사고 대응 팀(IRT): 정의와 구축 방법?"

이런 상황을 상상해 보세요: 출근하자마자 시스템이 다운되었다는 소식을 듣습니다. 신뢰할 수 있는 사고 대응 팀이 없다면 복구 작업이 위태로워질 수 있습니다.

재해는 언제든 발생할 수 있습니다. 신원 중심의 사고 대응 플레이북을 설계하면 데이터 유출을 방지하는 데 도움이 될 수 있습니다.

사이버 자산을 대량 보유한 모든 조직은 사고 대응 팀(IRT)에 투자하는 것을 고려해야 합니다. 이는 일반적으로 조직의 사이버 보안 위협에 대한 첫 번째 방어선이며, 위협을 초기에 차단할 수 있는지, 아니면 본격적인 데이터 침해로 이어질지 여부의 차이를 만들 수 있습니다.

그렇다면 조직을 위한 견고한 IRT를 구축하려면 어떻게 해야 할까요? 이 글에서는 IRT가 무엇이며, 왜 필요한지, 그리고 조직에 적합한 IRT를 구축하는 방법을 설명합니다.

사고 대응 팀이란 무엇인가?

사고 대응 팀(IRT)은 사이버 보안 위협에 대비하고 대응할 책임을 지는 IT 부서 내의 개인들로 구성된 그룹입니다. 사고 대응 팀은 조직의 사이버 보안 아키텍처를 설계하고, 직원들에게 잠재적 위협을 식별하는 방법을 교육하며, 조직 네트워크의 이상 징후를 모니터링합니다.

그렇다면 왜 IRT가 필요한가요?

끊임없이 진화하는 오늘날의 사이버 보안 환경에서 위협은 날이 갈수록 정교해지고 흔해지고 있습니다. IRT에는 네트워크의 취약점을 찾아내고 이를 완화하기 위해 노력하는 전문가들이 포함됩니다. 우수한 사고 대응 팀은 민감한 데이터를 보호하여 비용을 최소화하고 조직의 사이버 보안 정책이 정부 규정을 준수하도록 보장합니다. 여기에는 접근 권한을 설정하여 권한 있는 사람만 접근할 수 있도록 하고, 방화벽 및 기타 침입 방지 시스템(IPS)을 구축하여 악의적인 행위자가 네트워크에 침입하지 못하도록 하는 것이 포함됩니다. UpGuard에 따르면, 2023년 데이터 유출 사고로 인한 기업 평균 손실액은 약 435만 달러에 달했습니다. 여기에는 데이터 손실, 부과된 벌금, 잠재적 법적 비용이 포함됩니다. IRT를 보유하면 조직은 유출 사고가 발생하기 전에 차단함으로써 이러한 손실을 피할 수 있습니다.

데이터 유출은 또한 고객 신뢰 상실의 주요 원인이며, 무려 65%에 달하는 고객이 데이터 유출 사고 후 해당 기관에 대한 신뢰를 잃습니다. 고객과 직접 접촉하는 기업들은 자사의 사고 대응 팀(IRT)이 단순한 사이버 보안 팀이 아니라 고객 만족도를 유지하는 핵심 도구임을 잘 알고 있습니다. 또한 여러 지역에서 정부 규정은 의료 및 금융을 포함한 다수 산업에 대해 사이버 보안 정책의 엄격한 준수를 의무화하고 있습니다. 사고 대응 팀은 이러한 규정을 준수하여 잠재적 결과를 방지할 책임이 있습니다.

사고 대응 팀은 무엇을 할까요?

사고 대응 팀은 IT 부서 내에서 다양한 책임을 맡고 있습니다.

IRT의 가장 중요한 임무는 위협에 대비하고 조직의 네트워크를 모니터링하는 것입니다. 준비는 현재 네트워크의 취약점을 평가하고, 확보된 정보를 바탕으로 잠재적 위협에 대한 대응 계획을 수립하는 것을 포함합니다.

