사이버 보안 사고 대응: 정의 및 모범 사례"

사이버 보안 사고는 점점 더 빈번해지고 정교해지고 있습니다. 조직을 사이버 보안 사고로부터 방어하기 위해 아무리 많은 노력을 기울여도 100% 안전할 수는 없습니다. IBM에 따르면, 침해 사고를 식별하는 데 걸리는 평균 시간은 194일이며, 2024년 데이터 침해 사고의 평균 비용은 488만 달러입니다. 따라서 조직은 경계를 늦추지 않고 대비해야 합니다.

사이버 보안 사고 대응은 사고를 식별하고 심각한 피해를 입히기 전에 그 영향을 최소화하기 위한 전략적 접근 방식입니다. 그러나 제대로 수행될 때만 효과가 있습니다. 따라서 이 글에서는 사이버 보안 사고 대응의 정의, 그 생명주기, 사고 대응의 과제, 효과적인 사고 대응을 위한 모범 사례를 살펴보겠습니다.

사이버 보안 사고 대응이란 무엇인가?

사이버 보안 사고 대응(보안 업계에서 흔히 '사고 대응'이라고 함)은 사이버 보안 사고를 탐지하고 관리하며 피해를 최소화하기 위한 체계적인 프로세스입니다." target="_blank" rel="noopener">사고 대응는 사이버 보안 업계에서 일반적으로 사고 대응이라고 불리며, 사이버 보안 사고를 탐지, 관리 및 완화하는 체계적인 프로세스입니다. 사고 탐지 및 조사부터 사고 영향 복구에 이르기까지 모든 것을 포괄합니다. 사이버 보안 사고 대응의 목표는 다음과 같습니다.

• 사고를 신속하게 탐지하고,&
• 철저히 조사하고,
• 사고의 영향을 차단 및 최소화하며,
• 피해를 완화하고,
• 효율적이고 비용 효율적으로 정상 상태를 복구하는 것입니다.

이를 달성하기 위해 조직은 체계적인 접근 방식을 취해야 합니다. 다음으로, 사고 대응이 어떻게 이루어지는지 살펴보겠습니다.

사고 대응 라이프사이클 개요

사이버 보안 사고는 조직에 치명적일 수 있는 여러 위험과 잠재적 영향을 초래합니다. 사이버 보안 사고를 처리할 때는 시간이 가장 중요합니다. 따라서 조직은 사고를 전략적으로 처리해야 합니다. 사고 대응 라이프사이클은 조직이 사고 처리를 계획하고 준비하는 데 참고 자료 역할을 합니다. 이는 사고 대응의 다양한 단계를 다루며 각 단계에서 완료해야 할 작업을 강조합니다. 일부 조직은 자체적인 사고 대응 방식을 채택할 수 있지만, 사이버 보안 사고 대응은 크게 여섯 단계로 구성됩니다.

NIST(미국 국립표준기술연구소) 사고 대응의 6단계는 무엇인가?

미국 국립표준기술연구소(NIST)가 제시하는 사고 대응의 6단계는 다음과 같습니다:

1. 준비

준비 단계는 이후 모든 단계를 위한 기반을 마련하므로 사고 대응 라이프사이클의 첫 번째이자 가장 중요한 단계입니다.

조직이 직면한 다양한 위협과 그 영향력을 이해하는 것부터 시작합니다. 그런 다음, 사고 대응 계획(IRP)과 사고 처리 표준 운영 절차(SOP)를 수립합니다. 여기에는 사고 발생 시 취해야 할 조치, 각 개인 및 팀의 역할과 책임, 통보 대상 팀 및 이해관계자와 통보 경로, 사용 도구, 보고 지침, 에스컬레이션 프레임워크 등이 상세히 포함됩니다.

준비 과정의 또 다른 부분은 사고 대응에 참여하는 개인들이 다양한 유형의 사고를 처리하고 사용하는 도구 및 기술을 활용할 수 있도록 훈련받는 것입니다. 보안 팀은 탐지, 조사, 격리, 백업 및 복구를 위한 도구를 설정하고 구성해야 합니다. 모든 구현 사항을 정기적으로 테스트하여 예상대로 작동하는지 확인하십시오. 사고 대응 계획이 최신 규정을 준수하고 지속적으로 진화하는 위협을 처리할 수 있도록 정기적으로 검토하십시오.

2. 탐지 및 분석

이 단계에서는 사건을 탐지하고, 실제 위협인지 오탐인지 판단하며, 그 영향을 파악합니다. 탐지 시스템이 적절히 구성되면 사건 발생 시 경보가 발령되고, 일반적으로 분석가인 초기 대응자가 알림을 받습니다.

