3.20 사이버테러 발생 한달...국내 기업, 보안사고 대응계획 점검해야 부적절하고 준비 없는 보안사고 대응은 더 큰 재해로 이어져       

[보안뉴스 권 준] 우리나라 방송국과 금융권을 해킹해 전 국민을 혼란에 빠뜨린 3.20 사이버테러가 발생한 지 한 달여가 지났다. 이번 사건은 국내 보안체계에 있어 많은 허점을 노출시켰고, 적지 않은 숙제를 남겼다.

보안사고는 언제든지 발생할 수 있다는 점을 감안하더라도 그 이후 체계적인 대응이 이루어지지 않았다는 점과 북한 소행이라는 발표 외에 명쾌한 원인 분석이 수반되지 않았다는 점에서 이러한 사고와 이에 따른 혼란은 언제든지 재발될 여지가 높다는 지적이다. 

이러한 상황에서 글로벌 보안업체 소포스가 소개한 ‘보안사고 대응을 위한 8가지 팁’은 국내 공공기관 및 기업들이 보안사고에 어떻게 준비하고 대응해야 하는지 효과적인 가이드를 제시하고 있어 좋은 참고가 될 듯하다.  

소포스의 기술전략 디렉터인 제임스 라인(James Lyne) 씨는 “우리 대부분은 100% 보안이 가능하지 않다는 점과 불행하게도 보안사고는 언제든지 발생할 수 있다는 점을 잘 알고 있다”면서도 “그럼에도 불구하고 보안사고 대응에 있어서 체계적인 준비 및 대응이 이루어지는 경우가 드물고, 이러한 준비 부족이 더 큰 재해로 이어지고 있다”고 우려했다. 이와 관련해 소포스 측이 밝힌 ‘사고대응을 위한 8가지 팁’을 우리나라 상황에 맞게 정리해보면 다음과 같다. 
 
1. 사고대응 계획을 수립하라 
보안사고는 어느 기관·기업에게나 발생할 수 있다는 가정 하에 보안사고 대응계획을 문서화하고, 이를 구성원들에게 배포하는 일이 선행되어야 한다. 사고대응 매뉴얼이 몇 백 페이지 정도의 분량이 될 필요는 없지만, 직원들이 옆에 두고 활용할 수 있도록 반드시 문서화시켜야 한다.  

2. 사고대응팀을 미리 조직하라 
기관이나 기업의 보안사고 대응팀을 미리 조직해 놓아야 한다. 보안사고 대응팀에는 IT 및 보안전문가는 물론 PR, 인사, 그리고 법률전문가들과 함께 임원급이 반드시 포함되어야 한다. 일례로 PR 담당자가 포함되어 있지 않으면 사고원인 및 피해규모 등에 대한 정리되지 않은 정보가 외부로 유출돼 대외이미지에 심각한 타격을 입을 수 있다. 또한, 사고 대응팀 구성 시에는 각 구성원들의 역할이 명확하게 정리되고, 설명되어야 한다. 

3. 접근방식을 명백히 하라 : 지켜보고 배우거나 또는 즉각 대응하고 복구하거나 
해킹 등의 보안사고가 발생했을 때 회사의 보안관리자들은 공격시도에 대한 접근방식을 결정해야 한다. 해커들의 공격패턴을 모니터링하면서 이들의 공격기법을 습득할 경우 추후 더 큰 피해를 예방할 수 있기 때문이다. 어떤 경우에는 침입시도가 포착됐을 경우 바로 대응하고, 신속한 복구조치를 취해야할 경우도 있다. 보안사고가 발생했을 때 이러한 두 가지 접근방식을 적절히 사용하고, 전략적인 결정을 해야만 효과적인 사고대응이 가능하다.

4. 사고 발생시 의사소통 방법을 정해놓아라 
보안사고로 사내 LAN 등 통신 인프라가 마비됐을 경우에 대비해 내부 커뮤니케이션 인프라에 의존하지 않고, 구성원들끼리 서로 소통할 수 있는 방법을 강구해 놓아야 한다. 사고시 긴급 통신방법을 정해놓고 내부 구성원들에게 신속하게 사고전파를 할 수 있도록 해야 한다.

5. 신속하게 사고대응 데이터를 캡처하라
만약 사고가 발생했을 때는 사고 당시 PC 모니터 등의 증거화면을 포함한 데이터, 로그 등을 신속히 캡처해야 한다. 이는 원인조사나 공격자들의 추적 등을 위한 수사과정이나 추후 증거확보를 위한 포렌식 활용에 있어서도 반드시 필요한 작업이다.  

6. 고객·직원들과 사고관련 정보를 실시간 공유하고 피드백을 받아라
해킹 등의 보안사고 대응은 IT 측면으로만 접근해서는 안 된다. 사고대응에 있어서는 회사의 보안정책 및 보안 프로세스와 연계되어야 하고, 회사 고객들과의 연결통로를 확보해야 한다. 사고 발생시 고객 응대를 위한 핫라인 등을 개설하는 것이 한 예이다.

특히, 회사의 고객이나 임직원들에게 사고관련 정보가 실시간 공유되어야 한다. 이를 바탕으로 보안정책을 재정립할 때는 직원·고객들의 피드백을 반드시 포함시켜야 한다.
    
7. 범죄사실을 보고하는 방법과 법집행기관에 참여하는 방법을 배워라 
사고가 발생했을 때는 피해사실에 대해  법집행기관에 정확하고 효과적으로 보고하는 방법과 추후 사건조사에 있어 법집행 행위에 참여할 수 있는 방법을 알고 있어야 한다. 특히, 개인정보 유출사건의 경우에는 국내법은 지체 없이 보고하도록 되어 있기 때문에 이를 잘 준수해야 하고, 그 방법과 절차를 정확히 숙지해야만 추가 피해를 최소화할 수 있다.  

8. 사고대응 연습과정을 문서화시켜라
사고대응 계획을 보다 효과적으로 수립하기 위해서는 ‘모의해킹과 대응 시나리오’에 대한 일련의 연습과정을 체계적으로 문서화시켜야 한다. 그렇게 해야만 실제 사고 발생시에도 연습과정에 따라 침작하게 대응할 수 있다.  

이러한 사고대응 계획 수립과 관련한 좋은 예제로 소포스 측은 SANS의 보안사고 양식(http://www.sans.org/score/incidentforms)과 美 표준국의 보안원칙인 NIST(http://csrc.nist.gov/publications/drafts/800-61-rev2/draft-sp800-61rev2.pdf)의 사고대응 양식 초안을 소개했다. 

이러한 양식들을 참고해서 국내 기업에서도 자사의 특성을 반영한 보안사고 대응 매뉴얼을 서둘러 마련하고, 이를 바탕으로 주기적으로 모의훈련을 시행해야 할 것으로 보인다.  
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>