2018.10.04

허리케인 대처 방법을 통해 알아보는 사이버 탄력성

Loren Dealy Mahler | CSO
허리케인은 해안 지방은 물론이고 내륙 지역에 사는 주민들에게도 생명과 재산상의 피해를 입힐 수 있는 심각한 위협이다. 해마다 허리케인이 강타하는 지역은 자연 재해에 대처하는 방식도 스마트해지고 있다. 허리케인에 대처하는 전략이 갈수록 정교해짐과 함께 커뮤니티 역시 더욱 회복 탄력성(Resilience)을 키워 나가고 있다. 만약 이런 자연재해에 대한 탄력성을 사이버 보안에도 적용할 수 있다면 어떨까.


Credit: Getty Images Bank 

허리케인 시즌이 시작되면, 몇 주 전부터 가장 타격이 클 것으로 예상되는 지역에 대한 정보 알리기 캠페인이 진행된다. 미국 연방 재난 관리청(Federal Emergency Management Agency, FEMA)과 웨더 채널(Weather Channel)에서는 적십자와 페이스북에 이르기까지 모두가 허리케인에 대비하는 최선의 방법에 대한 조언과 정보 공유를 아끼지 않고 있다.

FEMA의 허리케인 서바이벌 가이드에 따르면, 허리케인 대비는 크게 3단계로 나뉜다. 첫째, 사전 대비 단계, 둘째, 허리케인 강타 시 생존 전략, 그리고 셋째, 정상 상태 복구 과정에서의 안전 확보가 그것이다. 사전 대비 단계에서는 특히 나와 가족의 안전, 그리고 재산의 회복 탄력성을 확보하는 것이 최우선으로 강조된다.

이와 같은 3단계 전략은 무시무시한 자연 재해 앞에서도 유효하지만, 인재(人災)라 할 수 있는 사이버 공격에 대비할 때 동일한 원칙을 적용한다면 어떨까. 데이터 유출 위협에 허리케인 반만큼만 열심히 대처했다면 얼마나 많은 유출 사건 피해를 줄일 수 있을까.

FEMA가 말하는 재해 대처 요령 5가지를 알아보고, 이를 자사의 사고 대응 계획에 적용할 방법을 찾아보자.

정보가 곧 생명
허리케인이 레이더에 잡힌 그 순간부터, 허리케인에 대한 정보를 하나라도 더 모으기 위해 전문가들의 눈길은 분주해진다. 현재 허리케인이 어떤 상태인지, 형성된 환경은 어떠했는지 등을 파악하기 위해서다. 이렇게 파악한 정보들은 복합적인 모형에 피딩해 언제, 어디에, 어떻게 허리케인이 들이닥칠 지를 예측하게 된다.

그렇다고 해서 사소한 디테일까지 정확하게 맞추는 것은 아니지만, 최소한 해당 지역 주민들이 피해를 최소화하도록 대비할 수 있을 정도는 된다. FEMA에서는 이런 정보를 적극 활용하도록 권장하고 있으며, 특히 허리케인 피해 예상 지역과 관련한 알림에 유의할 것을 당부하고 있다.

사이버 보안에도 나날이 진화하는 위협을 추적, 관찰하는 전문가들이 있다. 이들 역시 다음 공격이 언제, 어떤 식으로 발생할 지 구체적인 부분까지 예측하지는 못하지만, 특정 산업이나 분야를 표적으로 하는 위협에 대해 좀 더 인지하고 대비할 수 있도록 정보를 제공해 준다. 정보 공유는 최신 위협 인텔리전스에 뒤쳐지지 않기 위한 방법이기도 하다. 앞으로 다가올 위협에 대해 아주 작은 정보만이라도 있다면 충분히 선제적 대응을 할 수 있는 시간이 주어지기 때문이다.

계획 세우기
FEMA에서는 허리케인이 닥치기 전에 미리 가족들이 안전하게 피해 있을 곳을 마련해 두라고 조언한다. 중요한 것은 실제 사건이 발생하기 전에 누가, 무엇을, 언제, 그리고 어떻게 할 것인지를 미리 시뮬레이션 해보는 것이다. 애완 동물을 포함해 각 가족 구성원들의 요구사항을 일일이 생각해 보고, 외부의 자원이 차단된 상태에서 어떻게 이 요구사항을 충족할 것인지 대책을 세우라는 이야기다.

