정보

사 트(www.securityfoucs.com)에 공개 AA-Board

는 내 페 가 조 에 라 가 정 비 ,

전 상거래 비 등에 가 생 여 내 넷 사 에

심각 가 생

□ 내

o 사고신고 시 내 : 7월 10 12:00

- AA-Board 게시판 그램 사 고 는 다 가․공

공 넷 비 체, 등 페 조 사고가

신고 접


사 전 에 보


AA-Board 게시판 취 점 제거 페 조에

가적 차원 공동 처 청

o

- AA-Board 게시판 그램 사 고 는 내 다 페

가 조 정상적 비 가 가능

- 가 페 가 조 에 전 정 비

가 신 에

- 넷쇼 넷 킹 등 페 가 킹 사고

비 경제적 실

- 121 -


(1) 조치 목록

조 사 내

상

접

보고/전파


초동조




조

o 사고 책본

o 비상총



o 실무 체 가동


복


처 상

보고


o 종결보고



- 122 -

다. 조치 내용


(가) 경계 단계에서 피해확산 사고 신고

o 일부기 을 심으로 피해가 확산되던 AA-Board 게시 변조

공격이 국내 체로 피해확산

o 실무기 에서 AA-Board 게시 로그램 변조 공격에 한

피해가 확산되어 련 사실을 과학기술정보보호센터에

신고

o 과학기술정보보호센터는 연구기 의 홈페이지 변조에 한

피해확산 사실을 과학기술부에 보고



(2) 동조치









- 123 -

- 과학기술정보보호센터는 실무기 에 심각 경보 발령


△ 상 : 실무기




※ 경보 식 상 조 식 「 1, 2」참조

(3) 긴 응 조치






※ 사고 책본 , 역 , 무는 (P42～43) 참조








수립 이행

- 124 -

- 홈페이지 변조 시각, 정보보호시스템에 기록된 각종 로그, 피해

시스템내 이벤트 로그 등을 종합 분석

※ 동조사 무, , (P68～69) 참조











참조(p249)

o 기 내 홈페이지 AA-Board 게시 로그램 사용을 최

소화하여 만약에 발생할 수 있는 잠재 인 사고를 미연에

방지

o 해커 공격으로 인해 확실하게 상할 수 있거나 내부 시스템

네트워크에 규모 피해 확산을 상할 수 있는 경우, 기

장의 승인을 받고 물리 인 이블 분리 등을 통해 피해 상

네트워크를 단




- 125 -



권고





활동 지원


※ 복 원 무･･ (P68) 참조









o NCSC에서 경보 해제 는 하향 조정이 된 경우

반장에게 보고하고 경보 해제 는 하향 조정


- 126 -

(다) 종결보고







(6) 후속조치


o 기 자료 유출 사고발생 기 에 한 홈페이지 보안강화




- 127 -

Ⅲ . 국 사이버테러 단체에 의한 국가망 DDoS 공격


가. 상 황

□ 개

o 2007년 9월 개최 는 UN정 총 고 본 시점에 맞추

제적 사 러단체 UN전산망 미 주 전산망

상 사 러 경고 , 본 개최날

9월 16 UN전산망 미 주 전산망 DDoS 공격 생

2시간 가량동 전산망 비 는 사고가 생 에 라

내 전산망에 공격 고

□ 내

o 사고신고 시 내 : 10월 10 15:00

- 미 DHS( 보 ) 제사 러단체 DDoS 공격에

내 신

- NISCC( 가 시 보 조정 ) 제사 러

단체 DDoS 공격과 동 패 공격에 탐 내

신

- 내에 제사 러단체 DDoS 동 패

공격시 는 탐 고

- 가정보원 가사 전 (NCSC)에 “ 심” 경보

제사 러단체 DDoS 공격에 주 청

o

- UN전산망에 제사 러단체 DDoS 공격

생 여 2시간 동 전산망 비 넷 비 가

루

- , 랑 등 럽 가 가 전산망에 동 패

규 DDoS 공격 생

- 128 -


(1) 조치 목록

조 사 내

상

접

보고/전파


초동조

o 사






조



비상 집

o 내 동 파 조

o 니 강





처 상


- 129 -

다. 조치 내용



o NCSC에서 심 경보 발령의 경우 긴 응반 상황총

은 사이버 내용을 상부에 보고하고 과학기술부

직원에게 신속히


(2) 동조치



분석

o 긴 응반 상황총 은 국제사이버테러단체로부터의 DDoS

공격에 한 피해 가능성이 높은 상태이므로 지속 으로 모니터링

하고 기 징후를 감시



탐지시스템 제작업체, 백신업체 등)에 정보제공 웜․

바이러스 백신 탐지룰 업데이트 요청





- 130 -


하고, NCSC의 심 경보 발령사실을 과학기술정보보호

센터에 신속히




사실을 신속히

△ 상 : 실무기




※ 경보 식 상 조 식 「 3, 4」참조








(3) 긴 응 조치


o 백신(취약 패치) 탐지룰이 제공되는 경우 과학기술정보보

센터를 통하여 실무기 에 배포

- 131 -

o 실무기 은 배포된 백신(취약 패치) 탐지룰을 자체

시스템에 용





지원





o 국제사이버테러단체로부터의 DDoS 공격에 한 피해 발생

가능성이 높은 상태이므로 지속 으로 모니터링 기

징후 감시 강화







- 132 -







o 실무기 은 경보발령에 따른 응조치 수행 후 과학기술정

보보호센터 기술지원 에 상황통보




o 긴 응반 상황총 은 상황조치 결과를 취합하여, 반장

에게 보고하고 국가정보원(NCSC)에 통보









- 133 -


가. 상 황

□ 개

o 2007년 11월 시 태평 경제 체(APEC)가 산에 개최 에

라 가정보원(NIS)에 제사 러단체 각종

러 험에 주 청

o 내 OOO연 원 등 출연 연 원 본 라 에 상

트래 는 사고 여 내 네트워크가 비 는

가 생

□ 내

o 사고신고 시 내 : 10월 21 10:30

- OOO연 원 등 연 에 격 본전산망 트래

가 께 본전산망 전체가 비 는 신고가 접

- 과 정보보 (S&T-SEC)에 OOO연 원 등 연

에 생 고 는 비정상적 트래 가 상 탐


사 전 에 보


DDoS에 보 태 강 청

o

- OOO연 원등 연 에 본라 갑 러 트래

가 여 네트워크가 비 무 가 생

- OOO연 원등 연 원 페 가 다 3시간

동 페 접 에 가 생

- 134 -


(1) 조치 목록

조 사 내

상

접

보고/전파


초동조

o 사고원




조

o 시 비상 집


o 파 사고조사



복

조

o 산 복 조


처 상


조 o 책 ․전파


- 135 -

다. 조치 내용


(가) 심단계에서 피해발생 사고 신고

o 실무기 에서 DDoS 공격으로 추정되는 백본라우터의 비

정상 인 트래픽 증가로 백본 산망이 마비되는 피해가 발생

하여 련 사실을 과학기술정보보호센터에 신고

o 과학기술정보보호센터는 DDoS 공격에 한 피해발생

사실을 과학기술부에 보고



(2) 동조치




용





하고, NCSC의 주의 경보 발령사실을 과학기술정보보호


- 136 -





△ 상 : 실무기




※ 경보 식 상 조 식 「 1, 2」참조

(3) 긴 응 조치













하는 기 에 한 동향 악 상호 조 강화

- 137 -





통보






o 긴 응반 분석 응 은 사고 조사를 수행하여 원인을 분석

하고 공격․경유지 등을 확인




o 긴 응반 상황총 은 NCSC에 공․경유지에 한






- 138 -








※ 식 「 10～13」참조













- 139 -




(6) 후속조치


o 긴 응반 분석 응 은 사고원인이 된 DDoS 공격에 한

보안취약 분석결과, 도출된 문제 개선 재발 방지

책을 수립․

- 140 -


가. 상 황

□ 개

o 제사 러단체 산에 열 는 시 태평 경제 체

(APEC)가 개최 는 11월 12 내 주 전산망에 DDoS

공격 감 겠다는 경고 과 사전에 시 적 공격

겠다는 가사 전 (NSCS)에 전

o 내 초고 연 망에 DDoS 공격 추정 는 상 트래

여 본라 비 등 초고 연 망 전체가

비 는 가 생

□ 내

o 사고신고 시 내 : 11월 3 20:30

- 초고 연 망 고 는 △△△연 원 본라

트래 가 과 동시에 연 망 전체가 비 는 사고가

생


사 전 에 보


DDoS 공격에 보 공조 청

o

- 내 과 전 전산망 초고 연 망 라 가 제사

러단체 DDoS 공격 전산망 전체가 10시간 동 비

무 채 넷 비 가 생

- 연 동과제 고 는 내 연 들

경제적 실 신 락

- 141 -


(1) 조치 목록

조 사 내

상

접

보고/전파


초동조




조

o 원

o 실무 시 체


복


처 상




- 142 -

다. 조치 내용



o 실무기 에서 DDoS 공격에 한 피해가 확산되어 련

사실을 과학기술정보보호센터에 신고

o 과학기술정보보호센터는 DDoS 공격에 한 피해확산




(2) 동조치





하고, NCSC의 경계 경보 발령사실을 과학기술정보보호






△ 상 : 실무기


- 143 -



※ 경보 식 상 조 식 「 1, 2」참조

(3) 긴 응 조치




o 과학기술부는 실무기 이 NCSC 정보시스템 장비․

로그램 제조업체에서 제공한 DDoS 공격 응요령을 모두

이행하고 있는지 재확인



권고







- 144 -






o 요 정보자료를 갖고 있는 서버 요한 서버의 자료를 백업

하여 네트워크와 단 된 안 한 곳에 보















- 145 -




(6) 후속조치







- 146 -


가. 상 황

□ 개

o 2007년 11월 12 제사 러단체 DDoS 공격 판단

는 다량 트래 문 라 내 넷

노드 KIX(Korea Internet Exchange), BIX(Busan Internet

Exchange) 당 본 라 가 비 는 가

생

□ 내

o 사고신고 시 내 : 11월 12 06:00

- 내 넷 노드 KIX, BIX 본 라 공격

는 량 트래 가 에 라 KT, 등 내

ISP간 넷 신 넷 신 비 는 사고가

생 여 신고 접


DDoS 공격에 가적 차원 공동 처 청

o

- 내 넷 노드 KIX, BIX 전산망 비 10시간 동

내 ISP간 넷 신 비

- 제적 사시 사 러사고 생 여 제적

신 가 미 락

- 내 ISP 고 는 넷쇼 넷 킹 등

비 경제적 실

- 147 -


(1) 조치 목록

조 사 내

상

접

보고/전파


초동조




조

o 사고 책본

o 비상총



o 실무 체 가동


복


처 상

보고


o 종결보고



- 148 -

다. 조치 내용


(가) 경계 단계에서 피해확산 사고 신고

o 고속연구망 심으로 피해가 확산되던 국제사이버테러

단체로부터의 DDoS 공격이 민간 ISP 국가공공망으로 확산

되면서 국내 체로 피해확산

o 실무기 에서 국제사이버테러단체로 추정되는 공격근원지

로부터의 DDoS 공격에 한 피해가 확산되어 련 사실을

과학기술정보보호센터에 신고

o 과학기술정보보호센터는 DDoS 공격에 한 피해확산




(2) 동조치









- 149 -

- 과학기술정보보호센터는 실무기 에 심각 경보 발령


△ 상 : 실무기




※ 경보 식 상 조 식 「 1, 2」참조

(3) 긴 응 조치






※ 사고 책본 , 역 , 무는 (P42～43) 참조








수립 이행

- 150 -

- 웜에 감 된 시각, 침입차단시스템 로그에 기록된 자료 유

출량 기간, 피해 PC내 장된 문서 등을 종합 분석

※ 동조사 무, , (P68) 참조











참조(p249)

o 기 내 PC사용을 최소화하여 만약에 발생할 수 있는


o 서비스거부공격 웜 발생을 확실하게 상할 수 있거나 내부

시스템 네트워크에 규모 피해 확산을 상할 수 있는 경우,

기 장의 승인을 받고 물리 인 이블 분리 등을 통해 피해

상 네트워크를 단




- 151 -



권고





활동 지원


※ 복 원 무･･ (P69) 참조









o NCSC에서 경보 해제 는 하향 조정이 된 경우 반장

에게 보고하고 경보 해제 는 하향 조정


- 152 -

(다) 종결보고







(6) 후속조치


o 기 자료 유출 사고발생 기 에 한 산망 보안강화




부 록

- 155 -

Ⅰ. 사고조사 및 복구

1. 사고조사 및 해복구 체계

가. 업무체계도

(1) 사이버공격으로 인해 발생한 정보통신망 보안사고 는 사이버

침해사고에 해 공격기법과 사고원인을 분석하는 일체의

행 를 지칭하며, 피해확산 차단 유사사고재발 방지를

한 보안 책을 수립하고자 함

대 통 령



N S C

과 술

동조사팀, 복 원팀 가동

담당

동조사

과 술정보보


실무

․사고상황통보․조치사항통보․보안사고신고

․합동조사 피해복구지원

가 정 보 원

가사 전

복 원

․사고조사 피해복구지원

․사고상황통보․조치사항통보․보안사고신고

․사고조사 피해복구지원

체

사고 초동

사고조사 복

- 156 -

나. 사고조사 복구 차

(1) 사이버 경보가 심각 수 으로 발령된 경우에는

범정부 으로 구성된 합동조사 ․복구지원 과 연계하여

사고조사 피해복구를 수행하며, 해당 기 의 장은 이에

필요한 인력 련 자료를 지원

(2) 자체 으로 사고원인 규명, 공격자 추 , 공격 증거확보 등의

조사를 실시하거나 피해를 복구 할 때에는 다음과 같은

차에 따라 실시하며, 사고 조치결과를 작성․유지

(3) 사고조사 결과, 범죄 의가 있다고 단되는 경우 실무기 은

과학기술정보보호센터에 통보하고 과학기술정보보호센터는

과학기술부에 통보, 과학기술부 장 은 국각정보원장에게

통보

1단계

사고신고

사고

○ 사고신고 초동


2단계

거 보

보존

○ 거 료

※ Ⅰ.「2. . 거 보 보존 (p162)」참조

- 157 -

3단계

사고조사

○ 공격 사고조사

○ 사고원 규 공격근원 추적

※ 시 과 술 동조사 연계 조사

○ 죄여 단(실무 →과 술정보보 →과 )

