Offcanvas

How To / 리더십|조직관리 / 보안 / 분쟁|갈등

해킹 직후... 골든타임 원칙 6가지

2015.02.26 Bob Violino  |  Network World
회사가 해킹을 당했다. 당장 해야 할 일은 뭘까? 지난 해, 타깃(Target), 홈디포(Home Depot), 소니 픽처스 엔터테인먼트(Sony Pictures Entertainment) 등이 직면했던 질문이다. 또 앞으로 다른 회사들도 맞닥뜨릴 가능성이 있는 질문이다.

해킹은 여러 나쁜 결과를 초래한다. 특히 고객 데이터가 유출되면 피해가 더 커진다. 그렇다면 기업은 어떤 방법으로 해킹 공격에 대처해야 장기적으로 도움이 될까?

그 즉시 효과적으로 대응을 하면 피해를 최소화하거나, 고객과 비즈니스 파트너, 사회 전반에 긍정적인 기업 이미지를 전달할 수 있다. 그러나 잘못된 방법으로 굼뜨게 대처하면 상황이 악화되고, 기업은 오랜 기간 피해를 입을 수 있다.

다음은 해킹으로 보안 침해 사고가 발생한 기업들이 실천해야 할 6가지 행동이다.

1. 통일된 대응 계획을 침착하게 이행한다
2. 사고 대응 팀을 가동한다
3. 필요에 따라 보안 전문가 및 벤더와 협력한다
4. 법적 문제에 염두에 두고 대처한다
5. 보험 보상 절차를 감안해 준비한다
6. 커뮤니케이션 통로를 열어 놓는다





1. 통일된 대응 계획을 침착하게 이행한다
해킹을 당한 후 가장 먼저 할 일은 세심하게 정립된 사고 대응 계획을 이행하는 것이다. 이를 위해서는 사고 대응 계획을 갖고 있어야 한다. 사전에 통일된 계획을 수립해둬야만 가능한 이야기다.

해킹에 대처하는 계획에는 사고 대응 총괄 책임자, 사고 대응 과정에 참여할 사람, 각 부서가 취해야 할 행동, 시의 적절한 사고 파악과 신속한 대처를 위해 활용할 기술 툴 등이 포함돼 있어야 한다.

SANS 인스터튜트의 SANS 사이버 방어 프로그램(Cyber Defense Program) 디렉터이자 연구원인 에릭 콜은 "겁에 질린 상태에서 피해를 통제하려 시도하기가 쉽다. 그런데 적절한 계획이 없을 경우, 증거를 파괴하면서 상황을 악화시키는 사례가 아주 많다"라고 지적했다.

이 계획에는 또 보안 침해 규모와 피해가 초래된 데이터 파악, 법무 부서와 협력해 법 집행 기관이나 당국에 적절하게 보고하는 방법, 해킹 공격이 어떤 방식으로 전체 조직에 피해를 초래했는지 파악하는 방법, 피해 산정 등의 내용이 포함되어 있어야 한다.

콜은 "수립된 계획이 있다면, 이를 수행하는데 초점이 맞춰져야 한다"고 강조했다. 계획 이행 단계에서 기업이 초점을 맞춰야 할 핵심 내용들이 있다. 그 중 하나는 '봉쇄(억제)'다.

콜은 "계획을 이행하기 시작한 이후에 가장 중요한 것은 공격자가 더 이상은 네트워크 내부에 머물지 못하도록 만전을 기하는 것이다. 해커들이 아주 공격적인 경우가 있다. 피해자가 시스템을 정리하려 시도한다는 사실을 파악했는데, 공격자가 여전히 네트워크에 접속을 할 수 있는 상태라면 더 큰 피해를 초래할 수 있다"라고 말했다.

공격자가 추가적인 피해를 초래하는 것을 최소화하기 위해 트래픽 흐름을 고립시키거나 통제해야 한다.

다음은 '근절(박멸)'이다. 콜은 "사고로 인해 시스템이 중단되는 것이 이상적이지는 않지만, 문제 해결에 시간을 투자해 재감염을 방지하는 것이 아주 중요하다. 사고가 발생했을 때 서둘러 시스템을 복구하는 바람에 해커가 침투에 이용한 취약점을 모두 고치지 못하는 기업들이 많다"라고 지적했다.

시간을 투자해 문제점을 바로잡지 않을 경우, 한 번 공격을 한 해커가 다시 공격을 할 수 있다.

세 번째는 '복구'이다. 시스템 침해에 악용된 취약점을 고친 이후에는 데이터 복구와 시스템 백업 및 재가동에 초점을 맞춰야 한다. 콜은 "재가동에 앞서 시스템을 검증하는 것이 아주 중요하다. 복구 동안, 시스템이 재감염 되는 사례가 많다"라고 말했다.

시스템을 검증한 이후에는 공격자가 다시 공격을 못하도록 모니터링을 한다. 콜은 "공격자를 적극적으로 막는 것보다는 활동을 감시하고, 공격 재발이나 재감염이 없도록 만전을 기하는데 초점이 맞춰져야 한다"라고 강조했다.

2. 사고 대응 팀을 가동한다
트래블러스(Travelers)의 기업 사이버 보험을 책임지고 있는 팀 프란시스는 "침해 사고가 발생하면 사고 대응 팀을 가동해 상황을 판단해야 한다"라고 조언했다. 사고 대응 팀은 IT, 비즈니스 부문 책임자, HR, PR, 법무, 운영 부서 관계자로 구성되는 것이 일반적이다.

프란시스는 "기업 방어와 데이터 침해 사고 발생 후 발효될 법적 해석에 도움을 받기 위해 보안과 프라이버시 컴플라이언스 문제를 다룬 경험이 있는 변호사가 필요하다"라고 설명했다.

3. 필요에 따라 보안 전문가 및 벤더와 협력한다
침해 사고의 원인을 파악하고, 피해가 초래되기 전에 추가 공격을 막기 위해 보안 컨설팅 회사와 중요 벤더의 도움을 받아야 하는 경우가 많다.

2014년 초, 일리노이 기술원( IIT ; Illinois Institute of Technologies)의 VM 인프라가 여러 대학을 표적으로 삼은 DDoS(Distributed Denial of Service) 공격을 받았다.

IIT의 컴퓨터 시스템 매니저인 루이스 맥휴 IT 관리 분야 조교수는 "VM웨어 플랫폼에 패치가 되지 않은 취약점이 있음을 발견했다.

그는 “자체 조사와 함께 VM웨어 기술 지원부의 컨설팅을 통해서였다. DDoS를 강화하는데 사용된 단순한 NTP(Network Time Protocol) 반사 공격이었다. 우리는 서버 시간 유지에 NTP를 사용하고 있었다"고 설명했다.

IIT는 베스트 프랙티스 가이드라인을 준수하지 않아 패치를 빼먹었었다. 맥휴는 "VM웨어가 권장한 패칭과 미래 공격 대응 강화 방법을 적용해 서버에 변화를 줬다. 또 불필요한 서비스를 끄고, 윈도우와 리눅스 서버 정기적으로 패치를 하고, 네트워크를 종단 라우터와 방화벽으로 방어하는 방법으로 환경에 위치한 서버 일체를 강화하는 조치를 취했다"라고 설명했다.

회원 전용 콘텐츠입니다. 이 기사를 더 읽으시려면 로그인 이 필요합니다. 아직 회원이 아니신 분은 '회원가입' 을 해주십시오.

추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.