데이터가 유출된다면?... '사고 대응 계획' 베스트 프랙티스

사고 대응 계획(Incident response plans)은 여러 면에서 가족 유물과도 같다. 조직이 어떻게 적절히 정보 보안 사고를 감지하고 대응하고 효과를 제한시키는 지에 대한 쓰여진 세부사항들은 몇몇에게는 가치가 크지만 잊혀져 있는 경우가 너무 많다.

많은 사람에게 사고 대응 계획은 오랫동안 써보거나 시험을 거치지 않은 상태로 남아있고 그래서 대부분 궁극적으로 데이터 유출이 발생할 때는 해당 목적에 잘 맞지 않게 된다.

전문가들은 현재 강력한 사고 대응 계획에는 무엇이 사고를 구성하는 지를 상세히 규정하는 정책을 포함해야 하고, 이 문서는 조직이 해당 사고에 어떻게 대응해야 하는 지에 대해 상세한 단계별 가이드를 제공해야 한다.

이런 가이드라인들을 따름으로써 조직들은 공격의 피해를 최소화하고 데이터 유출과 보통 연계된 높은 비용과 긴 복구 시간을 줄이길 기대하고 있다.

사고 대응 계획에 대해 모두들 정보보안 커뮤니티에서 얘기를 나누고 있다. 이베이는 자사의 지난해 데이터 유출 대응 실패로 막대한 비판을 받았지만 많은 사고 대응 계획들은 종종 제대로 고려되지 않고 현대 기준으로 제대로 대비되어 있지 않다. 게다가 일부 기업들은 계획조차 가지고 있지 않다.

예를 들어 PAC에서 영국, 프랑스, 독일 내 직원 1,000명 이상의 기업에서 200명의 직원을 대상으로 한 조사에서 전체 기업의 40% 정도가 사고 대응 계획이 없다는 것이 드러났다. 그리고 사고 대응 계획이 있는 기업들 중에서도 오직 30%만 계획을 정기적으로 테스트하고 업데이트 한다고 답해 계속 진화하는 위협들 속에서 매우 걱정되는 부분이다.

결국 APT(Advanced Persistent Threat)의 부상, 점점 늘어나는 사이버-범죄 활동과 보호와 감지에 대한 투자 부족을 언급하며 컴퓨터 암호화 전문가 브루스 슈나이어(Bruce Schneier)는 2014년에 "대응하는데 10년"이라고 이야기한 바 있다.

슬프게도 이것이 유행하는 데에는 시간이 걸리고 있다. AT&T 6월 보고서는 IT 종사자들의 81%가 자신의 기업은 사고 대응 계획을 갖추고 있다고 답했지만 오직 31%만 그 계획들이 실제로 효과적이라고 생각한다고 답했다. 분명 여기에 작업이 필요하다.

사고 대응 계획의 결함
대부분의 조직에게 있어서의 문제는 조직에 사고 대응 계획이 있다 하더라도 종종 목적과 부합하지 않는다는 점이다.

맥킨지(McKinsey)는 대부분의 조직이 "그들의 사고 대응 계획을 진정으로 운용 가능하게 만들지 않는데 이는 잘못된 디자인이나 이행 혹은 둘 다로 인해 효과적이지 않다"고 보고했다.

조직은 이런 문서들이 종종 '너무 오래'되었고, '베껴온 것'이고, '위기 시 특정 활동을 안내하는데 유용하지 않다'고 말한다.

추가적으로 맥킨지는 이런 계획들이 한 부서가 만들어내지만 다른 부서에서는 이행되지 않을 수 있다고 말했다. 이런 계획을 사일로에서 개발하는 것은 비즈니스 대응에 피해를 줄뿐 아니라 관련 지식과 베스트 프랙티스 공유에 지장을 줄 수도 있다.

맥킨지는 "사고 대응 의사 결정이 종종 내부 지식과 기존 관계에 기반하는데, 조직들은 보통 한두 명의 '해결사'에 의존해 위기에서 헤쳐나간다"고 덧붙였다. 이는 내부 전문가가 없을 때 단일 장애 지점(Single Point of Failure)이 되거나 대응을 이끌 능력 상실로 이어질 수 있다.

영국 기반 제품 테스트 업체인 인터테크(Intertek) CISO 데인 워렌은 "특정 사고 대응 계획이 실패하는 이유를 말하기 어렵다"고 말했다. "조직에 대해 알지 못하고 말하기는 힘들다. 하지만 효과적인 사고 대응 계획은 모든 조직에서 대비 목적으로만 쓰인다하더라도 중요하다고 이야기하기 쉽다."

하지만 프래토리언 컨설팅 인터내셔널(Praetorian Consulting International)의 수석 보안 컨설턴트이자 월드라인 글로벌(Worldline Global UK&I)의 전직 정보 보안 헤드 제임스 맥킨리는 결함들이 종종 부서적 문제에 있다고 말했다.

"필요한 모든 이를 관여시키지 않는 것, 내부 커뮤니케이션, 외부 커뮤니케이션, 법 집행, 법률, 인사, 경영, 리스크 디렉터, CISO, 클라이언트 관계."

조직의 계획은 이래야 한다
사고 대응 계획을 만들 때 정보보호 전문가들은 계획의 목표, 사고 시 팀원 각각의 역할, 계획 자체의 주기를 규정해야 한다고 주장한다. 시뮬레이션 연습 역시 이런 프로세스의 스트레스 테스트를 위해 장려되고 각 부서의 역할과 책임에 있어서 비즈니스의 혼란을 방지하는데 도움이 된다.

