ISMS-P 2.11.1 사고 예방 및 대응체계 구축 High Risk

사고 예방 및 대응체계가 구축되어 있는가?

ISMS-P 2.11.1은 침해사고 예방 및 대응 체계 구축을 요구합니다. 클라우드 환경에서는 탐지 → 알림 → 분석 → 대응 → 복구 전체 파이프라인을 통해 침해사고에 신속하게 대응할 수 있어야 합니다.

📋

ISMS-P 인증 기준

ISMS-P 2.11.1 사고 예방 및 대응체계 구축 요구사항

2.11.1

사고 예방 및 대응체계 구축

인증 기준 정의

"침해사고 및 개인정보 유출사고를 예방하고 사고 발생 시 신속하게 대응할 수 있도록 대응체계를 구축하고 관련 정보를 공유할 수 있는 내·외부 정보공유체계를 마련하여야 한다."

📌 클라우드 환경 적용 포인트

GuardDuty + Security Hub 위협 탐지 체계
EventBridge + SNS 다채널 알림 체계
Lambda + Step Functions 자동 대응 체계
Detective 원인 분석 연동
AWS Backup 복구 체계 구축

⚠️ 미준수 시 심사 영향

결함: 탐지 체계 미구축 (GuardDuty 비활성화)
결함: 알림 체계 부재 (SNS/EventBridge 미설정)
결함: 대응 절차 미수립
권고: 에스컬레이션 체계 미흡

📄 KISA ISMS-P 인증기준 안내서 ↗ 🔍 Amazon Detective ↗

📰

실제 보안 사고 사례

대응 체계 부재로 발생한 실제 사고

2013.11

Target 4,000만 건 카드정보 유출

POS 시스템 악성코드 감염. 보안 시스템이 알림을 발생시켰으나 대응 체계 부재로 무시됨. 에스컬레이션 체계 없이 알림만 쌓임. 2.9억 달러 피해 발생.

💡 교훈: 알림 발생 시 자동 에스컬레이션 체계 필수

출처: Bank Info Security ↗

2017.06

Maersk NotPetya 랜섬웨어 공격

NotPetya 랜섬웨어로 전 세계 시스템 마비. 사고 대응 절차 미수립, 자동 격리 미구축으로 복구에 10일 소요. 3억 달러 피해 발생.

💡 교훈: 자동 격리 + 즉시 복구 체계 구축 필수

출처: Wired ↗

⚡

클라우드 환경의 위험

대응 체계 미구축으로 인한 위험 상황

미구축 (위험)

탐지

✓

→

알림

✗

→

대응

✗

↑ GuardDuty만 활성화, 이후 연동 없음

탐지만 하고 알림/대응 체계 부재 → ISMS-P 2.11.1 미충족

체계 구축 (권장)

탐지

✓

→

알림

✓

→

대응

✓

↑ 탐지 → 알림 → 대응 전 파이프라인 연동

탐지-알림-대응 전체 자동화 → 인증 기준 충족

🚨

발견 사례: GuardDuty만 활성화, EventBridge/SNS/Lambda 미연동

GuardDuty는 활성화되어 있지만 EventBridge 규칙 없음, SNS Topic 없음, 대응 Lambda 없음으로 Critical Finding 발생해도 아무도 모름.

현재 상태 - 문제가 되는 설정

# GuardDuty만 활성화, 알림/대응 없음
resource "aws_guardduty_detector" "main" {
  enable = true
  # 이후 연동 없음
}

# 문제점:
# - EventBridge 규칙 없음 → 알림 미발송
# - Lambda 함수 없음 → 자동 대응 불가
# - SNS Topic 없음 → 통보 체계 부재
# - Detective 없음 → 분석 체계 부재

ISMS-P 2.11.1 위반 사항

●

알림 체계 미구축

●

자동 대응 체계 부재

●

에스컬레이션 절차 부재

●

원인 분석 체계 미흡

🔍

사전 탐지 방안

IaC 코드 분석 기반 배포 전 점검

대응 체계 구축 탐지 로직

판단 조건	조건 값	결과
🛡️ GuardDuty 탐지	`리소스 미존재 또는 enable = false`	Critical - 차단
🛡️ GuardDuty 탐지	`enable = true + 데이터소스 활성화`	→ 알림 체계 검사
📡 EventBridge 알림	`GuardDuty finding 규칙 미존재`	Critical - 차단
📡 EventBridge 알림	`severity >= 7 규칙 존재`	→ 대응 체계 검사
⚡ Lambda 자동 대응	`incident-response 함수 미존재`	High - 경고
⚡ Lambda 자동 대응	`격리 SG 연동 Lambda 존재`	✓ 통과

