내부협업 뿐 아니라 외부조력도 동시에
커뮤니케이션 능력 향상이 핵심 과제
[보안뉴스 주소형] 해킹으로 유출사고가 발생했을 때 어떤 행동을 취해야 피해를 최소화할 수 있을까? 일단 팀워크가 관건이다. 위협대응팀, 포렌식분석팀, 통신제어팀, 사고방지팀 등이 모두 상호 공조해야 한다. 내부협업 뿐 아니라 외부로부터의 조력도 동시에 필요하다. 특히 법률이나 규제 등에 대해서는 관련 전문기관에 사후처리 비용 등은 보험사에 의뢰해서 상담과 도움을 받아야한다는 것. 여기서 중요한 것은 따로따로 볼 문제가 아니라 모두 동시에 진행하는 것이다.
최근 우리 조사팀은 대기업과 함께 한 가지 실험을 진행했다. 결국 진화되고 끈질긴 공격을 받았을 때(일명 APT) 결과는 주어진 ‘시간’을 어떻게 효율적으로 활용하는지에 달려있었다는 결론이다. 이에 다음은 사고 발생 후 48시간을 어떻게 보내는 지에 대한 가이드라인을 정해봤다.
1. 사고가 발생하면 바로 외부 법률자문기관과 협력관계를 구축해라. 해당사건에 대한 담당 변호사를 선임하는 것은 급선무다. 그들이 회사내부와 빨리 원활히 소통하면 할수록 효율적인 해결책이 나오기 마련이다. 사건대응팀을 자체적으로 갖추고 있는 기업의 경우 이들이 임원진들에게 사이버보안 관련된 법률적인 정보를 전달하여 현명한 결정을 발 빠르게 할 수 있도록 도와주는 법률자문단의 역할을 대신 할 수도 있다.
2. 관할구역의 FBI(우리나라의 경우 사이버수사대 또는 경찰청)에게 수사 협조를 요청해라. 그들은 다른 기업에서 발생한 비슷한 사건들을 바탕으로 유력한 용의자 정보들을 넘겨줄 것이다. 이를 바탕으로 조사를 하면 시간 활용에 훨씬 효율적일 수도 있다. 꼭 용의자정보가 아니더라도 사건에 관련해서 FBI와의 정보를 공유는 필요한 부분이다.
3. 외부소통에도 소홀히 해서는 안 된다. 사건을 전달함에 있어서 다양한 규제들과 조항들이 있다. 이를 숙지하여 고객, 직원, 법무팀 등에게 각각 적절한 시기에 정보를 전달해야 한다. 이를 가볍게 여기면 가뜩이나 안 좋은 상황을 악화시킬 수 있다.
4. 커뮤니케이션 전략을 개발해라. 사건대응팀에 외부 위기전달 전문인력을 초빙하여 의사소통 통제력을 가져야 한다. 부정확한 소문 등으로 인해 발생되는 불필요한 동요를 막아야 하기 때문이다. 사고에 대한 모든 정보 통제권을 갖고 철저하게 모니터링하여 모든 것에 철저하게 적절한 대응해야 한다. 일단 사건이 발생하면 어느 것 하나도 작은 부분이 없다는 것을 명심하고 모든 상황에 대응해야 하는 것이 중요하다.
5. 보험사에 즉각적으로 알려라. 한번 사건이 발생해서 정보가 유출되면 이제 돌이킬 수 없는 일이 발생한 것이다. 이를 되돌려보려는 무의미한 행동보다는 상황을 직시하고 바로 보험적용 범위와 비용에 대한 논의에 착수해야 한다.
위의 5가지 조항들을 실행함과 동시에 포렌식분석을 통한 핵심적인 개선안 제시도 이루어져야 한다. 이를 바탕으로 36시간 내에 사건대응팀은 공격자를 네트워크에서 완전히 제거해야 한다. 그렇게 공격자들의 툴을 다 제거함으로서 관련 공격의 숙주를 완전히 뽑아야 재공격과 향후 발생할 수 있는 보복성 공격에 대한 리스크도 최소화할 수 있기 때문이다.
한편 사이버보안 사고를 성공적으로 대처한 사례들을 살펴보니, 그들 역시 사건대응팀 및 외부의 포렌식 전문가와 법률 전문가와의 호흡이 중요하다고 강조하고 있다. 조직 내에서는 사건대응팀에 임원 라인의 직원을 배치해두는 것도 필요하다.
