보안팀이 준비해야 할 테이블탑 훈련 4가지

다양한 보안 위협에서 기업을 보호하는 것이 보안팀의 역할이다. 보안팀은 오늘날 널리 사용되는 테이블탑 훈련(tabletop exercise)을 통해 특정 위협을 최소화하고 위협 발생 시 빠르게 대처하는 절차를 수립할 수 있다. 테이블탑 훈련에서는 일반적으로 비상 상황에서 발생할 수 있는 여러 예상 시나리오를 살펴보면서 이해관계자 각자의 역할과 대응을 논의한다.
 

레드팀과 블루팀의 시뮬레이션 테스트처럼 실제 상황을 재현하는 훈련은 아니다. 테이블탑 훈련은 이해관계자들이 모의 위기 상황에 대해 대화할 수 있는 기회를 마련한다.  

테이블탑 훈련에서는 어떤 사항을 논의해야 할까? 보안 위협이 되는 잠재적인 취약점이 많은 것처럼 테이블탑 훈련의 목적 또한 다양하다. 많은 전문가가 각 기업의 위협 지형에 따라 1년 내내 테이블탑 훈련을 실시할 것을 권한다. 여기서는 모든 보안팀이 필수적으로 논의해야 할 가장 일반적인 테이블탑 훈련 4가지를 살펴본다.

1. 랜섬웨어

랜섬웨어 공격은 무차별적으로 공격하는 사이버 범죄자에게 가장 큰 보상을 주는 사이버 공격이다. 그 누구로 랜섬웨어 공격에서 안전하지 않다. 공격자는 초기 몸값 요구 외에도 피해 기업의 비즈니스 파트너는 물론 기업의 고객에게도 갈취를 시도할 수 있다. 사이버리즌(Cyberseason)의 2021년 연구에 따르면, 랜섬웨어 몸값을 지불한 기업 80%는 같은 공격자에게 2번째 공격을 받는 경우가 많다. 동일한 방식으로 공격을 받거나 후속 갈취 시도가 따르는 경우도 있다. 아마카이의 2023년 연구에서는 랜섬웨어 피해자가 3개월 이내에 후속 공격을 받을 가능성이 6배 더 높은 것으로 나타났다. 

사이버보험회사 우드루프 소여(Woodruff Sawyer)의 사이버책임 담당 부사장 데이비드 앤더슨은 러시아와 우크라이나 전쟁과 코로나19 팬데믹으로 인해 2022년 랜섬웨어 공격은 소강상태를 보였지만, 2023년에는 랜섬웨어 청구가 2022년보다 50% 증가했다고 지적했다. 올해는 2023년보다 더 많은 랜섬웨어 공격이 발생할 것으로 예상된다. 

사이버 공격 방어 체계를 평가하는 과정에서 보안팀은 랜섬웨어와 그에 따른 갈취 공격을 식별하고 완화할 방법을 모색한다. 규제 보고 요건과 잠재적인 법적 및 재정적 책임으로 인해 이런 과정에는 보안 이외의 이해관계자도 참여해야 한다. 여기에는 법무, 커뮤니케이션, 재무, 규정 준수 및 마케팅팀이 포함될 수 있다.

다음은 랜섬웨어 공격에서 고객과 비즈니스 파트너를 안전하게 보호하기 위해 테이블탑 훈련 시 질문해야 할 사항이다. 
 

• 데이터가 도난당하더라도 공격자가 사용할 수 없도록 모든 고객 데이터가 암호화되어 있는가?
• 고객 데이터가 별도의 서브넷에 있거나 기업의 기본 데이터와 분리되어 있는가?
• 침해가 발생했을 때 비즈니스 파트너의 데이터를 어떻게 보호되는가? 공격자가 비즈니스 파트너의 데이터를 강탈할 수 없도록 관리하고 있는가? 
• AI 기반 랜섬웨어 공격을 방어하기 위해 어떤 전략이 마련되어 있는가? 
• 기존 랜섬웨어 계획은 훈련 기간 동안 얼마나 잘 작동했는가? 
• 실행된 랜섬웨어 계획이 회사 시스템의 연속성을 얼마나 잘 보장하는가? 개선할 수 있는 점은 무엇인가?
• 공격을 막기 위해 어떤 방법을 사용할 것인가?
• 현재 백업이 손상된 경우에 대비한 비상 계획은 무엇인가? 손상되지 않은 백업을 찾으려면 얼마나 더 거슬러 올라가야 하는가? 
• 백업이 복구 가능하고 맬웨어에 의해 손상되지 않았는지 확인하지 위해 얼마나 자주 백업을 테스트하는가? 
• 규정 준수를 위해 랜섬웨어 공격을 신고하는 절차는 어떻게 되는가? 
• 보안팀은 법무, 마케팅, 커뮤니케이션팀과 어떻게 협력해 공격 영향을 받는 당사자와 미디어에 정보를 제공하는가? 

