2016.04.12

현직 변호사가 말하는 제로데이 공격 대처법

David Taber | Australian Reseller News
우리 모두가 제로데이 공격(zero-day attacks)에 대해 알고 있다. 그러나 제로데이 공격이란 용어가 소환장이나 다른 법원 통지문 속에 회사 고객관계관리(CRM) 시스템 데이터와 관련해 언급돼 있다면 어떻게 해야 할까? 일단 당황하지 말고 침착하라.


이미지 출처: Flickr/Wesley Fryer

변호사를 비웃기는 쉽지만 소송 절차와 관련된 실제 단계는 쉽거나 재미있지 않다. 글을 시작하기에 앞서 필자는 변호사가 아니며 본 기사의 그 어떤 부분도 법적 자문으로 사용해서는 안 된다는 것을 밝힌다. 단, 변호사와 논의를 시작할 때 참고할 수는 있으며 필자 역시 필자의 변호사 때문에 이 글을 쓰게 됐다.

처음부터 시작해 보자. 상대방 변호사가 여러분의 CRM 데이터에 접근하고 싶어하는 이유는 무엇일까? 단순한 연락처 정보와 영업을 위한 파이프라인(Pipeline)에 지나지 않을 수 있지만, 둘 다 사업 기밀이지 않은가? 변호사가 이런 것을 원하는 일반적인 이유는 다음과 같다.

- 영업 사원 중 한 명이 고객에게 사기를 쳐 회사가 고소를 당했다.
- 영업 사원 중 한 명이 업무를 게을리 해 해고를 당한 후 부당한 해고라며 고소했다.
- 직원 중 한 명이 이직하면서 이전 직장의 데이터를 가져와 회사 CRM 시스템에 업로드했다. 그러자 기존 회사가 지적 재산 절도로 고소했다.
- 경쟁사의 특허를 침해했다. 피해와 손해를 입은 사업의 범위를 입증하려고 한다.
- 특허 괴물이 CRM 시스템 속 코드를 근거로 침해 소송을 제기했다. 해당 코드를 누가 작성했는지 입증하고 (가능하다면) 해당 시스템을 개발했던 컨설팅 기업으로 소송 상대를 바꾸려고 한다.
- 시스템을 개발한 업체 중 하나와 분쟁이 있으며 그들을 상대로 손해 배상을 청구하고 있다.
- 규제 기관이 제품 문제 또는 고객 불만사항을 접수해 회사의 고객 서비스 기록을 검토하려 한다.


변호사가 CRM으로 할 수 있는 일과 할 수 없는 일 등 CRM의 데이터에 관해 알고 있을 가능성이 낮다. 그래서 그들의 요청이 꽤 혼란스러울 수 있다. 이런 경우 대응 전략의 기본은 소환장, 고소장, 근거 문서를 신중하게 검토하는 것이다.

문제의 시점이 언제인지 명확히 파악하고 진행 중인 사건의 시점에 대한 실마리를 찾아 기한을 설정해야 한다(모든 것은 바뀌기 마련이지만 최소한 시작점을 찾을 수는 있다). 이 모든 것에 관해 변호사와 이야기하고 관련된 구체적인 규칙과 절차를 파악한다. 실제로 정부 규제 조사는 차치하더라도 중재와 법정 절차의 경우 규칙이 매우 다르다.

당연히 모든 것은 백업돼 있다
이런 작업을 위해 필요한 것은 대부분 백업 데이터 속에 없다. 그러나 그렇다고 해도 가장 먼저 해야 할 일은 관련된 기간 동안의 시스템 데이터와 메타데이터 전체의 스냅샷을 찾아 1회성 기록 매체에 저장하는 것이다.

그렇다. 조작이 불가능한 사본을 작성해야 한다. 관련된 기간 동안의 백업을 찾을 수 없는 경우 해당 기간 전후에 가장 가까운 버전을 1회성 기록 매체로 작성한다. 그리고 현재 시스템에 대한 또 다른 완전한 데이터와 메타데이터 스냅샷을 (가능하다면 샌드박스(Sandbox)로) 작성하고 해당 스냅샷을 격리시켜 몇 사람만이 로그인할 수 있도록 조치한다.

