2021.02.02

냉철한 판단력 유지하려면?··· 사이버 사고 대응(IR) 팀을 위한 조언

Dan Swinhoe | CSO
사고 대응(IR ; Incident response)은 대규모 조직이라면 보안 전략의 한 축이다. 다양한 상황과 시나리오에 대응하는 방법을 숙지함으로써 기업은 사이버 공격에 더 신속하고 효과적으로 대응할 수 있다.

또한 비용 편익도 있다. IBM의 2020년 데이터 유출 비용 보고서에 따르면 탁상 연습(tabletop exercises) 또는 시뮬레이션을 통해 IR 계획을 테스트하는 사고 대응팀이 있는 기업들은 IR 팀이나 IR 테스트가 없는 기업들과 비교해 유출 비용이 평균 200만 달러나 낮은 것으로 나타났다. 그렇다면 사고 대응팀은 어떻게 구성하고 훈련해야 할까? 긴급 상황 중 적절한 의사 결정에 도움이 되는 팁을 살펴본다. 
 
Image Credit : Getty Images Bank

연 1회 기동 훈련으로는 효과적인 IR을 달성할 수 없다
심리학자 레베카 맥키원은 의사결정 및 상황 인식 파악 전문가로서, 영국 민간항공관리국(Civil Aviation Authority, CAA)과 영국 국방부에서 근무한 바 있다. 그녀는 국방과 사이버 보안 사이에 유사성이 높으며, 서로 의사결정에 관해 배울 것이 있다고 생각한다. 그녀는 “문제는 같다. 높은 압박, 빠른 속도, 높은 복잡성, 중대한 이해 관계, 많은 이해관계자 등이다. 영역만 다르지 문제의 종류는 같다”라고 말했다.

국방과 마차가지로 사이버 보안에는 프레임워크가 많다. OODA Loop 등의 프레임워크는 국방의 영역에 걸쳐 있기도 하다. 그리고 국방과 마찬가지로 사전 정의된 프레임워크와 프로세스에 과도하게 의존하면 결과가 좋지 못할 수 있다. 

맥키원은 “사고의 민첩성이 정말 중요하다. OODA와 다른 프레임워크에 과도하게 의존하면 사람들은 프레임워크를 채우고 답변을 제공하는 것에 관해 생각하는 경향이 있다. 현실은 그것보다 훨씬 복잡하다”라고 말했다.

CISO들은 향상된 사고 스킬과 정신적 민첩성을 높이고 사고 대응팀들의 비판적 사고와 의사결정을 촉진할 수 있어야 한다. 그래야 더욱 신속하고 효과적인 대응을 유도하는 방법을 찾을 수 있다. 그녀는 “사이버의 특성상 너무 불확실하고 빠르기 때문에 OODA 같은 것에 의존하면 잘못된 길로 빠지거나 잘못된 분석점에 도달할 수 있다”라고 경고했다.

맥키원은 “무엇인가 발생한 이후 내리는 결정, 이를테면 국방 분야에서는 ‘총성이 울린 후 일어나는 일’에 대해 내리는 결정의 경우, 숙련된 운영자가 정보와 직관 및 경험을 기준으로 결론을 내리게 된다. 이 때 그들이 가진 인지적 편향에 따라 잘못된 것을 기준으로 일련의 결정을 내릴 수 있음에 유의해야 한다”라고 말했다.

이를 위해 필요한 것이 정기적인 훈련이다. 연 1회 전사적 규모의 블랙 스완형 이벤트도 가치가 있다. 그러나 보안팀은 정기적인 ‘최소 규모 훈련’을 업무에 도입하여 예민하게 유지하면서 잘못된 습관이나 틀에 빠지지 않고 사고에 더욱 효과적으로 대응할 수 있도록 해야 한다고 맥키원이 말했다.

그녀는 “두뇌의 작동 방식 때문에 실제로 이런 스킬을 더욱 자주 연습해야 한다. 스킬 페이드(Skill Fade)라는 것이 있다. 프로세스와 관련된 의사결정 스킬 역량은 매우 빠르게 저하된다. 연 1회만 한다면 훈련 이벤트 자체로부터 최적의 결과를 얻지 못할 것이다”라고 말했다.