2. 서드파티 위험

버라이즌의 2022년 데이터 유출 조사 보고서(2022 Data Breach Investigation Report)에 따르면, 전체 데이터 유출 사고의 62%가 서드파티 공급업체를 통해 발생한다. 하지만 포레스터 수석 애널리스트 알라 발렌테는 버라이즌의 조사가 서드파티 위협을 과소평가했을 가능성이 있으며, 아마도 침해의 70% 이상이 서드파티 위험 요소를 일부 포함하고 있을 것이라고 지적했다. 

서드파티 위험 관리(Third-party Risk Management, TPRM) 훈련에는 주요 다운스트림 비즈니스 파트너(기업에 상품과 서비스를 공급하는 파트너)는 물론 사이버 보험 제공업체, 법 집행 기관, 이사회와 고위 경영진을 포함한 모든 주요 이해관계자를 대표하는 사람이 모두 참여해야 한다. 공급망 공격은 처음에는 랜섬웨어나 ATP(Advanced Persistent Threat) 또는 기타 사이버 위협으로 잘못 식별될 수 있다. 포렌식팀은 침해 후 조사를 통해 신뢰할 수 있는 서드파티를 통해 공격이 발생했음을 발견하기도 한다. 

다음은 서드파티 위험에 관한 테이블탑 훈련에서 할 수 있는 질문이다. 
 

• 비즈니스 파트너의 통신 및 데이터 전송 시스템에 잠재적인 위협이 있는지 얼마나 잘 조사하고 있는가?
• 비즈니스 파트너가 기업의 데이터베이스에 직접 액세스할 수 있는가? 잠재적인 위협에 대한 데이터 선별 작업을 먼저 거치는가?
• 파트너사와의 운영 방식에 맬웨어가 기존의 보안 제어/정책을 우회해 파트너에서 기업으로 전달될 수 있는 잠재적 취약점이 있는가? 
• 다운스트림의 2차 및 3차 파트너가 네트워크 또는 클라우드에 최종적으로 유입될 데이터를 손상되지 않은 상태로 제공하기 위해 어떤 정책과 절차를 마련하고 있는가? 다운스트림 공급망 파트너를 모두 테스트하는가? 아니면 1차 파트너만 테스트하는가?
• 기업의 네트워크 또는 클라우드를 떠나는 데이터도 테스트하는가? 업스트림 파트너를 감염시킬 수 있는 맬웨어가 없는지 어떻게 확신할 수 있는가?
• 기업 네트워크 또는 클라우드에 존재하는 모든 데이터가 비즈니스 파트너에 전송되기 전에 맬웨어를 분석하기 위한 정책과 절차가 얼마나 잘 마련되어 있는가? 
• 잠재적 비즈니스 파트너를 심사하기 위해 어떤 정책과 절차를 마련했으며, 심사 결과를 무효로 할 권한은 누구에게 있는가?
• 서드파티의 취약점이 확인됐을 때 회사 자산에 대한 액세스 권한을 부여하기 전에 문제를 해결하는 절차는 무엇인가?  
• 모든 클라우드 인스턴스를 데스트해 구성 오류는 없는지, 보안은 잘 유지되고 있는지 확인했는가? 
• 모든 회사 이메일 주소를 테스트해 퇴사해거나 사망한 직원 또는 사용하지 않는 서비스 계정의 이메일 주소가 없는지, 모든 이메일 주소가 적절하게 보호되고 있는지 확인했는가? 

신뢰할 수 있는 코드 리포지토리에서 맬웨어에 감염된 데이터를 다운로드해 기업의 코드 베이스가 손상되는 사례도 있다. 예를 들어, 깃허브에 대한 리포제킹(RepoJacking) 공격으로 인해 수백만 개의 리포지토리가 잠재적으로 손상된 적 있다. 다음은 모든 리포지토리 침해를 논의할 때 도움이 되는 질문이다. 
 