※ 시 과 술 가정보원 에 수사 청

4단계

복

○ 복

※ Ⅰ.「2.사. 복 절차(p166)」참조

※ 시 과 술 복 원 연계 복

5단계

보고

○ 사고 조 결과 보

※ 사고 조 결과 보 식 「 4」참조

○ 사고처 결과보고

※ 사고처 결과보고 는 초동조 , 거 보, 사고조사,

복 결과 과 술 동조사 복 원 연계

조사 내 술

- 158 -

2. 사고조사 및 복구 요

가. 사고 신고

(1) 사고발생에 따른 신고

(가) 정보보안사고

o 보안사고가 발생한 실무기 의 장 는 사고를 범하

거나 이를 인지한 자는 지체없이 사고의 일시․장소․

사고내용 재 취하고 있는 조치를 과학기술정보보호

센터에 통보

o 실무기 의 장은 국가정보보안기본지침에 나열된 정보

보안사고가 발생한 때에는 즉시 피해를 최소화하도록

조치를 취하고 과학기술정보보호센터 통보

o 과학기술정보보호센터는 실무기 의 보안사고 사실을

과학기술부에 통보

o 과학기술부는 보안사고 사실을 국가정보원에 통보

(나) 사이버 침해사고 공격징후 발견

o 과학기술부 장 은 국가정보통신망에 한 사이버공격의

계획 는 공격사실, 사이버안 에 을 래할 수

있는 정보를 입수한 경우에는 지체 없이 그 사실을 국가

정보원장에게 통보

o 과학기술부 장 은 사이버공격으로 인한 사고의 발생

는 징후를 발견한 경우에는 피해를 최소화하는 조치를

취하고 지체없이 그 사실을 국가정보원장에게 통보

- 159 -

o 실무기 의 장은 사이버공격으로 인한 사고의 발생

는 징후를 발견한 경우에는 피해를 최소화하는 조치를

취한 후 그 사실을 과학기술정보보호센터에 통보해야

하고, 과학기술정보보호센터는 과학기술부에 통보하고,

과학기술부 장 은 이를 지체 없이 국가정보원장에게

통보

나. 사고조사의 실시

(1) 정보보안사고 말조사

(가) 보안사고 말조사는 실무기 의 업무용 PC에 불법

침입이 발생하여 외비이상의 비 자료가 유출된

경우에도 해당

(나) 보안사고는 이에 한 말조사가 종결될 때까지 공개

하여서는 안됨

(다) 경비한 사고의 경우에는 실무기 의 장에게 사고조사를

임할 수 있음

(2) 사이버 침해사고 조사

(가) 경미한 사고라고 단되는 경우에는 실무기 의 장이

자체 으로 조사하게 할 수 있음

(나) 실무기 에 한 사이버공격이 특히 다음 각 호에 해당

되는 경우 보안사고에 하여 사고조사를 실시

o 외비 이상의 비 자료를 입력, 출력, 열람에 활용

되거나 과거에 활용된 이력이 있는 업무용 PC에 장된

자료유출을 목 으로 하는 사이버공격

- 160 -

o 외비 이상의 비 자료를 입력, 출력, 열람하는 업무를

재 수행 는 과거에 수행했던 공무원 는 임직원의

업무용 PC에 장된 자료유출을 목 으로 하는

사이버공격

(다) 국가정보원장은 사이버공격으로 인한 사고의 발생 는

징후를 발견한 경우 과학기술부 장 에게 사고복구

피해의 확산방지에 필요한 조치를 요청할 수 있음

(라) 실무기 의 장은 국가정보원장이 사고 조사시 원인

분석을 하여 정보통신망의 속기록 등 련 자료의

제공 피해시스템에 잔존한 해킹 로그램의 채증 등

증거확보를 요청할 경우 극 조(구두설명 는 자

우편으로 갈음 할 수 있음)

(마) 과학기술부 장 은 특별한 사유가 없는 한 이에 조

하여야 한다. 특별한 사유라 함은 행법령에 의하여

지되어 있거나 정보제공 차가 서명에 의해야 한다고

규정된 경우

(바) 사고조사에 한 실무 지원은 정보보안 책임자 실

무자가 수행하는 것을 원칙으로 함

(3) 실무기 의 자체 사고조사

(가) 실무기 의 장은 경보가 발령되었을 때에 경보발령과

련된 사고 응을 해 자체 응반을 편성 운

(나) 실무기 의 자체 응반장은 정보보안책임자가 겸임

하는 것을 원칙으로 하며, 자체 응반원은 정보보안

실무자를 심으로 편성

- 161 -

(다) 실무기 의 자체 응반장은 사이버공격으로 인한 사고의

발생 는 징후 발견시 피해 최소화 조치를 취해야 함

(라) 경미한 사고라고 단되는 경우에는 실무기 의 장이

자체 으로 조사하게 할 수 있음

(마) 실무기 의 장이 자체 으로 사고조사를 실시한

경우에는 사고조사를 완료한 후 사고조치 서식에 의거하여

사고조치결과 보고서를 작성 유지하고, 사본 1부를 과학

기술정보보호센터에 통보, 과학기술정보보호센터는 과학

기술부에 통보, 과학기술부는 국가정보원에 통보

다. 합동조사 복구지원 지원요청

(1) 사이버공격으로 규모 피해가 발생한 경우 과학기술부가

범정부 합동조사 복구지원 에 지원요청

라. 사고조사 결과

(1) 조사결과 처리

(가) 국가정보원장은 보안업무규정에 의한 말조사를 실시한

경우 그 결과를 실무기 의 장에게 통보

(나) 실무기 의 장은 조사결과에 하여 필요한 조치를 취하고,

사고 련자에 해서는 계법규에 의거 징계토록

하며 처리 결과에 해서는 국가정보원장에게 통보

(2) 안보 향평가

(가) 실무기 장은 보안사고의 말조사 결과에 의하여 비 의

효력 정지 는 취소 등의 필요한 조치를 취함(보안

업무규정시행규칙 제63조)

- 162 -

마. 증거확보 보존요령

1단계

거 료

○ 비(컴퓨 ) 생

- 그 료

- 스 정보

- 네 워크 연결상태

- 시스 정보

※ 주 사 : 비 전원차단 실시 등 비 정

사고원 거 견 가능 주

2단계

컴퓨

드웨

시스 ○ 내 컴퓨 등 정보 , 드웨 정보

닉스 시스

눅스 시스○ dmesq , 드웨 정보

3단계

당

웨

시스

○ 제 그램 추가/삭제 능

시스 에 그램

※ 주 사 : 스 (Registry)정보

사

닉스 시스

눅스 시스

○ 체제에 맞는 사 여

- Linux : RPM(RedHat Package Manager) 실

- Solaris(SUN O/S) : pkgadd, pkgrm, pkginfo

실

- HP-UX : swinstall 실

- SCO OpenServer : pkgadd, pkgrm, custom

사

- FreeBSD : pkg_add, pkg_delete, pkg_info

사

- 163 -

4단계

조사

시스

○ 든 검색

- 검색 든 볼수 택

고 탐색 사 여 전체

○ 정 검색

- 검색 정 볼수 택

고 탐색 , 정

닉스 시스

눅스 시스

○ 든 검색

-「Is」 사 고「-a」또는「-al」

사 여 전체

○ 정 검색

-「find」 사 여 정

5단계

거 료

추출

○ 거 료 매체

- 원본과 동 태, 동 저 보

○ 거 료 추출

- 원본 같 미 복사본 사

- 드웨 적 미 복사 : Encase등과 같 드 스크

복사 복사(고가 정 수사에 사 )

- 웨 적 복사 : 「고스 」 그램 사

○ 거 료 경

- 컴퓨 죄가 난 경과 동 게 비( 들 ,

동 경 드웨 비 등)

6단계

거 료

∙ 보

○ 적 문

- 정 키워드가 포 문 검사

○ 계

- 사 계 그램

○ 스

- 원본 스 무결 검사

- 스 조, 블 조사

- 164 -

바. 사이버공격 유형별 사고조사 요령

(1) 악성코드공격 사고조사 요령

(가) 악성코드 사본 수집 보존

o 악성코드 분석 추후 사고조사를 해 악성코드

사본을 수집하여 보존

o 수집된 악성코드를 과학기술정보보호센터에 통보,

과학기술정보보호센터는 과학기술부에 통보, 과학

기술부는 국가사이버안 센터에 통보

(나) 사고 처리 내역을 기록 유지

o 사후 법 증거로 활용하거나 상황보고 사고 처리

활동에 한 사후 검토를 해 악성코드로 인한 사고

발생시 응요령 수행 내역에 한 기록을 유지

(2) 서비스거부공격 사고조사 요령

(가) 트래픽 분석을 통한 공격자 추

o 스니퍼와 같은 트래픽 분석 도구를 이용하여 감시되는

트래픽으로부터 공격 근원지를 식별

o 라우터의 트래픽 분석기능과 스 치의 MAC 주소

테이블을 이용하여 서비스거부공격의 공격자를 추 ※ 네 워크 비 비스거 공격 추적 차단에

정보는 가사 전매뉴 5.「5.2」참조

o 정보통신 서비스 제공자(ISP)에게 공격자 추 요청

o 서비스거부공격이 호스트를 손상시킨 방법을 악

o 시스템 네트워크의 량 로그 엔트리를 분석

o 피해시스템과 동일 IP 역을 사용하고 있는 컴퓨터의

로그를 조사

- 165 -

(나) 후속 공격에 한 비책 강구

o MRTG(Multi Router Traffic Grapher)와 같은 네트워크

트래픽 모니터링 도구를 이용하여 복구활동이 시작되기

까지 꾸 한 네트워크 모니터링

o 네트워크 모니터링으로 후속 공격 발생시, 서비스거부

공격 발생 응요령을 이용하여 공격자를 추 하고

추가 인 증거를 확보

(3) 비인가 근공격 사고조사 요령

(가) 련 로그 증거 자료 확보

o 침입탐지시스템, 침입차단시스템, 피해시스템의 로그 등과

같은 사고 련 로그 증거 자료 확보

o 침입사실을 확인하기 하여 lsof(유닉스용) 는 fport

( 도우즈용)와 같은 도구를 이용하여 열려진 포트와

매칭하는 로세스를 찾아냄

(나) 물리 상황 증거 확보

o 사고기간 산실, 사무실 등의 출입통제시스템의

로그를 확보

(4) 복합구성공격 사고조사 요령

(가) 개별 공격에 한 사고조사 수행

o 복합구성공격에 의하여 사고가 발생한 경우 일어난 사고

각각에 해 사고조사를 수행

- 166 -

사. 피해복구 차

1단계

복

결정

단순 복○ 사고가 생 시스 만

상 생

웨 복○ 사고가 생 시스 그램

체에 단순 생

시스 ○ 사고가 생 시스 체제에

복 가능 심각 생

드웨 체○ 사고가 생 시스 드웨

실 생

2단계

복

순

결정

○ 복 상 시스 개 상 경 , 들 상에

복 순○ 시 조 복 내 과 적 계 에 수

복 내 결정

3단계

복

단순 복○ 사고 생 전에 복

○ 신 그램 드 탐 료

웨 복

○ 웨 공격에

취 점 제거

○ 그램

○ 체제 CD 체제 복

시스

○ 체제 CD 체제

○ 그램

○ 저 료 복원

○ 시스 료 정상상태 복 드웨 체 ○ 드웨 체

4단계

사

○ 시스 개 정 간 동 니 강

○ 복 에 보 보고 정 간동 시스

네 워크 주 적 점검

○ 사건처 에 개최

○ 책 과 여 검

- 167 -

Ⅱ. 사이버공격 별 응

1. 사이버공격

가. 개요

실무기 의 정보보안 책임자(실무자)가 사이버공격 징후 인지

는 사이버공격으로 인한 사고 발생시 이를 효율 으로 처리

할 수 있도록 사이버공격 유형을 악성코드공격, 서비스거부공격,

비인가 근공격, 복합구성공격 4가지로 분류

최근의 사이버공격의 특징을 요약하면 다음과 같음

(1) 사이버공격의 지능화, 다양화, 복합화 자동화

(2) 일공유, 메일, P2P 등을 통해 다른 시스템으로 매우 빠른

(3) 사회공학 인 기법과 다양한 기술 방법이 결합된 사이버

공격 도구 출

(4) 침입차단시스템, 침입탐지시스템 등의 정보보호시스템을

우회하거나 무력화하는 공격 출

(5) 보안취약 이 공개되면 당일 이를 이용하는 공격도구 출

(Zero-Day Attack)