즉 맥키원은 기업들이 대규모 연습 외에 연중 여러 소규모 이벤트를 진행해야 한다고 조언했다. 대규모 시뮬레이션과 마찬가지로 소규모 이벤트의 데이터와 피드백을 평가하고 반영하여 배우고 개선하면서 스킬을 예민하게 유지하고 나쁜 습관이 형성되는 것을 방지해야 한다.
정기적인 사고 대응 연습으로 몸에 밴 편향을 이겨낼 수 있다
자동화가 증가하고 있는 가운데, 사고 대응팀이 자신의 편향과 사용 중인 도구와 기술에 배어 있을 수 있는 편향을 이겨냄으로써 가망이 없는 일을 추진하거나 기러기를 좇는 일(wild goose chases )이 없어야 한다. 

맥키원은 “예리한 의사결정 역량은 정기적으로 사용되지 않으면 그렇게 효과적이지 않다. 뇌는 용량이 제한된 정보 처리 장치이다. 아드레날린이 흐르기 시작하면 초점이 좁아지기 때문에 터널 시야에서 벗어나기가 매우 어렵다”라고 말했다.

맥키원은 “또 킬이 매우 숙련되어 있다고 생각하는 경우 익숙한 문제가 발생했을 때 특정 경로로 가는 경향이 있다. 모든 것이 자동이기 때문에 유입되는 정보에 대해 가정하고 잘못된 길로 빠져들 수 있다”라고 덧붙였다.

특히 사이버 보안 전문가들은 다양한 유형의 잠재적인 인지 편향에 사로잡힐 수 있다. 이런 편향은 사고 대응 라이프사이클 전반에 걸쳐 적용되어 회사의 조사, 대응, 전반적인 보안 상태를 저해할 수 있다. 맥키원은 몇 가지 보편적인 잠재적 편향을 언급했다.

앵커링(Anchoring)은 하나의 정보에 얽매여 잘못된 것을 올바른 것으로 취급하는 것이다. 이를테면 공격이 특정 민족 국가에 의한 것이라고 섣불리 판단하는 상황이 발생할 수 있다. 이것은 이후 대응 프로세스에서 정보와 의사를 결정하는 방식에 영향을 미칠 수 있다. 

확증 편향(Confirmation Bias)은 하나의 정보에 얽매인 후에 발생한다. 대응자가 민족 국가 또는 특정 활동자의 표적이 되고 있다는 생각에 사로잡히게 되면 그들의 이론을 뒷받침하는 정보에 집중하고 정반대되는 증거를 간과할 수 있다.

가용성 편향(Availability Bias)은 바로 머리속에 떠오르는 예에 과도하게 집중하고 실제보다 더 대표성이 있다고 생각하는 것이다. 가령 특정 유형의 공격에 관한 기사를 읽은 대응자는 현실과 다르게 현재 그런 일을 경험하고 있다고 가정할 수 있다. 

근본 귀인 오류(Fundamental Attribution Error)의 핵심은 상황이 아니라 사람을 비난하는 것이다. IR의 예로 악성 이메일을 보안 통제를 어떻게 통과했는지 또는 이용된 계정의 의심스러운 활동이 감지되지 않은 이유를 조사하는 대신에 사용자가 피싱 링크를 클릭한 것에 대해 비난하는 것일 수 있다. 

성급한 종료(Premature Closure)는 진단이 된 후 사고를 멈추는 것이다. 보안 영역에서는 처음에 사고가 발생한 방식이나 이유만 해결하고 잠재적인 보안 약점을 해소하지 않은 채 방치하는 경우다.

이머시브 랩스(Immersive Labs)의 CCO(Chief Cyber Officer) 맥스 베터는 “사이버 사고에 대한 정형화된 형식은 없다. 따라서 대응자들이 재빨리 대응하는 스킬을 개발하는 것이 매우 중요하다. 표면과 허상에 그치지 않는 것이 중요하다. 자신을 속이려는 사람과 마주할 때 견제 공격과 위장술책을 사용하는 경우가 많기 때문에 이 부분이 중요하다”라고 말했다.

사고 대응팀의 사고 방식과 그들의 장단점을 이해하는 능력을 발달시키기 위해 CISO들은 시간을 두고 잠재적인 편향을 숙고하며 확인한 후 그런 습관을 바꾸기 위해 주기적으로 노력해야 한다. 맥키원은 “이런 것들을 주기적으로 반복한다면 새로운 패턴을 쌓게 되고 이것은 인식을 높이며 자신이 생각하는 현실을 극복하는 데 도움이 된다. 한 번에 이루어지지 않는다. 시간을 두고 많은 훈련을 해야 한다”라고 말했다.

