2019.09.04

IDG 블로그 | 사이버보안 사고 대응 전문가가 필요한 이유

Roger A. Grimes  | CSO
수만 개의 기업과 조직, 도시가 랜섬웨어에 의해 잔인하게 다운되고 있다. 일부 피해는 상대적으로 잘 대응해 하루 혹은 3일 안에 복구한다. 그러나 일부는 수 주 동안 다운되고 때로는 다시 피해를 보기도 한다. 이처럼 신속한 복구와 만성적인 문제의 차이는 '누구에게 도움을 요청하는지'에 달려 있다.
 
ⓒ Getty Images Bank

필자는 최근 게임 부문 최고 전문가와 대화를 나누었다. 뮬런 콜린(Mullen Coughlin, LLC)의 파트너 존 F. 뮬런이다. 그는 직업상 수천 건의 사이버보안 사건 대응에 참여했다. 그의 기업은 지난해 1,200건을 처리했다. 많은 이가 뮬런 콜린에 대해 들어본 적이 없을 것이다. 필자도 한 도시의 CISO로 근무하는 친구와 대화를 나누기 전까지는 몰랐다.

사이버보안 사건이 있고 사이버 보험에 가입했고 보험사에 기술적인 사이버보안 사건 대응을 처리할 전문가가 없다면 보험사는 허리케인이 지나간 후에 배의 구멍을 때우는 수준밖에 되지 않는다. 보험사는 보험 및 보험 인수를 수행한다. 청구가 이루어지고 피해가 결정되면 끝이다.

전문적인 사건 대응 업체를 이용하는 이유
존은 사이버보안 사고 후 뮬런 콜린 같은 기업을 이용해야 하는 이유로 3가지를 제시했다. 우선 경험이 있다. 뮬런에 전화하는 기업이 이미 사건 대응을 진행하고 있지만 알고 있는 지역 IT 기업을 이용하는 경우가 많다. 그것도 상관없지만 현지 기업은 일반적으로 뮬런 콜린이 이용할 수 있는 포렌식팀과 같은 경험이 없다. 존은 "우리는 전문가다. 많은 경우 기업이 해킹을 당한 이유는 패치 누락이나 잘못된 구성 설정 등 지역 IT 서비스의 조언에 따랐기 때문이었다"라고 말했다.

둘째, 존의 팀은 모두 변호사다. 그들이 고객을 대신해 논의하고 하는 모든 것이 면책된다. 즉, "그들이 논의하는 모든 것은 다른 사람과 공유될 가능성이 작다"는 의미다. 존이 고용하는 모든 이들이 면책 소통을 적용받는다. 지역 IT 기업은 이를 제공할 수 없다. 셋째로 가장 중요한 것은 존과 보험사가 이미 고객의 상황에 대응하는 데 필요한 모든 포렌식, PR, 대량 메일 전송/ID 보호 서비스 제공자를 조사했다는 점이다.

미리 전화하고 연례 서비스 검토하기
존은 기회가 있다면 공격이 발생하기 전에 사이버 보험사와 협력하는 사건 대응 기업에 전화하라고 조언했다. 그는 "미리 전화를 걸어 우리 팀을 만나 프로세스가 어떻게 진행되는지 파악하는 경우는 내 고객 중 1%에 불과하다. 그러나 이를 통해 신뢰를 쌓고 프로세스 진행에 대해 공유할 수 있기 때문에 이런 전화를 매우 환영한다"라고 말했다. 이를 통해 비상 전화가 걸려왔을 때 소중한 시간을 아낄 수 있다. 미리 전화하자.

또한 존은 모든 기업이 사이버 보험에 가입하고 최소한 연례적으로 외부 보안 검토를 수행하라고 조언했다. IT 기업을 이용해 현재 이용하는 정기 서비스와 다른 서비스를 이용하는 것도 좋다. 또한 매년 이용하는 어떤 외부 기업을 변경하는 것도 좋다. 그는 "다른 기업은 다른 것을 찾아내며 실행할 때마다 고유하고 독립적인 관점이 필요하다"라고 말했다.

