"사고 대응은 범인을 추적하는 것과 같다"…가장 보편적인 사고 대응 방법

CIO
사고 대응은 실제 절도 행위를 조사하는 것과 같다. 범죄 현장에서 침입자의 흔적을 찾고 그의 목표와 침입 경로를 찾아내어 구멍을 수리한다. 침입한 담장의 절단부를 찾아낸다.

몇 걸음 더 물러나 다른 관점에서 바라본다. 침입자의 목표를 찾는다. 침입한 담장 근처에는 어떤 자산이 있는가? 양 방향으로 찾으면서 침입자의 목표와 침입 경로를 찾아낸다. 그리고 담장을 고친다. 문제를 해결하고 취약성을 해소한다.

래리 줄크는 새비우스(Savvius)의 사장이자 CEO로, 그가 설명해준 사이버 범죄 현장은 다음과 같다.

가장 보편적인 사고 대응 문제
100% 원활하게 진행되는 사고 대응 조사는 거의 없다. 가장 보편적인 문제로 사고 대응/보안 직원이 사건을 처리할 수 있도록 적절한 교육을 받지 못하거나 조직이 "셸쇼크(Shellshock)" 또는 마비 상태 등의 문제가 있다.
사고 대응팀은 적절한 조직적 권한이 없고 네트워크 또는 자원 가시성이 부재한 경우도 있다. 또한 패킷(Packet) 기반의 네트워크 포렌식(Forensics)를 수행할 기술이나 툴이 부족하고 추후 조사를 위해 "의심되는" 패킷을 확인하고 저장할 프로세스가 마련되어 있지 않을 수 있다.

팀이 준비되어 있지 않다면 지원하라
데이터 유출이 발생할 수 있다는 사실을 이해하고 인정하자. 정기적인 도상 훈련(tabletop exercises)을 진행하자. 분기마다 시나리오 기반의 검토회를 진행하고 IR(incident response)과 탐지를 위한 예산을 할당하자.

조직의 "충격"을 해결하라
유출이 발견됐을 때 충격으로 인해 조직이 마비되지 않도록 하자. 행동 계획을 준비하고 유출 완화와 해결에 집중한다. 내부 의사소통 유지가 핵심이다. 모든 IT 보안 인력과 기타 이해당사자들에게 지속적으로 정보를 제공한다.

IR 팀에 다음과 같은 이들을 포함시킨다
사고 대응팀에는 반드시 HR, PR, 법무, 관리, IT 및 IT 보안, 기업 보안, 경영진 등이 참여하도록 한다. 어떤 팀도 따돌려서는 안 된다. 일관된 의사소통 및 전문지식 공유가 필수적이다.

조직의 네트워크 지도를 만들어라
지금의 디지털 기업을 정확히 이해하자! 네트워크 지도에는 진입점, 진출점 등이 포함되어 있어야 한다. IT에 필요한 툴을 정비하자. IT 보안에 필요한 툴을 정비하자.

네트워크 및 패킷 포렌식을 수행하라
보안 분석은 데이터가 제공되는 한, 단기간에 걸쳐 이벤트들을 상호 연관시키는데 좋다. 이제 우리는 대부분의 유출이 발견될 때까지 소요되는 오랜 기간에 걸쳐 이벤트들을 더욱 잘 상호 연관시킬 수 있어야 한다. 전문가들과의 연락망을 구성한다. “의심되는” 패킷을 장기간 보관할 수 있는 툴을 마련한다. editor@itworld.co.kr