성의 있는 고객 대응과 복구로 소송 최소화
관건은 두 번째 사고 발생 방지...법 전문가와 친분 쌓아야
[보안뉴스 문가용 기자] 사이버 공격에 당하는 업체들이 늘어나고 있다. 멀웨어의 기능과 공격의 기법 자체가 점점 더 강력해지고 있기 때문이다. 매년 사이버 공격의 비율과 성공률이 기록적으로 높아져 가는 마당에 복구 계획 하나 없다는 건 안일한 걸 넘어 사업 망해도 상관없다는 태도와 진배없다. 데이터 유출 사고 발생 시 취해야 할 조치에 대해 큰 고민을 해보지 않은 기업이 아직도 있다면, 다음 사항을 참고하라.
1. 유출된 정보를 파악해 격리시키라
이게 말이 쉽지, 굉장히 어렵다는 건 확실하다. 평균적으로 한 기업이 데이터 유출 사태나 사이버 공격 사실을 파악하는 데에 걸리는 시간은 200일이라고 한다. 거의 모든 데이터가 싹 빠져나간 후에 알아차린다고 해도 무방한 시간이다. 하지만 며칠이 지나든 공격을 알아차렸다면 정확히 어떤 정보들이 새나가고 있으며 무슨 일이 벌어지고 있는지 상세히 파악해야 한다. 다음 사항들에 따라서 정리하면 도움이 된다.
1) 언제부터 공격이 시작되었는가?
2) 유출 사건 때문에 고객들에게 어떤 영향이 가는가?
3) 어떤 자산들이 영향을 받았는가?
4) 정확한 피해자가 누구인가?
5) 어떤 유형의 공격이 발생했는가?
위 질문들에 대한 답들을 최대한 상세히 파악하되, 문서화시키는 것도 중요하다. 그리고 문제가 되는 것들을 주요 네트워크에서 격리시키는 게 다음 절차인데, 이를 위해서는 평소부터 민감한 정보를 따로 저장해둘 필요가 있다. 또한 영향을 받은 로그인 정보는 전부 리셋하고, 파일은 전부 재설치하며, 호스트가 영향을 받았다면 연결을 끊고, 파일이 감염되었다면 삭제해야 한다. 빠트렸던 보안 패치를 진행하는 것도 중요하다.
2. 고객들에게 빠르게 알려야 한다
보통 정보 유출 사고라고 하면 고객 정보가 연루된 경우가 많다. 그리고 이를 숨기는 기업들이 꽤나 된다. 고객들은 그 사실을 뒤늦게 알게 될 때마다 분통을 터트린다. 그럴 수밖에 없다. 아직도 기업들은 문제를 쉬쉬하며 내부적으로 해결하려고 하는 분위기가 만연하다. 이는 결코 현명하지 않은 결정이다. 회사가 소비자의 피해 내용을 숨기면 숨길수록 ‘집단 소송’의 확률이 높아지고, 패소 가능성 역시 더 높아진다. 괜히 더 큰 피해를 자초하는 것이다.
그러므로 고객 정보와 관련된 유출사고가 일어났을 때 어떤 식으로 고객들에게 알릴 것인지 1) 담당자나 담당 부서를 정하고 2) 어떤 방법(이메일, 문자 등)으로 연락할지도 결정해놓고 3) 공손한 사과 문구도 마련해 매뉴얼에 따라 재빨리 조치를 취해야 한다. 문의 전화가 빗발칠 것도 예상해 결코 무례하거나 불성실하게 대응하지 않게 직원 교육도 시켜야 한다. 보상 계획이 있다면 대응하기가 한결 수월해진다. 다만 수사 절차에 따라 고객에게 알리는 걸 조금 미뤄야 하는 경우도 있다.
3. 사건 재발 막는 게 제일 중요하다
위에서도 말했지만 유출 사고를 파악하는 데 걸리는 평균 시간이 200일이다. 사실 이미 일어난 사건에 대해서 뭘 어떻게 할 수 있는 건 없다고 봐야 한다. 다만 고객들을 달래고, 신뢰를 잃지 않도록 노력하는 게 최선이다. 그리고 또 하나, 같은 사건이 일어나지 않는 것에 모든 초점을 맞춰야 한다. 사람들은 한 번 실수에는 너그러워도, 두 번 실수에는 가차 없이 냉정해진다. 두 번째 사건이 발생하지 않도록 하기 위해서는 외부 보안 전문가를 초청해 수사와 교육 등의 후속조치를 맡기는 게 가장 효과적이다. 내부적으로 뭔가 알아서 처리하고, 알아서 교훈을 도출해 직원들을 교육시키는 건 대부분 실패한다.
