컨텐츠 바로가기

"침해 사고는 시간 문제" 보안 사고 대응 계획 5단계

댓글 첫 댓글을 작성해보세요
주소복사가 완료되었습니다
대부분의 기업은 민감한 데이터를 노출하는 침해 사고나 취약점을 경험하게 된다. 이로 인한 비즈니스 피해와 평판 하락을 최소화하기 위해서는 사고가 발생하기 전에 강력한 대응 계획을 세워야 한다.
ITWorld

ⓒ Getty Images Bank

<이미지를 클릭하시면 크게 보실 수 있습니다>



데이터 침해 사고 공개가 반드시 좋은 쪽으로만 흘러가지 않는다. 미국 미주리 주지사 마이크 파슨은 초중등 교육부 홈페이지의 보안 취약점을 보도한 한 신문과 관련한 기자간담회에서 언론의 반발을 샀다. 파슨은 데이터 노출의 원인을 잘못된 웹 사이트 구현보다는 공개적으로 접근가능한 민감한 데이터를 발견한 기자라고 말했다.

이 사건은 수년 전 마이크로소프트 보안 문제와 관련해 마이크로소프트 커뮤니케이션 팀으로부터 얻은 교훈을 떠올리게 했다. 마이크로소프트 보안 사고는 온갖 내용으로 뉴스가 보도됐지만, 이 회사 보안 커뮤니케이션 팀은 짜증나고 답답할 정도로 침묵을 지켰다. 당시로는 이들이 보안 문제를 이해하지 못했다는 의미로 받아들여졌지만, 나중에 후속 해결책을 기다리거나 수사중인 사안이었음을 알게 됐다.

보안 사고 뉴스가 가장 먼저 전달하는 내용은 뭔가 잘못됐거나 더 악화된다는 것이다. 종종 홍보팀은 상황을 완전히 이해하지 못한 채 쉽게 해결할 수 없는 잘못된 정보를 제공해 상황을 악화시키기도 한다. 연중무휴로 운영되는 뉴스 세계에 너무 빨리 정보를 전달하는 것도 보안 문제 해결에 불필요한 정밀 조사를 초래할 수 있다. 침해 사고 통지 시 커뮤니케이션은 빠른 것도, 마지막도 좋지 않으며, 항상 절충안을 선택해야 한다.

무엇보다 기업은 침해 사고에 어떻게 대응할 것인지 계획을 세우는 것이 현명하다. 대응 계획을 세우는 방법은 다음과 같다.


사이버 보험사의 침해 사고 프로세스 파악하기

침해 사고가 발생하기 전에 가입한 사이버 보험사에 연락해 사고 발생시 어떤 프로세스를 따라야 하는지 파악한다. 사이버 보험사는 기업이 침해 사고가 의심될 때 가장 먼저 연락하는 곳 가운데 하나다. 사이버 보험사는 침해 사고를 파악하기 위해 조사관을 파견할 수도 있다. 또한 침해 커뮤니케이션 프로세스를 지원하거나 사고 대변인 역할을 맡아 줄 커뮤니케이션 전문가가 있을 수 있다.


커뮤니케이션 계획 수립하기

침해 사고가 발생했을 때, 회사를 대표할 사람을 선정한다. 또한 발표할 커뮤니케이션의 초안을 작성한다. 또한 고객 대면 웹사이트에서의 커뮤니케이션과 홍보는 사이버보험사와 전문 변호사의 지침을 따른다. 침해 사고 공지 이후, 상황 변화에 따른 필요한 후속 조치를 위해 모니터링한다.


침해 통지 관련 가이드라인 및 규정 이해하기

미 정부기관의 경우, 침해 공개 및 통지는 NIST 지침을 따라야 한다. 미국 내 민간기업도 비슷한 프로세스를 수립해야 한다. 미국에서는 랜섬웨어 타격이 워낙 커서 국회에서 커뮤니케이션과 수사를 위한 조치를 취하기 시작했다. 최근 발의된 상원 법안 2666은 직원 수 50명 이상의 기업은 랜섬웨어 몸값을 지불한 사실을 24시간 내로 보고해야 하며, 랜섬웨어 활동을 발견한 연방 기관이나 관련 기관은 랜섬웨어 활동을 발견했다면 영향을 받은 시스템에 24시간 이내에 통지해야 한다. 따라서 훨씬 더 짧아진 통지 프로세스를 준비해야 한다.


취약점 공개 프로그램 준비하기

사전에 검토해야 하는 또 다른 프로세스는 취약점 공개 프로그램이다. 기업 정보 가운데 점점 더 많은 부분이 웹에 배치되고 있지만 기업은 모든 보안 취약점을 완벽하게 조사하고 식별할 자원이 부족한 경우가 많다.

대기업은 문제를 찾은 취약점 연구원에게 대가를 지불하는 버그 바운티(bug bounty) 프로그램을 보유하고 있지만, 대부분의 기업은 이런 프로그램이 없다. 일부 기업은 보안 연구원과 회사 사이를 조정하는 제로데이 이니셔티브(Zero Day Initiative)와 같은 서드파티 버그바운티 프로그램에 의존하기도 한다.

고객을 상대하는 웹 사이트나 자산을 보유한 모든 기업은 취약점 공개를 허용하는 프로세스가 있어야 한다. security@의 이메일은 일반적으로 RFC 2142이 설명한 대로 보안 문제를 보고하기 위해 준비된 것이다. 기업에 공개 프로세스가 있는지 확인한다.


침투 테스트 서비스 고려하기

침해 사고가 나면 기업에 상당한 영향을 미칠 경우, 주요 시스템이나 환경에 대한 침투 테스트 수행을 위한 전문가를 직접 채용하거나 외부 전문업체를 고용하는 것을 고려한다. 블랙 힐스(Black Hills)와 같은 정보보안 업체는 오랫동안 침투 테스트 팀 또는 레드팀을 활용해 방어를 강화해왔다. 퍼플 팀(Purple Team) 구성은 공격과 방어 방법론을 결합해 더 많은 네트워크 취약점과 해결 방법을 얻는다.

결론적으로, 기업은 보안 문제와 침해 사고를 처리하기 위한 프로세스를 검토해야 한다. 그리고 침해 사고를 처리할 수 있는 프로세스를 수립했는지 확인한다. 침해 사고는 발생 여부의 문제가 아니라 언제 발생하느냐의 문제다. editor@itworld.co.kr

Susan Bradley editor@itworld.co.kr
저작권자 한국IDG & ITWorld, 무단 전재 및 재배포 금지
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.