만일의 경우에 대비한 대피 계획을 세워두라고도 조언한다. 어떤 길을 통해, 어디로 대피할 것인지 알아두고 대피 시 우선적으로 챙겨야 할 물건들을 목록화해 두면 유사시에 급하게 떠나면서도 필요한 것을 모두 챙길 수 있다. 또한 비상 상황 계획을 가족들과 함께 살펴보고 논의함으로써 유사 시 각자가 맡은 역할과 책임을 상기할 수 있을 것이다.

이는 사이버 사고 대응에도 고스란히 적용되는 이야기들이다. 사고 대응 계획은 기업 전체의 요구사항을 반영해야 한다. 보안 사건이 발생할 경우 기업 전체가 영향을 받게 될 것이므로 IT뿐 아니라 개별 부처들의 상황과 요구사항을 고려해야만 한다.

또한 대피 시(다시 말해 이메일, 네트워크, 폰 등의 사용이 중단될 경우) 비즈니스를 어떻게 운영할 것인지에 대한 계획도 있어야 한다. 현재 자사의 비즈니스 연속성 계획은 사이버 공격 시나리오에도 대비하고 있는가. 더 나아가, 보안 팀은 이런 계획을 틈틈이 연습하고 있는가. 모두가 각자 자신의 역할만 안다고 끝날 것이 아니고, 다른 조직, 다른 부서 직원들의 역할과 우선 순위에 대해서도 파악하고 있어야 한다.

비상 연락 방법 확보
FEMA 가이드라인은 또한 허리케인이 강타해 가족이 뿔뿔이 흩어질 경우를 대비해 비상연락 방법을 확보해 놓으라고 권고했다. 서로의 안전과 위치를 확인하기 위해 어떤 수단을 사용할 것인가, 직계 가족의 전화번호나 기타 비상 연락망을 종이에 적어 대피 시 준비물에 포함시켜 두면 편하다.

또한 평소의 연락 수단을 잃어 버릴 경우를 대비해 백업 연락 수단도 생각해 둘 필요가 있다. 마을 전체에 전기가 나가 버린다면 전화기 충전은 어떻게 할 것인가. 여기서도 마찬가지로, 연락 계획을 세우는 것뿐만 아니라 실제 연습을 해 보는 것이 중요하다.
비상연락 방법의 확보는 전통적인 사고 대응 계획에서 가장 많이 간과되던 부분이다. 하지만 사건에 대한 정보는 이해 관계자들의 네트워크 상에서 공유되어야만 하며, 이런 커뮤니케이션의 기준과 리스트를 만드는 것 역시 연락 계획 프로세스에 포함 되어야 한다.

덧붙여, 많은 팀이 사이버 공격 시에도 평소와 마찬가지로 이메일을 보내고 전화통화를 할 수 있을 것이라 막연히 생각하지만, 과연 사고의 피해 범위가 어느 정도가 될 지 모르는 상황에서 기존의 커뮤니케이션 시스템이 멀쩡히 작동할 것이라는 보장은 어디에도 없다.

만약 CEO의 휴대폰이 먹통이 된다면, 어떻게 연락을 할 것인가. 비상시 연락해야 할 사람들의 네트워크에 대해서는 물론이고, 이들에게 연락할 때 어떤 채널을 사용할 것인지, 이들 채널을 사용할 수 없는 상황이라면 어떻게 할 것인지까지 상정해 둬야 한다.

필수품은 미리 준비해 두자
실제로 자연 재해가 발생하면, 그 후 뒷수습이 마무리 될 때까지 필요한 필수품들을 구비해 두는 것이 마음의 안정에 도움이 된다. FEMA에서는 온 가족이 먹을 수 있는 3~5일치 가량의 비상 식량과 물을 확보해 놓으라고 조언한다(반려 동물 몫까지 포함해서 말이다). 뿐만 아니라 복용 중인 약이나 중요 문서의 사본, 응급 처치 키트, 위생 용품, 각종 툴과 청소용품 등도 구비하고 있으면 좋다.

사이버 사건 대응 계획에서도 이와 같은 '툴킷'을 갖춰 놓는 것이 무척 중요하다. 보안 사건이 발생한 뒤에 레퍼런스 자료나 템플릿, 절차상의 자료를 찾느라 시간을 낭비해서는 안 될 일이다. 미리 이해관계자 맵이나 영향력 규모, 연락처 리스트, 각 인물의 역할과 책무 등을 파악해 둔다면 위급할 때 금보다 귀한 시간을 아끼고 보다 객관적이며 정확한 의사 결정을 내릴 수 있다.