랜섬웨어의 진화
존에 따르면, 랜섬웨어 공격은 지난 수년 동안 새롭게 진화했다. 몇 년 전만 하더라도 랜섬웨어는 일반적으로 조직에 진입하자마자 활성화되고 데스크톱을 암호화했다. 이제 공격자는 조직 내부에 며칠 또는 몇 주 동안 머무르면서 해킹된 시스템에 대한 액세스를 극대화하는 방법을 파악한다. 그는 "랜섬웨어 악당은 백업조차 차단하기 때문에 오프라인 백업을 전적으로 신뢰해서는 안 된다"라고 말했다.

주요 랜섬웨어 사건에는 소셜 엔지니어링이 개입될 가능성이 크다. 실제로 존은 "절반 이상의 사건에 소셜 엔지니어링이 개입되었을 가능성이 높으며, 특히 궁극적인 피해자에게 도달하기 위해 해킹된 서드파티 서비스 제공자를 포함한다면 더욱 그렇다고 말했다. 잘못 구성되고 패치되지 않은 소프트웨어가 자주 이용된다"라고 말했다.

한 조사에 따르면, 대가를 지불해도 제대로 된 복호화 키를 제공하지 않는 경우가 최대 40%나 된다. 그러나 존은 자신의 경험은 다르다고 말했다. 그는 "고객이 대가를 지불하면 지불하지 않은 경우와 비교해 복구 작업과 다운 타임이 감소하는 경우가 95%다"라고 말했다.

존은 자신의 업체와 같은 기업에 전화해야 하는 때를 대비해 몇 가지 조언을 제시했다. 그는 "우리 회사에 전화하려면 의사 결정 할 수 있는 권한이 있어야 한다. 행동 계획을 수립했다가 적절한 의사 결정자와 연락될 때까지 기다려야 하는 경우가 상상할 수 없을 정도로 많은데, 최종 결정을 내리려면 모든 것을 다시 해야 한다. 전화를 거는 사람에게 필요한 권한이 있으면 모든 것이 더 신속하게 진행된다"라고 말했다. ciokr@idg.co.kr


2019.09.04

IDG 블로그 | 사이버보안 사고 대응 전문가가 필요한 이유

Roger A. Grimes  | CSO
수만 개의 기업과 조직, 도시가 랜섬웨어에 의해 잔인하게 다운되고 있다. 일부 피해는 상대적으로 잘 대응해 하루 혹은 3일 안에 복구한다. 그러나 일부는 수 주 동안 다운되고 때로는 다시 피해를 보기도 한다. 이처럼 신속한 복구와 만성적인 문제의 차이는 '누구에게 도움을 요청하는지'에 달려 있다.
 
ⓒ Getty Images Bank

필자는 최근 게임 부문 최고 전문가와 대화를 나누었다. 뮬런 콜린(Mullen Coughlin, LLC)의 파트너 존 F. 뮬런이다. 그는 직업상 수천 건의 사이버보안 사건 대응에 참여했다. 그의 기업은 지난해 1,200건을 처리했다. 많은 이가 뮬런 콜린에 대해 들어본 적이 없을 것이다. 필자도 한 도시의 CISO로 근무하는 친구와 대화를 나누기 전까지는 몰랐다.

사이버보안 사건이 있고 사이버 보험에 가입했고 보험사에 기술적인 사이버보안 사건 대응을 처리할 전문가가 없다면 보험사는 허리케인이 지나간 후에 배의 구멍을 때우는 수준밖에 되지 않는다. 보험사는 보험 및 보험 인수를 수행한다. 청구가 이루어지고 피해가 결정되면 끝이다.

전문적인 사건 대응 업체를 이용하는 이유
존은 사이버보안 사고 후 뮬런 콜린 같은 기업을 이용해야 하는 이유로 3가지를 제시했다. 우선 경험이 있다. 뮬런에 전화하는 기업이 이미 사건 대응을 진행하고 있지만 알고 있는 지역 IT 기업을 이용하는 경우가 많다. 그것도 상관없지만 현지 기업은 일반적으로 뮬런 콜린이 이용할 수 있는 포렌식팀과 같은 경험이 없다. 존은 "우리는 전문가다. 많은 경우 기업이 해킹을 당한 이유는 패치 누락이나 잘못된 구성 설정 등 지역 IT 서비스의 조언에 따랐기 때문이었다"라고 말했다.

