사이버 인시던트에서 해야 할 일, 2부: 비기술적 대응

이 시리즈의 첫 번째 파트에서 설명한 것처럼 사이버 사고 발생 후 초기 기술적 대응은 사고를 억제하고 추가적인 데이터 도난을 방지하는 데 매우 중요합니다. 사이버 사고의 범위가 드러나면 비기술적 대응을 구성하는 데 유용할 수 있는 사소한 세부 사항이라도 기록해 두는 것이 중요합니다. 사이버 사고 대응 계획이 확고하게 수립되어 있어야 합니다. 가트너는 이를 다음과 같이 정의합니다:

'컴퓨터 사고 대응 계획'이라고도 하는 이 계획은 바이러스나 해커의 공격 등 잠재적으로 치명적인 컴퓨터 관련 사고에 대응하기 위해 기업에서 수립하는 계획입니다. CIRP에는 인시던트가 악의적인 소스로부터 발생했는지 여부를 판단하고, 그렇다면 위협을 억제하고 공격자로부터 기업을 격리하는 단계가 포함되어야 합니다.

이 계획은 발생할 수 있는 모든 사고를 처리할 관련 팀의 구성을 알려줍니다. 예를 들면 다음과 같습니다:

• 응급 구조대
• 전술(보안)
• 팀 코디네이터(C레벨)
• Legal
• 홍보

첫 번째 응답자는 일반적으로 조직에서 IT 관련 및 고장/수리 문제를 담당하는 IT 헬프 데스크입니다. 보고된 문제가 보안 성격의 문제인 경우, 사고의 심각도에 따라 보다 전문적인 외부 사고 대응 팀이 참여할 수 있는 전술(보안) 팀으로 신속하게 에스컬레이션됩니다. 그런 다음 이 팀이 보다 자세한 포렌식 조사 및 근본 원인 분석을 담당하게 됩니다. 일반적으로 CIO 또는 CISO와 같은 최고 경영진은 특히 심각한 데이터 유출이 발생한 경우 최고 경영진에게 전달할 수 있는 정기적인 업데이트를 받습니다. 법률 또는 홍보 커뮤니케이션이 필요한 경우 해당 팀에 문의해야 합니다. 이러한 모든 단계는 전체 계획의 일부로 표준 운영 절차(SOP)의 일부를 구성해야 합니다.

또한 조직 내 모든 직원이 사고 발생 시 보고 라인을 명확히 파악하고 있어야 합니다. 직원들이 이러한 정책의 중요성을 인식하지 못한다면 효과적인 사이버 대응 계획을 세우는 것은 매우 어려울 것입니다.

예를 들어, 의심스러운 이메일을 받은 직원은 즉시 해당 사건을 신고하여 적절한 기술 담당자가 악성 여부를 확인할 수 있도록 해야 합니다. 조직의 사이버 모니터링 시스템 중 하나에서 경고가 트리거될 수도 있습니다. 대부분의 경우 위협 행위자는 가장 약한 연결 고리인 최종 사용자를 노리며, 사소해 보이는 인시던트를 보고하지 않는 것이 더 큰 악성 캠페인의 시작을 탐지할지 말지를 가를 수 있습니다.

따라서 비기술적 대응 부분에서는 정책, 절차, 프로세스와 관련된 내용을 다룹니다:

• 인시던트 평가
• 인시던트 보고
• 규제 보고
• 공개 공개

인시던트 평가

현재 알려진 정보를 바탕으로 사이버 사고를 초기에 분류하는 것이 중요합니다. 가능한 영향 수준은 모든 세부 사항이 없는 경우에도 최악의 시나리오를 가정해야 합니다. 초기 기술 대응에서 설명한 참조 예시에서와 같이 사이버 사고에 내부 사용자 계정이 침해된 경우 침해된 계정이 액세스할 수 있는 각 리소스도 영향을 받을 수 있습니다.

특히 사고 당시 멀티팩터 인증이나 머신 인증 제어가 사용되지 않은 경우, VPN 또는 원격 액세스, 이메일 액세스, 인트라넷 리소스 액세스와 같은 리소스가 이에 해당할 수 있습니다.

잠재적 영향 수준은 기술적 대응 단계의 지침이 되어야 합니다. 사고의 전체 규모가 어느 정도 확실하게 조사되고 결정되면 알려진 영향 수준 평가를 확인할 수 있습니다. 이 경우 사고의 영향과 영향이 당초 생각했던 것만큼 심각하지 않을 수도 있습니다.