사건이나 취약점에 따라 새로운 솔루션을 구매하는 것도 좋은 방법이다. 포네몬의 조사에 의하면 보안 첩보 시스템을 도입한 기업은 연간 평균 37억 원의 비용을 절감했고, 암호화 기술을 도입한 기업은 14억 원이라는 금액을 절약했다고 한다. 차세대 방화벽의 경우 기업들은 25억 원을 아낄 수 있었다고 한다.
4. 법적인 방어막도 단단히 조여라
고객들의 마음을 아무리 잘 달래도, 분명 누군가는 법원의 문을 두드려 고소장을 제출한다. 흔히 있는 일이다. 즉, 법정 소송을 진행할 각오를 해두는 편이 더 현명하다. 미국 사법부는 기업 운영자들에게 “미리미리 재판 절차를 숙지해두고 전문 변호사나 법 전문가와의 관계를 돈독히 다져 급한 상황에서 언제고 조언을 구할 수 있도록 해두라”고 권장한다.
사실 사이버 범죄만이 아니더라도 기업들은 심심치 않게 법정으로 불려나간다. 법 전문가 한 명쯤과 친해지는 건 여러 모로 도움이 된다. 아니면 법무부를 새로 만들어 내부에 법 전문가를 두는 것도 좋은 방법이다. 오해하지 말 것은, 뒷거래나 편법 활동을 위해 법 전문가와 친해지라는 게 아니다. 언제고 다급한 상황에서 객관적인 조치 사항을 알려줄 수 있는 정도의 파트너를 구하라는 것이다.
물론 사이버 보안 사고는 안 일어나는 게 제일 좋다. 유출 사고의 재발을 막는다 해도, 아무도 칭찬해주지 않는다. 당연히 해야 할 일이라고 생각하기 때문이다. 첫 번째 사고는 두 번째 사고의 방지를 위한 침투 테스트인 것처럼 여기라. 그리고 최대한 많은 것들을 배워두어야 한다. 위 네 가지 과정만 침착히 밟아나가도 피해를 최소화하는 데에 도움이 될 것이라고 본다.
글 : 멀웨어바이츠(Malwarebytes)
[국제부 문가용 기자(globoan@boannews.com)]
- 아시아 최대 규모의 종합 보안 전시회 SECON 2017 - 3월 15일(수)~17일(금) 개최
- IFSEC과 BlackHat 주관사인 UBM이 직접 투자한 한국 유일 전시회
- 해외 보안 분야 바이어들과 1:1 전문 상담
- 가상현실, 심폐소생술, 드론 해킹, 1인 가구 안전 체험 등 다양한 코너 마련
관건은 두 번째 사고 발생 방지...법 전문가와 친분 쌓아야
[보안뉴스 문가용 기자] 사이버 공격에 당하는 업체들이 늘어나고 있다. 멀웨어의 기능과 공격의 기법 자체가 점점 더 강력해지고 있기 때문이다. 매년 사이버 공격의 비율과 성공률이 기록적으로 높아져 가는 마당에 복구 계획 하나 없다는 건 안일한 걸 넘어 사업 망해도 상관없다는 태도와 진배없다. 데이터 유출 사고 발생 시 취해야 할 조치에 대해 큰 고민을 해보지 않은 기업이 아직도 있다면, 다음 사항을 참고하라.
1. 유출된 정보를 파악해 격리시키라
이게 말이 쉽지, 굉장히 어렵다는 건 확실하다. 평균적으로 한 기업이 데이터 유출 사태나 사이버 공격 사실을 파악하는 데에 걸리는 시간은 200일이라고 한다. 거의 모든 데이터가 싹 빠져나간 후에 알아차린다고 해도 무방한 시간이다. 하지만 며칠이 지나든 공격을 알아차렸다면 정확히 어떤 정보들이 새나가고 있으며 무슨 일이 벌어지고 있는지 상세히 파악해야 한다. 다음 사항들에 따라서 정리하면 도움이 된다.