🔔

사후 대응 방안

런타임 이벤트 대응 및 에스컬레이션

GuardDuty Finding 런타임 대응 로직

판단 조건	조건 값	결과
🎯 Finding 심각도	`severity >= 8 (Critical)`	Critical - 즉시 격리 + PagerDuty
	`severity >= 7 (High)`	High - Slack + Detective 연동
	`severity >= 4 (Medium)`	Medium - 로깅 + 티켓 생성
⏰ 미대응 시간 (에스컬레이션)	`30분 경과` Critical/High 미대응	Critical - 상위 담당자 에스컬레이션
⏰ 미대응 시간 (에스컬레이션)	`1시간 경과` 여전히 미대응	Critical - CISO 직접 통보

모든 알림에 포함되는 정보

Finding 유형 영향받는 리소스 공격자 IP Detective 분석 링크

✓

조치 가이드

즉시 적용 가능한 권장 설정

❌ 삭제

GuardDuty만 단독 운영하는 설정 (알림/대응 미연동)

✓ 적용

GuardDuty + EventBridge + SNS + Lambda

권장 설정 (복사하여 적용)

incident-response.tf

# 1. GuardDuty 활성화
resource "aws_guardduty_detector" "main" {
  enable                       = true
  finding_publishing_frequency = "FIFTEEN_MINUTES"

  datasources {
    s3_logs    { enable = true }
    kubernetes { audit_logs { enable = true } }
  }
  tags = { ISMS-P = "2.11.1" }
}

# 2. EventBridge - Critical/High Finding 탐지
resource "aws_cloudwatch_event_rule" "security_finding" {
  name = "security-finding-critical"
  event_pattern = jsonencode({
    source      = ["aws.guardduty"]
    detail-type = ["GuardDuty Finding"]
    detail      = { severity = [{ numeric = [">=", 7] }] }
  })
}

# 3. SNS 다채널 알림
resource "aws_sns_topic" "security_alerts" {
  name = "security-incident-alerts"
}

resource "aws_cloudwatch_event_target" "sns" {
  rule      = aws_cloudwatch_event_rule.security_finding.name
  target_id = "send-to-sns"
  arn       = aws_sns_topic.security_alerts.arn
}

# 4. 격리용 Security Group
resource "aws_security_group" "quarantine" {
  name        = "quarantine-sg"
  description = "No inbound/outbound - incident isolation"
  vpc_id      = var.vpc_id
  # 인바운드/아웃바운드 규칙 없음 = 모든 트래픽 차단
}

# 5. Lambda 자동 대응 함수
resource "aws_lambda_function" "incident_response" {
  function_name = "security-incident-response"
  handler       = "index.handler"
  runtime       = "python3.11"
  role          = aws_iam_role.incident_response.arn

  environment {
    variables = {
      QUARANTINE_SG_ID = aws_security_group.quarantine.id
      SNS_TOPIC_ARN    = aws_sns_topic.security_alerts.arn
    }
  }
}

💡 핵심: 대응 체계는 탐지 → 알림 → 분석 → 대응 → 복구 전체 파이프라인이 자동화되어야 합니다. GuardDuty가 탐지하면 EventBridge가 즉시 처리하고, SNS로 알림을 보내고, Lambda가 자동 격리합니다.

📚 참고 자료

🛡️ GuardDuty EventBridge 통합 ↗ 🔍 Amazon Detective ↗ 🚨 AWS Security Incident Response ↗

📊

리포트 방안

ISMS-P 심사 증적 및 정기 보고

📋 진단 항목

GuardDuty detector 활성화 상태
EventBridge 규칙 존재 여부
SNS 알림 구독자 목록
Lambda 대응 함수 설정
Detective 연동 상태

📅 리포트 주기

실시간

Critical/High Finding 즉시 알림

주간

Finding 현황 + 대응 완료율

월간

ISMS-P 증적 (대응 이력 포함)

📤 발송 및 저장

발송 채널

Email Slack PagerDuty

저장소

S3 (5년 보관)

⚡

BSG 차별점

기존 도구가 놓치는 점검 영역

기존 도구 방식

GuardDuty 활성화 여부만 검사

enable = true 여부만 확인
알림 체계 구축 여부 미확인
자동 대응 설정 미검사

한계: 탐지만 하고 알림/대응 없으면 무용지물인데 탐지 못함

BSG 접근 방식

전체 대응 파이프라인 검증

탐지: GuardDuty + Security Hub 통합 검증
알림: EventBridge + SNS 다채널 확인
대응: Lambda + 격리 SG 자동화 검증

차별점: 탐지 → 알림 → 대응 → 복구 전체 체계 자동 점검

← Real-time Security Inspection로 돌아가기