그리고 나서 변호사와 CRM에서 발견해야 하는 정보의 속성과 변호사가 원하는 분석의 종류를 파악하기 위한 회의를 마련한다. 여기서 CRM 시스템에 대한 기본적인 사항을 전달해야 한다. 거기에 어떤 데이터가 있을까? 어떤 데이터가 누락되어 있는가? 기본적인 시스템 용어의 의미는 무엇일까? (리드(Lead)와 접촉은 무엇인가?) 데이터는 얼마나 유의미한가? (아니면 유의미하지 않은가?) 등이 검토될 것이다.

또한 관련된 기간 동안 관리 접속이 가능했던 사람은 누구이며, 그의 데이터 접근 권한은 어디까지 였는지 (그리고 가능한 데이터 조작에 관해 어떤 의미가 있는지) 설명한다. 스냅샷과 분석에 접근할 수 있어야 하는 사람과 없어야 하는 사람에 대해서도 논의해야 한다. 실제로 분석을 수행할 사람도 정해야 한다(외부 전문가일 가능성이 높다).

백업과 아카이브 목록을 작성한다
일반적으로 기업은 CRM 시스템에 백업, 아카이브, 감사 단서 등이 어떤 것이 있는지 잘 모른다. CRM 데이터 변화는 매우 빨라 이력 처리에 취약하기 때문이다. 그래서 17개월 전의 데이터가 어땠는 지를 찾는 것은 매우 어렵다. 이런 경우 CRM에서 찾아야 할 데이터는 다음과 같다.

- 사용자 로그인 이력
- 관리 변경 로그 이력
- 각 관련 대상의 변경 감사 추적
- 시스템의 모든 데이터에 대한 이력 스냅샷
- 모든 메타데이터의 이력 스냅샷
- CRM 관리자가 구성 관리 또는 티켓팅(Ticketing) 시스템을 사용하는 경우 해당 시스템의 데이터. 종이를 사용하는 경우 관련 기간의 일지.
- ILP/DLP 제품 모니터링 세일즈포스(Salesforce) 데이터가 있는 경우 해당 제품의 보고서 실행 및 데이터 다운로드 로그


안타깝게도 기업 대부분은 이런 데이터를 정기적으로 보관하지 않거나 1년 정도 후에 폐기한다. 소송은 보통 수 년이 지난 후에 제기되므로 이런 조치는 어리석은 것이라고도 할 수 있다(필자는 현재 10년 전의 데이터와 관련된 소송을 진행 중이다).

이 데이터가 없고 세일즈포스를 사용하고 있다면 내부 아카이브에서 상당량의 정보를 재구성할 수 있을 것이다. 하지만 이것은 별도의 컨설팅이 필요한 프로젝트이고 비용이 매우 높다. 만약 이력 정보가 누락되어 있다면 여러분의 소송 상대방이 이 글을 읽지 않기를 기도하는 것이 좋을 것이다. 왜냐하면 강제로 데이터를 재구성하도록 요구할 수 있기 때문이다.

모든 것을 기록한다
이런 절차를 거치면서 발견한 (그리고 발견하지 못한) 모든 것에 관한 일지(Journal)를 작성한다. 특히 의사결정에 관해서는 심지어 데이터 접근과 보관에 관한 사소한 것이라도 기록해야 한다. 수 개월이 지난 후에 이런 것을 기억하는 것은 절대로 불가능하기 때문이다.

데이터를 분석, 조작할 때는 직접 개발한 코드를 사용하지 않는 것이 좋다. 일반 APL 매트릭스가 적용된 AWK 스크립트가 더 품격이 있다 하더라도 손쉽게 재현할 수 있는 제품과 방법을 사용하는 것이 소송과 관련된 모든 사람에게 유리하다. 분석에 사용된 앱과 데이터베이스의 설정 등을 일지에 기록하고 스크린샷을 사용해 근거자료로 첨부해 놓는다.