사고 대응 연습을 더 자주 수행하는 방법
일회성 대규모 이벤트를 보완하기 위해 맥키원은 사고 대응에 데브섹옵스(DevSecOps) 같은 접근방식을 취하라고 조언했다. 대규모 이벤트와 연계된 소규모 훈련을 정기적으로 수행하고 데이터를 활용하여 잠재적인 문제를 확인하면서 무엇이 효과가 있었는지 평가해야 하며, 다음 번에 무엇을 다르게 해야 하는지 결정해야 한다. 그녀는 8주마다의 정기적인 IR 훈련이 ‘이상적인 표준’이며 12주 이상의 경우 스킬이 희미해지고 팀들의 정신적인 민첩성이 떨어질 수 있다고 말했다.

맥키원은 “개인적으로 다양한 시나리오가 중요하다고 생각한다. 제시한 시나리오가 많을수록 사람들이 더 많은 패턴을 학습하기 시작하여 사고가 더욱 민첩해진다. 조직마다 문제와 스킬 세트가 다르기 때문에 맞춤 조정해야 한다. 특히 여러 분야에 걸쳐 있는 팀을 구축할 때는 더욱 그렇다”라고 말했다.

대응 훈련의 정확한 속성과 시나리오는 각 기업마다 직면한 위협에 따라 달라지지만 이머시브 랩스의 베터는 랜섬웨어 훈련이 보편적인 시나리오라고 말했다. CISO는 데이터를 살펴보고 보안팀이 고려하지 않은 잠재적인 KPI 또는 목표를 확인하여 그 정보를 시작점으로 삼아야 한다. 훈련 결과를 볼 때 CISO는 데이터를 보고 목표를 달성할 수 없는 이유를 해결해야 한다.

맥키원은 “전통적인 지표는 자신의 상황과 무엇을 잘 못하고 있는지에 대한 지표를 제공할 것이다. 이런 전통적인 지표를 이용하여 좀 더 발전시켜야 한다. 그 데이터가 갖는 의미는 무엇이며 어디를 가리키고 있는가? 데이터를 조사하고 구체적인 수치를 통해 '왜'에 대한 질문을 던지는 것이 중요하다”라고 말했다. ciokr@idg.co.kr



2021.02.02

냉철한 판단력 유지하려면?··· 사이버 사고 대응(IR) 팀을 위한 조언

Dan Swinhoe | CSO
사고 대응(IR ; Incident response)은 대규모 조직이라면 보안 전략의 한 축이다. 다양한 상황과 시나리오에 대응하는 방법을 숙지함으로써 기업은 사이버 공격에 더 신속하고 효과적으로 대응할 수 있다.

또한 비용 편익도 있다. IBM의 2020년 데이터 유출 비용 보고서에 따르면 탁상 연습(tabletop exercises) 또는 시뮬레이션을 통해 IR 계획을 테스트하는 사고 대응팀이 있는 기업들은 IR 팀이나 IR 테스트가 없는 기업들과 비교해 유출 비용이 평균 200만 달러나 낮은 것으로 나타났다. 그렇다면 사고 대응팀은 어떻게 구성하고 훈련해야 할까? 긴급 상황 중 적절한 의사 결정에 도움이 되는 팁을 살펴본다. 
 
Image Credit : Getty Images Bank

연 1회 기동 훈련으로는 효과적인 IR을 달성할 수 없다
심리학자 레베카 맥키원은 의사결정 및 상황 인식 파악 전문가로서, 영국 민간항공관리국(Civil Aviation Authority, CAA)과 영국 국방부에서 근무한 바 있다. 그녀는 국방과 사이버 보안 사이에 유사성이 높으며, 서로 의사결정에 관해 배울 것이 있다고 생각한다. 그녀는 “문제는 같다. 높은 압박, 빠른 속도, 높은 복잡성, 중대한 이해 관계, 많은 이해관계자 등이다. 영역만 다르지 문제의 종류는 같다”라고 말했다.

국방과 마차가지로 사이버 보안에는 프레임워크가 많다. OODA Loop 등의 프레임워크는 국방의 영역에 걸쳐 있기도 하다. 그리고 국방과 마찬가지로 사전 정의된 프레임워크와 프로세스에 과도하게 의존하면 결과가 좋지 못할 수 있다. 

맥키원은 “사고의 민첩성이 정말 중요하다. OODA와 다른 프레임워크에 과도하게 의존하면 사람들은 프레임워크를 채우고 답변을 제공하는 것에 관해 생각하는 경향이 있다. 현실은 그것보다 훨씬 복잡하다”라고 말했다.

