사이버 보안 전문가는 사고를 겪어본 사람과 겪어보기 전의 사람으로 나뉜다. 보안과 관련된 조언이라면 아무래도 전자의 것이 더 생생할 수밖에 없다.
[보안뉴스=사라 피터스 IT 칼럼니스트] 실제 침해 사고를 겪어본 사이버 보안 전문가들이 보안 강화를 위한 조언을 공유하는 자리가 마련됐다. 부킹홀딩스(Booking Holdings)의 CISO인 패트리샤 티투스(Patricia Titus)가 진행한 가운데 맨디언트(Mandiant)의 CISO인 팀 크로더스(Tim Crothers)와 에퀴팩스(Equifax)의 CISO인 러스 아이레스(Russ Ayres), 바이스(Weiss)의 파트너인 존 칼린(John Carlin)이 합석했다.
[이미지 = gettyimagesbank]
자리에 모인 모든 사람들은 꽤나 굵직한 사이버 보안 사건들을 경험한 바 있다. 크로더스는 타겟(Target)에 2014년부터 근무했었다. 2013년 대규모 정보 유출 사고가 벌어진 직후에 합류해 타겟이 다시 한 번 보안을 강화하는 데 일조했다. 아이레스의 경우 2017년 에퀴팩스 데이터 유출 사고가 벌어졌을 때 현장에 있었다. 칼린은 사법부에서 랜섬웨어 전담반을 꾸리는 프로젝트를 맡았었고, 솔라윈즈(SolarWinds) 사태와 콜로니얼파이프라인(Colonial Pipeline) 사태를 담당했었다. 최악의 상황을 겪어본 이들의 입에서는 이런 조언들이 나왔다.
1. 사소한 것 하나가 큰 도움이 된다
존 칼린 : “보안 팀들은 늘 바쁘게 일을 합니다. 근무 시간이 길죠. 그러다 보니 예민해져 있고, 사소한 것들을 놓치게 되는데, 그 중 하나가 통신에 관한 겁니다. 기록들을 전부 보관해야만 하는데, 미처 신경쓰지 못할 때가 많습니다. 그렇기 때문에 CISO라면 주기적으로 팀원들에게 통신 기록을 보관하고 문서화 하라고 알려줘야 합니다. 나중에 사건이 터지면 여기 저기 불려가 증언을 하고 거친 질문들에 답을 해야 하는데, 그럴 때 이런 사소한 기록들이 큰 힘이 됩니다.”
2. 사건 대응 팀들과의 소통이 중요하다
팀 크로더스 : “CISO라면 법무 자문위원과 ‘절친’ 관계를 유지해야만 합니다.”
존 칼린 : “사소한 사건인 것처럼 보여서 사건 대응팀을 아무렇게나 꾸렸다가는 낭패를 보기 십상입니다. 사소해 보여서 아무런 법적 전문성이 없는 이들로 대응팀을 꾸몄는데, 알고 보니 거대한 사건이라면 어떻게 될까요? 초기 조사 과정에서 수집된 자료들에 대한 법적 근거를 마련하지 못하거나, 법적으로 반드시 확보했어야만 하는 데이터를 놓쳐서 일이 복잡하게 꼬입니다. 불필요하게 일이 커지는 것이죠. 사건이 크건 작건 사건 대응 팀에 반드시 법과 규정에 대해 잘 아는 사람이 포함될 수 있도록 해야 합니다. 그러려면 대응 팀과 평소 원활한 소통을 할 정도의 관계를 유지해야 하겠지요.”
3. 사이버 보안 커뮤니티가 당신의 친구다
러스 아이레스 : “사건이 터지면 침착해지기 쉽지 않습니다. 감당하지 못할 일 같아 보이고, 스스로에 대한 의심이 솟구치죠. 그럴 때 일단 먼저 ‘보안 업계에 나를 도울 만한 사람이 있을 것이다’라고 스스로에게 말을 해주세요. 보안 커뮤니티는 생각보다 단단하게 엮여 있는 공동체입니다. 왜냐하면 모두가 힘든 시간을 공통적으로 겪고 있기 때문이죠. 보안 전문가 대 보안 전문가로서 접근하면 비슷한 사건을 먼저 겪어본 사람들의 조언을 들을 수 있게 될 것입니다. 그러니 평소 보안 커뮤니티에서 활동해 두는 것도 중요합니다.”
4. 위기 대응 소통 담당팀을 만나라
팀 크로더스 : “사건이 발생했을 때 외부에 어떤 메시지를 어떤 톤으로 내보내야 하는지가 제일 중요합니다. 사람들은 결국 ‘이 회사가 상황을 제어하고 있구나’를 알고 싶어하거든요. 특히 투자자나 고객들이 그렇습니다.”
