CSIRT

CSIRT란?

CSRIPT(Computer Security Incident Response Team)는 발생한 보안 사고에 대해 전문적인 지식과 적절한 다른 사람과의 인터페이스를 가지고 대응하는 팀입니다. 

한국어로 번역하면 '컴퓨터 보안 사고 대응팀'이 됩니다.

CSIRT를 구성학는 멤버에는 다양한 역할이 있습니다. (하단 표 참조.) 

가장 중요한 역할은 Po(Point of Contact)'와 커맨더'입니다. 

이 둘은 어떤 CSIRT에서든지 반드시 배치할 필요가 있습니다. 

비상시 외에는 비상시를 줄이기 위해 힘쓴다.

CSIRT라는 용어가 위와 같이 정의되어 있기 때문에 'CSIRT는 보안 사고가 발생했을 때만 움직인다'고 생각하는 사람도 많은데, 

실제로는 사고 발생 시에만 움직이는 것은 아닙니다. 

대응한 보안 보안 사고로부터 '이렇게 해 두면 일어나지 않는다'와 같이 구체적인 예방책이나 개선책을 검토하고, 

실행에 옮겨가는 것도 CSIRT의 역할 중 하나입니다. 

일 년 내내 보안 사고 대응을 하고 있는 조직은 건전한 조직이라고 말하기 어렵습니다. 

CSIRT에는 다양한 설치 형태가 있다.

CSIRT에는 '이것'이라고 딱 정해진 형태가 없습니다. 

설치하는 사업자의 비즈니스 형태나 업종에 따라 다양한 형태를 취할 수 있습니다. 

이른바 사용자 기업에서는 '보안 사고에 대응할 수 있는 사람'을 모으는 것 자체가 힘든 경우도 있지만, 

이런 경우는 최소한의 'PoC)와 '커맨더'만은 자사에서 준비하고, 다른 것을 아웃소싱하는 방법도 생각할 수 있습니다.(하단 이미지 참조). 

이렇게 함으로써 '인시던트에 관한 정보를 자사에서 정리한다', '자사의 상황에 맞춘 각종 대책이나 

시책을 기획한다.'와 같은 일을 구체적으로 실시하는 것이 현실적입니다.

전임자를 둠으로써 보안 관련 사고를 집중적으로 파악할 수 있으므로 

그러한 인원 배치도 시야에 넣은 CSIRT 구축을 검토하기 바랍니다. 

역할과 업무 내용

CSIRT는 다양한 역할을 가진 멤버로 구성됩니다. 

여기서는 대표적인 멤버의 역할과 그업무 내용에 대해 소개합니다. 

기능 분류 / 역할명(대표적인 것을 발췌) / 업무 내용

· 정보 공유

사외 PoC(조직 외부 연락 담당)

CSIRT, 경찰, 감독 관청 등의 정보 협력

사내 PoC(조직 내부 연락 담당)

법무, 섭외, IT부서, 홍보, 각 사업부서 등의 정보 협력

· 정보 수집 및 분석

리서처 : 정보 수집 담당

큐테리터 : 정보 분석 담당

정례 업무, 인시던트의 정보 수집, 각종 정보에 대한 분석, 국제 정세의 파악

· 인시던트 내용

커맨더 : CSIRT 전체 총괄

CSIRT 전체 총괄, 의사결정, 사내 PoC, 임원, CISO(Chief Infomation Security Officer : 정보 보안 최고 책임자), 또는 경영진과의 정보 협력

인시던트  매니저 : 인시던트 관리 담당

인시던트의 대응 상황의 파악, 커맨더에게 보고, 대응 이력 파악

인시던트 핸들러 : 인시던트 처리 담당

발생한 인시던트의 처리, 인시던트 매니저에게 상황 보고

CSIRT의 구성 예

CSIRT에는 어떤 전형적인 형태는 없지만 여기서 한 가지 예를 소개하겠습니다. 

커맨더를 중심으로 각 멤버가 협력하여 활동을 합니다. 

사용자 기업에서 모든 멤버를 직접 마련할 수 없는 경우도 있을 것입니다. 

그런 경우는 최소한 'PoC'와 '커맨더'는 자사에서 마련하고, 다른 역할을 외주를 주는 방법도 생각할 수 있습니다.

[출처] 알기 쉬운 일러스트로 해설, 그림 설명으로 한 번에 이해할 수 있는 보안의 기본 Miyamoto Kunio, Okubo Takao 지음, 이영란 옮김