(6) 역연결(Reverse Connection)을 이용하여 원격제어 하는 악성

코드 출

(7) 이득을 한 개인정보를 유출하는 공격 출

- 168 -

나. 사이버공격 유형 분류

(1) 악성코드공격

악성코드공격이란 컴퓨터바이러스, 웜, 트로이목마, 백도어,

(BOT), 스 이웨어 등이 사용자의 동의 없이 컴퓨터에 설치

되어 사용자의 정보를 탈취하거나 컴퓨터를 오작동 시키고

네트워크를 마비시킬 수 있는 악의 인 행

(2) 서비스거부공격

서비스거부공격(Denial of Service)은 시스템에 과도한 부하를

유발하여 정상 인 서비스를 차단하거나 성능을 하시키는

행 . 서비스거부공격은 TCP 로토콜을 이용하여 요청메시지에

한 응답메시지를 보내지 않음으로써 피해 시스템의 TCP

세션을 불완 한 상태로 연결하여 수용능력을 포화시켜 피해

시스템의 서비스를 불가능하게 만든다. 공격자는 소스 IP정보를

조하거나 과 같은 악성코드에 감염된 시스템을 이용함으로써

자신의 치를 노출시키지 않음

(3) 비인가 근공격

비인가 근공격은 네트워크, 시스템, 응용 로그램, 데이터 는

기타 자원 등에 인가를 받지 않은 자가 논리 는 물리

으로 불법 근하는 공격유형을 의미

공격자는 자신이 직 해킹을 시도할 수도 있고, 악성 로그램을

이용하여 사용자의 요정보를 자동으로 수집한 후 정상 인

방법으로 해킹을 시도할 수도 있음

(4) 복합구성공격

복합구성공격은 악성코드공격, 서비스거부공격, 비인가 근

공격 등의 요소를 복합 으로 이용하는 공격유형을 의미함.

계열의 악성코드가 서비스거부 공격을 수행하거나 비인가

근을 한 피싱 등의 경우가 이에 해당

- 169 -

2. 사이버공격 별 탐지

가. 악성코드공격 탐지ㆍ분석

(1) 악성코드공격 상 징후1)

드공격 상 징

○ 새 취 점 출

- 과 술정보보 과 술 등 사 전 웹 사 각종

보 정보 웹 사

- 취 점 단 간에 당 취 점 공격 는 공격 또는 드가 포

므 시 보 수

※ 드 : 웜 ㆍ 러스, IRC , , , 스 웨 등

○ 새 드 출

- 가사 전 웹 사 각종 보 정보 웹 사

○ 신 그램 감염 탐

○ 정 비스 포 비정상적 접 시 가

○ 탐 시스 , 차단시스 , 네 워크 비, 시스 그 등

※ 비정상적 접 시 포 : 1434/udp (Slammer 웜), 135/tcp (Welchia 웜) 등

악성코드공격의 징후를 발견하 을 경우에는 다음과 같이 사고

발생을 감시하고 동조치를 수행

(가) 새로운 악성코드 취약 에 한 정보 수집 련

보안패치

(나) 비정상 속이 시도되고 있는 시스템에 한 지속 인

감시

1) 징후란 사이버공격이 일어날 조짐을 의미한다.

- 170 -

(2) 악성코드공격의 피해증상

드공격 상

○ 신 웨 드 견 경고 생

○ 또는 그램 삭제 상

- 문 열람 또는 그램 실 시 생

- 보 그램 실 시 동 종료

○ 정 스 비정상적 동

- 당 스 CPU 사 량 가

- 시스 네 워크 사 량 폭

- 출처가 원격시스 과 시스 간 네 워크 연결 탐

○ 출

- 에 상 시 나 그 출

- 넷 사 시 웹 사 연결

○ 탐 시스 , 차단시스 등 정보보 시스 에 드 시

내 탐

와 같은 악성코드공격에 의한 증상을 발견하 을 경우에는

사고 발생여부를 별하고, 부록 Ⅱ. [3.가. 악성코드공격 응

요령(P176)]을 참조하여 사고에 응하며, 필요시 과학기술정

보보호센터 등 사이버안 문기구에 도움 요청

- 171 -

나. 서비스거부공격 탐지ㆍ분석

(1) 서비스거부공격 상 징후

비스거 공격 상 징

○ 넷상에 새 비스거 공격 공개


※ 비스거 공격 : TFN, Trinoo, Stacheldraht, TFN2Kt 등

○ 내 정 비정상적 비스 단

- 비스거 공격 상 비 러 에 비정상적

비스가 단 는 경 에는 비스거 공격 심

○ 탐 시스 , 차단시스 등 정보보 시스 에 스 닝 동 탐

- 비스거 공격과 스 포 래 견 (에 전 검색 시 , 공격

시 시 등)

○ 비스거 공격 고 는 그램 견

- 스 틸 티, 열 포 틸 티, 그램 탐 웨 등

※ 비스거 공격 에 전 사 포 : 27444/udp(Trinoo), 18753/udp(Shaft), 9325/udp(Mstream),

6838/udp(Mstream 종)

서비스거부공격 상 징후를 발견하 을 경우에는 다음과 같이

사고발생을 감시하고 동조치 수행

(가) 서비스거부공격 도구에 한 정보 수집 련 보안

패치

(나) 스캐닝 등이 이루어지고 있는 상 시스템에 한

지속 인 감시

(다) 서비스거부공격을 한 에이 트 탐색 제거

- 172 -

(2) 서비스거부공격 피해증상

비스거 공격 상

○ 탐 시스 , 차단시스 등 정보보 시스 에 비스거 공격 시

내 탐

○ 신 웨 에 비스거 공격 견

○ 내 정 비스 단

- 비스거 공격 생시 과 래 집 여 웨 / 드웨

가 생 비스가 단

○ 네 워크 저

- 시스 네 워크 사 량 폭 네 워크 저

- 출처가 다수 원격시스 과 시스 간 네 워크 연결 탐

○ 네 워크 래 상 견

- 킷 신/수신 IP 주 가 거나 존 는 IP 주 조

- 정 신/수신 IP 주 갖는 래 견

- 비 네 워크 래 다수 생

와 같은 서비스거부공격 피해증상을 발견하 을 경우에는

사고 발생 여부를 별하고, 부록 Ⅱ. [3.나. 서비스거부공격

응요령(p179)]을 참조하여 사고에 응하며, 필요시 과학기술

정보보호센터 등 사이버안 문기구에 도움 요청

- 173 -

다. 비인가 근공격 탐지ㆍ분석

(1) 비인가 근공격 상 징후

비 가접근공격 상 징

○ 넷상에 새 비스거 공격 공개


○ 탐 시스 경고 또는 그 견

- telnet등 정 비스에 적 접 시 견

- '/bin/sh'과 같 공격내 포 스 포 래 견

- 연 적 실 그 견

○ 사 공 적 공격 시 탐

- 나 타 사 사 여 민감 정보, 시스 정 경, 정 그램

수

- 다량 싱 수신

○ 비정상적 스 닝 흔적 견

- 웜, 러스 비스거 공격 스 닝 견

- 무 비스 포 에 스 닝 견

○ 료 출 징 그 견

- 정 료 열람 수 비정상적 가

- 무 계 는 사 에 료 열람 그 견

○ 비정상적 무 처 흐 견

- 적 무 흐 과 다 무 처 내 견

- 무 처 견

○ 물 적 비 가접근 시 포착

- 겨 전 열 는 시

- 정체 사람에 말 신 드 사 시

비인가 근에 의한 공격의 징후를 발견하 을 경우에는 다음과

같이 사고발생을 감시하고 동조치 수행

(가) 새로운 비인가 근 련 취약 에 한 정보 수집 련

보안패치

(나) 비인가 근이 시도되고 있는 시스템에 한 지속 인 감시

(다) 비정상 인 업무 흐름에 한 감시 물리 인가

조치에 한 검토

- 174 -

(2) 비인가 근공격 피해증상

비 가접근공격 상

○ 탐 시스 , 차단시스 등 정보보 시스 에 비 가접근에

시 내 탐

○ 비정상적 사 계정 견

- 동시에 다 원격 접 사 계정 견

- 수 새 사 또는 그룹 계정 견

○ 비정상 동 는 그램 견

- 스 시 등에 정체 그램 스 견

- 비정상적 실 스 견

○ ㆍ 조 삭제 흔적 견

- 료 ㆍ 조 삭제 흔적 견

- 문 , 그램등 정 시각 경

- 시스 정 경사 견

- 시스 , 네 워크 사 량, 그 량, 시스 사 량 등 시스

상 심각 생

○ 킹 공격 경 탐

- 타 공격 경 등 고 다는 사실

- 정 스 에 경 추 수 는 네 워크 래 탐

※ 사 가 정보 는 다수 견 ( 싱)

와 같은 비인가 근에 의한 공격의 증상을 발견하 을

경우에는 사고 발생 여부를 별하고, 부록 Ⅱ. [3.다. 비인가

근공격 응요령(p180)]을 참조하여 사고에 응하며, 필요시

과학기술정보보호센터 등 사이버안 문기구에 도움 요청

라. 복합구성공격 탐지ㆍ분석

(1) 복합구성공격의 상 징후

개별 공격에 한 상 징후를 분석하여 두 가지 이상의 징후를

나타내는 경우 복합구성공격의 상 징후로 단할 수 있으며,

각 유형별 사고발생 감시 동조치를 시행

- 175 -

(2) 복합구성공격의 피해증상

복합구성공격의 증상은 두 가지 이상의 사고가 발생하 거나

재 발생하고 있는 상태에 한 정보를 의미한다. 따라서

상기 주요 공격기법 탐지ㆍ분석요령을 바탕으로 개별 사고

증상을 분석하여 두 가지 이상의 증상이 발견된 경우 부록 Ⅱ.