글 : 라이언 벨라(Ryan Vela)
.jpg)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 주소형 기자(sochu@boannews.com)]
커뮤니케이션 능력 향상이 핵심 과제
[보안뉴스 주소형] 해킹으로 유출사고가 발생했을 때 어떤 행동을 취해야 피해를 최소화할 수 있을까? 일단 팀워크가 관건이다. 위협대응팀, 포렌식분석팀, 통신제어팀, 사고방지팀 등이 모두 상호 공조해야 한다. 내부협업 뿐 아니라 외부로부터의 조력도 동시에 필요하다. 특히 법률이나 규제 등에 대해서는 관련 전문기관에 사후처리 비용 등은 보험사에 의뢰해서 상담과 도움을 받아야한다는 것. 여기서 중요한 것은 따로따로 볼 문제가 아니라 모두 동시에 진행하는 것이다.
최근 우리 조사팀은 대기업과 함께 한 가지 실험을 진행했다. 결국 진화되고 끈질긴 공격을 받았을 때(일명 APT) 결과는 주어진 ‘시간’을 어떻게 효율적으로 활용하는지에 달려있었다는 결론이다. 이에 다음은 사고 발생 후 48시간을 어떻게 보내는 지에 대한 가이드라인을 정해봤다.
1. 사고가 발생하면 바로 외부 법률자문기관과 협력관계를 구축해라. 해당사건에 대한 담당 변호사를 선임하는 것은 급선무다. 그들이 회사내부와 빨리 원활히 소통하면 할수록 효율적인 해결책이 나오기 마련이다. 사건대응팀을 자체적으로 갖추고 있는 기업의 경우 이들이 임원진들에게 사이버보안 관련된 법률적인 정보를 전달하여 현명한 결정을 발 빠르게 할 수 있도록 도와주는 법률자문단의 역할을 대신 할 수도 있다.
2. 관할구역의 FBI(우리나라의 경우 사이버수사대 또는 경찰청)에게 수사 협조를 요청해라. 그들은 다른 기업에서 발생한 비슷한 사건들을 바탕으로 유력한 용의자 정보들을 넘겨줄 것이다. 이를 바탕으로 조사를 하면 시간 활용에 훨씬 효율적일 수도 있다. 꼭 용의자정보가 아니더라도 사건에 관련해서 FBI와의 정보를 공유는 필요한 부분이다.
3. 외부소통에도 소홀히 해서는 안 된다. 사건을 전달함에 있어서 다양한 규제들과 조항들이 있다. 이를 숙지하여 고객, 직원, 법무팀 등에게 각각 적절한 시기에 정보를 전달해야 한다. 이를 가볍게 여기면 가뜩이나 안 좋은 상황을 악화시킬 수 있다.
4. 커뮤니케이션 전략을 개발해라. 사건대응팀에 외부 위기전달 전문인력을 초빙하여 의사소통 통제력을 가져야 한다. 부정확한 소문 등으로 인해 발생되는 불필요한 동요를 막아야 하기 때문이다. 사고에 대한 모든 정보 통제권을 갖고 철저하게 모니터링하여 모든 것에 철저하게 적절한 대응해야 한다. 일단 사건이 발생하면 어느 것 하나도 작은 부분이 없다는 것을 명심하고 모든 상황에 대응해야 하는 것이 중요하다.
5. 보험사에 즉각적으로 알려라. 한번 사건이 발생해서 정보가 유출되면 이제 돌이킬 수 없는 일이 발생한 것이다. 이를 되돌려보려는 무의미한 행동보다는 상황을 직시하고 바로 보험적용 범위와 비용에 대한 논의에 착수해야 한다.
위의 5가지 조항들을 실행함과 동시에 포렌식분석을 통한 핵심적인 개선안 제시도 이루어져야 한다. 이를 바탕으로 36시간 내에 사건대응팀은 공격자를 네트워크에서 완전히 제거해야 한다. 그렇게 공격자들의 툴을 다 제거함으로서 관련 공격의 숙주를 완전히 뽑아야 재공격과 향후 발생할 수 있는 보복성 공격에 대한 리스크도 최소화할 수 있기 때문이다.
한편 사이버보안 사고를 성공적으로 대처한 사례들을 살펴보니, 그들 역시 사건대응팀 및 외부의 포렌식 전문가와 법률 전문가와의 호흡이 중요하다고 강조하고 있다. 조직 내에서는 사건대응팀에 임원 라인의 직원을 배치해두는 것도 필요하다.
글 : 라이언 벨라(Ryan Vela)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 주소형 기자(sochu@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
