보안 사고에 대응하는 다섯 가지 방법

기업에서는 대부분 기밀 데이터 노출, 침해 사고, 또는 취약성 공격과 같은 보안 문제에 직면할 수 있습니다. 이러한 사건으로 인해 발생하는 비즈니스 피해와 평판 손상을 최소화하기 위해서는 사고가 발생하기 전에 강력한 대응 계획을 세워두어야 합니다.

그러나 데이터 침해 공개가 반드시 올바른 방향으로 진행된다고는 할 수 없습니다. 예를 들어, 마이크 파슨 미주리 주지사는 초중등교육부 홈페이지의 보안 취약성이 드러난 것에 대한 기자회견에서 언론의 반발을 불러일으켰습니다. 그는 데이터 노출의 원인이 잘 못 구현된 웹사이트가 아니라 공개적으로 접근할 수 있는 민감한 데이터를 발견한 기자라고 지적했습니다.

 

이러한 사건은 몇 년 전에 발생한 Microsoft의 보안 문제와 관련하여 어떤 교훈을 가져다주었습니다. 당시 보안사고와 관련된 모든 내용이 보도되었지만 마이크로소프트 보안커뮤니케이션팀은 답답한 마음에 침묵을 지켰습니다. 처음에는 마이크로소프트가 보안 문제를 이해하지 못한다는 의미로 해석되었지만, 뒤늦게 후속 솔루션을 기다리고 있거나 조사 중인 문제로 밝혀졌습니다. 이 사례는 데이터 보안 문제에 대한 기업의 적절한 응대와 투명성의 중요성을 강조합니다.

 

보안 사고 뉴스에서 가장 먼저 보도되는 것은 일반적으로 발생한 문제나 더 나쁜 상황입니다. 이는 보도된 사건이 심각한 보안 위협을 야기했거나 중대한 손해를 입혔을 때 일반적으로 발생합니다. 이러한 상황에서 홍보팀은 상황을 완전히 이해하지 않은 채로 정보를 제공하면 안 됩니다. 왜냐하면 잘못된 정보를 제공할 수 있으며 이는 상황을 더 악화시킬 수 있습니다.

 

또한, 미디어가 24시간 365일 가동되고 많은 정보가 전달되는 경우에는 보안에 관한 불필요한 조사가 발생할 수 있습니다. 이는 정확한 정보가 아닌 소문이나 오해가 퍼지는 결과를 낳을 수 있으므로 신중히 대처해야 합니다.

침해사고를 발표할 때는 신속하게 대응하는 것이 중요하지만, 즉각적인 의사소통이 항상 좋은 선택은 아닙니다. 빠른 속도로 정보를 공유할 필요는 있지만, 정확한 정보와 신중한 분석이 선행되어야 합니다. 때로는 타협안을 선택하여 조사와 분석이 충분히 이루어진 후에 정보를 제공하는 것이 바람직할 수 있습니다.

마지막으로, 기업은 침해사고에 대응할 방법을 계획하는 것이 중요합니다. 이는 사전에 대비 계획을 수립하고 보안 조치를 강화하여 사고 발생 시 신속하고 효과적으로 대응할 수 있도록 하는 것을 의미합니다.

다음으로 대응 계획을 작성하는 방법을 보여줍니다.

 

보안 사고에 대응하는 다섯 가지 방법

 

 

사이버 보험 회사의 침해 사고 프로세스를 이해

사이버보험을 가입한 기업이 침해사고가 의심될 경우, 다음과 같은 절차를 밟아야 할 수 있습니다:

