ISMS-P 2.11.4 사고 대응 훈련·개선 High Risk

사고 대응 훈련 및 개선이 수행되고 있는가?

ISMS-P 2.11.4는 정기적인 사고 대응 훈련과 지속적인 개선을 요구합니다. 클라우드 환경에서는 AWS FIS, Backup Restore Test, GameDay를 통해 실제 장애 상황을 시뮬레이션하고 대응 역량을 강화해야 합니다.

📋

ISMS-P 인증 기준

ISMS-P 2.11.4 사고 대응 훈련·개선 요구사항

2.11.4

사고 대응 훈련 및 개선

인증 기준 정의

"침해사고 및 개인정보 유출사고 대응 훈련 계획을 수립·이행하고 훈련 결과에 따른 보완조치를 수행하여야 한다."

📌 클라우드 환경 적용 포인트

FIS 카오스 엔지니어링 훈련
Backup Restore 테스트 자동화
EventBridge 정기 훈련 스케줄
훈련 결과 Dashboard 운영

⚠️ 미준수 시 심사 영향

결함: 대응 훈련 계획 미수립
결함: 정기 훈련 미이행
권고: 훈련 결과 개선 조치 미흡

📄 KISA ISMS-P 인증기준 안내서 ↗ ☁️ AWS FIS 문서 ↗

📰

실제 보안 사고 사례

사고 대응 훈련 미흡으로 발생한 실제 사고

2017.05

British Airways 72시간 마비

데이터센터 전원 장애 발생. 복구 훈련 미수행으로 대응 지연, 72시간 시스템 마비. 75,000명 승객 영향, 8,000만 파운드 손실.

💡 교훈: 정기적인 장애 복구 훈련 및 시뮬레이션 필수

2021.10

Facebook(Meta) 6시간 중단

BGP 설정 오류로 전 세계 서비스 중단. 물리적 접근 필요한 복구로 지연. 다양한 장애 시나리오 훈련 미흡으로 대응 역량 부족.

💡 교훈: 다양한 장애 시나리오별 카오스 훈련 필수

⚡

클라우드 환경의 위험

대응 훈련 체계 부재 시 발생하는 상황

위험 설정 (AS-IS) - 훈련 체계 미구축

# 대응 훈련 체계 미설정

# FIS Experiment 미존재
# resource "aws_fis_experiment_template" 없음

# Backup Restore Test 미스케줄
# EventBridge 정기 스케줄 없음

# 훈련 결과 Dashboard 없음

장애 시뮬레이션, 복구 검증, 결과 분석 모두 불가

권장 설정 (TO-BE) - 자동화 훈련 체계

# FIS 카오스 훈련 템플릿
resource "aws_fis_experiment_template" "failover" {}

# 분기별 훈련 스케줄
resource "aws_cloudwatch_event_rule" "quarterly" {
  schedule_expression = "cron(0 9 1 1,4,7,10 ? *)"
}

# 월별 복구 테스트
resource "aws_backup_restore_testing_plan" "monthly" {}

# 훈련 결과 Dashboard
resource "aws_cloudwatch_dashboard" "training" {}

FIS + EventBridge + Restore Test + Dashboard 통합 훈련

🚨

발견 사례: 대응 훈련 체계 전면 미구축

FIS 카오스 훈련, Backup Restore Test, 정기 훈련 스케줄이 모두 미설정되어 있어 실제 장애 발생 시 대응 역량 검증이 불가능한 상태입니다.

ISMS-P 2.11.4 위반 사항

●

카오스 훈련 불가: FIS 미설정

●

복구 검증 불가: Restore Test 미수행

●

정기 훈련 미실시: 스케줄 없음

●

결과 분석 불가: Dashboard 없음

🔍

사전 탐지 방안

IaC 코드 분석 기반 배포 전 점검

대응 훈련 체계 점검 로직

판단 조건	조건 값	결과
🔥 FIS 훈련 템플릿	`aws_fis_experiment_template 존재`	✓ 통과
🔥 FIS 훈련 템플릿	`리소스 미존재` 카오스 훈련 불가	High - 차단 + Slack 알림
🔄 Restore Test Plan	`aws_backup_restore_testing_plan 존재`	✓ 통과
🔄 Restore Test Plan	`리소스 미존재` 복구 검증 불가	High - 차단 + Slack 알림
📅 훈련 스케줄	`EventBridge 분기별 스케줄 존재`	✓ 통과
📅 훈련 스케줄	`정기 스케줄 미존재`	Medium - Slack 알림