CISO들은 향상된 사고 스킬과 정신적 민첩성을 높이고 사고 대응팀들의 비판적 사고와 의사결정을 촉진할 수 있어야 한다. 그래야 더욱 신속하고 효과적인 대응을 유도하는 방법을 찾을 수 있다. 그녀는 “사이버의 특성상 너무 불확실하고 빠르기 때문에 OODA 같은 것에 의존하면 잘못된 길로 빠지거나 잘못된 분석점에 도달할 수 있다”라고 경고했다.

맥키원은 “무엇인가 발생한 이후 내리는 결정, 이를테면 국방 분야에서는 ‘총성이 울린 후 일어나는 일’에 대해 내리는 결정의 경우, 숙련된 운영자가 정보와 직관 및 경험을 기준으로 결론을 내리게 된다. 이 때 그들이 가진 인지적 편향에 따라 잘못된 것을 기준으로 일련의 결정을 내릴 수 있음에 유의해야 한다”라고 말했다.

이를 위해 필요한 것이 정기적인 훈련이다. 연 1회 전사적 규모의 블랙 스완형 이벤트도 가치가 있다. 그러나 보안팀은 정기적인 ‘최소 규모 훈련’을 업무에 도입하여 예민하게 유지하면서 잘못된 습관이나 틀에 빠지지 않고 사고에 더욱 효과적으로 대응할 수 있도록 해야 한다고 맥키원이 말했다.

그녀는 “두뇌의 작동 방식 때문에 실제로 이런 스킬을 더욱 자주 연습해야 한다. 스킬 페이드(Skill Fade)라는 것이 있다. 프로세스와 관련된 의사결정 스킬 역량은 매우 빠르게 저하된다. 연 1회만 한다면 훈련 이벤트 자체로부터 최적의 결과를 얻지 못할 것이다”라고 말했다.

즉 맥키원은 기업들이 대규모 연습 외에 연중 여러 소규모 이벤트를 진행해야 한다고 조언했다. 대규모 시뮬레이션과 마찬가지로 소규모 이벤트의 데이터와 피드백을 평가하고 반영하여 배우고 개선하면서 스킬을 예민하게 유지하고 나쁜 습관이 형성되는 것을 방지해야 한다.
정기적인 사고 대응 연습으로 몸에 밴 편향을 이겨낼 수 있다
자동화가 증가하고 있는 가운데, 사고 대응팀이 자신의 편향과 사용 중인 도구와 기술에 배어 있을 수 있는 편향을 이겨냄으로써 가망이 없는 일을 추진하거나 기러기를 좇는 일(wild goose chases )이 없어야 한다. 

맥키원은 “예리한 의사결정 역량은 정기적으로 사용되지 않으면 그렇게 효과적이지 않다. 뇌는 용량이 제한된 정보 처리 장치이다. 아드레날린이 흐르기 시작하면 초점이 좁아지기 때문에 터널 시야에서 벗어나기가 매우 어렵다”라고 말했다.

맥키원은 “또 킬이 매우 숙련되어 있다고 생각하는 경우 익숙한 문제가 발생했을 때 특정 경로로 가는 경향이 있다. 모든 것이 자동이기 때문에 유입되는 정보에 대해 가정하고 잘못된 길로 빠져들 수 있다”라고 덧붙였다.

특히 사이버 보안 전문가들은 다양한 유형의 잠재적인 인지 편향에 사로잡힐 수 있다. 이런 편향은 사고 대응 라이프사이클 전반에 걸쳐 적용되어 회사의 조사, 대응, 전반적인 보안 상태를 저해할 수 있다. 맥키원은 몇 가지 보편적인 잠재적 편향을 언급했다.

앵커링(Anchoring)은 하나의 정보에 얽매여 잘못된 것을 올바른 것으로 취급하는 것이다. 이를테면 공격이 특정 민족 국가에 의한 것이라고 섣불리 판단하는 상황이 발생할 수 있다. 이것은 이후 대응 프로세스에서 정보와 의사를 결정하는 방식에 영향을 미칠 수 있다. 

확증 편향(Confirmation Bias)은 하나의 정보에 얽매인 후에 발생한다. 대응자가 민족 국가 또는 특정 활동자의 표적이 되고 있다는 생각에 사로잡히게 되면 그들의 이론을 뒷받침하는 정보에 집중하고 정반대되는 증거를 간과할 수 있다.