존 칼린 : “내부 홍보 팀을 통해 사건과 관련된 내용을 외부에 전파하는 것도 좋지만, 위기 대응 소통 전문가를 외부에서부터 초빙하는 것도 좋은 방법입니다. 위기 상황에서의 적당한 톤과 메시지 내용을 내부자가 선별하는 게 어려울 수 있거든요.”
5. 예비 CISO들을 미리 준비시키라
패트리샤 티투스 : “사건이 발생했을 때 CSO나 CISO가 대처하기 어려운 상황에 있을 수 있습니다. 억지로 이들을 불러들여 대응을 시키는 것조차 불가능한 상황도 있을 수 있고요. 그럴 때를 대비해 그 역할을 임시로라도 할 수 있는 사람을 선정해 미리 준비시켜야 합니다.”
러스 아이레스 : “에퀴팩스의 경우, 그 사건이 일어나기 전에 CEO, CIO, CSO가 전부 회사를 그만뒀습니다. 게다가 그 다음으로 높은 임원들은 마침 증권위원회에 제출할 자료를 준비하느라 몇날 며칠을 밤샘 근무할 정도로 바빴고요. 사건이 터졌을 때 대응할 사람을 찾는 것부터가 힘든 일이었죠. 반드시 대비책이 있어야 합니다.”
6. 신뢰를 회복하는 데에는 생각보다 많은 시간이 필요하다
팀 크로더스 : “침해 사고 후 확실하게 체감되는 것 중 하나는 모두가 나와 우리 회사를 의심스러운 눈으로 쳐다본다는 겁니다. 모든 신뢰가 갑작스럽게 증발한 느낌이 듭니다. 유관 기관, 파트너사, 소비자들 모두가 갑자기 믿어주지 않습니다. 감사를 나온 사람들조차도요. 그래서 침해 사고 후 사업을 정상화시킨다는 게 무척이나 어려워집니다. 대부분 사고 자체를 다루느라 그 후 사업을 이어가는 것까지 고려하지 못하는데, 꽤나 뼈 아픈 실책이 될 수 있습니다. 복구 잘 시켜놓고도 사업이 망하는 걸 지켜봐야 할 수 있습니다.”
7. 워게임은 최대한 현실적으로 진행한다
팀 크로더스 : “워게임을 진행할 때 CISO가 없다는 시나리오로도 진행하는 게 필요합니다. CISO가 급한 일로 자리를 비웠다거나, CISO와 연락할 수 없는 상황에서 일이 터졌다거나 하는 시나리오도 현실적으로 얼마든지 일어날 수 있거든요.”
존 칼린 : “답할 수 없는 질문들이 쏟아지는 시나리오로 워게임을 진행하는 것도 중요합니다. ‘복구에 얼마나 걸릴까요?’라든가 ‘무슨 일이 일어난 거죠?’라든가, 보안 담당자들이 전형적으로 곤란해할 질문들이 있죠. 그 질문들을 위주로 워게임을 풀어나가보세요.”
8. 위기 대응과 관련된 결정 사항들을 문서화 한다
존 칼린 : “사건이 터지면 만나야 할 사람들이 많습니다. 유관 기관 담당자, 변호사, 수사관 등 처음 보는 사람들도 많을 겁니다. 이 사람들은 대부분 저 먼 옛날의 일들부터 궁금해하기 시작합니다. 사건의 뿌리를 거슬러 올라가야 하기 때문이죠. 그러다 보니 생각지도 못한 자료들을 요구하게 되는데, 그렇기 때문에 여기에 대한 답을 미리부터 준비해두는 게 필요합니다. 평소 업무를 진행하면서 내렸던 결정들을 상세히 문서화 하는 게 중요한 이유입니다. 이런 문서화의 노력이 나중에 위기 관리에 있어 결정적인 역할을 합니다. 문서화는 배반하지 않습니다.”
9. 보안의 정답은 항상 ‘기본기’이다
러스 아이레스 : “사건이 터지고 나면 여러 가지 후회가 들기 마련입니다. 그런데 그 후회들이 거의 전부 보안의 기본기와 관련된 것들입니다. 패치를 잘 할 걸. 한 번 더 검사할 걸. 사각 지대를 미리 파악해 둘 걸. 오래된 시스템을 분리해둘 걸. 교육을 한 번이라도 더 할 걸... 보안의 정답은 늘 기본기이기 때문에, 평소부터 기본기를 강화하는 게 핵심입니다.”
