보안태세의 기초를 강화하기 위해 반드시 정교한 침해사고 대응 프로세스를 책정해야 한다. 본 과정은 보안사고를 처리하고 신속하게 대응하는 방법을 포함한다. 많은 기업이 침해사고 대응 프로세스를 보유하고 있지만 이전의 침해사고에서 얻은 교훈을 반영하기 위한 계속적인 검토를 하고 있지 않으며 많은 기업이 클라우드 환경에서의 보안사고를 처리하기 위한 준비가 되어 있지 않다.
우리가 다루는 주제는 다음과 같다.- 침해사고 대응과정 – 침해사고 처리 – 침해사고 사후조치
침해사고 대응 프로세스 기업이 침해사고 대응책을 책정할 수 있도록 다양한 산업표준, 권장사항, 베스트 프랙티스가 존재한다. 기업의 비즈니스 유형에 해당하는 모든 관련단계를 커버하고 있는지 확인하기 위해 해당 정보를 참조할 수 있다.
침해사고 대응프로세스가 필요한 이유∙침해사고 대응프로세스에 대해 자세히 알기 전에 사용되는 용어에 대해 알 필요가 있으며 보안태세를 강화하기 위해 침해사고 대응프로세스를 사용할 경우 최종목표가 무엇인지 아는 것이 중요하다. 이게 왜 중요한가. 가상기업을 예로 들어 중요성을 기술한다.
헬프 데스크가 문제를 에스컬레이션해, 침해 사고 대응 프로세스를 시작하도록 유도하는 이벤트의 타임 라인.1. 시스템이 정상 작동 중 2. 사용자가 악의적으로 이메일 열람 3. 센서(IDS/IPS)로 탐지할 수 없음 4. 사용자가 자신의 모바일 기기로 인증을 시도했으나 인증할 수 없다고 보고함 5. 헬프데스크에서 해당 문제에 대해 트러블슈팅 개시 6. 침해지표 확인, 침해사고 대응 개시 7.
다음 표에는 시나리오의 각 단계에 대한 몇 가지 고려사항이 정리되어 있다.스텝 설명 보안 고려사항 1 ‘시스템이 정상적으로 동작 중’인 부분부터가 중요하다.정상의 기준은 무엇인가? 시스템이 정상적으로 동작하고 있었다고 하는 기준이 될 수 있는 증거가 있는가? 이메일을 확인하기 전에 침해가 일어나지 않았다고 확신할 수 있는가?제2피싱 e메일은 여전히 사이버 범죄자들이 악의적인 사이트 링크를 이용자들이 클릭하도록 유도하는 가장 많이 사용되는 방법 중 하나다.기술적인 보안 통제가 해당 유형의 공격을 탐지하고 필터링하도록 운영되는데, 사용자는 반드시 피싱 이메일을 어떻게 구분할 수 있는지를 알아야 한다.3 현재 운영중인 대다수의 전통적인 센서(IDS/IPS) 장비는 침투와 레터럴 무브먼트를 식별할 수 없다.보안태세를 강화하려면 기술적인 보안 통제를 개선해 침해와 탐지 사이의 간극을 줄일 필요가 있다.공격자에 의한 2차 피해를 입었으며, 자격명이 손상되어 사용자가 인증하는데 문제가 있다.IT 부문에서 사용자 암호를 재설정하고, 동시에 다중 인증을 적용할 수 있도록 하는 기술적인 보안 컨트롤 기능이 요구된다.모든 침해는 보안에 관한 것은 아니므로 헬프데스크에서 초기 트러블 슈팅을 통해서 문제를 단락짓는 것이 중요하다.현재 사용 중인 기술 보안 컨트롤에 의해 공격을 식별할 수 있거나 적어도 의심스러운 활동의 증거를 제공할 수 있다면 헬프 데스크에서 문제를 해결할 필요는 없다. 침해사고 대응 프로세스를 통해 해당 문제를 다룬다.이 시점에서는 헬프데스크는 시스템이 침해되었다는 증거를 수집해 문제를 에스컬레이션한다.헬프데스크는 의심스러운 활동에 대해 가능한 한 많은 정보를 수집하고 해당 침해사고가 보안 관련 사고라는 충분한 근거를 제시해야 한다.7 이 시점에서는 침해 대응 프로세스가 문제를 접수하고 프로세스를 실시한다. 프로세스는 기업, 산업분야, 그리고 표준에 따라 다양하다.침해사고 해결 후 모든 프로세스 단계를 문서화할 필요가 있으며 전반적인 보안태세를 강화하기 위해 학습된 교훈을 반영하는 것이 중요하다.이 시나리오에는 개선의 여지가 많지만, 해당 가상기업에는 세계의 대다수 다른 기업이 간과하고 있는 침해사고대응프로세스가 존재한다. 침해사고 대응 프로세스가 없으면 기술지원 전문가들은 인프라 관련 이슈에 초점을 맞춰 트러블 슈팅을 할 것이다. 뛰어난 보안 태세를 갖추고 있는 기업은 침해 대응 프로세스를 책정한다.