또한 팀은 네트워크를 모니터링하고 이상 징후를 탐지하는 책임도 있습니다. 이는 일반적으로 SentinelOne와 같은 자동화 도구를 사용하여 수행됩니다. 이러한 도구는 연결된 모든 장치, 서버, 클라우드 연결을 포함한 조직의 네트워크를 연중무휴 24시간 자동으로 모니터링합니다. 비정상적인 활동이 감지될 때마다 사전 수립된 계획을 실행할 수 있도록 IRT에 경보를 발령합니다.사고 대응 팀은 침입자를 시스템에서 차단하기 위해 방화벽, 접근 제어, 안티바이러스 및 기타 IPS를 설정하지만, IT 관련 직원이 아닌 직원들에게 사이버 보안 모범 사례에 대한 교육도 담당합니다. 바이러스가 흔한 공격 경로이긴 하지만, 대부분의 데이터 유출은 조직의 직원이 피싱이나 다른 유형의 사회공학적 기법을 통해 의도적이든 무의식적이든 공격자에게 정보를 제공할 때 발생합니다.

사고 대응 팀의 역할과 책임

사고 대응 팀은 다음과 같은 역할과 책임을 가집니다:

• 사고 발생 시 실시간 대응을 위한 사전 계획 수립
• 시스템 취약점을 추적하고 해결합니다
• IRT 구성원은 최상의 사고 대응 정책 및 관행을 구현하는 데 주력합니다
• 또한 사고를 분류하고 처리 방안을 결정합니다
• IRT 구성원은 명확한 고객 커뮤니케이션을 수립하고, 사고를 분류하며, 향후 사이버 사고에 대비할 수 있도록 전문가들을 위한 최신 교육 프로그램을 마련합니다.

사고 대응 팀의 구조와 역할

Zenduty가 설명하듯, IRT는 "개별 구성원이 명확한 역할과 책임을 지닌 체계적인 구조를 필요로 합니다." IRT 내에는 네 가지 주요 역할이 있습니다.

• 사고 관리자는 기본적으로 IRT의 관리자입니다. 팀을 하나로 묶는 접착제 역할을 하며, 사건 대응을 조정하고 팀 내 정보를 전파하며 팀 내 자원을 할당하는 책임을 맡습니다. 또한 사고 대응 계획가 적절히 이행되도록 하고, 그렇지 않을 경우 변경 사항을 지시하는 역할도 담당합니다.
• 커뮤니케이션 리더는 IRT의 대변인 역할을 합니다. IRT와 다양한 이해관계자 간의 커뮤니케이션을 담당합니다. 커뮤니케이션 책임자는 사고에 관한 시의적절한 커뮤니케이션을 제공하고 조직 외부 이해관계자를 포함한 다양한 이해관계자의 질문에 답변하는 임무를 맡습니다.
• 기술 책임자는 핵심적인 세부 사항을 다룹니다. 이들은 사고의 근본 원인을 진단하고 사고를 통제하기 위한 조치를 실행하는 IT 담당자(또는 담당자 팀)입니다. 이 그룹에는 일반적으로 사고를 분석하고 발생 원인을 규명하는 포렌식 전문가가 포함됩니다. 기술 팀에는 네트워크를 보호하고 이상 징후를 모니터링하는 보안 분석가도 포함될 수 있습니다. 이들은 모니터링 소프트웨어를 선택하고 침투 테스트를 수행하여 네트워크를 가장 효과적으로 보호하는 방법을 모색합니다.
• 법률 고문은 IRT의 조치에 따른 법적 영향에 관한 전문적 지침을 제공하는 역할을 합니다. IRT는 민감한 고객 데이터를 다루므로 다양한 규정을 준수해야 합니다. 법률 고문은 IRT가 이러한 규정을 준수하도록 하는 임무를 맡고 있습니다.

사고 대응 팀은 어떻게 운영되나요?

1. 준비

이 단계에서는 네트워크의 취약점을 평가합니다. 팀은 시스템에 대한 다양한 위협에 대한 행동 계획을 수립하고, 팀 내부 및 이해 관계자와의 의사소통을 위한 커뮤니케이션 전략을 수립해야 합니다.

또한 이 단계에서 IRT는 모니터링 소프트웨어를 설정하고 데이터 개인정보 보호법을 준수하는지 확인합니다.

2. 탐지 및 식별

사전에 구축된 모니터링 도구를 사용하여 팀은 네트워크 이상 현상을 식별합니다. 사이버 보안 전문가가 문제를 탐지하면 해당 정보를 기술 책임자에게 전달하고, 문제를 제거하거나 격리한 후 필요한 경우 조직 전체에 경보를 발령합니다.