[3. 사이버공격 응요령(p176)]의 내용을 참고하여 사고에 응하고

필요시 과학기술정보보호센터 등 사이버안 문기구에 도움

요청

사이버공격으로 인한 사고 발생시 해당 공격을 긴 히 차단

하고 피해를 최소화시키기 한 주요 공격 유형별 응요령은

다음과 같음

- 176 -

3. 사이버공격 응요

가. 악성코드공격 응요령

(1) 악성코드공격 단

(가) 웜ㆍ바이러스 계열의 악성코드는 메일, 공유폴더 는

취약 스캐닝을 통해서 은 하고 빠르게 되므로

백신 로그램, 침입탐지시스템, 침입차단시스템 등

정보보호시스템과 네트워크 장비의 로그자료 등을 주시

(나) 트로이목마나 계열의 악성코드는 외부에서 근이

가능하도록 특정포트를 오 하고 있거나, 주기 으로

특정 사이트 는 특정 시스템으로 속을 시도하므로

시스템들의 네트워크 설정 구성 상태를 확인

(2) 감염시스템 분리

(가) 감염된 호스트를 식별 후 네트워크에서 분리하여 악성

코드를 분석

(나) 백신 로그램의 경고 메시지를 참고하여 악성코드를

식별할 수 있지만 백신 로그램이 모든 악성코드

감염을 탐지하지는 못하므로 다음과 같이 사고내용을

조사. 감염된 호스트가 식별이 되면 해당 호스트를

네트워크에서 분리한 후 아래의 악성코드 분석과정을 수행

o 알려진 트로이목마 백도어 포트를 통한 연결을

탐지하기 해 감염이 의심되는 호스트에 해 포트

스캐닝을 수행

o 백신업체에서 긴 히 제공하는 특별한 탐지 치료

도구를 사용

- 177 -

o 개별 호스트의 로그 기록뿐만 아니라, 악성코드 유입

경로에 있는 이메일 서버, 침입차단시스템, 락시

서버 등의 로그 기록을 검토

o 악성코드 사고와 련된 행 를 식별할 수 있도록 침입

탐지시스템을 재설정

o 수행되고 있는 로세스들이 정상 으로 동작하고 있는지

확인하기 해 무결성 검사 감사 자료를 검토

(3) 감염경로 차단

(가) 악성코드 유입 경로를 차단

o 피해확산 방지를 해 이메일 서버 클라이언트

로그램은 특정 제목, 발신인 주소, 첨부물 명칭, 악성

코드 속성 등을 기 으로 차단규칙을 추가 설정

o 수백 이상의 시스템이 악성코드에 감염되고 이메일

등의 수단을 통한 근 시도로 인하여 매개

서버 시스템이 서비스를 제공할 수 없게 될 경우,

이메일 서버 등 매개 서버 시스템을 폐쇄

o 악성코드가 특정 서비스의 취약 을 이용하여 내부

네트워크로 유입될 경우, 침입차단시스템, 스 치 는

라우터의 차단규칙 설정을 통한 내부 네트워크의

유입을 차단

(나) 외부로의 연결시도를 차단

o 특정 IRC 서버 는 백도어 마스터 시스템으로 속을

시도하고 있는지 여부를 확인하기 해 시스템에서

주기 으로 외부로 나가는 패킷이 있는지 여부를 확인

- 178 -

o 내부 피해 시스템의 악성코드가 외부 시스템으로 연결을

시도하는 경우 라우터나 침입차단시스템의 차단규칙

설정을 이용하여 해당 연결 시도를 차단

※ ) 내 스 슬래 웜 감염시 차단시스 에

나가는 킷 착 포 가 1434 포 킷

차단 여 내 에 공격 차단

(4) 외부 네트워크와의 연결 차단

(가) 규모 피해를 유발하는 악성코드공격으로 인하여 침해

사고가 발생한 경우나 많은 트래픽 발생으로 인해

기 의 인터넷 속 자체가 불가능한 경우에 실무기 은

기 의 인터넷 속 경계에서 속 단 을 권고

(5) 미확인 악성코드 처

(가) 감염이 의심되나 재까지 알려지지 않은 악성코드는

과학기술정보보호센터 등 사이버안 문기구에 도움

요청하여 조치

o 재 보유하고 있는 백신 로그램으로 탐지되지 않는

악성코드로 인하여 사고가 발생하 거나 의심되는

경우 과학기술정보보호센터, 국가사이버안 센터

백신업체에 연락하여 조치

(6) 사고통보

(가) 실무기 의 장은 악성코드공격으로 인한 사고 발생

의 경우 과학기술정보보호센터에 통보하고 과학기

술정보보호센터는 과학기술부에 통보

(나) 과학기술부 장 은 소 분야 정보통신망이 악성코드

공격으로 인하여 사고가 발생한 경우에 그 사실을

국가정보원장에게 통보

- 179 -

나. 서비스거부공격 응요령

서비스거부공격에 의한 사고 발생의 경우 해당 공격근원지로부터의

모든 트래픽을 차단해야 하며 세부 응요령은 다음과 같음

(1) 서비스거부공격 유형 단

(가) 정보보안책임자(실무자)는 공격자의 서비스거부공격의

유형을 단하기 하여 MRTG(Multi Router

Traffic Grapher)와 같은 트래픽 모니터링 도구를

이용하여 네트워크 트래픽 모니터링

(나) 라우터, 침입차단시스템, 침입탐지시스템 등으로 부터의

로그 기록정보를 참조하여 공격 증상을 확인

(2) 네트워크 장비를 이용한 서비스거부공격 추 ㆍ차단

(가) 라우터의 트래픽 분석기능을 이용하여 서비스거부

공격의 근원지를 추

(나) 공격의 특성에 맞게 라우터나 스 치에 CAR 는

ACL을 설정하여 해당공격을 차단

※ 네 워크 비 비스거 공격 추적ㆍ차단에

정보는 가사 전매뉴 (p257) 참조

(다) 공격의 특성에 맞게 침입차단시스템의 차단규칙을

설정하여 해당 공격을 차단

※ ) 슬래 웜 비스거 공격 생시 차단시스

에 1434 포 는 킷 차단

(3) 정보통신서비스제공자(ISP) 차단규칙을 통한 공격 차단 추

(가) 외부 호스트로부터의 서비스거부공격으로 인하여 기 의

인터넷 라우터가 정지 오동작하는 경우에 해당 기 은

공격 차단 공격자 추 등을 과학기술정보보호센터에 요청

- 180 -

(나) 과학기술정보보호센터는 과학기술부를 통하여 실무

기 의 요청사항을 계기 에 통보하고 조요청

(4) 피해시스템의 치 재배치 요자료 백업

(가) 특정 호스트가 공격 상이 되고 다른 서비스거부

공격 응 략이 효과가 없는 경우, 해당 호스트를

다른 IP 주소로 체

(나) 피해시스템의 빠른 복원을 하여 가능한 빨리 백업

도구를 이용하여 CD나 장테이 등 보조기억장치에

시스템의 데이터를 백업

(다) 특정 호스트가 공격 상이 되고 다른 서비스거부

공격 응 략이 효과가 없고 공격에 한 피해가

크다고 단될 경우, 기 장의 승인을 득한 후 공격

상 네트워크를 분리

(5) 악용되고 있는 보안취약 는 결함 제거

(가) 취약 이 존재하는 시스템의 서비스를 이용하는 서비스

거부공격의 경우, 해당 서비스 포트로 패킷이 유입되지

않도록 침입차단시스템이나 라우터에서 차단규칙을

설정하여 패킷을 차단

(나) 유사공격의 재발을 방지하기 하여 보안패치 되지

않은 시스템은 해당 취약 을 각 운 체제별 패치

사이트에서 패치를 다운받아 설치

다. 비인가 근공격 응요령

(1) 피해시스템 격리 는 련 서비스 지

- 181 -

(가) 시스템의 추가 피해 피해 확산 방지를 해 가능한

사고 시스템을 물리 , 논리 으로 분리

(나) 비인가 근공격 근원지를 식별하고, 라우터ㆍ스 치ㆍ

침입차단시스템의 차단규칙 서버시스템의 네트워크

차단규칙 설정을 통하여 사후 비인가 근을 차단

(2) 로그 자료 백업

(가) 비인가 근공격 근원지를 식별하고, 원인 악을 한

요한 단서로 사용 될 로그 자료를 안 하게 백업

보

(3) 비인가 근공격에 사용된 계정 제거

(가) 공격에 이용된 계정을 식별하고 도우시스템의 사용자

리 도구와 유닉스 시스템의 ‘userdel' 명령어를

이용하여 해당 사용자계정을 사용 지 는 제거

(나) 내부 사용자가 외부 조직을 공격하는 것과 같은 부

한 행 를 발견할 경우 이 사용자를 찾아내어

추가 인 피해를 방지

(다) 외부에서 내부 네트워크로 비인가 근공격 시도를

발견한 경우, 과학기술정보보호센터와 력하여 불

법 근 사용자계정의 제거 는 검

(4) 사고통보

(가) 실무기 의 장은 비인가 근공격으로 인한 사고 발생의

경우 그 사실을 과학기술정보보호센터에 통보하고

과학기술정보보호센터는 과학기술부에 통보

- 182 -

(나) 과학기술부 장 은 소 분야 정보통신망이 비인가 근

공격으로 인하여 사고가 발생한 경우에 그 사실을

국가정보원장에게 통보

라. 복합구성공격 응요령

사고별 응요령을 나열하고 요도를 별하여 우선순 에 따라

공격기법별 사고 응 차를 모두 수행

- 183 -

가. 정보보

체계

(1) 정보보 정책(가) 정보보

(나) 검 가

(2) 정보보 조

(가) 정보보 조

(나) 정보보

(다) 정보보

나. 정보보 계

동

(1) 정보보 계(가) 동계 수

(나) 정보보 동 수

(2) 개 정보보 동(가) 개 무책

(나) 보 사고 보고

(3) 정보보 사고

(가) 동

(나) 체계 축

(다) 책

(4) 정보보 감사 (가) 정보보 감사

다. 정보 산 제

(1) 정보취 절차

(가)

(나) 산

(다) 비 보 책

(2) 정보 산 폐

(가) 정보 산 승

(나) 전 폐 사

(다) 가 보 계

(3) 매체 (가) 매체

라. 적보

(1) 원보

(가) 무책

(나) 무

(다) 원 정책

(라) 보 규정 수

(2) 정보보 (가) 정보보

(3) 정보보 식 경조 (가) 정보보 식 경조

Ⅲ. 평시 안 검 체크리스트

1. 검분야

- 184 -

. 물 적 보

(1) 시 보

(가) 물 적 보 역

(나) 출 제

(다) 물 달ㆍ수

(라) 보 역에

( ) 청 동

(2) 난복 책

(가) 난복 책 수

(나) 난복 책 검

(다) 비보

(라) 전원공

( ) 신 보

. 접근 보 책

(1) 접근 보 (가) 접근 보

(2) 네 워크 보

(가) 네 워크 사 에 정책

(나) 원격 사

(다) 시스

(라) 네 워크상

( ) 네 워크 연결 정책

( ) 네 워크

(사) 무 신망 보

(3) 정보시스 보

(가) 시스 접근 제

(나) 시스 격

(다) 공 원 제 제

(라) 시스 보수

(4) 사

계정

(가) 사

(나) 사 계정

(다) 스워드 사

(라) 그 절차

(5) 그램 접근 제 (가) 그램 접근 제

- 185 -

사.

(1) 상 경 제 (가) 상 경 제

(2) 비스

(가) 비스

(나) 전 보

(다) 비스 보

(3) 정보보 시스 보 (가) 정보보 시스

(나) 정보보 시스 보

(4) 드 (가) 드

(5) PC보 (가) PC보

(6) 그 니

(가) 그

(나) 시스 사 감시

(다) 시스 감사 보

(7) (가)

. 시스 개

보수

(1) 시스 개 정보보

사

(가) 정보보 사

(나) 시스 시험 가

(다) 개 경 보

(2) 웨 보

(가) 웨 제

(나) 경 제 절차

(다) 술적 검

(3) 주 (가) 주

. 보 시스

(1) 사

(가) 사

(나) 취 가

(다) 실 사

(2) 비

(가) 비 사

(나) 정 경

(다) 비

(3) (가) 등

(나) 취

(4) 논 (다) 논

- 186 -

2. 검항목

가. 정보보안 리체계

(1) 정보보안정책

(가) 정보보안지침

보안 책 : 국가사이버안 리규정, 국가정보보안기본지침 등

국가정보보안 정책을 기본으로 각 기 자체 지침을

작성하고 기 장이 승인하여야 하며, 모든 직원에게

배포되고 주기 으로 교육을 실시하여야 한다.

점 검

정보보 에 정책 규정 는가 A

정보보 정책 규정, , 상 정보보 정책

수 고 는가B

정보보 정책 에 승 는가 A

정보보 정책 또는 원에게 포 는가 A

원에게 정보보 정책 시키 여 실시 고 는가 B

(나) 정보보안정책 검토 평가

보안 책 : 새로운 험 취약성의 두, 기술변화에 따른

요 정보시스템의 환경변화를 반 하기 해,

정보보안지침을 주기 으로 검토해야 한다.

점 검

정보보 정책 또는 주 적 검 고 는가 A

- 187 -

(2) 정보보안조직

(가) 정보보안조직 구성 역할

보안 책 : 정보보안 리를 한 담조직이 구성되어 있으며,

보안심사 원회는 종합 인 정책, 지침의 검토와

승인, 주요 정보자산의 변화, 보안사고 검토와

모니터링, 정보보안 련 주요안건의 승인 등의

임무를 수행해야 한다.

점 검

정보보 전담조 는가 C

보 심사 원 는 는가 A

보 심사 원 동 히 수 고 는가 A

정보보 무 수 는 는 무 처 시 타 적 가 B

(나) 정보보안 력

보안 책 : 정보보안 역할과 책임, 험평가와 보안의식 제고

계획 등 조직차원의 력에 필요한 사항을 조정

하고 보안사고 응을 한 국가정보원, 앙행정

기 , 련업체 등과 한 력 계를 유지해야

한다.

점 검

무 조체계가 수 는가 B

정원, 정 , 체 등과 적절 조 간 계가

는가A

보 책 문 전문 나 전문가 수

는 는가C

- 188 -

(다) 정보보안 인력

보안 책 : 정보보안 역할과 책임배정이 명확히 정의되어 있고,

각 자산의 보안을 해 보안 차와 검책임을

부여해야 한다.

점 검

정보보 전담 는가 B

정보보 과 계 든 동에 책 는 가 는가 C

산보 정보보 절차 수 과 책 히 정 는가 B

나. 정보보안계획 활동

(1) 정보보안계획

(가) 활동계획수립

보안 책 : 정보보안활동 추진계획을 수립ㆍ시행하여야 한다.

점 검

연간 보 동 추 계 수 는가 A

정보보 동 계 조 나 , 책 에 심사, 승

는가A

전년 보 동 추 결과에 심사 고 는가 A

(나) 정보보안 활동 수행

보안 책 : 정보보안 활동은 추진계획에 의거하여 차질없이

수행되어야 한다.

점 검

정보보 동 계 추 고 는가 B

보 동 추 계 주 적 검 고 조정 는가 B

- 189 -

(2) 사용자 정보보안 활동

(가) 개인별 직무책임

보안 책 : 정보보안 리책임을 숙지하여 리책임이 있는

정보자산을 보호하고 일상의 보안에 하여 검

해야 한다.

점 검

원들 본 보 에 정보보 규정 숙 고 는가 A

퇴근 전 본적 정보보 점검 수 는가 A

원 개 는 정보 산에 여 정보보 생 수 수

는가B

(나) 보안사고 보고

보안 책 : 모든 직원은 보안사고 조치 차를 숙지하여, 보안

사고에 한 응조치와 공식 인 보고를 수행해야

한다.