인시던트의 초기 영향을 평가하는 것은 매우 중요한 단계입니다. 규제 기관에 대한 공식 보고의 성격, 공개 커뮤니케이션 공개가 필요한지 여부, 백그라운드 프로토콜을 활성화해야 하는지 여부 등 다른 단계에 대해 정보에 입각한 결정을 내릴 수 있는 방법을 제공합니다. 어떤 경우든 그렇지 않다는 것이 입증될 때까지 최악의 시나리오를 가정하여 진행하는 것이 가장 좋습니다.

인시던트 보고서

사이버 보안 인시던트가 자동으로 중대한 침해와 동일시되는 것은 아니지만, 인시던트 보고는 반드시 해야 합니다. 초기에는 사고의 몇 가지 중요한 측면을 자세히 설명하는 공식적인 내부 보고서가 작성됩니다. 보고서에는 인시던트 ID와 인시던트 소유자가 명확하게 식별되어야 합니다.

또한 공식 보고서에는 사고 유형, 사고 요약, 타임라인, 영향 및 근본 원인 분석, 해결 또는 복구 조치, 마지막으로 특정 사고에서 얻은 교훈 등 유용한 정보가 포함되어야 합니다. 예를 들면 다음과 같습니다:

• 인시던트 날짜
• 인시던트 ID
• 인시던트 소유자
• 인시던트 요약
• 인시던트 타임라인
• 인시던트 세부 정보
• 영향 분석
• 근본 원인
• 해결 & 복구
• 배운 교훈
• 부록

보고서에는 영향을 받은 사용자와 해당 계정에 대한 세부 정보와 사고 발생 전, 발생 중, 발생 후의 타임라인이 포함되어야 합니다. 컴퓨터 시스템, 데이터 또는 웹사이트와 같은 조직의 영향을 받는 자산도 자세히 설명해야 합니다. 이는 최종 영향 분석 및 근본 원인 분석에 도움이 됩니다. 모든 신고는 적절하게 접수된 후 신고된 각 사건에 대해 종결 시 분류되어야 합니다.

규정 & 공시

규제 기관과 거래할 때는 조직의 업종(의료, 금융, 운송, 소매업 등)에 따라 특정 프레임워크와 규정을 따라야 합니다. 특히 고객 또는 직원의 개인 데이터와 관련된 사고의 경우 GDPR과 같이 다양한 업종을 아우르는 일반적인 규정 준수 규정이 적용될 것입니다. 이 경우 법 집행 기관에 알려야 할 수도 있습니다. 이러한 신고를 접수하는 전담 법 집행 기관일 수 있습니다. 방위를 제공하거나 중요한 국가 기반 시설의 일부로 간주되는 조직의 경우, 규제 요건으로 인해 이미 해당 기관에 보고해야 하는 명확한 라인이 있을 수 있습니다.

사건의 법적 측면도 중요하게 고려해야 합니다. 다시 한 번 강조하지만, 개인정보 유출 사고와 관련된 경우 잠재적인 법적 문제에 대해서도 적절한 대비책을 마련해야 합니다. 조직은 유능한 법률 자문을 구해야 합니다. 또한 법률 고문은 공개 내용과 조직 내에서 누가 공식적으로 그러한 공개를 하는지도 알려야 합니다. 이러한 하위 팀에는 다음이 포함될 수 있습니다:

• 최고 경영진(CIO/CISO 또는 이에 상응하는 자)
• 인시던트 대응 팀장(기술)
• Legal
• 홍보

개인 또는 고객 데이터에 부적절하게 액세스한 중대한 데이터 침해가 확인되면 공개 공지를 해야 할 수도 있습니다. 이는 조직에 법적, 재정적으로 직간접적으로 부정적인 결과를 초래할 수 있으므로 비기술적 대응에서 가장 섬세한 부분 중 하나입니다. 따라서 이러한 공개에 접근하는 최선의 방법에 대해 유능한 홍보팀과 상의하는 것이 가장 중요합니다. 대부분의 경우 규정 프레임워크에 따라 공개 시기와 방법이 결정됩니다. 또한 규제 당국의 개입 시기와 방법도 결정합니다.

이제 모든 조직의 사이버 보안 정책 문서에는 사이버 사고 대응 계획이 포함되어야 한다는 것이 명확해졌습니다. 상시 대응팀과 명확하고 실행 가능한 표준 운영 절차(SOP)가 필요합니다. 모든 직원, 계약자 및 계열사 직원은 사이버 정책과 보고 라인을 완전히 숙지해야 합니다. NIST와 같은 지역 및 국제 기관에서는 사고 대응 계획을 안내하는 공개 프레임워크를 제공합니다. 사이버 사고 대응에 있어 계획과 준비는 조직의 규모나 위상에 관계없이 성공의 궁극적인 열쇠이며, 특히 '침해 가정'의 시대에는 더욱 그렇습니다.