3. 격리 및 제거

격리 단계는 사고 악화를 방지하고 위협을 격리합니다. 제거 단계는 영향을 받은 시스템에서 위협을 제거하는 데 중점을 둡니다.

4. 복구 및 사고 후 활동

복구는 사고 후 데이터 복구, 손실 최소화, 증거 수집에 중점을 둡니다. 또한 조직의 재해 복구 역량 실행도 포함됩니다. 사고 후 활동에는 비즈니스 연속성 계획 업데이트와 이해관계자 회의 개최를 통한 교훈 보고 및 논의가 포함됩니다.

사고 대응 팀(IRT) 구성 방법?

모든 IRT가 동일하게 구성되지는 않습니다. 각 조직은 고유한 요구 사항을 평가하여 팀 구성 시 자원을 어떻게 할당할지 결정해야 합니다. 때로는 일부 책임을 처리하기 위해 외부 계약자를 고용할 수도 있습니다. 반면 완전히 내부 인력으로 팀을 구성할 수도 있습니다. 다만 모든 IRT에는 공통적으로 적용되는 핵심 개념들이 존재합니다.

팀 구성

모든 IRT는 견고한 기술 팀을 보유해야 합니다. 기술 팀은 IRT의 중추 역할을 하며 사이버 보안 전문성을 갖춘 인력으로 구성되어야 합니다. 사고 관리자가 기술 팀의 일원이 될 수도 있습니다. 소규모 조직에서는 기술 팀이 사고 관리자 역할을 겸하는 단일 인원으로 구성될 수 있습니다. 다른 경우에는 사고 대응 팀이 보안 담당자이자 포렌식 분석가 역할을 동시에 수행하는 소수의 인원으로 구성될 수 있습니다. 포렌식 분석가는 외부 계약자일 수 있습니다.

장비

또한 적절한 장비에 투자해야 합니다. 팀의 피드백을 바탕으로 보안 정보 및 이벤트 관리(SIEM) 시스템, 침입 방지 시스템(IPS), 침입 탐지 시스템(IDS) 등에 투자해야 합니다.

일부 조직은 모니터링 도구를 자체 개발하는 반면, 다른 조직은 타사 모니터링 도구를 사용합니다. 자체 개발 도구는 침투가 더 어려울 수 있지만, 타사 도구는 구현 시간이 짧고 구입 비용이 저렴하며 문제 해결을 위한 전담 고객 서비스가 제공됩니다. 사용할 도구를 결정할 때는 팀의 권고 사항과 예산 제약 사항을 모두 고려하십시오.

교육

때로는 신규 IT 기술자에게 조직 내 절차를 교육해야 할 필요가 있습니다. 특히 자체 개발 도구를 사용하는 경우 더욱 그렇습니다. 사고 대응 팀(IRT)의 신규 멤버 채용 및 교육은 사고 관리자 및/또는 기술 책임자가 담당해야 하며, 커뮤니케이션 책임자(소규모 조직에서는 사고 관리자를 겸할 수 있음)는 팀이 정보를 전달할 수 있는 커뮤니케이션 체계를 구축해야 합니다. 여기에는 팀을 위한 Slack과 같은 메시징 소프트웨어 사용도 포함됩니다.

사고 대응 팀의 이점

적절한 사고 대응 팀은 데이터 유출, 규제 처벌 및 법적 벌금으로부터 회사를 보호할 수 있습니다.

IRT는 네트워크 위협을 신속히 식별, 차단, 제거합니다. 또한 취약점을 테스트하여 조직이 공격받을 가능성이 높은 경로를 파악합니다. 이는 기업이 직면하는 사고 수를 최소화하고 피해 규모를 줄입니다. 악성코드를 신속히 차단하거나 피싱 사고를 직원에게 경고함으로써 피해자 수를 줄여 데이터 손실을 최소화합니다. IRT는 비 IT 직원들 사이에서도 사이버 보안 인식을 구축해야 합니다. 이는 결국 조직의 평판을 높이는 결과로 이어집니다.

