인시던트 대응이란 무엇입니까? 6개 주요 단계 이해

주요 시사점

• 인시던트 대응은 비즈니스 운영을 방해하는 예기치 않은 이벤트를 탐지하고 관리하며 해결하는 프로세스입니다.

• 인시던트 대응 수명 주기의 단계는 인시턴트 처리를 위한 반복 가능한 프레임워크를 제공합니다.

• 역할이 명확히 정해진 인시던트 대응 팀은 압박감이 높은 상황에서도 기술적 조사, 커뮤니케이션 및 규정 준수를 계획대로 진행합니다.

• SIEM, EDR, SOAR 및 XDR과 같은 도구는 통합되면 가장 효과적으로 작동하며, 응답 시간을 단축하고 오류를 최소화합니다.

• Jira Service Management는 알림, 워크플로 및 공동 작업을 연결하므로, 팀은 한곳에서 인시던트 대응을 조정할 수 있습니다.

모든 기업은 보안 침해, 시스템 중단, 규정 준수 위반과 같은 문제에 직면하게 됩니다. 빠르게 회복하는 회사와 무너지는 회사를 가르는 차이는 얼마나 대응할 준비가 되어 있는지에 달려 있습니다.

인시던트 대응은 문제가 확대되기 전에 팀이 탐지하고 관리하며 해결할 수 있는 체계적인 방법을 제공합니다. 공식적인 프로세스가 없으면 사소한 문제라도 가동 중지 시간, 데이터 손실 또는 평판 손상으로 확산될 수 있습니다.

이 문서에서는 6개의 수명 주기 단계부터 팀이 자신 있게 대응할 수 있도록 돕는 역할 및 도구까지, 실제로 인시던트 대응이 이루어지는 방식을 살펴봅니다.

Service Collection을 통해 이용할 수 있는 Jira Service Management는 팀이 인시던트 대응 프로세스 전반에 걸쳐 알림을 관리하고 워크플로를 자동화하며 커뮤니케이션을 조정할 수 있는 중앙 집중식 공간을 제공합니다.

인시던트 대응이란 무엇입니까?

인시던트 대응은 비즈니스 운영을 위협하는 인시던트를 탐지하고 관리하며 해결하는 프로세스입니다. 예상치 못한 이벤트가 발생한 경우 팀에게 명확한 플레이북을 제공하여 신속하게 대응할 수 있도록 도와줍니다.

인시던트는 일상적인 문제와 다릅니다. 비밀번호 재설정이나 소프트웨어 업데이트 요청은 표준 IT 작업입니다. 인시던트는 시스템 중단, 데이터 유출 또는 네트워크 장애와 같이 서비스 중단을 유발하거나 서비스 품질을 떨어뜨리는 예기치 않은 이벤트입니다. 즉각적인 주의 및 조정이 필요합니다.

공식적인 인시던트 대응 계획이 없으면, 팀은 압박감이 높은 상황에서 누가 무엇을 해야 하는지 파악하느라 시간을 낭비하게 됩니다. 문서화된 프로세스는 모든 팀원이 자신의 역할을 파악하고 에스컬레이션 경로를 이해하며 신속하게 행동할 수 있도록 보장합니다. 강력한 인시던트 관리 관행은 고객 및 이해 관계자와의 신뢰도 구축합니다.

팀은 어떤 유형의 인시던트에 대응합니까?

인시던트 대응 팀은 다양한 중단에 대처합니다. 가장 일반적인 사례는 다음과 같습니다.

• 보안 인시던트: 시스템 또는 데이터를 침해하는 사이버 공격, 데이터 유출, 무단 액세스 또는 맬웨어 감염입니다.

• 운영 인시던트: 비즈니스 운영을 방해하는 시스템 중단, 하드웨어 장애 또는 네트워크 중단입니다.

• 규정 준수 인시던트: 잘못 처리된 데이터나 누락된 감사 컨트롤과 같은 규제 요구 사항 또는 내부 정책 위반입니다.

• 성능 인시던트: 느린 로드 시간이나 연결 끊김과 같은 애플리케이션 또는 서비스 성능 저하입니다.

• 인간 오류 인시던트: 의도하지 않은 중단을 초래하는 잘못된 구성, 실수로 인한 삭제 또는 절차상의 실수입니다.