재산 보호
FEMA의 주요 권고사항 가운데 하나는 허리케인이 동반하는 여러 가지 위협에 대비해 개인의 생명과 재산의 회복 탄력성을 길러야 한다는 것이다. 허리케인은 강력한 바람과 폭우를 동반하는데, 이로 인해 홍수가 나기도 하고 날아다니는 파편에 사람이 맞아 다치기도 한다.

이 때문에 창문이 깨지지 않게 판자 등을 덧대어 두고, 뒷마당에 중요한 물품들을 날아가지 않도록 묶어 두거나 배수구를 미리 청소해 두기도 하며, 지하실을 방수 처리해 최대한 재산상의 손실이 발생하지 않도록 대비해야 한다.

마찬가지로 사이버 공격에서도 다양한 유형의 위협에 대비해 물리적 네트워크와 인프라스트럭처를 보호할 방법을 찾아야 한다. 네트워크 모니터링, 액세스 컨트롤 수립, 그리고 방어선 구축과 같은 선제적 액션을 취한다면 공격이 발생하는 것 자체를 막을 수는 없어도 그로 인한 피해를 최소화 하는 데에는 많은 도움이 될 것이다.

지난 몇 년 동안 자연 재해의 파괴적 위력에 맞서는 대처 능력도 비약적으로 증가해 왔다. 허리케인 대비 전략과 같은 선제적 대응이 대중적이고 폭넓은 차원에서 받아들여졌기 때문이다.

이 덕분에 오늘날 많은 지역에서는 자연 재해에 맞서 그 어느 때보다 훌륭한 회복 탄력성을 보이고 있다. 허리케인마다 그 양상은 다르고, 따라서 대처 전략도 다를 수밖에 없지만, FEMA의 허리케인 대처 가이드라인은 믿을 수 있는 위협 인텔리전스와 대응 계획, 비상 연락 채널, 비상시 툴킷, 그리고 선제적 방어막 구축만 되어 있다면 그 어떤 폭풍우가 와도 무사히 살아남을 수 있음을 보여 주었다. editor@itworld.co.kr  


2018.10.04

허리케인 대처 방법을 통해 알아보는 사이버 탄력성

Loren Dealy Mahler | CSO
허리케인은 해안 지방은 물론이고 내륙 지역에 사는 주민들에게도 생명과 재산상의 피해를 입힐 수 있는 심각한 위협이다. 해마다 허리케인이 강타하는 지역은 자연 재해에 대처하는 방식도 스마트해지고 있다. 허리케인에 대처하는 전략이 갈수록 정교해짐과 함께 커뮤니티 역시 더욱 회복 탄력성(Resilience)을 키워 나가고 있다. 만약 이런 자연재해에 대한 탄력성을 사이버 보안에도 적용할 수 있다면 어떨까.


Credit: Getty Images Bank 

허리케인 시즌이 시작되면, 몇 주 전부터 가장 타격이 클 것으로 예상되는 지역에 대한 정보 알리기 캠페인이 진행된다. 미국 연방 재난 관리청(Federal Emergency Management Agency, FEMA)과 웨더 채널(Weather Channel)에서는 적십자와 페이스북에 이르기까지 모두가 허리케인에 대비하는 최선의 방법에 대한 조언과 정보 공유를 아끼지 않고 있다.

FEMA의 허리케인 서바이벌 가이드에 따르면, 허리케인 대비는 크게 3단계로 나뉜다. 첫째, 사전 대비 단계, 둘째, 허리케인 강타 시 생존 전략, 그리고 셋째, 정상 상태 복구 과정에서의 안전 확보가 그것이다. 사전 대비 단계에서는 특히 나와 가족의 안전, 그리고 재산의 회복 탄력성을 확보하는 것이 최우선으로 강조된다.

이와 같은 3단계 전략은 무시무시한 자연 재해 앞에서도 유효하지만, 인재(人災)라 할 수 있는 사이버 공격에 대비할 때 동일한 원칙을 적용한다면 어떨까. 데이터 유출 위협에 허리케인 반만큼만 열심히 대처했다면 얼마나 많은 유출 사건 피해를 줄일 수 있을까.

FEMA가 말하는 재해 대처 요령 5가지를 알아보고, 이를 자사의 사고 대응 계획에 적용할 방법을 찾아보자.