IRT는 업계 규정 준수 또한 보장합니다. 이는 기업이 해당 분야의 사이버 보안 및 데이터 개인정보 보호 규정을 준수하지 않을 경우 벌금이나 소송을 당할 수 있으므로 매우 중요합니다. 법률 자문과 협력하는 적절한 IRT는 회사가 이러한 규정을 준수하도록 함으로써 이러한 문제를 방지합니다.

사고 대응 팀은 또한 조직의 사이버 보안에 대한 인식을 제고하는 최전선에 있습니다. 이슈(특히 잘 처리된 사례)에 대해 이해관계자에게 투명하게 공개하는 것은 조직에 대한 신뢰를 구축하여 고객 유지율을 높입니다.

사고 대응 팀 구성원을 위한 팁

모든 IRT 구성원을 위한 유용한 팁을 소개합니다:

• 좋은 사고 대응 팀이 되기 위한 첫 번째 단계는 가능한 한 빨리 위협에 대응하는 것입니다. 침입 중에도 위협을 차단할 수 있지만, 거기서 멈추는 것만으로는 충분하지 않습니다. 위협의 근본 원인을 파악하고 해당 취약점을 해결하는 것이 중요합니다. 그렇지 않으면 더 많은 보안 허점이 발생할 수 있습니다. 또한 이러한 허점들이 시간이 지나면서 새로운 위협을 유발할 가능성도 있습니다.
• 공격의 근본 원인을 완전히 이해하려면 초기 증상 너머를 살펴보는 것이 중요합니다. 소포스 MDR 팀이 잠재적 랜섬웨어에 대응했으나 그 증거가 없음을 깨달은 사례가 좋은 예입니다. 팀이 계속 조사하자 과거의 뱅킹 트로이 목마가 발견되었습니다. 또한 침해된 관리자 계정을 식별하고, 여러 악성 파일을 제거하며, 공격자의 명령 및 C2(명령 및 제어) 통신을 차단하는 것이 중요합니다.
• 위협 탐지에 대한 완벽한 가시성은 매우 중요합니다. 클라우드 환경에 대한 가시성이 제한되면 중요한 공격을 놓치게 될 가능성이 높습니다. 하이브리드 클라우드 환경을 다루고 있다면, 다양한 소스에서 올바른 품질의 데이터를 수집하고 최상의 도구, 전술 및 절차를 사용해야 합니다. 또한 조직 내 노이즈와 경보 피로를 줄여야 합니다. 위협 인텔리전스가 핵심이지만 잘못된 유형의 위협 인텔리전스는 원치 않는 것이므로 컨텍스트 적용이 중요합니다.
• 공격 신호의 발원지, 공격의 현재 단계, 관련 이벤트, 비즈니스에 대한 잠재적 영향 및 향후 시사점을 정확히 파악해야 합니다. 사고 조사 및 대응을 위한 숙련된 인력 부족으로 어려움을 겪고 있다면 외부 인력을 고용할 수 있습니다.
• 보안 운영을 아웃소싱할 수 있는 다양한 MDR 서비스가 있으며, 이는 일반적으로 보안 전문가 팀이 제공합니다. 이러한 서비스에는 위협 헌팅, 실시간 모니터링, 사고 대응, 인력 주도 조사 등이 포함됩니다. 보안 자동화와 인적 통찰력을 결합하면 사고 대응 팀원으로서 최상의 결과를 얻을 수 있습니다.

사고 대응 팀의 예시

일반적인 사고 대응 팀의 예시는 다음과 같습니다:

• 컴퓨터 비상 대응팀(CERT)
• 보안 운영 센터(SOC)
• 보안 분석가

데이터 복구 및 복원 작업, 문서 구축, 시스템 또는 네트워크 침해 후 공격자의 흔적 제거에 전념하는 전문가들도 있습니다.

사고 대응 팀: 조직의 사이버 보호자

보시다시피, 사고 대응 팀은 조직의 핵심 요소입니다. 다양한 도구를 활용하여 네트워크 아키텍처를 평가, 모니터링, 보호함으로써 날로 교묘해지는 공격자들이 데이터에 접근하지 못하도록 합니다. 그들의 업무는 중요하면서도 복잡하며, 팀을 구성할 때는 자체 도구를 개발할 것인지, 아니면 SentinelOne과 같은 타사 모니터링 도구를 사용할 것인지 고려해야 합니다. SentinelOne 전문가와 데모 예약하기.

"