인시던트 대응 수명 주기의 6개 단계는 무엇입니까?

인시던트 대응 수명 주기는 준비, 식별, 억제, 근절, 복구 및 배운 점이라는 6단계로 이루어집니다. 이러한 단계, 즉 인시던트 대응 단계는 회사가 사이버 보안 인시던트를 감지 및 대응하고 이로부터 복구하기 위한 체계적인 접근 방식을 제공합니다.

1단계: 준비

준비 단계는 팀이 인시던트 대응을 처리하는 데 필요한 정책, 절차 및 도구를 개발하는 단계입니다. 이 작업의 주요 부분은 인시던트 대응 계획을 수립하는 것입니다. 많은 회사에서 시작점으로 템플릿을 활용한 다음, 필요에 맞게 사용자 지정합니다.

기타 활동으로는 컴퓨터 인시던트 대응 팀 구성, 인시던트 커뮤니케이션 채널 및 에스컬레이션 절차 설정, 모니터링 및 탐지 도구 구현이 있습니다. 이 단계에서 인시던트 대응 모범 사례를 따르면 이후의 모든 과정을 위한 토대가 마련됩니다.

2단계: 식별

식별 단계에서 팀은 잠재적인 보안 인시던트를 탐지하고 인시던트 심각도 수준에 따라 분류합니다.

이 단계에는 시스템 및 네트워크의 이상 징후를 모니터링하고, 보안 로그 및 알림을 수집 및 분석하고, 사전 정의된 기준에 따라 인시던트를 분류하고 우선 순위를 지정하는 작업이 포함됩니다.

3단계: 억제

억제 단계에서는 인시던트의 확산 및 영향을 줄이는 데 초점을 맞춥니다.

여기에는 영향을 받는 시스템 및 네트워크를 격리하고 악의적인 트래픽 및 액세스 시도를 차단하는 것과 같은 단기적 및 장기적 억제 전략을 구현하는 작업이 포함됩니다. 추가적인 전략에는 보안 패치 및 업데이트를 적용하고, 추가 분석을 위한 증거를 수집 및 보존하는 것 등이 포함됩니다.

4단계: 근절

근절 단계에서는 인시던트의 근본 원인을 식별하여 환경에서 제거합니다.

여기에는 맬웨어 및 손상된 파일을 제거하고, 취약성 및 보안 격차를 해소하며, 비밀번호를 재설정하고, 침해된 자격 증명을 취소하고, 영향을 받은 시스템을 클린 백업으로 재구축하는 작업이 포함될 수 있습니다.

5단계: 복구

복구 단계에서는 시스템 및 운영을 정상 상태로 복원합니다.

핵심 활동에는 백업에서 데이터 및 구성을 복원하고, 복원된 시스템의 무결성을 테스트 및 검증하며, 재감염 징후 또는 남아 있는 이슈를 모니터링하고 이해 관계자에게 해결 방법을 전달하는 것이 포함됩니다.

6단계: 인시던트 발생 후 검토 및 개선

배운 점 단계는 인시던트 대응 프로세스의 지속적 개선을 보장합니다.

여기에는 인시던트 발생 후 검토 및 분석을 수행하고, 대응 프로세스의 강점 및 약점을 식별하며, 현재 인시던트에서 얻은 인사이트를 기반으로 인시던트 대응 계획 및 절차를 업데이트하고, 인시던트 대응 팀에 추가 교육 및 리소스를 제공하는 작업이 포함됩니다.

IT 서비스 관리(ITSM) 도구는 인시던트 대응 수명 주기의 6개 단계에서 인시던트 대응 워크플로를 간소화 및 자동화합니다. 회사는 이 도구를 통해 빠른 속도, 정확성 및 공동 작업을 바탕으로 인시던트에 대응할 수 있습니다.

인시던트 대응은 어디에서 처리합니까?

인시던트 대응에는 다양한 전문 지식을 갖춘 전담 팀이 필요합니다. 기술적 조사부터 이해 관계자 커뮤니케이션까지, 모든 측면에 대한 책임자가 필요합니다. 대부분의 팀에는 다음과 같은 인시던트 대응 역할과 책임이 포함됩니다.

• 인시던트 관제사 또는 대응 관리자는 전체 인시던트 대응 프로세스를 감독하고 팀의 작업을 조정합니다.

