네트워크에 침입자가 있을 때, 신속하고 효과적으로 대응해야 함은 당연합니다. IT 업체 크롤(Kroll), 레드 카나리(Red Canary), VM웨어가 400명 이상의 IS 전문가와 100명 이상의 법률 및 규정 준수 담당자를 대상으로 실시한 ‘사고 대응 현황 2021’ 조사 결과에 따르면, 응답자의 55% 이상이 사이버 사고 대응의 자동화 시간을 개선하기를 원한다고 답했습니다. 하지만. 조사 결과는 긍정적이지 않습니다. 조직의 절반 미만(48%)이 정기적인 보안 준비 훈련을 실시하지만 응답자의 90% 이상이 사이버 공격의 근본 원인을 식별하는 조직의 능력에 대해 완전히 확신하지 못하고, 조직의 거의 절반(46%)이 초기 침해 후 1시간 이내에 위협을 억제할 수 없다고 답했습니다. 즉, 위협 탐지 및 대응 리소스가 부족함을 뜻합니다.
결국 자동화가 문제 해결의 핵심입니다. 조직은 사고 대응 프로세스를 자동화하는데 초점을 둘 계획이 있지만 거의 절반이 사내 전문 지식 부족(47%) 및 지원 기술 부족(47%)과 같은 문제에 직면해 있는 것이 드러났습니다.
지난 2021년 12월에 시스코에서 발표한 ‘보안 연구 보고서 제2편’에서는 사이버 보안 프로그램의 성공을 이끄는 5가지 핵심 요소를 언급했습니다. 여기에는 정확한 조기 위협 탐지, 신속한 사고 대응, 재해 발생 시 즉각 복구할 수 있는 역량이 포함되어 있습니다.
이 요소들을 실천하기 위해서는 세부적인 사이버 사고 대응 계획이 필요합니다. 지금부터 네트워크 내에 활성 공격자가 있을 때 신속하게, 보안팀에 동시다발적으로 취해야 하는 주요 단계를 설명하겠습니다.
포레스터 컨설팅과 팔로 알토 네트웍스의 ‘2021년 보안 운영 현황 보고서’에 따르면, 보안팀은 하루 평균 1만 1,047개의 보안 경보를 받는다고 합니다. 물론 대부분은 오탐지이거나 우선순위가 낮은 위험을 나타내지만, 신속히 대응에 착수해야 하는 중대한 문제를 알리는 경보도 있습니다.
맥맨은 “경보 버튼은 일단 발령하면 되돌리기 어렵기 때문에 사람들은 경보 버튼을 누르기를 주저한다. 실수와 그에 따르는 비용 문제로 실행을 두려워하는 것이다. 그렇기 때문에 언제 경보 버튼을 눌러야 하는지 명확하게 알고 있어야 한다” 라고 말했다. 따라서 보안팀은 상황을 단계적으로 확대해야 하는 시점 그리고 그에 대한 명확한 가이드라인을 만들어야 합니다.
가이드라인이 명확하면 기업은 대응 시간을 줄여 피해가 확산되는 것을 방지할 수 있고 사소한 사고 및 오탐지 경보에 대한 값비싼 비용 지출도 막을 수 있습니다.
맥맨의 조언에 따르면 사고 초기에는 확인된 팩트와 생성된 경보, 문제의 규모, 가능한 영향의 범위 등을 파악해 대응의 우선순위를 정한 뒤 의사결정을 내리고 움직여야 한다고 합니다. 이때 애플리케이션 로그, 트랜잭션 데이터는 상황 파악에 도움이 됩니다.
사고 분류 프로세스에 사업부가 참여해야 합니다. 사업부의 참여로, 보안팀은 영향을 받는 구성요소 가운데 비즈니스 수행에 핵심적인 구성요소가 무엇인지, 해당 구성요소의 소유자가 누구이며 누가 제어하는지 즉각 파악해야 합니다.
보안 사고는 비즈니스 문제입니다. 기술 담당자가 개별적으로 해결해야 하는 문제가 아니기 때문에 비즈니스가 필요한 작업을 계속 수행할 수 있도록 비즈니스 연속성과 재해 복구를 실행하는 보조 프로세스를 마련해야 합니다.