1. 보험사 연락: 침해사고가 의심될 경우 즉시 사이버보험 회사에 연락하여 보고해야 합니다. 대부분의 사이버보험 제공업체는 이러한 상황에 대비해 전문가 팀을 구성하여 기업을 지원합니다.
2. 사고 보고서 제출: 보험사는 침해사고에 대한 상세한 보고서를 제출할 것을 요구할 수 있습니다. 이 보고서에는 침해사고의 성격, 영향, 발생 시점 등에 대한 정보가 포함될 수 있습니다.
3. 수사관 파견 또는 대변자 지원: 사이버보험 회사는 필요한 경우 수사관이나 대변자를 파견하여 기업을 지원할 수 있습니다. 이들은 사고 조사와 관련된 전문 지식과 경험을 가지고 있어 기업이 사고에 대응하는 데 도움이 될 수 있습니다.
4. 침해 커뮤니케이션 지원: 사이버보험 회사는 침해사고 발생 시 대외적인 커뮤니케이션을 지원할 수도 있습니다. 이는 기업의 평판을 보호하고 고객 및 이해관계자들에게 사건에 대한 정보를 제공하는 데 도움이 됩니다.
5. 보험 청구 절차: 보험 청구 절차를 따라 침해사고로 인한 손해를 보상받을 수 있습니다. 이는 보험 가입 시 계약 조건에 따라 다를 수 있으므로 보험 가입자는 이러한 절차를 잘 숙지해야 합니다.

기업은 사이버보험 가입 시 발생 가능한 사고에 대비하여 보험사와의 연락 및 협력 방법을 명확히 이해하고 있어야 합니다. 이를 통해 침해사고 발생 시 신속하고 효과적으로 대응할 수 있습니다.

 

 

의사소통의 계획을 수립하기

침해사고 발생 시 회사 대표자를 선정하여 발표하는 초안을 작성합니다. 고객을 위한 웹사이트에서의 커뮤니케이션과 프로모션은 사이버 보험 회사와 전문 변호사의 가이드라인을 따릅니다. 침해사고 신고 후 상황이 바뀔 때 필요한 후속조치를 모니터링합니다.

 

 

 

침해 통지에 관한 가이드라인과 규정을 이해

미국 정부기관 및 민간 기업이 침해사고에 대응하기 위해 NIST(National Institute of Standards and Technology)의 가이드라인을 준수하는 것은 매우 중요합니다. 특히 랜섬웨어와 같은 사이버 공격의 증가로 인해 이러한 가이드라인을 따르는 것이 보안에 대한 효과적인 대응을 할 수 있는 방법 중 하나입니다.

미국 국회가 소통과 조사를 위한 조치를 취하고 있는 것은 랜섬웨어와 같은 사이버 공격의 심각성을 인식하고 이에 대한 대응을 강화하고자 하는 노력의 일환입니다. 상원 법안 2666은 이러한 노력의 일부로, 랜섬웨어 관련 사건에 대한 투명성을 높이고 더 빠른 대응을 가능케 하기 위해 도입되었습니다.

이 법안에 따르면 50명 이상의 직원을 둔 기업은 랜섬웨어 몸값을 지불했다는 사실을 24시간 이내에 보고해야 합니다. 또한 연방 또는 관련 기관이 랜섬웨어 활동을 발견할 경우 24시간 이내에 영향을 받을 수 있는 시스템에 통지하도록 규정되어 있습니다. 이에 따라 기업들은 보다 빠르고 효과적인 통지 프로세스를 준비하고 이를 시행할 필요가 있습니다.

미국 정부의 이러한 조치는 랜섬웨어와 같은 사이버 공격으로부터의 피해를 최소화하고 국가 및 기업의 사이버 보안 수준을 향상시키기 위한 노력의 일환으로 중요한 역할을 합니다. 이러한 규정을 준수하고 적절한 대응을 취함으로써 사이버 보안의 강화와 사이버 공격에 대한 대응 능력을 향상시킬 수 있습니다.

 

 

취약성 공개 프로그램을 준비

취약성 공개 프로그램은 기업이 보안 취약점을 완화하고 보호 수준을 높이기 위한 중요한 요소입니다. 이 프로그램은 보안 연구자들이 취약점을 발견하고 보고할 수 있는 구조를 제공하여 기업이 이를 신속하게 수정하고 사용자 데이터와 시스템을 보호할 수 있도록 돕는 역할을 합니다.