모든 경보가 사건은 아닙니다. 오탐일 수 있습니다. 따라서 분석가는 경보를 검토하여 이를 유발한 활동에 대한 심층적인 이해를 얻습니다. 그들은 침해 지표(IOC) (IOCs), 위협 인텔리전스, SIEM, IDS, EDR와 같은 보안 도구의 데이터를 검토하여 경보가 실제 사건인지 판단합니다. 오탐인 경우, 분석가는 향후 탐지 메커니즘을 개선하고 오탐을 줄이기 위해 시스템, 보고서 또는 문서에 발견 사항, 결론 및 조사 과정을 추가합니다. 인시던트가 진정한 양성인 경우, 분석가는 그 영향의 정도와 범위를 판단하고 필요한 이해 관계자에게 알립니다.

3. 봉쇄

보안 팀이 인시던트가 진정한 양성임을 확인하면, 그 영향을 봉쇄하고 더 이상의 확산을 방지하기 위한 조치를 취합니다. 네트워크 트래픽 차단, 인터넷 및 다른 내부 시스템과의 연결 해제, 불필요하거나 영향을 받은 서비스 및 소프트웨어 비활성화, 추가 조사를 위한 네트워크 에어갭(airgap) 등을 통해 영향을 받은 시스템을 격리할 수 있습니다. 계정이 침해된 경우 보안 팀이 해당 계정을 비활성화합니다.

차단에는 크게 두 가지 유형이 있습니다:

1. 즉각적 차단: 공격을 차단하고 확산을 방지합니다(예: 인터넷 연결 차단, 시스템 격리).
2. 장기 격리: 환경을 체계적으로 보호하고 추가 피해를 방지합니다(예: 시스템을 안전한 환경으로 이동, 액세스 제어 및 방화벽 규칙 업데이트).

격리 단계에서는 추가 조사를 위해 가능한 한 많은 증거를 보존해야 합니다. 영향을 받은 시스템에 민감한 데이터가 없다면 모든 것을 삭제하고 시스템을 포맷 및 재설정하고 싶은 유혹이 있을 수 있습니다. 그러나 이는 사고가 재발할 수 있으므로 강력히 권장하지 않습니다. 사고 대응의 목표 중 하나는 보안 취약점을 완화하여 재차 악용되지 않도록 하는 것입니다. 따라서 증거 보존이 매우 중요합니다.

4. 근절

사고를 격제한 후에는 그 원인을 파악하고 근절하는 데 집중하십시오. 여기에는 악성코드 제거, EDR 및 안티멀웨어 업데이트, 접근 제어 업데이트, 패치 적용, 취약점을 패치하고, 조직의 인프라 및 네트워크를 강화하고 보강하는 것입니다. 이 단계의 목표는 모든 유형의 감염을 제거하고 환경에 위협이 남아 있지 않도록 하는 것입니다. 위협이 근절되었다고 확신할 때, 추가된 보안 조치를 검증하고 테스트하여 취약점이 없는지 확인합니다. 또한 이 단계에서는 사건을 더 잘 이해하고 더 안전한 미래를 계획하기 위한 증거를 수집합니다.

5. 복구

복구 단계의 목표는 영향을 받은 구성 요소를 정상적인 운영 상태로 되돌리는 것입니다. 여기에는 마지막으로 알려진 안전한 스냅샷에서 백업을 복원하고, 구성 요소의 무결성을 확인하며, 비활성화된 소프트웨어, 서비스 및 계정을 복원하는 작업이 포함됩니다. 구성 요소가 손상된 후 기록된 데이터와 같은 일부 데이터는 복구 후 손실될 수 있지만, 해당 데이터를 가져와 깨끗한 구성 요소로 이동할 수 있습니다. 데이터 중복성을 구현한 경우 데이터 복구에 도움이 될 수 있습니다. 시스템을 프로덕션 환경으로 다시 이동한 후 감염 징후가 있는지 모니터링하십시오.

6. 교훈 도출

이 마지막 단계는 조직이 사건에서 교훈을 얻고 전반적인 보안 태세를 개선하는 데 도움이 됩니다. 이전 단계의 모든 세부 사항을 문서화하십시오. "잘된 점"은 효과적이었던 부분을 입증하는 증거 역할을 하고, "잘못된 점"은 개선이 필요한 측면을 지적합니다. 이 단계는 조직이 보안 관점에서 개선할 수 있는 부분을 이해하는 데 도움이 될 뿐만 아니라, 개인이 사고 대응 상황을 더 잘 처리하는 방법을 배우는 데도 기여합니다. 이러한 교훈을 활용하여 사고 대응 계획을 개선하십시오.