보안팀은 보안 사고를 처리하면서 외부로 유출되는 데이터가 없는지 주시해야 합니다. 사이버보안 기술 인증 기구인 EC 위원회의 스티븐 그레이엄은 “네트워크에서 활동 중인 침입자라면 최대한 백도어를 많이 만들 것이다. 공격의 영향을 멈출 수 있도록 네트워크 안에서 외부로 나가는 지점을 파악해야 한다” 라고 말했습니다.
보안팀은 해커가 어떻게 침입했고, 어디로 이동해 어떤 부분에 손을 댔는지 조사해야 합니다. 해커의 진입점을 찾기 위해서는 효과적인 네트워크 모니터링이 필요하며, 진입점을 찾은 뒤에는 악용된 취약점을 보수해 추후 다른 해커의 침입을 방지해야 합니다.
사고 범위에 초점을 맞추었다면 대응에 필요한 조직을 구성해야 합니다. 의사결정을 내리는 모든 경영진, 기술을 갖춘 보안 및 IT 실무자, 인사 법률을 비롯해 각 직무 영역을 대표하는 담당자 그리고 필요한 경우 외부 인력으로 구성됩니다.
CISO는 조사, 우선순위, 완료된 작업, 진행중인 작업, 해결되지 않은 문제 등 세부 사항을 적극적으로 문서화하고 이를 공유해야 합니다. 맥맨은 사고 대응 도중 데이터 공유와 기록을 위한 커뮤니케이션 플랫폼의 필요성을 강조했습니다. 실제 사고가 발생했을 때 간과하는 경우가 많은 부분입니다.
조사에 이어서 조치를 실행할 땐, 해커를 즉시 네트워크에서 쫓아내거나 시간을 두고 모니터링 한 뒤에 반격을 하는 등 해커에 대응하는 방법을 조율해야 합니다. 바이아시니는 “해커는 여러 곳에 거점을 두므로 모든 거점에서 동시에 쫓아내야 한다.”라고 조언했습니다.
CISO를 비롯한 모든 대응팀은 사고 대응 방침을 철저히 고수해 부여된 역할을 벗어난 활동을 하지 말아야 합니다. 위기 상황에서 책임자는 최전선에 뛰어들고 싶겠지만, 모두가 자신의 역할에 충실한 것이 가장 크게 기여하는 방법입니다.
아무리 세부적인고 많은 훈련을 거친 사고 대응 계획이라고 하더라도 모든 위협, 기법을 모두 다룰 수 없습니다. 따라서 실제 상황에서 CISO와 기업은 직면한 현실에 맞게 태세를 전환하고 대응 방안을 조정할 줄 알아야 합니다.
보안 사고는 숨길 수 없고, 숨기려고 시도하는 것 자체가 대부분 불법입니다. 따라서 CISO는 법률 및 커뮤니케이션팀과 협력하여 사고 내용을 알릴 대상을 파악해 명료한 메시지를 만들고, 모두가 상황을 정확히 인지하도록 알려야 합니다.
골리크는 “팀이 장시간 휴식 없이, 심지어 하루 이상 잠도 안자고 일하면서 녹초가 되는 경우가 많다. 이런 혹독한 일정은 팀이 얼마나 열심히 일하는지를 증명하지만, 실수를 유발할 수 있는 원인이기도 하다.”라고 지적했습니다. 덧붙여, “CISO는 커뮤니케이션 라인과 작업 시간 제한, 교대 휴식, 사고 처리 이후 휴가 일정을 명확하게 계획해야 한다. 기업은 인적 요소에 대한 처리 방안도 사전에 최대한 마련해야 한다.” 라고 강조했습니다.
모든 보안 사고는 예방이 가장 중요합니다. 그리고 앞서 언급한 바와 같이 보안의 핵심은 ‘자동화’ 입니다. Sonatype Nexus firewall은 최신 소프트웨어 공급망에 대한 공격 방어의 최전선입니다. 조기 경고 시스템을 제공해 치명/악성적이거나 의심스러운 혹은 검증되지 않은 위협요소가 다운로드 돼 SDLC 내에 유입되는 것을 사전에 방지합니다.
처음부터 의심스러운/악성의 컴포넌트를 조기에 탐지하고 경고합니다. 자동으로 보호하기 때문에 점점 고도화되는 해커의 공격에 대항할 수 있습니다.
Sonatype Nexus firewall와 관련된 지원은 OSC Korea로 연락 주세요.
E : sonatype@osckorea.com
T : 070-7757-3980
출처
(3) 네트워크에 침입자가 있을 때 취해야할 조치 12단계
.png)
