2020.10.08

강력한 침해 대응 계획을 구축하기 위한 6단계

Michelle Drolet | CSO
사이버보안 탄력성은 상세하고 철저하며, 검증된 침해 대응 계획을 수립하는데 달려있다. 
 
ⓒ Getty Images Bank

아무리 안전한 기업이라 하더라도 데이터 침해를 겪을 수 밖에 없다. 사이버범죄자의 공격, 불만을 품은 내부자, 또는 단순한 인적 오류의 결과 등 원인과는 관계없이 세심하게 만들어진 대응 전략을 통해 피해를 줄일 수 있다. 

침해에 대처하기 위한 효과적인 전략을 구축하려면 우선 많은 기초 작업을 수행해야 한다. 관련 데이터를 수집하고, 잠재적인 위협의 우선순위를 정하고, 확실한 탐지 기능을 갖추고 있는지 확인해야 한다. 그런 다음에야 시나리오에 따른 책임을 할당하고 단계별 워크플로우를 작성할 수 있다.  


주요 위험 파악하기 

침해 대응 계획을 세우기 전에 기업에 어떤 재앙이 닥칠지 먼저 알아야 한다. 많은 유형의 침해가 있으며, 모든 데이터의 가치가 동일하지 않기 때문에 일상적인 비즈니스 활동을 중단시킬 수 있는 시나리오를 우선 조사한다. 모든 주요 이해 관계자를 모아 위험에 대해 논의하고, 가장 큰 위협에 대한 의견을 제시하고, 주요 위험에 대한 합의를 도출한다.  

모든 사람이 우선순위 후보 목록에 동의하면 의사결정권자와 이사회에 보고한다. 이것이 훌륭한 출발점이긴 하지만, 우선순위 목록은 정기적으로 업데이트되어야 한다는 점을 명심한다. 새로운 파트너십을 체결하거나, 새로운 서비스 또는 제품군을 출시하거나, 최고 경영진에 새로운 구성원이 들어오는 등 실질적인 변화가 있다면 주요 위험 목록을 재고해야 한다. 


네트워크, 완전히 파악하기 

IT 부서는 기업 전체에서 사용중인 모든 기기, 사람, 애플리케이션을 최적의 시간에 추적하는 것이 어려우며, 원격 작업이 급격히 증가함에 따라 더욱더 힘들어졌다. 그럼에도 불구하고 전체 네트워크를 전체적으로 파악하는 것은 중요하다. 금지하기보다는 인증되지 않은 앱과 클라우드 기반 서비스를 안전하게 아우르는 전략을 찾아야 한다. 직원의 생활과 업무 관련 데이터 사이에 개인 기기에 대한 보안 장벽을 만든다.
 
사용자 권한을 평가한다. 실제로 필요하지 않은 데이터 관리 권한과 과도한 액세스를 제한한다. 임직원이 기업을 떠날 때 사용자 계정이 제대로 닫히도록 엄격한 정책을 적용한다. 네트워크의 전체 그림을 설정하고 유지하는데 중요한 것은 주의와 편리함 사이에 적절한 균형을 맞추는 것이다. 임직원은 업무를 효과적으로 수행할 수 있어야 하므로 너무 제한적인 보안 정책은 실패할 수 있다. 


강력한 침해 탐지 기능 배포하기

데이터 침해는 눈에 띄지 않는 경우가 많다. 성공적인 피싱 공격이나 소프트웨어 익스플로잇 공격은 성공하면 공격자에게 액세스 권한을 부여할 수 있으며, 침해가 발견되지 않으면 수일, 수주, 수개월, 심지어 수년 동안 네트워크에 조용히 존재할 수 있다. 침해가 이미 발생했다고 가정하고 네트워크에 대한 심층 검사를 수행해야 한다.
  
지속적인 모니터링은 좋은 생각이다. 비정상적인 사용자 활동과 데이터 유출을 탐지할 수 있는 소프트웨어를 고려한다. 이런 유형의 소프트웨어가 효과적이려면 정상적인 동작 기준을 설정해야 한다. 모니터링의 목적은 실시간으로 침해를 탐지하고, 침해 발생을 방지하고, 잠재적인 피해를 최소화하는 것이다.

 
명확한 명령 체계 구축하기 

침해로 인한 패닉은 종종 행동을 서두르게 하지만, 마비를 유발할 수도 있다. 2가지 문제를 피하는 가장 좋은 방법은 명확한 책임을 설정하는 것이다. 누가, 무엇에 책임을 지고, 언제, 무슨 행동을 해야 하는 지 알아야 한다. 가장 중요한 것은 임직원들이 의심스러운 침해가 발견했을 때, 가장 먼저 누구에게 알려야 하는지 알고 있어야 한다.
 