정보가 곧 생명
허리케인이 레이더에 잡힌 그 순간부터, 허리케인에 대한 정보를 하나라도 더 모으기 위해 전문가들의 눈길은 분주해진다. 현재 허리케인이 어떤 상태인지, 형성된 환경은 어떠했는지 등을 파악하기 위해서다. 이렇게 파악한 정보들은 복합적인 모형에 피딩해 언제, 어디에, 어떻게 허리케인이 들이닥칠 지를 예측하게 된다.

그렇다고 해서 사소한 디테일까지 정확하게 맞추는 것은 아니지만, 최소한 해당 지역 주민들이 피해를 최소화하도록 대비할 수 있을 정도는 된다. FEMA에서는 이런 정보를 적극 활용하도록 권장하고 있으며, 특히 허리케인 피해 예상 지역과 관련한 알림에 유의할 것을 당부하고 있다.

사이버 보안에도 나날이 진화하는 위협을 추적, 관찰하는 전문가들이 있다. 이들 역시 다음 공격이 언제, 어떤 식으로 발생할 지 구체적인 부분까지 예측하지는 못하지만, 특정 산업이나 분야를 표적으로 하는 위협에 대해 좀 더 인지하고 대비할 수 있도록 정보를 제공해 준다. 정보 공유는 최신 위협 인텔리전스에 뒤쳐지지 않기 위한 방법이기도 하다. 앞으로 다가올 위협에 대해 아주 작은 정보만이라도 있다면 충분히 선제적 대응을 할 수 있는 시간이 주어지기 때문이다.

계획 세우기
FEMA에서는 허리케인이 닥치기 전에 미리 가족들이 안전하게 피해 있을 곳을 마련해 두라고 조언한다. 중요한 것은 실제 사건이 발생하기 전에 누가, 무엇을, 언제, 그리고 어떻게 할 것인지를 미리 시뮬레이션 해보는 것이다. 애완 동물을 포함해 각 가족 구성원들의 요구사항을 일일이 생각해 보고, 외부의 자원이 차단된 상태에서 어떻게 이 요구사항을 충족할 것인지 대책을 세우라는 이야기다.

만일의 경우에 대비한 대피 계획을 세워두라고도 조언한다. 어떤 길을 통해, 어디로 대피할 것인지 알아두고 대피 시 우선적으로 챙겨야 할 물건들을 목록화해 두면 유사시에 급하게 떠나면서도 필요한 것을 모두 챙길 수 있다. 또한 비상 상황 계획을 가족들과 함께 살펴보고 논의함으로써 유사 시 각자가 맡은 역할과 책임을 상기할 수 있을 것이다.

이는 사이버 사고 대응에도 고스란히 적용되는 이야기들이다. 사고 대응 계획은 기업 전체의 요구사항을 반영해야 한다. 보안 사건이 발생할 경우 기업 전체가 영향을 받게 될 것이므로 IT뿐 아니라 개별 부처들의 상황과 요구사항을 고려해야만 한다.

또한 대피 시(다시 말해 이메일, 네트워크, 폰 등의 사용이 중단될 경우) 비즈니스를 어떻게 운영할 것인지에 대한 계획도 있어야 한다. 현재 자사의 비즈니스 연속성 계획은 사이버 공격 시나리오에도 대비하고 있는가. 더 나아가, 보안 팀은 이런 계획을 틈틈이 연습하고 있는가. 모두가 각자 자신의 역할만 안다고 끝날 것이 아니고, 다른 조직, 다른 부서 직원들의 역할과 우선 순위에 대해서도 파악하고 있어야 한다.

비상 연락 방법 확보
FEMA 가이드라인은 또한 허리케인이 강타해 가족이 뿔뿔이 흩어질 경우를 대비해 비상연락 방법을 확보해 놓으라고 권고했다. 서로의 안전과 위치를 확인하기 위해 어떤 수단을 사용할 것인가, 직계 가족의 전화번호나 기타 비상 연락망을 종이에 적어 대피 시 준비물에 포함시켜 두면 편하다.