또, 이하의 가이드 라인을 준수한다.
- 모든 IT 직원은 어떻게 보안사고를 처리해야 하는지를 알기 위해 교육을 받아야 한다.- 모든 사용자는 자신의 업무를 보다 안전하게 수행하기 위하여 보안에 관한 핵심 기본사항을 숙지하고 침해사고를 예방할 수 있도록 교육을 받아야 한다.데이터 공유를 위해 헬프데스크 시스템과 침해사고 대응팀 간의 통합이 이뤄져야 한다.이 시나리오에는 극복해야 할 다양한 과제를 가져오는 몇 가지 변화가 있을 수 있다. 그 한 가지 변화는 6번 단계에서 침해 지표(IoC, Indication of Compromise)가 발견되지 않은 경우이다. 이 경우 헬프데스크는 해당 문제를 계속 트러블 슈팅하게 된다. 만약 언젠가 시스템이 정상적으로 작동되기 시작하면? 이런 경우도 가능할까. 가능하다!- 공격자가 네트워크에 침투했을 경우에는 대개 침입 사실이 발각되지 않은 채 네트워크상의 호스트를 이동해 다수의 시스템을 공격하고, 관리자 수준의 권한을 가지는 어카운트를 공격해 권한을 상승시키려 한다. 따라서, 네트워크 뿐만이 아니라, 호스트 자신으로서도 뛰어난 보안 센서를 가져야 한다. 뛰어난 보안 센서를 갖추면 공격을 신속히 탐지할 수 있고 위협이 발생할 수 있는 잠재적인 시나리오를 식별할 수 있다.앞서 언급한 모든 요소 이외에도 일부 기업은 기업이 속한 산업에 적용되는 규정을 준수하기 위해 침해사고 대응프로세스를 갖춰야 한다는 사실을 곧 깨닫게 될 것이다. 예를 들면, 미국의 연방정보보안관리법(FISMA)은 연방기관이 보안 사고를 검지, 보고 및 대응하기 위한 절차를 마련하도록 요구한다.
- 침해사고 대응프로세스 책정침해사고 대응프로세스는 기업이나 기업의 요구사항에 따라 다를 수 있지만, 모든 산업분야에서 동일하게 적용되는 몇 가지 기본적인 관점이 존재한다.
- 침해사고 대응 프로세스를 책정하기 위한 첫 단계는 다음과 같은 질문에 답하기 위한 목표를 설정하는 것이다. 즉, 해당 프로세스의 목적은 무엇인가? 침해사고 대응 프로세스라는 이름만으로도 특별히 설명할 필요가 없을 수도 있지만, 해당 프로세스의 목적을 모든 사람이 알 수 있도록 목적에 대해 매우 명확하게 하는 것이 중요하다.
- 목표를 정의한 후에는 범위작업을 수행한다. 이번에도 질문으로 시작한다. 어떤 사람에게 해당 프로세스가 적합한가?
- 침해사고 대응 프로세스가 일반적으로는 전사적인 종류이지만, 몇몇 상황에서는 특정 부서에 적용되는 경우도 있다. 이러한 이유로 침해사고 대응 프로세스가 전사적인 범위인지 여부를 정의하는 것이 중요하다.
- 기업은 보안사고에 대해 다른 인식이 있을 수 있으므로, 보안사고가 어떻게 발생하는지를 정의하고 예를 들어 설명해야 한다.