물론, 소송의 결과에 따라 이해 관계가 발생하는 사람이 데이터를 분석하거나 다루지 못하도록 해야 한다. 그래서 일반적으로는 컨설턴트가 모든 데이터를 처리하는 것이 좋다. 자신의 기업 또는 상대편에 투자한 적이 없어야 하고, 분석 계약을 체결할 때는 구체적인 소송 결과에 대한 인센티브나 보너스 지급이 포함되지 않도록 한다(인센티브를 전혀 지급하지 않는 것이 가장 좋다).

만약 소송에서 분석이 필수적인 요건일 경우 컨설턴트가 (최소한 심문 시) 증언해야 할 가능성이 높다. 전문가 증인(Expert Witness)으로서 자격을 갖추고 증언할 의지를 갖게 하는 것이 중요하다. 이런 사람은 FEWA(Forensic Expert Witness Association) 등에서 찾을 수 있다. 법정에 출두할 경우 시간당 400~600달러의 비용을 지불하면 된다.

큰 그림
이 모든 절차가 벅차게 느껴진다면 필자가 말하고자 하는 것을 정확히 파악한 것이다. 이 모든 작업의 목표는 가능한 빨리 시시비비를 가리는 것이다. 방어적인 자세를 취하거나 '나는 옳고 그들은 그르다'를 입증하는데 집착하지 말자. 이런 방식은 불만과 비용을 높일 뿐이다. 설사 승리하더라도 결과적으로 패배한 것이다. 소송은 언제나 실제 사업에 방해가 되고 그 누구도 자신이 투자한 시간과 감정적인 에너지의 기회 비용에 대해 보상하지 않기 때문이다.

* David Taber는 'Salesforce.com Secrets of Success'의 저자이자 SalesLogistix의 CEO이다. 세일즈포스닷컴 인증 컨설턴트로, 주로 CRM을 이용한 비즈니스 프로세스 향상 관련된 컨설팅을 제공한다. ciokr@idg.co.kr


2016.04.12

현직 변호사가 말하는 제로데이 공격 대처법

David Taber | Australian Reseller News
우리 모두가 제로데이 공격(zero-day attacks)에 대해 알고 있다. 그러나 제로데이 공격이란 용어가 소환장이나 다른 법원 통지문 속에 회사 고객관계관리(CRM) 시스템 데이터와 관련해 언급돼 있다면 어떻게 해야 할까? 일단 당황하지 말고 침착하라.


이미지 출처: Flickr/Wesley Fryer

변호사를 비웃기는 쉽지만 소송 절차와 관련된 실제 단계는 쉽거나 재미있지 않다. 글을 시작하기에 앞서 필자는 변호사가 아니며 본 기사의 그 어떤 부분도 법적 자문으로 사용해서는 안 된다는 것을 밝힌다. 단, 변호사와 논의를 시작할 때 참고할 수는 있으며 필자 역시 필자의 변호사 때문에 이 글을 쓰게 됐다.

처음부터 시작해 보자. 상대방 변호사가 여러분의 CRM 데이터에 접근하고 싶어하는 이유는 무엇일까? 단순한 연락처 정보와 영업을 위한 파이프라인(Pipeline)에 지나지 않을 수 있지만, 둘 다 사업 기밀이지 않은가? 변호사가 이런 것을 원하는 일반적인 이유는 다음과 같다.

- 영업 사원 중 한 명이 고객에게 사기를 쳐 회사가 고소를 당했다.
- 영업 사원 중 한 명이 업무를 게을리 해 해고를 당한 후 부당한 해고라며 고소했다.
- 직원 중 한 명이 이직하면서 이전 직장의 데이터를 가져와 회사 CRM 시스템에 업로드했다. 그러자 기존 회사가 지적 재산 절도로 고소했다.
- 경쟁사의 특허를 침해했다. 피해와 손해를 입은 사업의 범위를 입증하려고 한다.
- 특허 괴물이 CRM 시스템 속 코드를 근거로 침해 소송을 제기했다. 해당 코드를 누가 작성했는지 입증하고 (가능하다면) 해당 시스템을 개발했던 컨설팅 기업으로 소송 상대를 바꾸려고 한다.
- 시스템을 개발한 업체 중 하나와 분쟁이 있으며 그들을 상대로 손해 배상을 청구하고 있다.
- 규제 기관이 제품 문제 또는 고객 불만사항을 접수해 회사의 고객 서비스 기록을 검토하려 한다.