글 : 사라 피터스(Sara Peters), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스=사라 피터스 IT 칼럼니스트] 실제 침해 사고를 겪어본 사이버 보안 전문가들이 보안 강화를 위한 조언을 공유하는 자리가 마련됐다. 부킹홀딩스(Booking Holdings)의 CISO인 패트리샤 티투스(Patricia Titus)가 진행한 가운데 맨디언트(Mandiant)의 CISO인 팀 크로더스(Tim Crothers)와 에퀴팩스(Equifax)의 CISO인 러스 아이레스(Russ Ayres), 바이스(Weiss)의 파트너인 존 칼린(John Carlin)이 합석했다.
[이미지 = gettyimagesbank]
자리에 모인 모든 사람들은 꽤나 굵직한 사이버 보안 사건들을 경험한 바 있다. 크로더스는 타겟(Target)에 2014년부터 근무했었다. 2013년 대규모 정보 유출 사고가 벌어진 직후에 합류해 타겟이 다시 한 번 보안을 강화하는 데 일조했다. 아이레스의 경우 2017년 에퀴팩스 데이터 유출 사고가 벌어졌을 때 현장에 있었다. 칼린은 사법부에서 랜섬웨어 전담반을 꾸리는 프로젝트를 맡았었고, 솔라윈즈(SolarWinds) 사태와 콜로니얼파이프라인(Colonial Pipeline) 사태를 담당했었다. 최악의 상황을 겪어본 이들의 입에서는 이런 조언들이 나왔다.
1. 사소한 것 하나가 큰 도움이 된다
존 칼린 : “보안 팀들은 늘 바쁘게 일을 합니다. 근무 시간이 길죠. 그러다 보니 예민해져 있고, 사소한 것들을 놓치게 되는데, 그 중 하나가 통신에 관한 겁니다. 기록들을 전부 보관해야만 하는데, 미처 신경쓰지 못할 때가 많습니다. 그렇기 때문에 CISO라면 주기적으로 팀원들에게 통신 기록을 보관하고 문서화 하라고 알려줘야 합니다. 나중에 사건이 터지면 여기 저기 불려가 증언을 하고 거친 질문들에 답을 해야 하는데, 그럴 때 이런 사소한 기록들이 큰 힘이 됩니다.”
2. 사건 대응 팀들과의 소통이 중요하다
팀 크로더스 : “CISO라면 법무 자문위원과 ‘절친’ 관계를 유지해야만 합니다.”
존 칼린 : “사소한 사건인 것처럼 보여서 사건 대응팀을 아무렇게나 꾸렸다가는 낭패를 보기 십상입니다. 사소해 보여서 아무런 법적 전문성이 없는 이들로 대응팀을 꾸몄는데, 알고 보니 거대한 사건이라면 어떻게 될까요? 초기 조사 과정에서 수집된 자료들에 대한 법적 근거를 마련하지 못하거나, 법적으로 반드시 확보했어야만 하는 데이터를 놓쳐서 일이 복잡하게 꼬입니다. 불필요하게 일이 커지는 것이죠. 사건이 크건 작건 사건 대응 팀에 반드시 법과 규정에 대해 잘 아는 사람이 포함될 수 있도록 해야 합니다. 그러려면 대응 팀과 평소 원활한 소통을 할 정도의 관계를 유지해야 하겠지요.”
3. 사이버 보안 커뮤니티가 당신의 친구다
러스 아이레스 : “사건이 터지면 침착해지기 쉽지 않습니다. 감당하지 못할 일 같아 보이고, 스스로에 대한 의심이 솟구치죠. 그럴 때 일단 먼저 ‘보안 업계에 나를 도울 만한 사람이 있을 것이다’라고 스스로에게 말을 해주세요. 보안 커뮤니티는 생각보다 단단하게 엮여 있는 공동체입니다. 왜냐하면 모두가 힘든 시간을 공통적으로 겪고 있기 때문이죠. 보안 전문가 대 보안 전문가로서 접근하면 비슷한 사건을 먼저 겪어본 사람들의 조언을 들을 수 있게 될 것입니다. 그러니 평소 보안 커뮤니티에서 활동해 두는 것도 중요합니다.”
4. 위기 대응 소통 담당팀을 만나라
팀 크로더스 : “사건이 발생했을 때 외부에 어떤 메시지를 어떤 톤으로 내보내야 하는지가 제일 중요합니다. 사람들은 결국 ‘이 회사가 상황을 제어하고 있구나’를 알고 싶어하거든요. 특히 투자자나 고객들이 그렇습니다.”