- 정의한 내용에 따라 기업은 사용된 용어의 정의가 포함된 독자적인 용어집을 만들어야 한다. 산업분야마다 서로 다른 용어를 사용하며, 사용된 용어가 보안사건과 관련이 있는 경우에는 문서화해야 한다.
- 침해사고 대응 프로세스에서 책임과 역할은 필수적이다. 적절한 수준의 권한이 주어지지 않으면 전체 프로세스가 위험에 노출되게 된다.
- 침해사고 대응프로세스에서의 권한 차원의 중요성은 ‘추가 조사를 위해 컴퓨터를 압수할 권한을 누가 가지고 있는가?’라는 질문에 의해 명백해진다. 권한을 가진 사용자나 그룹을 규정하고, 기업 전체가 이 사실을 숙지하고 있다면 침해사고가 발생했을 경우 권한을 가진 그룹이 침해사고 대응 프로세스를 수행할 때 이의를 제기하지는 않을 것이다.
- 중요한 침해사고는 무엇인가? 침해사고가 발생했을 때 인원을 어떻게 배치할 것인가. 침해 사고 A와 침해 사고 B 두 가지 중 침해 사고에 더 많은 자원을 할애해야 하는가? 이러한 질문에는 우선순위와 심각성 수준을 정의하기 위한 답변을 필요로 한다.
- 우선 순위나 심각성의 레벨을 정하려면 , 이하의 비즈니스면도 고려해야 한다.
- – 침해사고가 비즈니스에 미치는 영향 : 침해사고가 발생한 시스템의 비즈니스 중요성은 침해사고 우선순위에 직접적인 영향을 미친다. 해당 시스템의 모든 관계자는 문제를 인식해야 하며 우선순위 결정에 대해 이견이 있어야 한다.- 침해사고로 인해 영향을 받은 정보 유형 : 개인정보를 다룰 경우 사고의 우선순위가 높기 때문에 침해사고 중 가장 먼저 확인해야 할 요소 중 하나이다.- 복구가능성: 침해사고로부터 복구하는데 걸리는 시간은 기초적인 평가를 거친 후에야 예상할 수 있다. 복구를 위해 필요한 시간과 시스템의 중요성에 따라 심각한 사고의 우선순위가 높아지게 된다.
- 위의 기본적인 영역 이외에도 침해사고 대응 프로세스는 서드 파티, 파트너 그리고 고객과 상호작용하는 방법을 정의해야 한다.
- 예를 들어, 침해사고가 발생하여 조사과정을 통하여 고객의 개인정보(personal identifiable information)유출이 확인된 경우, 기업은 그 사실을 언론에 어떻게 알릴까? 침해사고 대응 프로세스에서 미디어와의 커뮤니케이션은 회사와 데이터 공개 보안 정책에 따라 조정되어야 한다. 보도자료가 발표되기 전 법무팀은 보도내용에 법적인 문제가 없음을 확인한다. 침해사고 대응프로세스에서 법 집행을 위한 절차는 문서화한다. 문서화할 때는 사고가 발생한 장소, 서버의 위치, 사고가 발생한 도시 등의 물리적 위치를 고려한다. 해당 정보를 통해 관할권을 확인하고 충돌을 피하는 것이 용이할 것으로 생각된다.
- 침해사고 대응팀=기본적인 영역이 마련된 침해사고 대응팀을 구성해야 한다. 팀 구성은 기업 규모, 예산과 목적에 따라 다양하다. 대기업은 분산 모델을 사용할 수도 있고, 각각의 특성과 책임을 가진 다양한 침해사고 대응팀이 구성된다. 이 모델은 여러 지역에 컴퓨팅 리소스가 지리적으로 분산된 조직에 매우 유용하다. 또 다른 기업은 모든 침해사고 대응팀을 하나로 중앙집중화할 수도 있다. 이 팀은 그 지역에 상관없이 침해 사건을 처리할 것이다.
- 사용할 모델을 선택한 후에 기업은 팀의 일원이 될 팀원을 모집하기 시작할 것이다. 침해사고 대응 프로세스에는 기술적으로 폭넓은 지식을 갖춘 팀원이 필요하며 다른 영역에서도 높은