사고 대응 계획을 준비할 때에는 '디테일(세부 사항)'에 신경을 써야 한다. 정말 잘 준비된 IR(Incident Response-사고 대응) 계획이라도 핵심 요소가 빠져 있다면, 정상 운영을 조속히 재개하기 어렵다.
사이버리즌(Cyberreason)이 뼈대를 제공한 이번 가이드는 반드시 IR계획에 반영되어야 하는 9가지 요소와 단계를 소개하고 있다.
전사적인 준비와 대비
우수한 보안 리더는 전사적으로 직원들이 IR계획 준비할 수 있도록 유도할 수 있어야 한다. 아마 CISO가 위협을 담당하는 팀을 관리하겠지만 침해 사고 극복에는 전사적인 노력이 필요하다.
예를 들어, 침해 사고가 초래한 영향을 처리해야 하는 은행은 사고 공개가 법적 의무일 경우 PR부서의 도움이 필요하다.
또 공격자가 워드프레스(WordPress) 취약점 등 웹사이트 취약점을 이용해 공격을 했다면, 웹 개발 팀이 관여해야 한다. 직원 개인정보가 유출되었다면 HR 부서에도 연락을 해야 한다. 즉 은행 사고 대응계획에는 이들 부서의 의견이 반영되어 있어야 한다.
철저한 사고 대응계획은 침해사고 발생을 알게 되었을 때 통보해야 할 핵심 인력, 회사 내부와 외부에 침해사고 정보를 커뮤니케이션 하는 방법을 규정하고 있는 것이어야 한다. 또 계획을 마련하는 과정에서 핵심 인력의 연락처 정보와 커뮤니케이션 타임라인(스케줄)을 추가시켜야 한다.
척도와 매트릭스를 파악
좋은 사고 대응계획은 사전에 KPI(Key Performance Indicator)를 규정한다. 그리고 사고가 발생하면 보안팀이 이를 기준으로 평가를 실시한다. 시간과 관련된 척도로는 감지까지 걸린 시간, 사고 보고까지 걸린 시간, 분류 시간, 조사 시간, 대응 시간 등을 포함시키는 것이 좋다. 또 긍정 오류의 수, 공격 특성(멜웨어 기반 및 기타), 사고를 감지한 도구 등도 추적해야 한다.
테스트
기업은 준비 단계 동안 다양한 침해 시나리오를 고려해야 한다. 팀 트레이닝, 도상 훈련, '청색 팀 vs 적색 팀' 훈련을 통해 시나리오를 평가해야 한다. 또 실제 침해 사고가 발생했을 때 직원들이 자신이 해야 할 일을 인식하도록 침해 상황을 시뮬레이션 해야 한다.
이는 기업이 약점과 위험 요소를 파악하고, 세밀히 모니터 할 활동을 규정하고, 보안 예산 용도를 결정하는 단계이다. 또 고속 성장 기업이라면, 매년 1차례 이상 IR계획을 바꿔야 한다. 또 사고 대응계획에는 모든 비즈니스 규정이 반영되어 있어야 한다.
정상으로 보이는 '경고'를 확인
보안과 그리 관련 없어 보이는 상황에서 위협을 감지할 수 있다. 예를 들어, IT는 컴퓨터 성능이 저하되는 문제를 조사하면서 멜웨어 감염을 발견하고, 직원들이 의심스러운 링크를 클릭한 피싱 공격이 발생했는지 조사할 수 있다. IT담당자는 사고가 보안과 관련 없는 것으로 보일 때를 포함해 각종 기술적인 문제를 조사할 때 침해를 알리는 신호가 있는지 확인해야 한다.
가장 좋은 방어책은 사용자가 의심스러운 링크가 있는 이메일을 받았을 때 보안 부서에 연락할 수 있도록 만드는 등 사용자를 잘 훈련시키는 것이다.
또 IT와 보안팀은 사용자의 의심을 무시해서는 안 된다. 이런 의심에 대한 예감을 항상 조사해야 한다. 사람의 직관이 침해를 발견할 수 있는 단서로 이어질 수 있기 때문이다.
통합 데이터 저장소
기업이 위협 감지에 사용하는 방법이 무엇이든, 가장 중요한 단계는 모든 사고 정보를 중앙 저장소에 통합하는 것이다. 일반적으로 SIEM을 이용한다. 그러나 IT 환경 전반을 종합적으로 확인하기 힘든 경우도 있다.
