[보안뉴스]정부, KT 소액결제 피해 사건 민관합동조사단 구성

내용 요약

KT가 소액결제 사기 피해를 KISA에 침해 사고로 신고하고, 과학기술정보통신부와 KISA가 공동 조사팀을 구성해 사건을 신속하게 파악·해결하려 한다.
이 과정에서 KISA의 사건보고 체계, 민관합동조사단의 조직, 그리고 자료 보전 절차가 핵심 역할을 한다.

핵심 포인트

• KT의 침해 사고 신고: KISA에 즉시 보고해 빠른 대응 체계 활용
• 민관합동조사단 구성: 정부·KISA·전문가·기업이 협력해 원인 및 피해 범위 조사
• 자료 보전 절차: 사고 현황을 복구·분석할 수 있도록 데이터 보전과 증거 보존

기술 세부 내용

1️⃣ KISA Incident Reporting System

• 보안 신고 포털: KT는 KISA의 전용 포털(Incident Reporting Portal)을 통해 침해 사실과 관련 로그, 증거 파일을 전송.
• 자동 알림: 포털 접수 시 KISA 내부 알림 시스템이 즉시 담당팀에 전달, 대응 시간을 최소화.
• 증거 수집: 신고 시 “forensic imaging” 방식으로 해당 시스템의 디스크 이미지를 함께 제출해 추후 분석을 용이하게 함.

2️⃣ Public‑Private Joint Investigation Team (민관합동조사단)

• 구성원: 과학기술정보통신부, KISA, KT 보안팀, 외부 포렌식 전문가로 구성.
• ️ 조사 절차:
  1. 초기 상황 파악 – 신고 내용 검토 및 현장 접속 권한 확보
  2. 포렌식 분석 – 로그, 트래픽 캡처, 메모리 덤프를 분석해 공격 경로 재구성
  3. 원인 규명 – 취약점(예: PCI DSS 미준수) 및 내부 정책 위반 여부 확인
  4. 피해 규모 추정 – 가해자 계정, 가맹점, 고객 데이터 파악
  5. 조치 및 방지 – 패치 적용, 보안 정책 개정, 재발 방지 대책 제시
• 보고: 조사 결과는 정부와 KISA가 공동으로 발표, 공개 투명성을 확보.

3️⃣ Data Preservation (자료 보전)

• ️ 보전 원칙: “immutable copy” 방식을 적용해 원본 데이터 변경 없이 복사본 보관.
• 분석 환경: 보전된 데이터는 별도 격리 환경(예: “sandbox”)에서 분석되어 악성코드가 실환경에 확산되지 않음.
• ️ 증거 보존: 보전 과정은 “chain‑of‑custody” 로그와 해시값(sha256)으로 기록해 법적 증거로서의 가치를 유지.
• 긴급 복구: 사고 발생 직후 자동 백업 스냅샷을 재생해 서비스 중단 최소화.

이와 같은 체계적 대응은 소액결제 사기와 같은 금융 보안 사고를 빠르게 진단·해결하고, 재발 방지를 위한 근본 원인 파악에 필수적입니다.

 

출처: http://www.boannews.com/media/view.asp?idx=139155&kind=&sub_kind=