변호사가 CRM으로 할 수 있는 일과 할 수 없는 일 등 CRM의 데이터에 관해 알고 있을 가능성이 낮다. 그래서 그들의 요청이 꽤 혼란스러울 수 있다. 이런 경우 대응 전략의 기본은 소환장, 고소장, 근거 문서를 신중하게 검토하는 것이다.

문제의 시점이 언제인지 명확히 파악하고 진행 중인 사건의 시점에 대한 실마리를 찾아 기한을 설정해야 한다(모든 것은 바뀌기 마련이지만 최소한 시작점을 찾을 수는 있다). 이 모든 것에 관해 변호사와 이야기하고 관련된 구체적인 규칙과 절차를 파악한다. 실제로 정부 규제 조사는 차치하더라도 중재와 법정 절차의 경우 규칙이 매우 다르다.

당연히 모든 것은 백업돼 있다
이런 작업을 위해 필요한 것은 대부분 백업 데이터 속에 없다. 그러나 그렇다고 해도 가장 먼저 해야 할 일은 관련된 기간 동안의 시스템 데이터와 메타데이터 전체의 스냅샷을 찾아 1회성 기록 매체에 저장하는 것이다.

그렇다. 조작이 불가능한 사본을 작성해야 한다. 관련된 기간 동안의 백업을 찾을 수 없는 경우 해당 기간 전후에 가장 가까운 버전을 1회성 기록 매체로 작성한다. 그리고 현재 시스템에 대한 또 다른 완전한 데이터와 메타데이터 스냅샷을 (가능하다면 샌드박스(Sandbox)로) 작성하고 해당 스냅샷을 격리시켜 몇 사람만이 로그인할 수 있도록 조치한다.

그리고 나서 변호사와 CRM에서 발견해야 하는 정보의 속성과 변호사가 원하는 분석의 종류를 파악하기 위한 회의를 마련한다. 여기서 CRM 시스템에 대한 기본적인 사항을 전달해야 한다. 거기에 어떤 데이터가 있을까? 어떤 데이터가 누락되어 있는가? 기본적인 시스템 용어의 의미는 무엇일까? (리드(Lead)와 접촉은 무엇인가?) 데이터는 얼마나 유의미한가? (아니면 유의미하지 않은가?) 등이 검토될 것이다.

또한 관련된 기간 동안 관리 접속이 가능했던 사람은 누구이며, 그의 데이터 접근 권한은 어디까지 였는지 (그리고 가능한 데이터 조작에 관해 어떤 의미가 있는지) 설명한다. 스냅샷과 분석에 접근할 수 있어야 하는 사람과 없어야 하는 사람에 대해서도 논의해야 한다. 실제로 분석을 수행할 사람도 정해야 한다(외부 전문가일 가능성이 높다).

백업과 아카이브 목록을 작성한다
일반적으로 기업은 CRM 시스템에 백업, 아카이브, 감사 단서 등이 어떤 것이 있는지 잘 모른다. CRM 데이터 변화는 매우 빨라 이력 처리에 취약하기 때문이다. 그래서 17개월 전의 데이터가 어땠는 지를 찾는 것은 매우 어렵다. 이런 경우 CRM에서 찾아야 할 데이터는 다음과 같다.