점 검

원 정보보 사고시 가 저 보고( 보) 여 사람 누

고 는가A

원 사 공격 등 정보보 사고시 조 사 고 는가 A

(3) 정보보안사고 방 응

(가) 정보보안 방활동

보안 책 : 정보보안 사고를 최소화하기 하여 보안취약 을

분석하고 보안 책을 수립해야 한다.

- 190 -

점 검

정보보 동에 , 매뉴 는가 A

시스 또는 비스에 견 거나 심 는 보 취 점

보고 는가B

주 적 체 취 점 점검 실시 는가 B

정보시스 에 정보보 취 점 ․ 가 실시 는가 B

(나) 정보보안사고 응체계 구축

보안 책 : 정보보안 사고 응 조치 차를 수립ㆍ교육하고

내외 비상연락체계를 구축하고 정보를 공유해야

한다.

점 검

정보보 사고 계 보고, 조 절차 수 는가 A

정보보 사고에 비 비상연락체계 고 는가 A

정보보 사고에 비 여 사 전 전문 조체계 고

는가A

정보보 사고 등 에 수 는가 A

정보보 사고 생시 절차에 전 원 고 는가 B

(다) 사고 재발방지 책

보안 책 : 보안사고와 장애를 감시하고 재발 여부 향력을

확인하며 향후 발생빈도나 피해를 감소시킬 수 있는

책을 마련해야 한다.

점 검

정보시스 능 보고 절차가 수 는가 C

정보보 사고 능 고 사사고가 복

책 수 ㆍ시 는가B

- 191 -

(4) 정보보안감사

(가) 정보보안감사 시행

보안 책 : 정보보안 감사는 정기 으로 수행하고, 감사결과

도출된 미비 은 지속 보완하여야 한다.

점 검

정보보 정책 적절 가 시 여 정보보 감사

동에 규정 는가A

정보보 감사는 정 적 수 는가 A

정보보 감사 결과 출 미비점에 보 조 고 는가 B

다. 정보자산통제

(1) 정보취 차

(가) 정보자산 분류지침

보안 책 : 모든 정보자산은 국가정보통신보안기본지침에 의거

분류되고 분류체계를 정기 으로 검토해야 한다.

점 검

든 정보 료 산 가 정 무가

시 는가A

정보 료 산 에 규정 는가 A

- 192 -

(나) 자산목록 리

보안 책 : 모든 정보자산에 한 목록이 작성되고 리되어야

한다.

점 검

정보 산 에 라 고 여 여 고

는가 A

정보 료 공개시 보 심사 원 또는 보 담당과 등 체규정에 거

보 검 고 는가A

(다) 비 보안 책

보안 책 : 기 이나 요한 정보로 분류된 정보자산에 하여

보안 책이 강구되어야 한다.

점 검

비 료 보 , 절차가 는가 A

컴퓨 에 문 보조 매체 출 비 료( 비 포 )는

그에 고 는가A

P2P 등 그램 나 정보 신 비, , 스 비 사

정보 출 보 책 수 고 는가C

비 문 전 시 가 접근, 또는 조

보 는가A

출 물 정보가 출 적정등 비 고

주 적 상 무 점검 는가C

(2) 정보자산 도입 폐기

(가) 정보자산 승인

보안 책 : 새로운 정보자산에 한 승인 차가 있으며 정보

보안 정책 는 지침의 용여부, 호환성에 한

검토가 고려되어야 한다.

- 193 -

점 검

새 정보 산에 여 가 또는 승 는 과정 수 는가 A

가 비(H/W, S/W)만 사 규정 고 에 책 정

고 는가C

새 정보시스 , 그 드 새 전에 승 수

는가A

정보 신보 담당 새 축 정보 신시스 정보보 체계가

적절 다고 단시, 그 시스 사 연 나 문제점에 조

수 는가

C

(나) 정보자산 폐기

보안 책 : 요정보를 장한 정보시스템이나 장매체를

안 하게 폐기하기 한 한 차가 있어야

한다.

점 검

시스 고 수 시 내 료 출 보 책 수 ㆍ

시 는가B

정보 산 출 제 고 는가 A

컴퓨 등 료 저 능 는 비 전 게 폐 절차가

는가A

(다) 가용성 보장

보안 책 : 업무를 지원하는 요 시스템과 네트워크 장비의

성능, 구성, 장애 등을 리하고 정한 가용성을

보장해야 한다.

점 검

정보시스 저 량, 네 워크 역폭 등 가 사 에

계 수 고 는가B

- 194 -

(3) 매체 리

(가) 기억매체 리

보안 책 : 기억매체의 안 한 리를 해 구입ㆍ 리ㆍ 장

등에 한 보안 리가 이루어지고, 소각ㆍ 단 등

재생 불가능한 방법을 이용하여 폐기해야 한다.

점 검

매체에 , , 저 에 제가 루 고

는가A

비 ( 비 포 )처 저 에 매체 사 시 보 책 수 ㆍ

시 고 는가A

매체 시 료 실 고 전 게 삭제 고 는가 A

라. 인 보안

(1) 인원보안

(가) 역할 책임 규정

보안 책 : 정보보안 정책 는 지침에 따라 직원들의 역할과

책임을 하게 규정해야 한다.

점 검

내 원 보 제에 규정 는가 A

정보보 규정ㆍ 사 정보보 과 무

책 시 고 는가A

든 신 원에게 보 사 과 그들 책 에 충 히

루 고 는가B

- 195 -

(나) 직무분장

보안 책 : 특정 직무의 리나 시행 는 책임분야를 명확히

분리하여 한 권한을 주어야 한다.

점 검

개 보 무에 라 정보 산에 상 주 는가 A

역 에 라 원 무 히 ㆍ 고 는가 A

(다) 인원선발 리정책

보안 책 : 인원선발시 신원조사 등 충분한 검증조사를 시행

하고, 인사이동시 근권한도 신속하게 변경하여야

하며, 요정보를 리하는 직원에 하여 정기 인

확인을 수행해야 한다.

점 검

원 시 무에 신원조사는 철저히 수 는가 A

비 등 정보 다루는 원에 비 취 가, 보

징수 등 보 책 수 는가A

사 동에 접근 조정 신 게 루 는가 A

(라) 보안규정 수

보안 책 : 직원의 보안규정 수를 독려하기 해 보안규정

이행여부를 직원평가에 반 해야 한다.

점 검

원 가시 정보보 에 규정 수 여 가 는가 B

원 보 규정 에 징계 절차가 는가 A

가 원에 주 적 점검 루 는가 C

- 196 -

(2) 정보보안교육 훈련

(가) 정보보안교육 훈련실시

보안 책 : 정보보안 정책 차에 해 주기 교육

훈련을 실시하여 보안의식을 제고토록 하여야 한다.

점 검

정보보 , 정보보 식 고취 경 조 에 내 규정

는가A

연간 정보보 계 수 여 수 는가 A

원 상 초 정보보 정 적 시 고 는가

(수단: 집 , 물 포, 정보 신망 게 등)A

정보보 담당 시스 역량강 전문 보

수 는가B

(3) 정보보안의식 환경조성

(가) 정보보안 환경조성

보안 책 : 정보보안 수환경을 조성하기 해 지속 인 의식

강화 활동을 수행해야 한다.

점 검

사 에게 정보보 경각심 수 는 보 동 고 는가 A

에게 정보보 계 과 정보보 문제 정 적 보고

고 는가A

과 각 책 는 정보보 강 시 (문 , ,

게시 등) 적 전 고 는가B

- 197 -

마. 물리 보안

(1) 시설보안

(가) 보호구역 지정 리

보안 책 : 보호구역을 지정하여 운 하는 각 기 장은 비인

가자의 무단 출입 침투를 방지하기 한 보안

책을 강구해야 한다.

점 검

보 역 물 적 접근 제에 내 규정 는가 A

주 정보 산 보 여 보 역 정 는가 A

보 역에 에 는가 B

(나) 출입통제

보안 책 : 보호구역에 한 출입을 출입목 에 따라 인가하고

출입일시를 기록하며 감독해야 한다.

점 검

보 역 에 보 책 수 여 수 고 는가 A

정보시스 보 경적 험 물 적 보 고

는가A

보 역에 접근 출 적에 라 가 고 는가 B

보 역에 접근 정 적 검 갱신 고 는가 A

보 역 경비원 또는 CCTV등에 출 니 고 는가 A

출 제 고 는가 A

물 적 접근에 감시 사고조사 정 노 는가 C

- 198 -

(다) 물품 반입 통제

보안 책 : 물품배달ㆍ수령은 통제되어야 하며, 인가되지 않은

근을 피하기 하여 보호구역으로부터 떨어져

있어야 한다.

점 검

물 달 수 제 고 는가 C

(라) 보호구역내 작업통제

보안 책 : 보호구역에서의 작업시 비인가된 근 등 자료유출

차단을 한 보안 책이 있어야 한다.

점 검

보 역에 근무 는 상 감시 고 는가 A

보 역에 주 적 출 는 에 보 징수 는가 B

(마) 도청 방 활동

보안 책 : 도청에 한 보안 책이 있어야 한다.

점 검

내 는 각종 비 물 등에 청 닉여 보

검색 는가B

상시 당 에 청 제거 등 보

책 강 는가B

닉 청 탐색 동계 수 시 는가 B

- 199 -

(2) 재난복구 책

(가) 재난복구 책 수립

보안 책 : 재난발생에 비하여 재난복구 책을 수립, 시행

해야 한다.

점 검

난ㆍ 사 공격 등에 무가 수 는 난복

책 수 는가A

비상사태 생시 순 여 산 절차 가 는가 A

복 에 책 당 등 복 절차가 수 는가 A

비상시 복 , 시스 복 등 여 시스 공 체

보수 계 체결 는가 A

(나) 재난복구 책 검토

보안 책 : 재난복구 책을 정기 으로 시험하여 향평가를

실시한다.

점 검

난복 책 정 적 시험 고 검 는가 B

난ㆍ 시 무 에 실시 는가 C

난ㆍ 시 취 보 절차에 고 는가 A

(다) 장비보호

보안 책 : 정보자산은 재난ㆍ재해에 비하여 보호하여야 한다.

점 검

정보 신실 ,습 , 등에 시스 수 는 적

경 고 는가 B

비가 사 가능 게 체 비가 는가 B

네 워크 또는 비시 네 워크 복 가 가능 가 B

- 200 -

(라) 원공

보안 책 : 장비는 정 기타 기 이상으로 부터 보호

해야 한다.

점 검

적 전원 공 원 책 강 고 는가 B

전 , 전원 비에 주 적 험 고 여 검 는가 B

(마) 통신회선 보호

보안 책 : 정보를 달하는 통신회선은 재난ㆍ재해, 악의

단, 도청으로부터 보호해야 한다.

점 검

신 보 책 는가 C

정보 신 비 에 최신 료 ㆍ 고 는가 C

바. 근 보안 책

(1) 근 보안지침

(가) 근 보안지침 수립

보안 책 : 근 보안 책은 업무 필요성과 연계 승인, 문서화

하고, 근 보안 정책에 따라 근을 제한하여야 한다.

점 검

접근 보 규정 고 는가 A

는 사 접근 제 여 사 접근 정 적

검 는가 A

시스 네 워크 비 제 ㆍ 역 체 초 정 경 는가 B

시스 그램에 정보 접근 제 여 시스

사 히 여 제 고 는가 B

- 201 -

(2) 네트워크 보안

(가) 네트워크 보안정책

보안 책 : 네트워크 보안정책은 근허가와 비인가된 네트워크

서비스 근시도에 한 인증 차, 연결 서비스에

한 보안 차 등을 포함해야 한다.

점 검

네 워크 비스 사 에 접근 제 규정 는가 A

네 워크 비에 원격 시 접근 적절히 정 는가 B

정보 신망 신ㆍ 시 보 책 강 고 는가 B

네 워크 노드에 당 주 는 규정에 라 체계적 는가 B

(나) 원격 사용자 인증

보안 책 : 원격 사용자를 인증하기 한 보안 책이 있어야

한다.

점 검

원격접 가 고 제 규정 존 는가 A

원격 사 접근 , IP 등 제절차가

는가B

(다) 시스템 인증

보안 책 : 원격 컴퓨터 시스템에 한 연결을 인증해야 한다.

점 검

네 워크 비는 네 워크내 타 노드 접 에 여 접근 제

수 는가A

시스 에 원격 연결 제 시스 에 만 가능 시스

수 고 는가B

- 202 -

(라) 네트워크상의 분리

보안 책 : 정보서비스, 사용자 정보시스템 요도, 업무

연 성 등을 고려하여 네트워크내 보안 책을 강

구하고, 허용된 네트워크내에서만 근 가능해야 한다.

점 검

네 워크 에 라 네 워크 여 고 는가 A

내 망과 넷․상 망 물 적 는가 C

네 워크 비 원격 는 신 주 제 여 접근 제 수

고 는가A

(마) 네트워크 연결 정책

보안 책 : 근통제 정책에 따라 사용자의 속은 공유된

네트워크내로 제한해야 한다.

