안녕하세요 !
이번 글에서는 악성 코드 대응 업무 프로세스에 대해서 글을 써보려고 합니다.
악성코드는 사용자의 의사와 관계없이 PC, 서버 등에 설치되어서 시스템을 파괴되거나 정보 유출 등의 악의적인 활동을 수행하도록 의도적으로 만들어진 소프트웨어를 말한다. 즉, 악의적인 소프트웨어를 총징한다.
1. 탐지
- 보안 솔루션 ( SIEM , EDR, APT ) 를 통해서 네트워크나 엔드 포인트에서 악성 코드 의심 파일을 탐지한다.
- FireEye EX, Sniper ONE 같은 솔루션을 활용해서 실시간으로 악성 코드 탐지를 진행하고 의심스러운 활동이 발견되면 경고가 발생한다.
2. 분석
- 탐지된 악성 파일은 샌드박스나 악성 코드 분석 도구로 분석해서 악성 여부를 확인한다.
- 동적 분석과 정적 분석 ( 코드 구조, 문자열 분석 ) 을 통해서 파일의 특성과 목적을 파악합니다.
- 안랩 같은 백신 솔루션으로 파일을 스캔하여서 이미 알려진 악성 코드인지 확인하고 미확인일 경우 비나인 요청을 진행해서 안전 여부를 판단한다.
3. 차단 및 대응
- 악성으로 확인되면 즉시 차단 조치를 시행한다. 네트워크 트래픽은 IPS / IDS 설정을 통해서 특정 IP, URL, 도메인 등을 차단하고 이메일의 경우 APT 솔루션을 통해서 수신 차단이 가능하다.
- 방화벽이나 WAF에서 특정 규칙을 추가하여서 악성 코드가 네트워크로 확산되지 않도록 한다.
4. 사후 조치
- 악성 코드의 원인과 취약점을 분석하여서 보완 조치를 수립합니다. 시스템 패치, 정책 강화, 사용자 교육 등이 포함될 수 있다.
- 대응 과정을 문서화 해서 관제팀 및 관련 부서에 공유하고 유사한 악성 코드에 대한 대응 프로세스를 보완합니다.
5. 모니터링 및 개선
- 차단 및 대응 후에도 악성 코드 관련 로그와 경고를 지속적으로 모니터링 합니다. 재발 방지를 위해서 로그프레소 등의 SIEM 시스템을 통해서 의심스러운 이벤트가 반복적으로 발생하는지 확인합니다.
- 대응 프로세스에 대한 개선 사항을 반영하여서 향후 유사한 상황에서의 대응 속도와 정확성을 높입니다.
끝