존 칼린 : “내부 홍보 팀을 통해 사건과 관련된 내용을 외부에 전파하는 것도 좋지만, 위기 대응 소통 전문가를 외부에서부터 초빙하는 것도 좋은 방법입니다. 위기 상황에서의 적당한 톤과 메시지 내용을 내부자가 선별하는 게 어려울 수 있거든요.”
5. 예비 CISO들을 미리 준비시키라
패트리샤 티투스 : “사건이 발생했을 때 CSO나 CISO가 대처하기 어려운 상황에 있을 수 있습니다. 억지로 이들을 불러들여 대응을 시키는 것조차 불가능한 상황도 있을 수 있고요. 그럴 때를 대비해 그 역할을 임시로라도 할 수 있는 사람을 선정해 미리 준비시켜야 합니다.”
러스 아이레스 : “에퀴팩스의 경우, 그 사건이 일어나기 전에 CEO, CIO, CSO가 전부 회사를 그만뒀습니다. 게다가 그 다음으로 높은 임원들은 마침 증권위원회에 제출할 자료를 준비하느라 몇날 며칠을 밤샘 근무할 정도로 바빴고요. 사건이 터졌을 때 대응할 사람을 찾는 것부터가 힘든 일이었죠. 반드시 대비책이 있어야 합니다.”
6. 신뢰를 회복하는 데에는 생각보다 많은 시간이 필요하다
팀 크로더스 : “침해 사고 후 확실하게 체감되는 것 중 하나는 모두가 나와 우리 회사를 의심스러운 눈으로 쳐다본다는 겁니다. 모든 신뢰가 갑작스럽게 증발한 느낌이 듭니다. 유관 기관, 파트너사, 소비자들 모두가 갑자기 믿어주지 않습니다. 감사를 나온 사람들조차도요. 그래서 침해 사고 후 사업을 정상화시킨다는 게 무척이나 어려워집니다. 대부분 사고 자체를 다루느라 그 후 사업을 이어가는 것까지 고려하지 못하는데, 꽤나 뼈 아픈 실책이 될 수 있습니다. 복구 잘 시켜놓고도 사업이 망하는 걸 지켜봐야 할 수 있습니다.”
7. 워게임은 최대한 현실적으로 진행한다
팀 크로더스 : “워게임을 진행할 때 CISO가 없다는 시나리오로도 진행하는 게 필요합니다. CISO가 급한 일로 자리를 비웠다거나, CISO와 연락할 수 없는 상황에서 일이 터졌다거나 하는 시나리오도 현실적으로 얼마든지 일어날 수 있거든요.”
존 칼린 : “답할 수 없는 질문들이 쏟아지는 시나리오로 워게임을 진행하는 것도 중요합니다. ‘복구에 얼마나 걸릴까요?’라든가 ‘무슨 일이 일어난 거죠?’라든가, 보안 담당자들이 전형적으로 곤란해할 질문들이 있죠. 그 질문들을 위주로 워게임을 풀어나가보세요.”
8. 위기 대응과 관련된 결정 사항들을 문서화 한다
존 칼린 : “사건이 터지면 만나야 할 사람들이 많습니다. 유관 기관 담당자, 변호사, 수사관 등 처음 보는 사람들도 많을 겁니다. 이 사람들은 대부분 저 먼 옛날의 일들부터 궁금해하기 시작합니다. 사건의 뿌리를 거슬러 올라가야 하기 때문이죠. 그러다 보니 생각지도 못한 자료들을 요구하게 되는데, 그렇기 때문에 여기에 대한 답을 미리부터 준비해두는 게 필요합니다. 평소 업무를 진행하면서 내렸던 결정들을 상세히 문서화 하는 게 중요한 이유입니다. 이런 문서화의 노력이 나중에 위기 관리에 있어 결정적인 역할을 합니다. 문서화는 배반하지 않습니다.”
9. 보안의 정답은 항상 ‘기본기’이다
러스 아이레스 : “사건이 터지고 나면 여러 가지 후회가 들기 마련입니다. 그런데 그 후회들이 거의 전부 보안의 기본기와 관련된 것들입니다. 패치를 잘 할 걸. 한 번 더 검사할 걸. 사각 지대를 미리 파악해 둘 걸. 오래된 시스템을 분리해둘 걸. 교육을 한 번이라도 더 할 걸... 보안의 정답은 늘 기본기이기 때문에, 평소부터 기본기를 강화하는 게 핵심입니다.”
글 : 사라 피터스(Sara Peters), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