점 검

네 워크 접근 제 여 제수단(네 워크 접근 제 정책,

차단시스 등) 는가A

네 워크 연결에 보 책 적절 게 고 주 적 검

는가B

신 계(r- 비스, nfs 등) 연결 시스 존

는가C

내 네 워크 정보(IP, 시스 정보, 등) 보 고

는가C

내 망 접 시 보 책 강 고 제 는가 C

- 203 -

(바) 네트워크 리

보안 책 : 네트워크상의 에러 는 보안문제를 악하기 해

보안 리를 수행해야 한다.

점 검

신 충 량 가 고 네 워크 과 에

문제가 는가B

네 워크 비들 그나 보 취 점 는가 B

네 워크상 에러등 네 워크 시스

고 는가B

(사) 무선통신망 보안

보안 책 : 무선통신망을 이용시 사용자 근, 인증 송

자료에 한 보안 책을 강구해야한다.

점 검

무 신망 축시 청, 전 월경 등에 보 책 강 는가 B

무 랜 사 시 비 가 에 무단접 등에 킹에 비 보 책

강 는가B

(3) 정보시스템 보안

(가) 시스템 근통제

보안 책 : 정보시스템에 한 근통제가 정의되어 사용자가

감시되어야 한다.

점 검

정보시스 에 접근 제가 정 는가 A

정보시스 에 여 사 제 고 감시 는가 A

시스 비 가 사 에 처 규정(사 에 책 과 절차)

적 고 는가B

- 204 -

(나) 요시스템 격리

보안 책 : 요시스템을 분류하여 근을 엄격히 제한하여야

한다.

점 검

시스 에 여 격 전 컴퓨 경 제공 고 는가 B

접 는 단말 는 제 , 정 는가 B

(다) 공유자원 제한 통제

보안 책 : 시스템 자원을 공유할 경우에는 한 보안 책을

강구해야 한다.

점 검

공 시스 원(공 폴 , 등)에 접근 제는 적절 게 수

고 는가A

사 정 시스 틸 티 그램 사 제 고

는가C

티 저 경에 타 사 정보열람, 경 제 고 는가 C

(라) 시스템 유지 보수

보안 책 : 시스템 유지/보수시 외부직원에 한 통제와 보안

책을 강구해야 한다.

점 검

주 시스 에 체 원격 고 가 B

시스 또는 보수에 절차가 는가 B

- 205 -

(4) 사용자 인증 계정 리

(가) 사용자 인증

보안 책 : 한 사용자 인증 책을 강구해야 한다.

점 검

정보시스 에 전 연결 보 사 절차가

는가A

비스 제공시 사 전 커니

사 고 는가B

전 체계 사 고 는가 C

비스 제공 는가 C

든 티 저 정보시스 과 비스에 접근 승

정 사 절차가 는가A

(나) 사용자 계정 리

보안 책 : 사용자 계정 리에 한 차가 있어야 한다.

점 검

사 계정 에 절차가 규정 는가 A

정보 산에 사 계정 여 본 는 절차가 는가 B

든 사 는 당 정보시스 접근시 고 계정 고 는가 A

사 계정 에 주 적 점검 갱신 수 고 는가 B

적 상 또는 시적 계정 정보 신보 담당 또는 보

책 승 에 사 는가C

- 206 -

(다) 패스워드 사용

보안 책 : 패스워드의 선택과 사용에 한 올바른 보안요구

사항을 용하고, 사용자 교육을 실시해야 한다.

점 검

비 택과 사 에 보 사 (비 비 ,

최 6 상 조 비 택, 정 적 경, 개 비 공

등) 적 고 는가

A

비 등 보 커니 여 보 는가 A

비 는 사전에 존 는 단 나 연상, 추 단 사

는 는가B

(라) 시스템 근 차

보안 책 : 정보시스템에 한 안 한 근을 통제하기 한

차가 있어야 한다.

점 검

그 스니 등 민감 정보 누출 고 는가 C

그 시 는 , 시 간격 등 최 시간과 최 시간

제 여 비스 거 공격, 무 그 시 등 전 게

고 는가

C

정상적 그 정 간동 무 생 동

그 는 능 수 는가B

그 실 수(3 ) 제 고 는가 B

그 On․Off에 든 고 는가 B

- 207 -

(5) 응용 로그램 근통제

(가) 응용 로그램 근통제

보안 책 : 요한 응용 로그램에 하여 보안 책을 강구해야

한다.

점 검

그램 에 제 에 비스 는가 A

그램 다 사 경에 경 에 ․쓰 ․실

등 적절 게 여 여 는가C

원격접 에 시스 에 접근 수 는 시간 제 고 는가 C

사. 운 리

(1) 운 상의 변경통제

(가) 운 상의 변경통제

보안 책 : 정보시스템 운 변경에 해 통제 하여야 한다.

점 검

절차 문 고 는가 A

정보시스 에 경 제 고 는가 B

(2) 서비스 리

(가) 필요서비스 리

보안 책 : 보안 험을 감소시키기 해 불필요한 서비스를

제거하고 보안패치를 주기 으로 수행해야 한다.

점 검

정보시스 비스(포 )가 정 는가 A

비스 제거 주 적 검 는가 A

사 는 비스, 시스 에 보 적 수 고 는가 A

- 208 -

(나) 자우편 보안

보안 책 : 자우편 운 차를 수립하고 보안 책을 마련해야

한다.

점 검

전 사 생 수 는 보 험(정보 출, 조 등)

감 시키 책 존 는가A

스 , 싱 비 여 , 웜, 러스 등 포

에 보 책 존 는가A

(다) 서비스 보안

보안 책 : 외부로 서비스되는 정보를 보호해야 한다.

점 검

비스 는 정보 무결 보 는 존 는가 C

정보시스 에 등 주민등 같 개 정보 보 보

책 존 는가C

(3) 정보보호시스템 보안

(가) 정보보호시스템 설치 구성

보안 책 : 정보보안 요구사항을 충족하도록 침입차단시스템 등

정보보호시스템을 설치해야 한다.

점 검

정보보 시스 가 정보보 사 만족 는 가,

승 제 정 는가A

망 연결시 차단시스 등 정보보 시스 는가 A

정보보 시스 가 보 는가 B

정보보 시스 정보보 사 충족 는가 A

- 209 -

(나) 정보보호시스템 활용 보호

보안 책 : 보안취약 에 응할 수 있도록 정보보호시스템을

리하고 동시스템에 한 보안 책을 강구해야

한다.

점 검

정보보 시스 에 원격 에 보 책 는가 A

정보보 시스 최신 취 점에 여 수 주 적

그 드 고 시험 는가A

정보보 시스 비스만 제공 고 적 다 사

는가A

(4) 악성코드 리

(가) 악성코드 탐지․제거 리

보안 책 : 악성코드로부터 보호하기 한 탐지, 방지수단을

도입하여 정기 인 검사를 수행해야 한다.

점 검

에 는 드( 러스, 웜, 등) , 탐 ,

보 책 수 는가A

정보시스 에 신 그램 고 는가 A

신 그램 정 적 고 는가 A

신 그램, 보 단 등 여 주 적 드 검사

수 는가A

- 210 -

(5) PC보안 리

(가) PC보안 리

보안 책 : PC보안 지침을 작성하고 각 직원별 PC를 보호해야 한다.

점 검

PC보 에 내 규정 는가 A

공 폴 에 제내 시 는가 A

비 가 PC접근 차단 보 책( 보 , 제, 비

정 등) 사 고 는가A

PC 료 보 PC보 웨 ( 신, PC , 등)

고 는가A

그 보 취 점에 최신 적 수 는가 A

노 컴퓨 등 동 가능 비에 보 책 강 고 는가 B

비 등 료 처 는 단말 가 넷 상 망에 는가 B

(6) 로그 모니터링

(가) 로그 리

보안 책 : 운 기록 시스템 오류를 기록하고 운 차에

따라 보고하여야 한다.

점 검

정보시스 에 ( 그) 보 규정 고 는가 A

정보시스 에 상 여 보고 규정

는가A

정보시스 접 시 에 그 정보 는가 B

그 공 시, 전 그 에 날짜, 시간정보가 제공 , 실

그 등에 정보가 제공 는가B

스에 든 개정 그에 는가 B

주 적 그 점검 고 보고 는가 B

네 워크 비 정보보 시스 그정보 보 ․ 고, 정 적

검 고 는가B

- 211 -

(나) 시스템 사용 감시

보안 책 : 정보시스템의 사용을 감시하는 차를 수립하고

감시활동의 결과를 정기 으로 검토해야 한다.

점 검

사고시 그정보는 사고조사 계 , 규정, 에

거 보존 는가B

정보시스 사 감시 고 그 결과 정 적 검 는가 A

감 복 상 감시 는가 A

(다) 시스템 감사기록 보안

보안 책 : 운 시스템에서 생성․기록된 로그, 모니터링 등

감사기록에 한 보안 책이 수립되어야 한다.

점 검

감사 검 에 책 과 역 담 규정 는가 A

감사 비 가 열람, 경, 삭제 등에 비 여 보 책 규정

는가B

감사 적 여 적절 감사 계, 감사

틸 티 사 고 는가C

(7) 백업

(가) 백업 리

보안 책 : 안 한 백업시설을 확보하고 백업계획을 수립하여

정기 으로 백업을 수행해야 한다.

점 검

과 들 식 고 계 규정 는가 A

수적 웨 에 정 적 루 고

시험 는가A

에 보 책 수 는가 B

시 전산실과 물 적 전 에 여 물 적

러, 난․ 에 비 고 는가B

- 212 -

아. 시스템 개발 유지보수

(1) 시스템 개발 정보보안 요구사항

(가) 정보보안 요구사항 분석

보안 책 : 시스템 개발 변경시 설계와 요구사항 정의단계

에서 정보보안 요구사항에 한 분석이 수행되어야

한다.

점 검

시스 개 개 시 정보보 사 에 수 고

보 검 가 루 고 는가A

새 , 취 견 거나 새 정보 술 시스 에 적

정보보 사 검 는가C

각 에 정보시스 축시 정보보 책과 여 계 단계

정보보 는가B

(나) 시스템 시험 평가

보안 책 : 정보보안 요구사항을 충족하는지 시험평가를 수행

하여야 한다.

점 검

시스 시험절차에 정보보 사 에 가 시험 수

는가A

웨 전에 적 드 등 탐

시험 가 수 는가B

, 크 스 사 스크 등 보 취 점에 비 여

그램에 검 는가B

그램 출 적 검 는가 B

- 213 -

(다) 개발환경 보호

보안 책 : 개발 인 시스템 소스코드에 한 근을 통제

하고 운 환경과 분리해야 한다.

점 검

웨 능시험시 시험 시스 에 보 책

강 는가B

개 스 그램에 접근 제 는가 B

웨 경과 개 경 는가 B

웨 수정, 신규개 시 포 실 문 고 검 는가 B

(2) 운 소 트웨어 보안

(가) 운 소 트웨어의 통제

보안 책 : 운 시스템상에서 소 트웨어 구 을 통제하기

한 차를 갖춰야 한다.

점 검

시스 상에 웨 제 고 시스 상 험

최 는가A

(나) 변경통제 차

보안 책 : 정보시스템 변경은 공식 인 통제 차에 의해 엄격히

통제해야 한다.

점 검

정보시스 상 최 여 경 시 에 여 격

제 실시 는 공식적 경 제 절차가 는가A

웨 키 경 경 , 경 제 는 절차가

는가B

웨 키 경 수적 경 , 원본 웨 보

고, 복사본에 경사 적 고 는가B

- 214 -

(다) 기술 검토

보안 책 : 변경이 발생되는 경우 응용 로그램을 검토하고

시험해야 한다.

점 검

시스 술적 경시 나 보 상 검

절차 적 고 는가B

(3) 외주 리

(가) 외주 리 보안

보안 책 : 외주용역에 의한 정보시스템 개발, 운 시 방간이

합의한 계약서에 의해 엄격한 보안 책이 용

되어야 한다.

점 검

주 역에 정보시스 개 거나 시에는 보 사 에

간에 문 가 는가A

시고 , 컨 , 계 등 주 체 원 정보시스 에

접근 험 식 여 격 보 제가 루 는가A

전 주 웨 개 제절차 수 과 적 수 는가 B

- 215 -

자. 보안시스템

(1) 암호사용

(가) 암호사용지침

보안 책 : 정보자료의 보안을 하여 암호장비를 사용하고자 할

경우에는 암호통제에 한 내용이 규정화되어야

한다.

점 검

정보보 사 에 내 규정 는가 A

비 에 보 책 규정 는가 A

비 등 료 보 시스 사 고 경 정원

개 제 거나 승 제 사 고 는가A

보 시스 무단복제 타 나 개 여 격히

고 는가A

(나) 암호취 인가

보안 책 : 암호체계를 연구개발하거나 보안시스템을 취

하고자 하는 자는 암호취 을 인가받아야 하며,

련업무를 수행하지 않을 경우 즉시 암호취

인가를 해제해야 한다.