이것이 사고 대응의 주요 6단계입니다. 다양한 조직이 인식하고 구현하는 사이버 보안 사고 대응 라이프사이클의 다양한 변형들을 발견하게 될 것입니다. 두 가지 대표적인 변형을 간략히 살펴보겠습니다:

1. 7단계 변형
2. 5단계 변형

7단계 대응 방식이란 무엇인가?

7단계 대응 방식은 NIST 대응 방식의 첫 6단계를 동일하게 따르되, 지속적인 테스트 및 평가를 위한 추가 단계를 포함합니다.

지속적인 테스트 및 평가

이는 조직의 시스템과 네트워크를 지속적으로 테스트하고 사고 대응 계획을 시험에 적용하는 것을 포함합니다. 이를 통해 보안 문제를 사전에 파악하고 사고 발생 전에 해결함으로써 한 발 앞서 대응할 수 있습니다.

5단계 대응 방식이란?

5단계 방식은 단계를 약간 다르게 분류합니다. 여기서 차이점은 다음과 같이 몇 가지 단계를 함께 그룹화한다는 점입니다.

1. 준비
2. 탐지 및 분석
3. 격리, 제거 및 복구
4. 교훈 도출
5. 지속적 테스트 및 평가

이러한 단계는 조직 내 팀과 조직 및 컨설턴트/계약자 간에 사용됩니다. 사고 발생 시 또 다른 중요한 당사자가 관여합니다: 규제 기관입니다. 이제사고 대응이 무엇이며 어떻게 수행하는지 설명했으니, 이제 법적 및 규제적 측면을 살펴보겠습니다.

법적 및 규제적 고려사항

법적 및 규제 준수는 사이버 보안 사고 대응의 중요한 부분입니다. 조직은 더 나은 보안 태세를 갖추고 막대한 벌금, 평판 손상 및 법적 조치를 피하기 위해 준수해야 할 법률과 규정을 반드시 파악해야 합니다.

규정은 크게 세 가지 범주로 나뉩니다:

• 산업별 규정: 해당 조직이 속한 산업 분야에 적용되는 규정입니다. 예를 들어, 의료 기관은 HIPAA (건강보험 이동성 및 책임법)을 준수해야 합니다.
• 도구 및 기술: 조직의 제품이나 서비스와 관련된 도구 및 기술에 따라 일부 규정이 적용될 수 있습니다. 예를 들어, PCI DSS(지불 카드 산업 데이터 보안 표준)는 신용카드 정보를 처리하는 조직에 적용됩니다.
• 지역적: 이러한 규정은 주로 위치에 기반한 조직이나 소비자에게 적용됩니다. 예를 들어, CCPA(캘리포니아 소비자 개인정보 보호법)는 캘리포니아 거주자의 정보를 처리하는 모든 기업에 적용되며, GDPR(일반 데이터 보호 규정)는 EU 거주자의 정보를 처리하는 기업에 적용됩니다.

일부 법률 및 규정은 사고 발생 시 어느 규제 기관에, 어느 기간 내에 통보해야 하는지도 명시합니다. 가능한 한 빨리 당국에 알리십시오. 때로는 사고 해결을 위해 당국과 협력해야 할 수도 있습니다. 최신 법률 및 규정을 지속적으로 파악함으로써 조직은 전략적 사고 대응 계획을 수립할 때 규정 준수를 통합할 수 있습니다.

사고 대응 라이프사이클은 조직이 따를 수 있는 훌륭한 프레임워크이며 인터넷에도 관련 정보가 풍부하지만, 사고 대응에는 여전히 어려움이 존재합니다.

사이버 보안 사고 대응 과제

사이버 보안 사고 대응 과제는 조직이 네트워크, 시스템, 데이터 및 사이버 위협을 처리할 때 직면하는 다양한 문제로 분류됩니다. 또한 진화하는 기술과 빠른 업데이트와 관련된 취약점을 초래할 수도 있습니다. 주요 사이버 보안 사고 대응 과제는 다음과 같습니다:

#1. 공격의 규모와 복잡성

사이버 공격의 규모와 복잡성은 날로 증가하고 있습니다. 이로 인해 탐지 시스템이 사고를 적시에 감지하기 어렵습니다. 이를 따라잡기 위해 조직은 최신 하드웨어 표준을 유지하고 적용해야 합니다. 사이버 공격의 급속한 증가는 단 1분이라도 업그레이드를 지연시키는 것이 조직을 치명적인 위협에 노출시킨다는 것을 의미합니다. 공격의 엄청난 양은 탐지 및 조사를 지연시킬 수 있는 많은 노이즈를 추가합니다.