🔔

사후 대응 방안

런타임 모니터링 및 훈련 이행 점검

훈련 이행 런타임 이벤트 대응 로직

판단 조건	조건 값	결과
⏰ 훈련 이행 주기	`마지막 훈련 ≤ 90일` 정상	✓ 정상
⏰ 훈련 이행 주기	`마지막 훈련 > 90일` 훈련 지연	High - 담당자 즉시 통보
🔄 Restore Test 결과	`테스트 성공`	✓ 이력 저장
🔄 Restore Test 결과	`테스트 실패` 복구 체계 문제	Critical - 백업 체계 즉시 점검
📝 개선 이행 현황	`발견 이슈 조치 완료`	✓ 정상
📝 개선 이행 현황	`30일+ 미조치`	High - 에스컬레이션

모든 알림에 포함되는 정보

훈련 유형 마지막 훈련 일시 미조치 이슈 목록 담당자 정보

✓

조치 가이드

즉시 적용 가능한 권장 설정

권장 설정 (복사하여 적용)

incident-training.tf

# 1. AWS FIS 카오스 훈련 템플릿
resource "aws_fis_experiment_template" "ec2_failure" {
  description = "EC2 instance failure simulation"
  role_arn    = aws_iam_role.fis.arn

  stop_condition {
    source = "aws:cloudwatch:alarm"
    value  = aws_cloudwatch_metric_alarm.high_cpu.arn
  }

  action {
    name      = "stop-instances"
    action_id = "aws:ec2:stop-instances"
    target    { key = "Instances"; value = "target-instances" }
  }

  target {
    name           = "target-instances"
    resource_type  = "aws:ec2:instance"
    selection_mode = "COUNT(1)"
    resource_tag   { key = "Environment"; value = "staging" }
  }

  tags = { ISMS-P = "2.11.4" }
}

# 2. 분기별 훈련 스케줄
resource "aws_cloudwatch_event_rule" "quarterly_training" {
  name                = "quarterly-incident-training"
  schedule_expression = "cron(0 9 1 1,4,7,10 ? *)"  # 매 분기 첫째 날
}

# 3. 월별 복구 테스트
resource "aws_backup_restore_testing_plan" "monthly" {
  name = "monthly-restore-testing"

  schedule_expression = "cron(0 3 15 * ? *)"  # 매월 15일

  recovery_point_selection {
    algorithm              = "LATEST_WITHIN_WINDOW"
    recovery_point_types   = ["CONTINUOUS"]
    include_vaults         = ["arn:aws:backup:*:*:backup-vault:*"]
  }
}

# 4. 훈련 결과 Dashboard
resource "aws_cloudwatch_dashboard" "training" {
  dashboard_name = "incident-response-training"
  dashboard_body = jsonencode({
    widgets = [
      { type = "metric", properties = { title = "FIS 훈련 실행", metrics = [["AWS/FIS", "ExperimentStarted"]] } },
      { type = "metric", properties = { title = "복구 테스트 결과", metrics = [["Custom/Backup", "RestoreTestSuccess"]] } }
    ]
  })
}

💡 핵심: FIS로 장애 시뮬레이션을 수행하고, Restore Testing으로 복구를 검증하고, EventBridge로 정기 훈련을 스케줄링하고, Dashboard로 결과를 분석합니다.

📚 참고 자료

🔥 AWS FIS 공식 문서 ↗ 🔄 Backup Restore Testing 문서 ↗ 🎮 AWS GameDay ↗

📊

리포트 방안

ISMS-P 심사 증적 및 정기 보고

📋 진단 항목

FIS 훈련 템플릿 설정 상태
Restore Test Plan 설정 상태
정기 훈련 스케줄 현황
훈련 결과 Dashboard 운영
발견 이슈 개선 조치 현황

📅 리포트 주기

월간

Restore Test 결과 요약

분기

FIS 훈련 실행 및 결과

연간

ISMS-P 증적 종합 리포트

📤 발송 및 저장

발송 채널

Email Slack

저장소

S3 (5년 보관)

⚡

BSG 차별점

기존 도구가 놓치는 점검 영역

기존 도구 방식

훈련 체계 검사 미포함

FIS 설정 미확인
Restore Test Plan 미검사
정기 훈련 스케줄 미확인
훈련 결과 Dashboard 미검사

한계: 인프라 설정만 검사하고 대응 훈련 체계 검증 불가

BSG 접근 방식

ISMS-P 관점 통합 점검

훈련: FIS 카오스 엔지니어링 검증
복구: Backup Restore 테스트 확인
스케줄: 정기 훈련 EventBridge 검증
증적: 훈련 이력 + 개선 조치 자동화

차별점: 인증 기준 관점에서 훈련 → 검증 → 개선 → 증적 전 과정 자동화

← ISMS-P 인증 시나리오로 돌아가기