점 검

체계 연 개 보 시스 취 는 취 가 는가 A

취 가 가 타 전출, 휴 등 체계

무 수 는 경 에 시 취 가 제 는가A

- 216 -

(다) 암호실 사용

보안 책 : 암호실을 설치하고자 하는 경우 출입을 통제하고

경비조치를 취하며, 폐쇄할 경우 암호장비 암호

자재를 반납해야한다.

점 검

여 실 경 보 책 강 는가 A

실 폐 경 책 에 고 비

체 에 납 는가A

실 가 만 출 수 제 는가 A

(2) 암호장비

(가) 암호장비 사용

보안 책 : 비 등 요 정보자료의 안 한 송을 해 인가된

암호장비를 사용해야 한다.

점 검

비 료 전 비 또는 사 고

는가A

비 사 시, 가 비 사 고 는가 A

(나) 암호장비 리자 지정 변경

보안 책 : 암호장비의 보안 리를 해 리자를 지정하고,

리자 교체시 인수인계가 히 이루어져야 한다.

점 검

비 보 , 정, 가 정 고 는가 A

체시 비 수 계 실시 고, 수 계 사

고 는가A

- 217 -

(다) 암호장비 운용 리

보안 책 : 암호장비의 운용을 해 필요한 보안 책을 수립

하고, 주기 인 검을 수행해야 한다.

점 검

비 동 여 주 적 점검 절차 수 고, 절차에

라 주 적 점검 는가A

비 키 저 , 사 , 경, 절차가 는가 A

비 고 시 정비 정비절차 수 , 시 고 는가 A

(3) 암호자재

(가) 암호자재 등록 리

보안 책 : 암호자재에 한 보안 책을 하여 모든 자재를

등록하고 주기 인 검을 수행해야 한다.

점 검

는 실내 고 또는 비 비냇에 보 고 는가 A

제 미래 , 과거 는 여 보 고 는가 A

에 주1 주 적 상 무 점검 실시 는가 A

(나) 암호자재 취 기

보안 책 : 암호자재 배부 회수, 인수인계, 기를 한 보안

책을 수립해야 한다.

점 검

수 시 감등 가 무 수 는가 A

수 계 실시 고, 수 계 사 , 고

는가A

비상시 에 계 문 고 각 에 전달

시 고 는가A

복사, 복제 여 사 는가 A

- 218 -

(4) 암호 논리

(가) 암호논리 사용

보안 책 : 암호논리 설치 운용 리를 한 보안 책을

수립해야 한다.

점 검

논 키 전 게 주 적 키 경 는가 A

논 는 는 취 가 는가 A

논 가 내 정보 신시스 는 보 역 정 고

비에 여 거나 에 상 보 책 강 는가A

붙 임

- 221 -

1. 경보발 (과학 부 → 과학 보보 → 실 )

경 보 발

제 ○○○○○○ ‘ 심’ 경보

0000년 00월 00 00시 00

개

○

책

○ 실무 책

1.

2.

3.

○ 개 사

1.

2.

3.

정보○

○

※ 제 과 경고 수 에 라 당 경보수 색

심 - 주 - 경계 - 심각

- 222 -

2. 상황통보 (실 → 과학 보보 → 과학 부)

상 황 통 보

사

전 편

연 락 처 전 : H.P: Fax:

조 사

경보 심

0000년 00월 00

신 0000년 00월 00

00시 00 00시 00

조 사o 내 사 에게 책 , 포

o 전 편 Filter 적

o 내 감염 ( 감염PC IP)

조 상

조 결과

특 사

※ 이 양식은 과학기술정보보호센터 홈페이지(www.sntsec.or.kr)에서 내려 받을 수 있습니다.

※ Fax 042-869-0809 는 [email protected]로 0000년 00월 00일 00시 00분까지 통보 바랍니다.

※ 제 과 경고 수 에 라 당 경보수 색

심 - 주 - 경계 - 심각

- 223 -

3. 사고신고 식(실 →과학 보보 →과학 부)

사 고 신 고

본 정 보

00연 원 정보전산과

동 과

전 편 [email protected]

연 락 처 전 : 042-555-2837 H.P:010-310-9876 Fax: 042-555-2830

사 고 내

사고 시 2006년 8월 17

IP주 146.52.34.21 09시 15

시 사,

* ‘가.시 ’ 체제

■ □ 닉 □ 네트워크 비

상 젼정보: Windows XP/2003

사고 D

* ‘나.사고 ’

146

* 시 여러 경

사고 내 본연 원 페 게시판에 비 게시

조 내

공격 정보 공격 ID : jgsew, 접 IP : 43.12.56.77

정 비난 는 내

조

실시사게시 ID 삭제 게시물 삭제

보 제 웹

그 에 사고 내 체적

- 224 -

가. 시스템 분류 목록

시

가 웹 페 웹 비 제공 는

나 전 편 전 편 신 는

다 DB/ 무 페 무 원

라 개 / 시 개 트 여 사 는 시

신전 비 라 , 등 신전 비 체

보 비 , IDS, VPN 신 등 정보보 제 체

사 개 / 무PC 내 사 PC

/ 시PC 또는 공 여러 사 는 PC

차 타 시 에 는 경 식

나. 사고 목록

사고

A 경

타 킹시 거나, 시

점검 킹 적 또는 킹툴 타

시 에 접 견 경

B 료훼 출내 시 료가 조가 거나, 량

가 무단 신 적 견 경

C 단 시 적 닝 공격 생 경

D 웜 러 내 PC에 웜 러 가 견 경

E 페 조 페 가 조 경

F페 접

가능

페 또는 네트워크 상

페 접 가능 경

G비 거 공격 특정 다 IP 접 시 또는 량 트

래 시에 경

H 타 사고 에 포 경 식

- 225 -

4. 사고조치 식(실 →과학 보보 →과학 부)

사 고 조 치

본 정 보

전 편

연 락 처전 : H.P: Fax:

사 고 내

사고 시 년 월

IP주 시

시 * 사고신고시 동 게 체제

□ □ 닉 □네트워크 비

상 전정보:

사고 * 사고신고시 동 게 OO

* 시 여러 경

사고 내

조 내

사고원 * 체 , 동조사팀 사고조사에 내

* 사고 조 전

사고 조 사

* 체 , 복 원팀 복 조 에 내

복 결과 * 사고 조

* 사 사고원 ․ ․ 조 내역 ․ 개 책 등 망라 여 ‘사고처 결과보고 ’

※ 식 과 술정보보 (www.sntsec.or.kr)에 내 수

습니다.

※ Fax 042-869-0809 또는 [email protected] 사고 신고 시 랍니다.

- 226 -

5. 반 상연락망(과학 부)

과학 부 응반 비상연락망갱신일 : 07.04.16

원 상 담당 연락처

정보보 담당 010-000-1234

술

전문가

라 스

취 점 네 워크 ○ ○ 010-000-1234

DB 그램 취 점 스 ○ ○ 010-000-1234

그룹웨 그램

취 점 그룹웨 ○ ○ 010-000-1234

점검

시스 ○ ○ 010-000-1234

웹

사고빈 ○ ○ 010-000-1234

정IP 공격시

탐 .

정보보 그램

취 점 등

보 시스 ○ ○

○ ○

010-000-1234

010-000-1234

주

시스

스

주 시스

시스

○ ○

○ ○

○ ○

010-000-1234

010-000-1234

010-000-1234

그 각 시스 ○ ○ 010-000-1234

원과 술정보보

○ ○

○ ○

○ ○

○ ○

○ ○

010-000-1234

010-000-1234

010-000-1234

010-000-1234

010-000-1234

※ 술전문가는 사 에 라 택

- 227 -

구분 기 명 담당부서 담당자연락처

화번호 FAX 휴 폰번호 자메일

과기부

직할

(10)

과 정보 담당과 심원무 02-2110-3601 02-2110-3609 011-9284-3070 [email protected]

과 원 정보 신팀노 042-869-2419 042-869-2450 010-9678-9878 [email protected]

탁 042-869-5688 042-869-2450 011-437-9648 [email protected]

( )고등과 원 원팀02-958-3824 02-958-3790 010-3156-8218 [email protected]

최병 02-958-3771 02-958-3790 016-298-5728 [email protected]

주과 원 전산팀규 062-970-2071 062-970-2079 010-9451-9071 [email protected]

062-970-2076 062-970-2079 011-9614-1729 [email protected]

경 과 원 사 실규 053-430-8640 053-430-8669 019-237-2017 [email protected]

종 053-430-8663 053-430-8669 019-891-5650 [email protected]

과 단 정보 팀여무 042-869-6700 042-869-6777 010-6376-7163 [email protected]

채 042-869-6709 042-869-6777 011-407-6290 [email protected]

과 평가원 정보 팀주 02-589-2957 02-589-2191 011-9885-8090 [email protected]

상태 02-589-2876 02-589-2191 016-9626-4370 [email protected]

원 원 전산정보팀민 02-970-2027 02-974-4351 011-306-7069 [email protected]

정 02-970-2070 02-974-4351 016-795-9602 [email protected]

원 전 원 식정보실정 042-868-0245 042-868-0069 011-787-5884 [email protected]

식 042-868-0522 042-868-0069 016-451-0522 [email protected]

과 연 원 처정 042-865-3975 042-864-5554 018-451-7271 [email protected]


원 제 원 정보 실 신 042-866-6691 042-861-8819 019-274-7243 [email protected]

기

기술

연구회

(7)

초 연

과 연 원 정보 신담당강 02-958-6284 02-958-6299 011-9704-3612 [email protected]

최 02-958-6283 02-958-6299 011-721-1374 [email protected]

초과 원연 원 전산 팀민 042-865-3570 042-865-3542 017-427-4313 [email protected]

차종 042-865-3577 042-865-3542 010-2423-0085 [email protected]

( ) 연 식정보 팀고

042-710-1826042-870-1590

042-870-1599 016-595-3216 [email protected]

042-870-1591 042-870-1599 010-3033-8005 [email protected]

( ) 가 과 연 연 원실병 042-864-5702 042-864-5706 011-9562-5547 [email protected]

042-864-5705 042-864-5706 010-3455-5205 [email protected]

생 공 연 원 전산정보과정 042-860-4570 042-860-4575 019-472-4572 [email protected]

겸 042-860-4573 042-860-4575 016-9292-5865 [email protected]

천문연 원 전산정보팀신 식 042-865-3208 042-861-5610 016-407-7007 [email protected]

남 042-865-3210 042-861-5610 011-829-2024 [email protected]

연 원정보 사

단

미 042-868-9454 042-861-9421 018-217-2615 [email protected]

042-868-9548 042-861-9421 011-439-8820 [email protected]

산업

기술

연구회

(8)

산 연

전 신연 원 정보 팀병 042-860-0740 042-861-1033 010-9557-1754 [email protected]


( ) 가보 연 총무팀강 042-860-5472 042-860-5656 016-443-8715 [email protected]

042-860-1412 042-860-5656 010-9437-3946 [email protected]

연 원 정보전산실종 042-860-7780 042-860-7699 011-429-7050 [email protected]

근 042-860-7783 042-860-7699 011-9405-5739 [email protected]

6. 실 상연락망

과학 보보 상 비상연락망갱신일 : 07.07.10

- 228 -

( ) 전 평가연 전산 계팀나 열 042-610-8161 042-610-8171 [email protected]

042-610-8165 042-610-8171 010-9977-0122 [email protected]

생산 연 원 식정보팀 041-589-8093 041-589-8099 016-9848-1138 [email protected]

전 연 원 식정보과055-280-1104 055-280-1179 011-818-4150 [email protected]

055-280-1178 055-280-1179 018-792-5267 [email protected]

계연 원 식정보팀규 042-868-7648 042-868-7646 011-9060-7638 [email protected]

신동 042-868-7638 042-868-7646 011-9811-7638 [email protected]

식 연 원 식정보팀태규 031-780-9252 031-780-9255 010-9133-0391 [email protected]


공공

기술

연구회

(10)

공공 연

과 정보연 원 연 망사 팀042-869-0517 042-869-0509 010-3481-4574 [email protected]

곤 042-869-0513 042-869-0509 010-3078-0519 [email protected]

과 연 원 식정보팀상태 042-868-5422 042-868-5423 016-462-0624 [email protected]

민복 042-868-5427 042-868-5423 010-2845-9507 [email protected]

공 주연 원 정보 원팀식 042-860-2161 042-860-2169 016-403-5375 [email protected]

042-860-2153 042-860-2169 019-680-8131 [email protected]

철 연 원 정보 팀

문 031-460-5142 031-460-5139 010-2016-0678 [email protected]

규 031-460-5144 031-460-5139 011-9942-1189 [email protected]

강 주 031-460-5144 031-460-5139 010-2413-5599 [email protected]

건 연 원 정보전산실균 031-910-0040 031-910-0085 011-9997-9148 [email protected]


에너 연 원 전산 과상규 042-860-3733 042-860-3374 011-773-6180 [email protected]

042-860-3722 042-860-3374 011-536-2241 [email protected]

원연 원 식정보과

창 042-868-3491 042-861-3280 016-400-1710 [email protected]

전상 042-868-3492 042-861-3280 011-452-0624 [email protected]

민 042-868-3495 042-861-3280 011-408-8843 [email protected]

