2017.05.26

데이터 유출을 확인했을 때 가장 먼저 해야 할 일

Taylor Armerding | CSO
지난 10년 이상 보안 전문가들은 '해킹은 가능성이 아니고 시기의 문제'라고 지적해 왔다. 그렇다면 더 현실적인 질문을 해보자. "해킹을 당했다. 이제 뭘 해야 하지?" 이것은 최근 열린 MIT 슬론 CIO 심포지엄(MIT Sloan CIO Symposium) 행사의 주요 논의 주제이기도 했다.

현재 널리 알려진 해킹 방어법 대부분은 '모든 해킹을 막을 수 있는 확실한 방법은 없다'는 가정하에 사고 대응에 초점을 맞추고 있다. 이날 논의에서도 토론자들은 빠르고 정확하게 대처할 수 있다면 설사 내부 네트워크가 뚫려도 그 피해를 최소화할 수 있다고 말했다.

필립스의 CISO 앤드루 스탠리는 "해킹이 행위라면 그 결과는 정보 유출이다. 따라서 정보 유출보다 해킹에 더 중점을 두고 대책을 마련해야 한다. 예를 들면 해킹이 어떻게, 왜, 언제, 어디서 일어났는지를 밝히는 것이다. C 레벨 임원이 정보 유출 상황보다 더 알고 싶어하는 것이기도 하다. 이를 알아야 사고 대응에 도움이 되고 더 효과적으로 피해를 줄일 수 있다"고 말했다.

ADP의 제임스 루거빌도 이에 동의했다. 그는 "정보 유출의 피해를 최소화하는 핵심은 얼마나 빨리 대응을 시작해 유출을 중단시키느냐이지만 정확한 정보 없이 경솔하게 대응에 나서지 않는 것도 중요하다"고 말했다.

이어 "너무 빨리 대응하지 않으려면 상당한 인내심이 필요하다. 초기에 확보한 정보 대부분도 완전하지 않을 것이다. 이때는 모든 사람을 사고 대응에 참여하도록 하는 것이 중요하다. 사고 대응은 단거리 경주가 아니라 마라톤이다. 데이터를 분석해 불완전한 정보에 경솔하지 대응하지 않을 시간이 가져야 한다. 이런 시간을 통해 정확한 정보를 확보해야만 악의적인 해커를 추적해 박멸할 수 있다. 동시에 그들의 목적이 무엇인지도 알 수 있다"고 덧붙였다.


정보 유출시 법적 고지 관련해서는 나라마다 혹은 주마다 상황이 다를 수 있다. 스탠리는 "정보 유출을 당국에 신고하면 공적 문서로 남기 때문에 임원은 이를 그리 달가워하지 않는다. 이따금 피하려고 시도하는 것도 이 때문이다. 그러나 고지 문제는 사람들의 프라이버시에도 영향을 줄 수 있다. 사법 당국의 수사를 받을 가능성도 있다는 것을 알아야 한다"고 말했다.

사고 대응에 필요한 정보를 수집하는 것도 중요한 작업이다. 단, 여기에는 정보를 필요한 사람, 법적으로 반드시 정보를 알아야 하는 사람에 대한 논란이 있다. 스탠리는 "이런 논란을 제외하면 정보 수집은 공격 의도를 파악하기 위해 가장 중요한 작업이다. 만약 모든 피싱 이메일이 한 지역에서 발송됐다면 그것은 사이버 공격이므로 해당 지역에서 무엇을 해야 하고 그 목표가 무엇인지 집중적으로 검토해야 한다"고 말했다.

사고에 잘 대응하려면 평소에 훈련을 해두는 것이 좋다. 두 토론자도 실제 정보 유출 사고 상황에서 어떻게 대응해야 하는지 익히기 위해 다양한 훈련과 모의 해킹 등을 실행한다고 밝혔다. 특히 루거힐은 "완벽한 훈련만이 완벽한 사고 대응을 만든다. 훈련 자체가 잘못되면 사고 대응도 잘못될 수 밖에 없다"고 말했다.

한편 일부에서는 전체 보안 체계에서 결국 사람이 가장 약한 고리이므로 이에 대한 대안이 필요하다고 지적한다. 그러나 루거힐은 이에 동의하지 않았다. 전적으로 직원의 책임은 아니라는 것이다.

그는 "그동안 기업은 보안 사고가 발생했을 때 직원이 자신이 해야할 일, 즉 부담없이 회사에 알릴 수 있도록 하는 환경을 만들지 못했다. 이제는 피싱에 속는 보안 전문가도 많은 만큼 피싱이 점점 더 정교해지고 있다. 따라서 앞으로는 직원이 이를 적극 보고할 수 있는 분위기를 만들어야 한다. 이 모든 과정이 더 편리하고, 더 투명하게 처리될 수 있도록 개선해야 한다"고 말했다. ciokr@idg.co.kr 



2017.05.26

데이터 유출을 확인했을 때 가장 먼저 해야 할 일

Taylor Armerding | CSO
지난 10년 이상 보안 전문가들은 '해킹은 가능성이 아니고 시기의 문제'라고 지적해 왔다. 그렇다면 더 현실적인 질문을 해보자. "해킹을 당했다. 이제 뭘 해야 하지?" 이것은 최근 열린 MIT 슬론 CIO 심포지엄(MIT Sloan CIO Symposium) 행사의 주요 논의 주제이기도 했다.