가용성 편향(Availability Bias)은 바로 머리속에 떠오르는 예에 과도하게 집중하고 실제보다 더 대표성이 있다고 생각하는 것이다. 가령 특정 유형의 공격에 관한 기사를 읽은 대응자는 현실과 다르게 현재 그런 일을 경험하고 있다고 가정할 수 있다. 

근본 귀인 오류(Fundamental Attribution Error)의 핵심은 상황이 아니라 사람을 비난하는 것이다. IR의 예로 악성 이메일을 보안 통제를 어떻게 통과했는지 또는 이용된 계정의 의심스러운 활동이 감지되지 않은 이유를 조사하는 대신에 사용자가 피싱 링크를 클릭한 것에 대해 비난하는 것일 수 있다. 

성급한 종료(Premature Closure)는 진단이 된 후 사고를 멈추는 것이다. 보안 영역에서는 처음에 사고가 발생한 방식이나 이유만 해결하고 잠재적인 보안 약점을 해소하지 않은 채 방치하는 경우다.

이머시브 랩스(Immersive Labs)의 CCO(Chief Cyber Officer) 맥스 베터는 “사이버 사고에 대한 정형화된 형식은 없다. 따라서 대응자들이 재빨리 대응하는 스킬을 개발하는 것이 매우 중요하다. 표면과 허상에 그치지 않는 것이 중요하다. 자신을 속이려는 사람과 마주할 때 견제 공격과 위장술책을 사용하는 경우가 많기 때문에 이 부분이 중요하다”라고 말했다.

사고 대응팀의 사고 방식과 그들의 장단점을 이해하는 능력을 발달시키기 위해 CISO들은 시간을 두고 잠재적인 편향을 숙고하며 확인한 후 그런 습관을 바꾸기 위해 주기적으로 노력해야 한다. 맥키원은 “이런 것들을 주기적으로 반복한다면 새로운 패턴을 쌓게 되고 이것은 인식을 높이며 자신이 생각하는 현실을 극복하는 데 도움이 된다. 한 번에 이루어지지 않는다. 시간을 두고 많은 훈련을 해야 한다”라고 말했다.

사고 대응 연습을 더 자주 수행하는 방법
일회성 대규모 이벤트를 보완하기 위해 맥키원은 사고 대응에 데브섹옵스(DevSecOps) 같은 접근방식을 취하라고 조언했다. 대규모 이벤트와 연계된 소규모 훈련을 정기적으로 수행하고 데이터를 활용하여 잠재적인 문제를 확인하면서 무엇이 효과가 있었는지 평가해야 하며, 다음 번에 무엇을 다르게 해야 하는지 결정해야 한다. 그녀는 8주마다의 정기적인 IR 훈련이 ‘이상적인 표준’이며 12주 이상의 경우 스킬이 희미해지고 팀들의 정신적인 민첩성이 떨어질 수 있다고 말했다.

맥키원은 “개인적으로 다양한 시나리오가 중요하다고 생각한다. 제시한 시나리오가 많을수록 사람들이 더 많은 패턴을 학습하기 시작하여 사고가 더욱 민첩해진다. 조직마다 문제와 스킬 세트가 다르기 때문에 맞춤 조정해야 한다. 특히 여러 분야에 걸쳐 있는 팀을 구축할 때는 더욱 그렇다”라고 말했다.

대응 훈련의 정확한 속성과 시나리오는 각 기업마다 직면한 위협에 따라 달라지지만 이머시브 랩스의 베터는 랜섬웨어 훈련이 보편적인 시나리오라고 말했다. CISO는 데이터를 살펴보고 보안팀이 고려하지 않은 잠재적인 KPI 또는 목표를 확인하여 그 정보를 시작점으로 삼아야 한다. 훈련 결과를 볼 때 CISO는 데이터를 보고 목표를 달성할 수 없는 이유를 해결해야 한다.

맥키원은 “전통적인 지표는 자신의 상황과 무엇을 잘 못하고 있는지에 대한 지표를 제공할 것이다. 이런 전통적인 지표를 이용하여 좀 더 발전시켜야 한다. 그 데이터가 갖는 의미는 무엇이며 어디를 가리키고 있는가? 데이터를 조사하고 구체적인 수치를 통해 '왜'에 대한 질문을 던지는 것이 중요하다”라고 말했다. ciokr@idg.co.kr

X