• DevOps 팀은 각자의 영역 내에서 인시던트를 조사 및 분석하여 근본 원인을 식별하고 수정 작업을 권장합니다.

• 운영 팀은 네트워크 인프라, 시스템 관리 및 애플리케이션 개발과 같은 영역에 대한 다양한 전문 지식을 제공하면서 관련 법률 및 규정을 준수하도록 보장합니다.

• IT 지원 팀은 네트워크 인프라, 시스템 관리 및 애플리케이션 개발에 대한 전문 지식을 활용하여 솔루션을 제공하고 운영이 원활하게 이루어지도록 보장하며 종종 여러 IT 지원 수준에 걸쳐 작업합니다.

• 법률 어드바이저는 인시던트 대응 프로세스가 법률 및 규제 요건을 준수하는지 확인하고 잠재적인 법적 영향에 대해 조언합니다.

인시던트 대응 도구 및 기술

인시던트 대응에는 탐지, 조사, 커뮤니케이션, 문서화 및 해결과 같은 많은 가변적인 요소가 포함됩니다. 모든 것을 수동으로 관리하려고 하면 팀 속도가 느려지고 오류가 발생할 여지가 생깁니다. 적절한 도구는 팀이 모든 단계에서 원활하게 조정하고 더 빠르게 행동할 수 있도록 돕습니다.

대부분의 인시던트 대응 도구 키드에는 다음과 같은 기능의 조합이 포함되어 있습니다.

• ASM(공격 표면 관리): 조직의 외부 노출 자산을 매핑하고 모니터링하여 공격자가 악용하기 전에 노출을 식별합니다.

• EDR(엔드포인트 탐지 및 대응): 노트북 및 서버와 같은 엔드포인트에서 의심스러운 활동을 모니터링하고 신속한 조사를 지원합니다.

• SIEM(보안 정보 및 이벤트 관리): 환경 전반의 로그 데이터를 분석하여 실시간으로 위협을 탐지합니다.

• SOAR(보안 오케스트레이션, 자동화 및 대응): 대응 작업을 자동화하고 여러 도구에 걸쳐 작업을 조정합니다.

• XDR(확장 탐지 및 대응): 엔드포인트, 네트워크 및 클라우드 환경 전반의 데이터를 통합하여 더 광범위한 위협 가시성을 제공합니다.

• 커뮤니케이션 및 문서화 플랫폼: 인시던트 발생 시 대응자가 정렬 상태를 유지하도록 지원하고 인시던트 발생 후 검토를 위해 수행한 작업을 문서화합니다.

이러한 도구는 연결될 때 가장 효과적입니다. 사일로화된 시스템은 팀이 대시보드 사이를 오가고 수동으로 정보를 전송하며 사후에 타임라인을 맞추게 합니다. 통합된 도구는 알림, 로그 및 워크플로를 단일 보기로 가져오므로, 대응자는 컨텍스트 전환 없이 상황을 파악하고 실행할 수 있습니다. 이를 통해 응답 시간이 단축되고 실수로 이어지는 커뮤니케이션 오류가 줄어듭니다.

Jira Service Management와 같은 ITSM 소프트웨어는 인시던트 대응을 위한 중앙 허브 역할을 하여 이러한 도구를 연결합니다. 모니터링 시스템의 알림을 연결하고 자동화된 워크플로를 통해 라우팅하며 팀이 실시간으로 공동 작업할 수 있는 공유 공간을 제공합니다. 이미 IT 지원 솔루션을 사용하고 있는 조직의 경우, JSM은 기존 스택에 자연스럽게 통합되어 인시던트 대응 조정을 한곳으로 통합합니다.

인시던트 대응 계획을 실행에 옮기기

문서화된 인시던트 대응 계획은 팀이 실제로 사용해야 효과가 있습니다. 목표는 프레임워크를 공유 드라이브에 방치해 두는 것이 아니라 일상적인 업무에 활용하는 것입니다.

Jira Service Management를 사용하여 인시던트 대응 워크플로를 테스트하고 개선하며 지속적으로 향상하세요. 테이블탑 연습을 실행하고 인시던트를 시뮬레이션하며 팀의 성과를 검토하세요. 각 사이클을 통해 효과적인 부분 및 개선할 부분을 더 명확하게 파악할 수 있습니다.