#2. 지능형 지속 위협(APT)

APT 은 정교한 기법을 활용해 시스템이나 네트워크를 침투합니다. VMWare에 따르면 평균 APT 침해는 발견까지 150일이 소요됩니다. APT는 은밀성과 네트워크 내 장기적 존재에 중점을 두기 때문에, 시스템이 다운되기 전까지는 명백한 비정상 행동이나 이상 징후를 거의 포착하지 못합니다. 따라서 초기 침해 탐지는 분석가에게 평소 활동처럼 보일 수 있어 도전 과제가 됩니다.

#3. 내부자 위협

내부자 위협은 탐지가 가장 어려운 유형 중 하나입니다. 직원들은 종종 민감한 데이터와 비즈니스 핵심 시스템에 접근할 수 있습니다. 또한 내부 구조와 프로세스를 잘 알고 있으며 보안 조치에 대한 지식을 보유할 수 있습니다. 악의적이든 의도하지 않았든, 내부자에 의해 발생한 사건은 매우 명백한 경우가 아니라면 정상적인 상황과 구분하기 어려울 수 있습니다. 내부자는 또한 취약점을 쉽게 식별하고 은밀하게 악용할 수 있습니다.

#4. 제로데이

보안 도구는 제로데이를 실시간으로 효과적으로 탐지하지 못합니다. 탐지 및 완화할 수 있는 정보량이 제한적이기 때문입니다. 사고 대응 팀은 이러한 위협의 영향력과 효과적인 차단 방법을 파악하는 데 어려움을 겪을 수 있습니다. 명백한 단서가 부족하다는 것은 사고 대응 팀이 이 유형의 사고에 대응하고 차단하는 데 더 많은 시간이 소요될 수 있음을 의미하며, 이는 높은 피해 위험을 초래합니다.

#5. 자원 제약

우수한 사고 대응에는 숙련된 전문가, 도구, 전담 팀/개인이 필요합니다. 따라서 사고 대응은 많은 기업이 감당하기 어려운 조직 차원의 고비용 사업입니다. 어떤 기업도 자원 제약으로 인해 보안 취약점과 부실한 사고 대응을 감수하고 싶어 하지 않으므로 가능한 한 최선을 다합니다. 안타깝게도 때로는 그것만으로는 부족하여 기업이 사고로 인한 중대한 피해를 감수해야 하는 경우도 있습니다.

#6. 팀 및 부서 간 협조

사고 대응은 한 사람이나 한 팀의 업무가 아닙니다. 성공적이고 효과적인 사고 대응에는 다양한 팀의 이해관계자들이 중요한 역할을 합니다. 그러나 이해관계자 간 우선순위와 사고방식이 다를 때 소통과 협업은 어려울 수 있습니다.

사고 대응은 다른 프로세스와 마찬가지로 도전 과제를 안고 있습니다. 몇 가지 모범 사례를 따르면 이러한 어려움을 극복하고 사고 대응을 최대한 활용할 수 있습니다.

사이버 보안 사고 대응 모범 사례

조직을 위한 최고의 사이버 보안 사고 대응 조치는 다음과 같습니다:

#1. 견고한 사고 대응 계획(IRP)

포괄적인 사고 대응 계획 효과적인 사고 대응의 핵심입니다. 계획을 수립하기 전에 사고 대응 계획에 필요한 사항을 충분히 이해해야 합니다. 취약점 및 위험 평가를 수행하고, 조직에 영향을 미치는 위협 유형을 파악하며, 이를 완화하기 위한 도구와 기법을 연구하십시오. 사고 대응 계획은 상세하고 포괄적이어야 합니다. 각 개인 및 팀의 역할과 책임, 표준 운영 절차(SOP), 커뮤니케이션 및 에스컬레이션 프로토콜을 명확히 명시하십시오. 필요에 따라 정기적으로 사고 대응 계획을 테스트하고 업데이트하십시오.

#2. 전담 사고 대응 팀(IRT)

사고 대응은 협업 작업이지만, 사고 대응 팀(IRT)이 주된 대응 주체입니다. 일부 조직은 주로 다른 프로젝트를 담당하는 기존 직원에게 사고 대응 업무를 할당하기도 합니다. 이는 해당 구성원의 우선순위와 전문성이 사고 대응의 질에 영향을 미칠 수 있으므로 바람직하지 않습니다. 기업은 지정된 역할과 책임(예: 사고 관리자, 팀 리더, 보안 분석가)을 가진 전담 사고 대응 팀을 구성해야 합니다. 훈련된 사고 대응 전문가들은 사고 대응을 신속하고 효과적으로 수행하는 데 도움을 줄 것입니다.