사고 대응팀이 뒤늦게 환경에서 발생한 모든 것을 확인하려 하는 때가 잦다. 그런데 너무 늦은 시점이라 종합적인 확인이 어려운 경우가 많다. 이 경우, 너무 부분적이어서 가치가 결여된다. 지속적으로 폭 넓게 전체 환경을 확인할 수 있는 데이터 저장소를 구축해 유지하는 것은 규제 준수에만 필요한 것이 아니다. 더 빨리 조사를 하고, 대응을 하는데 아주 중요한 역할을 한다.
간과해서는 안 될 산업 제어시설 및 시스템
정유소, 의약품 제조공장 등 산업 제어시스템이 설치된 시설을 운영하는 기업과 기관이라면 이들 설비를 꼭 감안해야 한다. 많은 기업과 기관은 공격자가 자신의 시설을 표적으로 삼을 것이라는 생각을 하지 않으며, 이에 해당 설비에 대한 악의적인 활동을 제대로 모니터링 하지 않는다.
또 IT나 보안과 관련 없는 부서가 산업 제어시스템 인프라를 관리하는 경우도 있다. 이런 부서의 직원들은 시스템을 제대로 모니터 할 수 있는 지식을 갖고 있지 않다. 이로 인해 보안을 무시하는 결과가 초래될 수도 있다.
봉쇄(억제)와 치유
공격의 일부 증상만 해결하는 것이 아니라 전체 공격을 중단시키는 철저한 봉쇄 및 치유가 필요하다는 점을 인식해야 한다. 그러나 보안팀은 통상 가장 나쁜 문제만 해결할 수 있는 솔루션을 제공, 동일한 공격이 재발할 여지를 남겨 놓는 때가 많다.
이 때 봉쇄 및 치유 계획은 보안 팀의 사고 조사 결과에 토대를 두고 있어야 한다. 그런데 예비 (감지)조사 동안 수집한 정보에만 의지해 계획을 수립하는 경우가 많다. SIEM으로 C2 서버의 악성 연결을 감지했다고 가정하자. 가장 흔한 해결책은 커뮤니케이션을 생성하는 프로세스를 없애고, 방화벽에서 IP주소를 차단하는 것이다. 그러나 멜웨어가 지속형이라면(계속 남아 있다면), 프로세스 이름이 바뀌고, 다른 서버와 통신을 할 수는 있지만 컴퓨터 리부팅 때 다시 실행이 된다.
이렇게 되면, 보안팀이 동일한 위협을 계속해서 감지, 억제, 박멸해야 하는 악성 순환 고리가 만들어진다. 더 나은 박멸 계획과 예방 계획을 가지고 맬웨어 기법과 감염 경로를 조사하는 것이 효과적이다.
팔로우-업 예산과 리소스를 계획
팔로우-업(후속 조치)은 보안 사고 재발 방지에 아주 중요하다. 그러나 제대로 팔로우-업을 하지 않는 경우가 지나치게 많다. 팔로우-업 프로세스를 통해 나온 권고 사항은 비용을 발생시킨다. 예산에 제약이 있는 조직들이 이를 반기지 않는 이유이다.
하지만 돈이 더 적게 드는 방법도 있다. SIEM에 새로운 감지 규칙을 추가하는 것을 예로 들 수 있다. 반면 보안 애널리스트를 추가 채용하거나, 공격을 감지할 기술을 구입하는 등 더 많은 돈이 드는 팔로우-업 접근법도 있다.
조직이 KPI를 평가하고, 조정이 필요한지 결정하는 경우에도 팔로우-업이 적용된다. 예를 들어, 보안팀은 감지 규칙이 지나치게 많은 긍정 오류를 초래, 사고에 원활하게 대응하는 역량을 저해하고 있는지 판단할 수 있다. 그리고 감지 규칙들을 확인해 개선하거나, 더 나은 기능이 장착된 새로운 감지 시스템으로 업그레이드 할 수 있다. 또 SIME가 감지한 사고 대신, 사용자가 보고한 사고들을 토대로 감지 규칙을 추가할 수 있다.
전사적인 팔로우-업
침해 사고가 발생했다면 이후 학습과 개선에 돈과 시간을 투자할 준비를 해야 한다. 이 때 IT와 보안 부서 외의 다른 부서들이 이런 학습과 개선 프로세스에 참여하는 것이 아주 중요하다. 준비 단계와 마찬가지로, 팔로우-업 동안 보안 팀이 처리할 수 있는 것(통상 억제와 감지)에만 초점을 맞추는 때가 많다.
팔로우-업의 초점을 보안 팀의 역할에만 맞출 경우 프로세스를 더 쉽게 관리할 수 있지만, 향후 보안 사고에 더 효과적으로 대응하는 역량을 강화하기 위해 다른 부서들을 참여시키는 방법이 반영되지 않는다. 사고 대응에는 (IT와 보안 부서에 국한되지 않는) 전사적인 협력이 요구된다.