사고 대응 계획에 정보 보안, 법률, 준수, 인사, 커뮤니케이션 등 여러 부서가 연계해야 하기 때문에 이는 중요한 일이다. 부서간 핵심 팀 대표 역시 사고 대응을 이끌기 위해 선택되어야 한다. 몇몇 사람들은 비즈니스 전체에 걸쳐 계획과 통합을 중역 한 사람이 책임져야 한다고 말한다.

워렌은 보안팀이 비즈니스를 이해하고 그 핵심 자산이 어디 있는지 이해함으로써 이 프로세스를 이끌 수 있다고 판단했다.

워렌은 "자사의 비즈니스를 이해하고 무엇이 보호가 필요한지 이해하라. 이 두 가지를 부합시키면 사고 대응 시나리오에서 필요한 활동의 기본이 나오게 된다"고 설명했다.

"분명히 규정된 역할과 책임이 핵심이다. 이 역할과 책임을 효과적으로 수행하도록 확실히 교육하는 것이 필수적이다. 심각성에 기반한 분명한 커뮤니케이션 계획이 필수적이다. 여기에는 일반 대중, 고객, 내부 직원, 정부 담당자, 공급자 등이 포함될 수 있다."

맥킨지는 올바른 리더를 가지는 것만큼 준비가 핵심이라고 덧붙였다.
"훌륭한 사고 대응 계획을 준비하는 데는 상당한 조사와 문제 회사에 대한 맞춤이 필요하다. 계획을 비즈니스 지속성 계획(Business Continuity Plans)이나 재난 복구 계획(Disaster Recovery Plans)처럼 테스트하는 데는 아주 스마트한 능동적 보안 리더 혹은 테스트를 규정하는 감사 지적이 필요하다. 사고 대응 계획을 만드는 책임은 정보 보안 관리자에 속하게 될 가능성이 크기 때문에 이들은 좋은 계획에는 수많은 다른 사람과 IT와 보안 이외 분야가 관여되어야 한다는 점을 이해해야 한다."

한편 SANS는 성공적인 사고 대응 계획을 개발하는데 다음과 같은 여섯 단계가 있다고 생각한다.

- 대비: 사용자들과 IT가 잠재적 사고 발생시 처리할 수 있게 대비하기
- 식별: '보안 사고'의 의미와 어떤 상황에 반응하고 어떤 상황은 무시해야 하는지 알아내기
- 억제: 추가 피해 방지를 위해 공격받은 시스템 떼어놓기
- 제거: 근원을 찾고 제거하기(특히 영향받은 시스템을 생산으로부터 제거)
- 복구: 영향받은 시스템을 수리 후 생산 환경으로 되돌리기
- 교훈 얻기: 모든 것을 기록하고 모든 팀원과 검토 분석해 미래 사고 대응을 향상

팀과 기술
다른 정보보호 전문가들은 좋은 보안팀을 가지는 것의 중요성을 강조했다. 지난해 런던 컨퍼런스에서 SANS 인스트럭터 스티브 암스트롱은 사고 대응 팀은 다양한 사람들이 다양한 기술을 기여하는 스쿠비 두(Scooby Doo) 팀 같아야 한다고 말했다.

암스트롱은 효과적인 사고 대응 계획은 "기술을 다루고 싶어하는 기술자, 리드하고 싶어하는 리더, 관리를 좋아하는 관리자"를 봐야 하지만 항상 그런 건 아니라는 점을 인정했다. 암스트롱은 계획은 종종 커뮤니케이션에 실패하곤 한다고 말했다.

암스트롱은 강력한 DFIR(Digital Forensic and Incident Response) 계획은 관리자에게 좋은 인텔리전스와 통계를 전하는 근무자에 의존한다는 점을 덧붙였다.

관리자는 이를 조직 리더를 위해 비즈니스 언어로 바꾼다. 하지만 암스트롱은 "이 과정에서 모든 단절이 리스크 이해와 자금 상실과 함께 무엇이 발생하는 지에 더 이상 관여하지 않는 책임자를 만들 수 있다"고 경고했다.

이를 대신해 그는 CISO들에게 공군에서 사용된 크게 알려진 OODA(Observe, Orient, Detect, and Act) 루프를 따라 더욱 빠르고 민첩해질 것을 촉구했다.

슈나이어 역시 이 접근방식을 선호하고 있다. 예를 들어 암스트롱은 시스템 운영자나 IT 보안팀이 네트워크상 침입자를 관찰하고 행동 계획을 결정하고 치료할 수 있다고 말했다. 암스트롱은 조직들이 그들의 계획, 커뮤니케이션(예를 들어, 그들의 네트워크가 적대적 환경이 되어버리면 어떻게 커뮤니케이션 할 것인지?) 그리고 운영을 어떻게 확장시킬 수 있는지에 대해 생각해야 한다고 촉구했다. 암스트롱은 전체 계획은 모든 부서가 관여되어야 한다고 주장했다.

하지만 여기에는 능력있는 개인이 필요하고 암스트롱은 인지된 기술과 실제 능력 사이를 경고했다.

"공격자들은 표적이 된 조직의 비효율성을 볼 수 있다. 그들은 보안전문가가 이소룡(Bruce Lee)가 아니라는 점을 알고 있다. 그러므로 팀을 보면서 그들의 능력을 객관적으로 바라봐야 한다. 만약 팀원들이 속도에 발맞추지 못하면 도움을 요청하거나 현장 교육을 모색하라."

그러면 그 사고 대응 계획을 수립하라. 올바른 프로세스를 갖추고 올바른 사람을 관여시키고 정기적으로 테스트해서 목적에 부합하는지 확인하면 탄탄한 계획을 충분히 달성할 수 있다. 무엇을 기다리고 있나? 지금 바로 계획을 세워라. editor@itworld.co.kr