보안 취약점을 완전히 조사하고 특정하는 것은 많은 리소스와 시간이 소요되는 작업입니다. 따라서 대부분의 기업은 외부 보안 연구자들의 참여를 통해 취약점을 빠르게 발견하고 수정할 수 있도록 하고 있습니다. 대기업은 보통 bug bounty 프로그램을 운영하여 보고된 취약점에 대한 보상을 제공하고 있습니다. 그러나 일부 기업은 자체적인 보안 연구자와의 협업이나 제로데이 이니셔티브 브와 같은 서드파티 버그 바운티 프로그램을 활용하여 취약점을 보고하고 해결하고 있습니다.

모든 기업은 최종 사용자가 웹 사이트나 자산에 액세스하는 과정에서 발생할 수 있는 취약성을 고려해야 합니다. 이를 위해 기업은 취약성 공개 프로세스를 구축하고 보안 문제를 보고할 수 있는 채널을 마련해야 합니다. 이메일 주소 security@로 시작하는 보고 채널은 일반적으로 사용되며, RFC 2142에 따라 보안 문제를 보고하는 데 사용됩니다. 기업은 취약성 공개를 허용하는 프로세스를 만들어 이를 공개하고, 보고된 취약점에 대한 신속하고 효과적인 대응을 할 수 있도록 해야 합니다.

 

 

침투 테스트 서비스를 검토

침해사고가 회사 운영에 중대한 영향을 미칠 경우, 전문적인 보안 전문가의 참여가 필요할 수 있습니다. 주요 시스템이나 환경에 대한 침투 테스트를 실시하거나 외부 전문가에게 업무를 위탁하는 것이 고려되어야 합니다. 정보 보안 업체들은 침투 테스트 팀이나 레드 팀을 통해 방어 체계를 강화하는 데 사용되어 왔습니다. 예를 들어, 블랙 힐스와 같은 업체는 오랜 기간 동안 이러한 서비스를 제공해왔습니다.

퍼플 팀(Purple Team) 설정은 공격과 방어 방법론을 결합하여 더 많은 네트워크 취약점과 보안 솔루션을 식별하는 데 도움이 됩니다. 이러한 접근 방식은 보안 업무를 조직 전체에서 적극적으로 접근하고 협력하며, 보안 방어력을 향상시키는 데 유용합니다.

기업이 보안 문제와 침해사고를 처리하는 과정을 검토하고, 실제로 침해사고에 대응할 수 있는 준비가 되어 있는지 확인하는 것이 중요합니다. 보안 문제는 발생할지 여부가 아니라 언제 발생할지의 문제이기 때문에, 기업은 항상 대비 및 대응 계획을 갖추고 있어야 합니다.

 

FBI와 CISA가 제공하는 보안 권장 사항은 기업이 침해사고를 예방하고 대응하기 위해 중요한 지침을 제공합니다. 이러한 권장 사항은 다음과 같습니다:

1.계정 다중 인증(Multi-Factor Authentication, MFA) 사용: 사용자 로그인 시 추가적인 인증 요소를 요구하여 계정 보안을 강화합니다.
2.네트워크 세그먼테이션 및 트래픽 필터링 구현: 네트워크를 분리하여 공격의 전파를 방지하고 악의적인 트래픽을 차단합니다.
3.소프트웨어 취약점 검사 및 소프트웨어 제품 최신 버전 유지: 취약점을 식별하고 최신 보안 패치를 적용하여 시스템의 보안을 강화합니다.
4.불필요한 애플리케이션 삭제 및 실행 제한: 시스템에서 필요하지 않은 애플리케이션을 제거하고 실행을 제한하여 공격 표면을 줄입니다.
5.원격 액세스 제한: 원격 액세스 포트 및 서비스에 대한 제한을 설정하여 외부 공격을 방지합니다.
6.관리 계정의 감사 및 탐지: 관리 계정의 활동을 감사하고 이상 징후를 탐지하여 내부 위협을 탐지합니다.

또한, FBI와 CISA는 Conti 공격 그룹과 관련된 위협 정보를 제공하고, Conti IOC(타협의 지표) 리스트에 대한 링크를 제공하여 조직이 해당 공격으로부터 보호할 수 있도록 지원합니다. 이러한 정보는 MITRE ATT&CK 프레임워크에서 Conti 공격 그룹이 사용하는 기술과 절차에 대해 자세히 설명하고 있습니다.