또한 평소의 연락 수단을 잃어 버릴 경우를 대비해 백업 연락 수단도 생각해 둘 필요가 있다. 마을 전체에 전기가 나가 버린다면 전화기 충전은 어떻게 할 것인가. 여기서도 마찬가지로, 연락 계획을 세우는 것뿐만 아니라 실제 연습을 해 보는 것이 중요하다.
비상연락 방법의 확보는 전통적인 사고 대응 계획에서 가장 많이 간과되던 부분이다. 하지만 사건에 대한 정보는 이해 관계자들의 네트워크 상에서 공유되어야만 하며, 이런 커뮤니케이션의 기준과 리스트를 만드는 것 역시 연락 계획 프로세스에 포함 되어야 한다.

덧붙여, 많은 팀이 사이버 공격 시에도 평소와 마찬가지로 이메일을 보내고 전화통화를 할 수 있을 것이라 막연히 생각하지만, 과연 사고의 피해 범위가 어느 정도가 될 지 모르는 상황에서 기존의 커뮤니케이션 시스템이 멀쩡히 작동할 것이라는 보장은 어디에도 없다.

만약 CEO의 휴대폰이 먹통이 된다면, 어떻게 연락을 할 것인가. 비상시 연락해야 할 사람들의 네트워크에 대해서는 물론이고, 이들에게 연락할 때 어떤 채널을 사용할 것인지, 이들 채널을 사용할 수 없는 상황이라면 어떻게 할 것인지까지 상정해 둬야 한다.

필수품은 미리 준비해 두자
실제로 자연 재해가 발생하면, 그 후 뒷수습이 마무리 될 때까지 필요한 필수품들을 구비해 두는 것이 마음의 안정에 도움이 된다. FEMA에서는 온 가족이 먹을 수 있는 3~5일치 가량의 비상 식량과 물을 확보해 놓으라고 조언한다(반려 동물 몫까지 포함해서 말이다). 뿐만 아니라 복용 중인 약이나 중요 문서의 사본, 응급 처치 키트, 위생 용품, 각종 툴과 청소용품 등도 구비하고 있으면 좋다.

사이버 사건 대응 계획에서도 이와 같은 '툴킷'을 갖춰 놓는 것이 무척 중요하다. 보안 사건이 발생한 뒤에 레퍼런스 자료나 템플릿, 절차상의 자료를 찾느라 시간을 낭비해서는 안 될 일이다. 미리 이해관계자 맵이나 영향력 규모, 연락처 리스트, 각 인물의 역할과 책무 등을 파악해 둔다면 위급할 때 금보다 귀한 시간을 아끼고 보다 객관적이며 정확한 의사 결정을 내릴 수 있다.

재산 보호
FEMA의 주요 권고사항 가운데 하나는 허리케인이 동반하는 여러 가지 위협에 대비해 개인의 생명과 재산의 회복 탄력성을 길러야 한다는 것이다. 허리케인은 강력한 바람과 폭우를 동반하는데, 이로 인해 홍수가 나기도 하고 날아다니는 파편에 사람이 맞아 다치기도 한다.

이 때문에 창문이 깨지지 않게 판자 등을 덧대어 두고, 뒷마당에 중요한 물품들을 날아가지 않도록 묶어 두거나 배수구를 미리 청소해 두기도 하며, 지하실을 방수 처리해 최대한 재산상의 손실이 발생하지 않도록 대비해야 한다.

마찬가지로 사이버 공격에서도 다양한 유형의 위협에 대비해 물리적 네트워크와 인프라스트럭처를 보호할 방법을 찾아야 한다. 네트워크 모니터링, 액세스 컨트롤 수립, 그리고 방어선 구축과 같은 선제적 액션을 취한다면 공격이 발생하는 것 자체를 막을 수는 없어도 그로 인한 피해를 최소화 하는 데에는 많은 도움이 될 것이다.

지난 몇 년 동안 자연 재해의 파괴적 위력에 맞서는 대처 능력도 비약적으로 증가해 왔다. 허리케인 대비 전략과 같은 선제적 대응이 대중적이고 폭넓은 차원에서 받아들여졌기 때문이다.

이 덕분에 오늘날 많은 지역에서는 자연 재해에 맞서 그 어느 때보다 훌륭한 회복 탄력성을 보이고 있다. 허리케인마다 그 양상은 다르고, 따라서 대처 전략도 다를 수밖에 없지만, FEMA의 허리케인 대처 가이드라인은 믿을 수 있는 위협 인텔리전스와 대응 계획, 비상 연락 채널, 비상시 툴킷, 그리고 선제적 방어막 구축만 되어 있다면 그 어떤 폭풍우가 와도 무사히 살아남을 수 있음을 보여 주었다. editor@itworld.co.kr  


X