• 이전에 사용했던 깃허브 조직(Organization) 이름은 모두 무엇인가?
• 조직에서 인수 합병에 관여한 적 있는가? 
• 코드에 리포제킹에 취약한 깃허브 리포지토리로 이어지는 종속성이 있는가?
• 어딘가(문서, 가이드, 스택 오버플로 답변 등)에 리포제킹에 취약한 깃허브 리포지토리를 사용해야 한다고 제안하는 지침이 있는가? 

3. 내부자 위협

내부자 위협에는 크게 2가지 유형이 있다. 개인적, 재정적, 정치적 또는 기타 이익을 위해 고의로 기업 자산을 손상시키는 악의적인 내부자와 실수 또는 단순히 지식 부족으로 인해 보안 취약점을 생성하는 악의 없는 내부자다. 악의적인 내부자는 고의적인 범죄를 저지른 경우이며, 악의 없는 내부자는 사용자 실수 또는 사용자가 업무를 수행하기 위해 합리적으로 보이지만 취약성을 야기할 수 있는 조치를 취한 것일 수도 있다. 내부자 위협에서는 고의성을 파악하는 것이 중요하다. 다음은 고의성 여부를 파악하는 데 도움이 되는 몇 가지 질문이다.
 

• 이메일, 전화, 영상 통화 등의 방식으로 기업 자금을 이체해 달라는 요청이 왔을 때 보안 통제는 어떤 식으로 이뤄지는가?
• 보안 및 관리팀에서 기술 변화에 따라 제어 기능을 얼마나 자주 재평가하고 업데이트하는가? 
• 권한이 있는 사용자만 온프레미스 컴퓨팅 자산에 액세스할 수 있도록 하기 위해 어떤 물리적 보안 제어가 마련되어 있는가?
• 원격 사용자가 자신의 이메일 및 데이터 저장소를 포함한 모든 자산에 안전하게 액세스할 수 있도록 어떤 보안 제어가 마련되어 있는가? 
• 내부자 위협을 식별하기 위한 도구를 갖추고 있는가? 잠재적인 내부자 위협을 악의적 또는 비악의적 위협으로 분류할 수 있는 도구인가? 
• 내부자 위협을 처리하기 위한 기업의 정책과 절차는 무엇인가?
• 내부자 위협 사고의 법적 및 규제적 영향은 무엇인가? 
• 내부자 위협을 완화하기 위해 어떤 조치를 취할 수 있는가? 

4. DDoS 공격

DDoS 공격의 목표는 단순히 운영을 중단시키는 것이다. 초당 약 4억 건의 요청으로 최고치를 기록했던 2023년 구글을 대상으로 한 공격은 오늘날 기업이 직면한 '봇넷 군대'의 위협이 얼마나 큰지 보여주는 대표적인 사례다. 사실상 DDoS 공격은 언제나 네트워크 외부에서 발생하므로 DDoS 방어를 목표로 테이블탑 훈련을 준비하는 기업은 연속성, 조기 식별, 네트워크 복원력에 대해 질문해야 한다. 다음은 몇 가지 예다. 
 

• DDoS 공격을 얼마나 빨리 식별하고 분리할 수 있는가?
• 네트워크 엣지에서 DDoS 공격을 완화하기 위해 어떤 계획을 마련했는가? 
• 동기화 및 플러드 및 기타 반사 공격을 방어하기 위해 인프라 계층에는 어떤 방어책을 마련했는가? 
• HTTP 요청 폭주 및 유사한 애플리케이션 기반 공격에 대해 애플리케이션 계층에서는 어떤 방어 체계를 갖추고 있는가?
• 공격 표면적과 공격 벡터 수를 줄이기 위해 어떤 노력을 기울이고 있는가? 
• 잠재적인 비정상 공격에 대응하기 위해 네트워크를 어떻게 확장하고 있는가?
• DDoS 공격을 방어하기 위해 EDR(Endpoint Detection and Response)을 어떻게 구성하고 있는가? 얼마나 자주 테스트하는가? 

모든 테이블탑 훈련은 유일무이하며, 각 세션에서는 목표에 맞는 질문을 포함하는 것이 중요하다. 여기서 제시한 질문은 보안팀이 우선순위를 결정하는 데 도움이 될 수 있다. 일반적으로 테이블탑 훈련의 첫 번째 단계는 목표를 식별하는 것이다. 이 목표에 따라 파생되는 질문을 테이블탑 훈련에 반영하면 훨씬 더 체계적인 방어 및 대응 체계를 마련할 수 있을 것이다.
editor@itworld.co.kr