침해 대응에서 시간은 매우 중요하므로 사고를 적절하게 평가할 수 있는 기술을 가진 사람에게 보고하는 것이 중요하다. IT 및 보안 팀 외에도 법률팀에서 규정 준수를 보장하고 커뮤니케이션 팀에서 질의를 처리하는 것이 현명하다. 상황이 진전되면 경영진과 이사회는 진행 상황을 계속 파악해야 하며, 결정에 관여해야 할 수도 있다. 


커뮤니케이션 전략 수립하기 

침해 후 고객과 비즈니스 파트너는 정보를 요구하고 내부 직원은 무슨 일이 일어나고 있는지 알고 싶어할 것이며, 언론은 논평이나 설명을 요청할 수 있다. 중대한 침해 사고든, 사소한 침해든지 담당자의 평판은 이미 위태롭다. 공식 성명과 업데이트가 전달되는 빈도에 대한 기대치를 설정해야 한다. 그리고 명확성이 필수적이며, 기업에서 나오는 목소리는 오직 하나여야 한다.   

침해 이후 일치된 메시지를 전달해야 한다는 점을 임직원들이 이해하고, 커뮤니케이션 전략에서 메시지를 작성하고 승인하는 이를 명시하고 있는지 확인한다. 

 
상세 계획 작성, 테스트하기 

잠재적 침해 사항이 발견되면 사고 대응 팀을 불러오기 전에 이를 검증하는 프로세스가 필요하다. 다양한 유형의 침해에 대해 취해야 할 각각의 조치를 명확히 정해 놓은 계획을 수립한다. 필요한 사항을 정확하게 설명하는 일련의 우선순위 단계를 제시한다. 여기서는 일관성이 핵심이다. 의심이나 오해의 여지가 없도록 한다. 

계획이 목적에 맞는지 확인하는 유일한 방법은 테스트하는 것이다. 임직원이 새로운 워크플로우에 정통하고 커뮤니케이션 채널이 의도한 대로 작동하는지 확인한다. 관계자와 함께 다양한 시나리오를 테스트하고 추가 주의가 필요한 취약점을 찾아내는 작업을 수행한다. 실질적인 장기 탄력성을 달성하기 위해서는 계획을 지속적으로 테스트하고 개선해야 한다. 

침해 사고는 피할 수 없는 경우도 있지만, 강력한 대응 계획을 통해 비즈니스 운영 중단을 최소화할 수 있다. editor@itworld.co.kr 


2020.10.08

강력한 침해 대응 계획을 구축하기 위한 6단계

Michelle Drolet | CSO
사이버보안 탄력성은 상세하고 철저하며, 검증된 침해 대응 계획을 수립하는데 달려있다. 
 
ⓒ Getty Images Bank

아무리 안전한 기업이라 하더라도 데이터 침해를 겪을 수 밖에 없다. 사이버범죄자의 공격, 불만을 품은 내부자, 또는 단순한 인적 오류의 결과 등 원인과는 관계없이 세심하게 만들어진 대응 전략을 통해 피해를 줄일 수 있다. 

침해에 대처하기 위한 효과적인 전략을 구축하려면 우선 많은 기초 작업을 수행해야 한다. 관련 데이터를 수집하고, 잠재적인 위협의 우선순위를 정하고, 확실한 탐지 기능을 갖추고 있는지 확인해야 한다. 그런 다음에야 시나리오에 따른 책임을 할당하고 단계별 워크플로우를 작성할 수 있다.  


주요 위험 파악하기 

침해 대응 계획을 세우기 전에 기업에 어떤 재앙이 닥칠지 먼저 알아야 한다. 많은 유형의 침해가 있으며, 모든 데이터의 가치가 동일하지 않기 때문에 일상적인 비즈니스 활동을 중단시킬 수 있는 시나리오를 우선 조사한다. 모든 주요 이해 관계자를 모아 위험에 대해 논의하고, 가장 큰 위협에 대한 의견을 제시하고, 주요 위험에 대한 합의를 도출한다.  

모든 사람이 우선순위 후보 목록에 동의하면 의사결정권자와 이사회에 보고한다. 이것이 훌륭한 출발점이긴 하지만, 우선순위 목록은 정기적으로 업데이트되어야 한다는 점을 명심한다. 새로운 파트너십을 체결하거나, 새로운 서비스 또는 제품군을 출시하거나, 최고 경영진에 새로운 구성원이 들어오는 등 실질적인 변화가 있다면 주요 위험 목록을 재고해야 한다. 


네트워크, 완전히 파악하기 

IT 부서는 기업 전체에서 사용중인 모든 기기, 사람, 애플리케이션을 최적의 시간에 추적하는 것이 어려우며, 원격 작업이 급격히 증가함에 따라 더욱더 힘들어졌다. 그럼에도 불구하고 전체 네트워크를 전체적으로 파악하는 것은 중요하다. 금지하기보다는 인증되지 않은 앱과 클라우드 기반 서비스를 안전하게 아우르는 전략을 찾아야 한다. 직원의 생활과 업무 관련 데이터 사이에 개인 기기에 대한 보안 장벽을 만든다.
 