- 사용자 로그인 이력
- 관리 변경 로그 이력
- 각 관련 대상의 변경 감사 추적
- 시스템의 모든 데이터에 대한 이력 스냅샷
- 모든 메타데이터의 이력 스냅샷
- CRM 관리자가 구성 관리 또는 티켓팅(Ticketing) 시스템을 사용하는 경우 해당 시스템의 데이터. 종이를 사용하는 경우 관련 기간의 일지.
- ILP/DLP 제품 모니터링 세일즈포스(Salesforce) 데이터가 있는 경우 해당 제품의 보고서 실행 및 데이터 다운로드 로그


안타깝게도 기업 대부분은 이런 데이터를 정기적으로 보관하지 않거나 1년 정도 후에 폐기한다. 소송은 보통 수 년이 지난 후에 제기되므로 이런 조치는 어리석은 것이라고도 할 수 있다(필자는 현재 10년 전의 데이터와 관련된 소송을 진행 중이다).

이 데이터가 없고 세일즈포스를 사용하고 있다면 내부 아카이브에서 상당량의 정보를 재구성할 수 있을 것이다. 하지만 이것은 별도의 컨설팅이 필요한 프로젝트이고 비용이 매우 높다. 만약 이력 정보가 누락되어 있다면 여러분의 소송 상대방이 이 글을 읽지 않기를 기도하는 것이 좋을 것이다. 왜냐하면 강제로 데이터를 재구성하도록 요구할 수 있기 때문이다.

모든 것을 기록한다
이런 절차를 거치면서 발견한 (그리고 발견하지 못한) 모든 것에 관한 일지(Journal)를 작성한다. 특히 의사결정에 관해서는 심지어 데이터 접근과 보관에 관한 사소한 것이라도 기록해야 한다. 수 개월이 지난 후에 이런 것을 기억하는 것은 절대로 불가능하기 때문이다.

데이터를 분석, 조작할 때는 직접 개발한 코드를 사용하지 않는 것이 좋다. 일반 APL 매트릭스가 적용된 AWK 스크립트가 더 품격이 있다 하더라도 손쉽게 재현할 수 있는 제품과 방법을 사용하는 것이 소송과 관련된 모든 사람에게 유리하다. 분석에 사용된 앱과 데이터베이스의 설정 등을 일지에 기록하고 스크린샷을 사용해 근거자료로 첨부해 놓는다.

물론, 소송의 결과에 따라 이해 관계가 발생하는 사람이 데이터를 분석하거나 다루지 못하도록 해야 한다. 그래서 일반적으로는 컨설턴트가 모든 데이터를 처리하는 것이 좋다. 자신의 기업 또는 상대편에 투자한 적이 없어야 하고, 분석 계약을 체결할 때는 구체적인 소송 결과에 대한 인센티브나 보너스 지급이 포함되지 않도록 한다(인센티브를 전혀 지급하지 않는 것이 가장 좋다).

만약 소송에서 분석이 필수적인 요건일 경우 컨설턴트가 (최소한 심문 시) 증언해야 할 가능성이 높다. 전문가 증인(Expert Witness)으로서 자격을 갖추고 증언할 의지를 갖게 하는 것이 중요하다. 이런 사람은 FEWA(Forensic Expert Witness Association) 등에서 찾을 수 있다. 법정에 출두할 경우 시간당 400~600달러의 비용을 지불하면 된다.

큰 그림
이 모든 절차가 벅차게 느껴진다면 필자가 말하고자 하는 것을 정확히 파악한 것이다. 이 모든 작업의 목표는 가능한 빨리 시시비비를 가리는 것이다. 방어적인 자세를 취하거나 '나는 옳고 그들은 그르다'를 입증하는데 집착하지 말자. 이런 방식은 불만과 비용을 높일 뿐이다. 설사 승리하더라도 결과적으로 패배한 것이다. 소송은 언제나 실제 사업에 방해가 되고 그 누구도 자신이 투자한 시간과 감정적인 에너지의 기회 비용에 대해 보상하지 않기 때문이다.

* David Taber는 'Salesforce.com Secrets of Success'의 저자이자 SalesLogistix의 CEO이다. 세일즈포스닷컴 인증 컨설턴트로, 주로 CRM을 이용한 비즈니스 프로세스 향상 관련된 컨설팅을 제공한다. ciokr@idg.co.kr


X