#3. 사전적 위협 헌팅

사고가 발생하기를 기다렸다가 대응한다면 이미 너무 늦은 것입니다. 조직은 단순히 사고에 대응하는 것이 아니라 사고를 예방하기 위해 노력해야 합니다. 이는 사전적 위협 헌팅을 통해 달성할 수 있습니다. 이는 조직 내에서 위협을 적극적으로 탐색하고 완화하는 것을 의미합니다.

#4. 지속적인 모니터링 및 탐지

모든 조직에 대한 위협은 끊임없이 존재합니다. 전 세계 위협 행위자들은 지속적으로 보안 취약점을 악용하려 시도하며, 언제 귀사의 취약점이 악용될지 예측할 수 없습니다. 따라서 트래픽을 지속적으로 모니터링하고 의심스러운 활동을 포착할 수 있는 탐지 시스템을 구축해야 합니다. 또한 모니터링 및 탐지 접근 방식을 정기적으로 평가하고 위협 행위자들의 진화에 맞춰 지속적으로 업그레이드해야 합니다.

#5. 위협 인텔리전스 활용

사이버 위협 인텔리전스(CTI) 는 알려진 공격 패턴과 관련된 데이터를 수집합니다. 이를 통해 최신 위협, 취약점, IOC(침해 지표), 전술, 기법 및 절차(TTPs(위협 행위자의 전술, 기법 및 절차)를 파악하는 데 도움이 됩니다. 이 정보를 모니터링 및 탐지 시스템에 통합하면 사건을 더 빨리 식별할 수 있습니다.

#6. 인식 제고 및 교육

사이버 보안 분야는 매일 새로운 변화가 일어납니다. 따라서 직원들은 최신 도구, 기법, 취약점 및 완화 전략을 지속적으로 파악해야 합니다. 보안 전문가들이 사이버 뉴스와 분석 글을 읽고, 사이버 보안 과정을 수강하며, 자격증을 취득하도록 장려해야 합니다. 정보 공유, 교육 및 실습은 매우 중요합니다. 인식과 교육은 보안 전문가만을 위한 것이 아닙니다. 모든 직원이 기본 지식을 갖추는 것이 중요합니다. 직원들은 의심스러운 활동을 식별하는 방법, 이를 보고할 대상, 그리고 대응하기 위해 취해야 할(또는 취하지 말아야 할) 조치를 알아야 합니다.

#7. 정기적인 테스트 및 훈련

사고 대응의 다양한 측면에 대해 정기적인 테스트와 훈련을 실시하십시오. 다양한 시나리오를 활용하고, 팀이 이에 어떻게 대응하는지 평가하며, 개선이 필요한 부분을 확인하십시오. 이는 사고 대응 팀의 역량을 강화하고 협업을 개선하는 데 도움이 됩니다.

#8. 플레이북과 자동화

사고 대응에는 시간에 민감한 요소가 있으므로 플레이북(사고 처리 방법에 대한 지침이 담긴 문서)과 자동화를 활용하세요. 이를 통해 사고 대응 속도를 높일 수 있습니다. 자동화가 반복적이고 명확하게 정의된 작업을 처리하는 동안 사고 대응 담당자는 더 복잡한 작업에 집중할 수 있습니다.

#9. 규정 준수

준수해야 할 법률 및 규정을 파악하고 이를 준수하도록 하십시오. 이는 벌금 및 법적 조치를 피할 수 있을 뿐만 아니라 보안 태세를 개선하는 데도 도움이 됩니다. 규정 준수 담당자 또는 팀이 정기적으로 규정 준수 상태를 검토하고 감사하도록 하십시오.

이러한 모범 사례는 도전 과제를 극복하고 사고 대응 프로세스를 최적화하는 데 도움이 될 수 있습니다.

사고 대응 전략을 수립하거나 개선하는 과정에서 궁금한 점이 있을 수 있습니다. 다음 섹션에서는 사이버 보안 사고 대응과 관련된 가장 일반적인 질문과 답변을 다룹니다.

마무리

사이버 보안 사고 대응 계획은 향후 방어의 기반을 마련하며 모든 조직에서 필수적인 요소입니다. 보안 책임자는 유사한 사고가 다시 발생하지 않을 것이라고 절대 가정해서는 안 됩니다. 사고 대응 전략을 지속적으로 개선하고 회복탄력성을 구축하는 것이 중요합니다. SentinelOne와 같은 플랫폼은 이러한 측면에서 매우 유용합니다.

"