사용자 권한을 평가한다. 실제로 필요하지 않은 데이터 관리 권한과 과도한 액세스를 제한한다. 임직원이 기업을 떠날 때 사용자 계정이 제대로 닫히도록 엄격한 정책을 적용한다. 네트워크의 전체 그림을 설정하고 유지하는데 중요한 것은 주의와 편리함 사이에 적절한 균형을 맞추는 것이다. 임직원은 업무를 효과적으로 수행할 수 있어야 하므로 너무 제한적인 보안 정책은 실패할 수 있다. 


강력한 침해 탐지 기능 배포하기

데이터 침해는 눈에 띄지 않는 경우가 많다. 성공적인 피싱 공격이나 소프트웨어 익스플로잇 공격은 성공하면 공격자에게 액세스 권한을 부여할 수 있으며, 침해가 발견되지 않으면 수일, 수주, 수개월, 심지어 수년 동안 네트워크에 조용히 존재할 수 있다. 침해가 이미 발생했다고 가정하고 네트워크에 대한 심층 검사를 수행해야 한다.
  
지속적인 모니터링은 좋은 생각이다. 비정상적인 사용자 활동과 데이터 유출을 탐지할 수 있는 소프트웨어를 고려한다. 이런 유형의 소프트웨어가 효과적이려면 정상적인 동작 기준을 설정해야 한다. 모니터링의 목적은 실시간으로 침해를 탐지하고, 침해 발생을 방지하고, 잠재적인 피해를 최소화하는 것이다.

 
명확한 명령 체계 구축하기 

침해로 인한 패닉은 종종 행동을 서두르게 하지만, 마비를 유발할 수도 있다. 2가지 문제를 피하는 가장 좋은 방법은 명확한 책임을 설정하는 것이다. 누가, 무엇에 책임을 지고, 언제, 무슨 행동을 해야 하는 지 알아야 한다. 가장 중요한 것은 임직원들이 의심스러운 침해가 발견했을 때, 가장 먼저 누구에게 알려야 하는지 알고 있어야 한다.
 
침해 대응에서 시간은 매우 중요하므로 사고를 적절하게 평가할 수 있는 기술을 가진 사람에게 보고하는 것이 중요하다. IT 및 보안 팀 외에도 법률팀에서 규정 준수를 보장하고 커뮤니케이션 팀에서 질의를 처리하는 것이 현명하다. 상황이 진전되면 경영진과 이사회는 진행 상황을 계속 파악해야 하며, 결정에 관여해야 할 수도 있다. 


커뮤니케이션 전략 수립하기 

침해 후 고객과 비즈니스 파트너는 정보를 요구하고 내부 직원은 무슨 일이 일어나고 있는지 알고 싶어할 것이며, 언론은 논평이나 설명을 요청할 수 있다. 중대한 침해 사고든, 사소한 침해든지 담당자의 평판은 이미 위태롭다. 공식 성명과 업데이트가 전달되는 빈도에 대한 기대치를 설정해야 한다. 그리고 명확성이 필수적이며, 기업에서 나오는 목소리는 오직 하나여야 한다.   

침해 이후 일치된 메시지를 전달해야 한다는 점을 임직원들이 이해하고, 커뮤니케이션 전략에서 메시지를 작성하고 승인하는 이를 명시하고 있는지 확인한다. 

 
상세 계획 작성, 테스트하기 

잠재적 침해 사항이 발견되면 사고 대응 팀을 불러오기 전에 이를 검증하는 프로세스가 필요하다. 다양한 유형의 침해에 대해 취해야 할 각각의 조치를 명확히 정해 놓은 계획을 수립한다. 필요한 사항을 정확하게 설명하는 일련의 우선순위 단계를 제시한다. 여기서는 일관성이 핵심이다. 의심이나 오해의 여지가 없도록 한다. 

계획이 목적에 맞는지 확인하는 유일한 방법은 테스트하는 것이다. 임직원이 새로운 워크플로우에 정통하고 커뮤니케이션 채널이 의도한 대로 작동하는지 확인한다. 관계자와 함께 다양한 시나리오를 테스트하고 추가 주의가 필요한 취약점을 찾아내는 작업을 수행한다. 실질적인 장기 탄력성을 달성하기 위해서는 계획을 지속적으로 테스트하고 개선해야 한다. 

침해 사고는 피할 수 없는 경우도 있지만, 강력한 대응 계획을 통해 비즈니스 운영 중단을 최소화할 수 있다. editor@itworld.co.kr 


X