연 원 경 정보팀 철 031-400-6056 031-406-1647 011-9965-9812 [email protected]

( ) 극 연 신 팀동민 032-260-6040 032-260-6039 011-9737-1611 [email protected]

민철 032-260-6014 032-260-6039 011-435-0700 [email protected]

원 연 원 정보 신팀초 042-868-2095 042-861-9315 010-6488-2095 [email protected]

042-868-8796 042-861-9315 010-7676-9552 [email protected]

산하

기

단체

(3)

산 단체

과 문 단 경 원실02-559-3866 02-555-0702 011-9088-5546 [email protected]

만 02-559-3829 02-555-0702 019-337-2985 [email protected]

과 단체총연 정책조사팀식 02-3420-1221 02-553-2170 011-9094-8121 [email protected]

02-3420-1223 02-553-2170 017-311-2617 [email protected]

산 전산정보팀02-3460-9161 02-3460-9116,7

02-3460-9169

017-396-8133 [email protected]

02-3460-9162 017-306-7215 [email protected]

- 229 -

담당 담당연락처

전 FAX 폰 전

산

연

(8)

산 연

전 신연 원 정보 팀병 042-860-0740 042-861-1033 010-9557-1754 [email protected]


( ) 가보 연 총무팀강 042-860-5472 042-860-5656 016-443-8715 [email protected]

042-860-1412 042-860-5656 010-9437-3946 [email protected]

연 원 정보전산실종 042-860-7780 042-860-7699 011-429-7050 [email protected]

근 042-860-7783 042-860-7699 011-9405-5739 [email protected]

( ) 전 평가연 전산 계팀정 042-610-8160 042-610-8171 016-426-5509 [email protected]

042-610-8165 042-610-8171 010-9977-0122 [email protected]

생산 연 원 식정보팀 041-589-8093 041-589-8099 016-9848-1138 [email protected]

전 연 원 식정보과055-280-1104 055-280-1179 011-818-4150 [email protected]

055-280-1178 055-280-1179 018-792-5267 [email protected]

계연 원 식정보팀규 042-868-7648 042-868-7646 011-9060-7638 [email protected]

신동 042-868-7638 042-868-7646 011-9811-7638 [email protected]

식 연 원 식정보팀태규 031-780-9252 031-780-9255 010-9133-0391 [email protected]


공공

연

(9)

공공 연

과 정보연 원 연 망사 팀042-869-0517 042-869-0509 010-3481-4574 [email protected]

곤 042-869-0513 042-869-0509 010-3078-0519 [email protected]

과 연 원 식정보팀상태 042-868-5422 042-868-5423 016-462-0624 [email protected]

민복 042-868-5427 042-868-5423 010-2845-9507 [email protected]

공 주연 원 정보 원팀식 042-860-2161 042-860-2169 016-403-5375 [email protected]

042-860-2153 042-860-2169 019-680-8131 [email protected]

철 연 원 정보 팀

문 031-460-5142 031-460-5139 010-2016-0678 [email protected]

규 031-460-5144 031-460-5139 011-9942-1189 [email protected]

강 주 031-460-5144 031-460-5139 010-2413-5599 [email protected]

건 연 원 정보전산실균 031-910-0040 031-910-0085 011-9997-9148 [email protected]


에너 연 원 전산 과상규 042-860-3733 042-860-3374 011-773-6180 [email protected]

042-860-3722 042-860-3374 011-536-2241 [email protected]

원연 원 식정보과

창 042-868-3491 042-861-3280 016-400-1710 [email protected]

전상 042-868-3492 042-861-3280 011-452-0624 [email protected]

민 042-868-3495 042-861-3280 011-408-8843 [email protected]

연 원 경 정보팀 철 031-400-6056 031-406-1647 011-9965-9812 [email protected]

( ) 극 연 신 팀동민 032-260-6040 032-260-6039 011-9737-1611 [email protected]

민철 032-260-6014 032-260-6039 011-435-0700 [email protected]

산

단체

(3)

산 단체

과 문 단 경 원실02-559-3866 02-555-0702 011-9088-5546 [email protected]

만 02-559-3829 02-555-0702 019-337-2985 [email protected]

과 단체총연 정책조사팀식 02-3420-1221 02-553-2170 011-9094-8121 [email protected]

02-3420-1223 02-553-2170 017-311-2617 [email protected]

산 전산정보팀02-3460-9161 02-3460-9116,7

02-3460-9169

017-396-8133 [email protected]

02-3460-9162 017-306-7215 [email protected]

- 230 -

7. 자체 반 상연락망(실 )

실 자체 응반 비상연락망갱신일 : 07.04.16

원 상 담당 연락처

정보전산실 ○ ○ 010-000-1234

술

전문가

라 스

취 점 네 워크 ○ ○ 010-000-1234

DB 그램 취 점 스 ○ ○ 010-000-1234

그룹웨 그램

취 점 그룹웨 ○ ○ 010-000-1234

점검

시스 ○ ○ 010-000-1234

웹

사고빈 ○ ○ 010-000-1234

정IP 공격시

탐 .

정보보 그램

취 점 등

보 시스 ○ ○

○ ○

010-000-1234

010-000-1234

주

시스

스

주 시스

시스

○ ○

○ ○

○ ○

010-000-1234

010-000-1234

010-000-1234

그 각 시스 ○ ○ 010-000-1234

계

연락처

과 술

○ ○

○ ○

○ ○

010-000-1234

010-000-1234

010-000-1234

과 술정보보

○ ○

○ ○

○ ○

010-000-1234

010-000-1234

010-000-1234

※ 술전문가는 사 에 라 택

- 231 -

8. 사이버안 상연락망

사이버안 비상연락망갱신일 : 07.04.16

연락처

공공

과 술

과 술정보보042-869-0808 www.sntsec.re.kr

상 02-3703-2114 www.mofat.go.kr

무 02-503-7023 www.moj.go.kr

정 전 정 본 02-3703-3287 www.mogaha.go.kr

전산원 탁 02-2131-0758 www.nca.or.kr

가보 술연 042-864-5030 www.nsri.re.kr

CERT

( 신사 CERT상 )02-748-0896 -

무사 정보전 02-731-0118 www.dsc.mil.kr

수사검찰청 넷 죄수사 02-3480-3600 www.spo.go.kr

경찰청 사 러 02-3939-112 www.ctrc.go.kr

민간

ISAC02-767-7285(주)

02-767-7381( )www.koscomisac.co.kr

ISAC 02-531-1623 www.kftc.or.kr

신 ISAC 02-405-5651 www.tisac.or.kr

넷 사고 원 02-405-5114 www.krcert.or.kr

철수연 (A-SEC) 02-2186-7930 www.ahnlab.co.kr

02-828-0850 www.hauri.co.kr

- 232 -

9. 보시스템 업체 연락처

보시스템 업체 연락처갱신일 : 07.04.16

체 담당 연락처 비고

정보보 시스

정보보 술 ○ ○010-000-1234

02-222-3456

타 ○ ○010-000-1234

02-222-3456

네 워크 비

시스 ○ ○010-000-1234

02-222-3456

정보 신 ○ ○010-000-1234

02-222-3456

타 ○ ○010-000-1234

02-222-3456

신 체

철수 ○ ○010-000-1234

02-222-3456

○ ○010-000-1234

02-222-3456

타 ○ ○010-000-1234

02-222-3456

시스

웨

크 ○ ○010-000-1234

02-222-3456

○ ○010-000-1234

02-222-3456

타 ○ ○010-000-1234

02-222-3456

사

KT ○ ○010-000-1234

02-222-3456

나 ○ ○010-000-1234

02-222-3456

타 ○ ○010-000-1234

02-222-3456

- 233 -

10. 해 종합 목록표

과학 분야 해 종합 목록표갱신일 : 07.04.16

정보 신망 원 태순 처 결과

출동 원격복 ․원격

○○연 B ○ 료

※ 정보 신망 는 가사 전매뉴 보 수 가 참조(p74)

※ 순 는 상- -

- 234 -

11. 해 황표 Ⅰ(사고건 )

과학 분야 해 황표Ⅰ갱신일 : 07.04.16

사고건수 출

○○○연 본원

원( )

총 계

- 235 -

12. 해 황표 Ⅱ ( 해트래 , 악 이벤트 탐지 황)

과학 분야 해 황표 Ⅱ갱신일 : 07.04.16

전체 래정Port

래

량비고

○○○연

※ 시간 24시간 전 비 량 정(상 에 라 조정)

※ 문 보 제 수 는 적 추가

- 236 -

13. 해 황표 Ⅲ (특 IP 흔 및 백신탐지 록)

과학 분야 해 황표 Ⅲ갱신일 : 07.04.16

공격IP정

Port

신

탐 수신여

○○○연 본원

원( )

총 계

※ 단 상 시

- 238 -

Ⅰ. 일반사항

1. 개요

o 실무기 의 사이버안 분야 기 응 실무 매뉴얼 작성 개요에

맞추어 간략히 작성

2. 용범

o 사이버안 분야 기 응 실무 매뉴얼의 용범 를 기술

3. 용어정의

Ⅱ. 기 리 활동

1. 방

o 실무기 은 평시 사이버 에 한 자체 기 리 방활동을

체계 으로 구축하기 해 아래와 같은 사항에 한 세부

활동내역을 실무기 의 실정에 맞게 작성하고 이행

(1) 실무기 의 실정에 맞는 사이버 안 책 수립․시행

(2) 기징후 실시간 감시 방안

(3) 연구기반시설 정보통신기반시설에 한 안정성 확인 방안

(4) 과학기술정보보호센터와 정보공유체제 구축

실무기관 사이버안전분야 위기대응

실무매뉴얼 작성 요령

- 239 -

2. 비

o 실무기 은 사이버 에 한 비체제를 구축하기 해 아래와

같은 사항에 한 세부 활동내역 기경보 수 별

리자․실무자의 책임/역할을 실무기 의 실정에 맞게 작성하고

이행

(1) 기경보 발령시 방안

(2) 기 응 능력 강화 방안

(3) 사이버안 에 한 교육 인식 제고 방안

(4) 사이버안 분야 기 리 훈련/연습 방안


3. 응

o 실무기 은 사이버 공격에 의한 사고 발생이나, 피해발생시 즉각

응하기 한 체제를 구축하기 해 아래와 같은 사항에 한

세부 활동내역을 실무기 의 실정에 맞게 작성하고 이행

(1)「자체 응반」에 의한 신속한 응 조치 방안 과학기술

정보보호센터 과학기술부 등 비상연락체계 구축

※ 과 술 사 실무 매뉴 1.「사고조사

복 」참조

4. 복구

o 실무기 은 사이버 공격으로 인해 사고 발생이나 피해발생시

피해의 규모를 단하여 자체복구 방안을 마련하고 과학기술부

과학기술정보보호센터와 긴 한 조를 통해 복구 체제를 구축

하기 해 아래와 같은 사항에 한 세부 활동내역을 실무기 의

실정에 맞게 작성하고 이행

- 240 -

(1) 복구 차에 따른 피해복구 수행 방안

(2) 사고재발 방지를 한 보안 책 수립 시스템 개선 방안

※ 과 술 사 실무 매뉴 1.「사고조사

복 」참조

Ⅲ. 기 리 수행업무 체계

1. 기 응 체계

o 실무기 은 기경보에 따른 기 내 정보보호 리자, 시스템

네트워크 리자 등을 심으로 기 응 체계를 구축

2. 기 응 기구(자체 응반)

o 실무기 은 기경보에 따른 기 내 정보보호 리자, 시스템

네트워크 리자 등으로 편성된 자체 응반을 구성하고 각각의

세부 역할을 기술

Ⅳ. 기경보 수 별 응요령

1. 방활동

(1) 실무기 은 자체 안 책을 수립하여 시행

※ 가사 전매뉴 1.「 시 전점검 체크 스 」

실정에 맞게 ․시

(2) 정보통신망에 한 안 책에 따른 정기 검 실시 계획 수립

- 241 -

(3) 정보 시 응책 마련 사이버 인지 는 발생시

신고 동조치 방안 마련

(4) 정보통신망에 한 보안성 검토 보안측정 방안마련

※ 보 검 보 정 「 가정보보 본 」참조

(5) 사이버안 에 한 교육․홍보 훈련 등 계획수립

(6) 기본 검 활동 수립(정기 검, 동향 악 등)

2. 심

o 심 경보에 한 실무기 의 응요령 수립

※ 과 술 「사 실무 매뉴 」「 가사

전매뉴 」 참조

3. 주의

o 주의 경보에 한 실무기 의 응요령 수립



4. 경계

o 경계 경보에 한 실무기 의 응요령 수립



5. 심각

o 심각 경보에 한 실무기 의 응요령 수립



- 242 -

실무 사 실무 매뉴 실무

사 전 책 수 는 것 사 전 책 수 ․시

경 에는 과 술 에 1 보 여 다.

과 술 사 전 실무 매뉴 (http://www.sntnet.or.kr)

탕 실무 실정에 맞게 수 여 다.

가사 전매뉴 (http://www.ncsc.go.kr) 또는 사 전

매뉴 등 참조.

위기대응 실무매뉴얼 - 김건웅 교수...

Documents