현재 널리 알려진 해킹 방어법 대부분은 '모든 해킹을 막을 수 있는 확실한 방법은 없다'는 가정하에 사고 대응에 초점을 맞추고 있다. 이날 논의에서도 토론자들은 빠르고 정확하게 대처할 수 있다면 설사 내부 네트워크가 뚫려도 그 피해를 최소화할 수 있다고 말했다.

필립스의 CISO 앤드루 스탠리는 "해킹이 행위라면 그 결과는 정보 유출이다. 따라서 정보 유출보다 해킹에 더 중점을 두고 대책을 마련해야 한다. 예를 들면 해킹이 어떻게, 왜, 언제, 어디서 일어났는지를 밝히는 것이다. C 레벨 임원이 정보 유출 상황보다 더 알고 싶어하는 것이기도 하다. 이를 알아야 사고 대응에 도움이 되고 더 효과적으로 피해를 줄일 수 있다"고 말했다.

ADP의 제임스 루거빌도 이에 동의했다. 그는 "정보 유출의 피해를 최소화하는 핵심은 얼마나 빨리 대응을 시작해 유출을 중단시키느냐이지만 정확한 정보 없이 경솔하게 대응에 나서지 않는 것도 중요하다"고 말했다.

이어 "너무 빨리 대응하지 않으려면 상당한 인내심이 필요하다. 초기에 확보한 정보 대부분도 완전하지 않을 것이다. 이때는 모든 사람을 사고 대응에 참여하도록 하는 것이 중요하다. 사고 대응은 단거리 경주가 아니라 마라톤이다. 데이터를 분석해 불완전한 정보에 경솔하지 대응하지 않을 시간이 가져야 한다. 이런 시간을 통해 정확한 정보를 확보해야만 악의적인 해커를 추적해 박멸할 수 있다. 동시에 그들의 목적이 무엇인지도 알 수 있다"고 덧붙였다.


정보 유출시 법적 고지 관련해서는 나라마다 혹은 주마다 상황이 다를 수 있다. 스탠리는 "정보 유출을 당국에 신고하면 공적 문서로 남기 때문에 임원은 이를 그리 달가워하지 않는다. 이따금 피하려고 시도하는 것도 이 때문이다. 그러나 고지 문제는 사람들의 프라이버시에도 영향을 줄 수 있다. 사법 당국의 수사를 받을 가능성도 있다는 것을 알아야 한다"고 말했다.

사고 대응에 필요한 정보를 수집하는 것도 중요한 작업이다. 단, 여기에는 정보를 필요한 사람, 법적으로 반드시 정보를 알아야 하는 사람에 대한 논란이 있다. 스탠리는 "이런 논란을 제외하면 정보 수집은 공격 의도를 파악하기 위해 가장 중요한 작업이다. 만약 모든 피싱 이메일이 한 지역에서 발송됐다면 그것은 사이버 공격이므로 해당 지역에서 무엇을 해야 하고 그 목표가 무엇인지 집중적으로 검토해야 한다"고 말했다.

사고에 잘 대응하려면 평소에 훈련을 해두는 것이 좋다. 두 토론자도 실제 정보 유출 사고 상황에서 어떻게 대응해야 하는지 익히기 위해 다양한 훈련과 모의 해킹 등을 실행한다고 밝혔다. 특히 루거힐은 "완벽한 훈련만이 완벽한 사고 대응을 만든다. 훈련 자체가 잘못되면 사고 대응도 잘못될 수 밖에 없다"고 말했다.

한편 일부에서는 전체 보안 체계에서 결국 사람이 가장 약한 고리이므로 이에 대한 대안이 필요하다고 지적한다. 그러나 루거힐은 이에 동의하지 않았다. 전적으로 직원의 책임은 아니라는 것이다.

그는 "그동안 기업은 보안 사고가 발생했을 때 직원이 자신이 해야할 일, 즉 부담없이 회사에 알릴 수 있도록 하는 환경을 만들지 못했다. 이제는 피싱에 속는 보안 전문가도 많은 만큼 피싱이 점점 더 정교해지고 있다. 따라서 앞으로는 직원이 이를 적극 보고할 수 있는 분위기를 만들어야 한다. 이 모든 과정이 더 편리하고, 더 투명하게 처리될 수 있도록 개선해야 한다"고 말했다. ciokr@idg.co.kr 

X