둘째, 존의 팀은 모두 변호사다. 그들이 고객을 대신해 논의하고 하는 모든 것이 면책된다. 즉, "그들이 논의하는 모든 것은 다른 사람과 공유될 가능성이 작다"는 의미다. 존이 고용하는 모든 이들이 면책 소통을 적용받는다. 지역 IT 기업은 이를 제공할 수 없다. 셋째로 가장 중요한 것은 존과 보험사가 이미 고객의 상황에 대응하는 데 필요한 모든 포렌식, PR, 대량 메일 전송/ID 보호 서비스 제공자를 조사했다는 점이다.

미리 전화하고 연례 서비스 검토하기
존은 기회가 있다면 공격이 발생하기 전에 사이버 보험사와 협력하는 사건 대응 기업에 전화하라고 조언했다. 그는 "미리 전화를 걸어 우리 팀을 만나 프로세스가 어떻게 진행되는지 파악하는 경우는 내 고객 중 1%에 불과하다. 그러나 이를 통해 신뢰를 쌓고 프로세스 진행에 대해 공유할 수 있기 때문에 이런 전화를 매우 환영한다"라고 말했다. 이를 통해 비상 전화가 걸려왔을 때 소중한 시간을 아낄 수 있다. 미리 전화하자.

또한 존은 모든 기업이 사이버 보험에 가입하고 최소한 연례적으로 외부 보안 검토를 수행하라고 조언했다. IT 기업을 이용해 현재 이용하는 정기 서비스와 다른 서비스를 이용하는 것도 좋다. 또한 매년 이용하는 어떤 외부 기업을 변경하는 것도 좋다. 그는 "다른 기업은 다른 것을 찾아내며 실행할 때마다 고유하고 독립적인 관점이 필요하다"라고 말했다.

랜섬웨어의 진화
존에 따르면, 랜섬웨어 공격은 지난 수년 동안 새롭게 진화했다. 몇 년 전만 하더라도 랜섬웨어는 일반적으로 조직에 진입하자마자 활성화되고 데스크톱을 암호화했다. 이제 공격자는 조직 내부에 며칠 또는 몇 주 동안 머무르면서 해킹된 시스템에 대한 액세스를 극대화하는 방법을 파악한다. 그는 "랜섬웨어 악당은 백업조차 차단하기 때문에 오프라인 백업을 전적으로 신뢰해서는 안 된다"라고 말했다.

주요 랜섬웨어 사건에는 소셜 엔지니어링이 개입될 가능성이 크다. 실제로 존은 "절반 이상의 사건에 소셜 엔지니어링이 개입되었을 가능성이 높으며, 특히 궁극적인 피해자에게 도달하기 위해 해킹된 서드파티 서비스 제공자를 포함한다면 더욱 그렇다고 말했다. 잘못 구성되고 패치되지 않은 소프트웨어가 자주 이용된다"라고 말했다.

한 조사에 따르면, 대가를 지불해도 제대로 된 복호화 키를 제공하지 않는 경우가 최대 40%나 된다. 그러나 존은 자신의 경험은 다르다고 말했다. 그는 "고객이 대가를 지불하면 지불하지 않은 경우와 비교해 복구 작업과 다운 타임이 감소하는 경우가 95%다"라고 말했다.

존은 자신의 업체와 같은 기업에 전화해야 하는 때를 대비해 몇 가지 조언을 제시했다. 그는 "우리 회사에 전화하려면 의사 결정 할 수 있는 권한이 있어야 한다. 행동 계획을 수립했다가 적절한 의사 결정자와 연락될 때까지 기다려야 하는 경우가 상상할 수 없을 정도로 많은데, 최종 결정을 내리려면 모든 것을 다시 해야 한다. 전화를 거는 사람에게 필요한 권한이 있으면 모든 것이 더 신속하게 진행된다"라고 말했다. ciokr@idg.co.kr


X