1) 언제부터 공격이 시작되었는가?
2) 유출 사건 때문에 고객들에게 어떤 영향이 가는가?
3) 어떤 자산들이 영향을 받았는가?
4) 정확한 피해자가 누구인가?
5) 어떤 유형의 공격이 발생했는가?
위 질문들에 대한 답들을 최대한 상세히 파악하되, 문서화시키는 것도 중요하다. 그리고 문제가 되는 것들을 주요 네트워크에서 격리시키는 게 다음 절차인데, 이를 위해서는 평소부터 민감한 정보를 따로 저장해둘 필요가 있다. 또한 영향을 받은 로그인 정보는 전부 리셋하고, 파일은 전부 재설치하며, 호스트가 영향을 받았다면 연결을 끊고, 파일이 감염되었다면 삭제해야 한다. 빠트렸던 보안 패치를 진행하는 것도 중요하다.
2. 고객들에게 빠르게 알려야 한다
보통 정보 유출 사고라고 하면 고객 정보가 연루된 경우가 많다. 그리고 이를 숨기는 기업들이 꽤나 된다. 고객들은 그 사실을 뒤늦게 알게 될 때마다 분통을 터트린다. 그럴 수밖에 없다. 아직도 기업들은 문제를 쉬쉬하며 내부적으로 해결하려고 하는 분위기가 만연하다. 이는 결코 현명하지 않은 결정이다. 회사가 소비자의 피해 내용을 숨기면 숨길수록 ‘집단 소송’의 확률이 높아지고, 패소 가능성 역시 더 높아진다. 괜히 더 큰 피해를 자초하는 것이다.
그러므로 고객 정보와 관련된 유출사고가 일어났을 때 어떤 식으로 고객들에게 알릴 것인지 1) 담당자나 담당 부서를 정하고 2) 어떤 방법(이메일, 문자 등)으로 연락할지도 결정해놓고 3) 공손한 사과 문구도 마련해 매뉴얼에 따라 재빨리 조치를 취해야 한다. 문의 전화가 빗발칠 것도 예상해 결코 무례하거나 불성실하게 대응하지 않게 직원 교육도 시켜야 한다. 보상 계획이 있다면 대응하기가 한결 수월해진다. 다만 수사 절차에 따라 고객에게 알리는 걸 조금 미뤄야 하는 경우도 있다.
3. 사건 재발 막는 게 제일 중요하다
위에서도 말했지만 유출 사고를 파악하는 데 걸리는 평균 시간이 200일이다. 사실 이미 일어난 사건에 대해서 뭘 어떻게 할 수 있는 건 없다고 봐야 한다. 다만 고객들을 달래고, 신뢰를 잃지 않도록 노력하는 게 최선이다. 그리고 또 하나, 같은 사건이 일어나지 않는 것에 모든 초점을 맞춰야 한다. 사람들은 한 번 실수에는 너그러워도, 두 번 실수에는 가차 없이 냉정해진다. 두 번째 사건이 발생하지 않도록 하기 위해서는 외부 보안 전문가를 초청해 수사와 교육 등의 후속조치를 맡기는 게 가장 효과적이다. 내부적으로 뭔가 알아서 처리하고, 알아서 교훈을 도출해 직원들을 교육시키는 건 대부분 실패한다.
사건이나 취약점에 따라 새로운 솔루션을 구매하는 것도 좋은 방법이다. 포네몬의 조사에 의하면 보안 첩보 시스템을 도입한 기업은 연간 평균 37억 원의 비용을 절감했고, 암호화 기술을 도입한 기업은 14억 원이라는 금액을 절약했다고 한다. 차세대 방화벽의 경우 기업들은 25억 원을 아낄 수 있었다고 한다.
4. 법적인 방어막도 단단히 조여라
고객들의 마음을 아무리 잘 달래도, 분명 누군가는 법원의 문을 두드려 고소장을 제출한다. 흔히 있는 일이다. 즉, 법정 소송을 진행할 각오를 해두는 편이 더 현명하다. 미국 사법부는 기업 운영자들에게 “미리미리 재판 절차를 숙지해두고 전문 변호사나 법 전문가와의 관계를 돈독히 다져 급한 상황에서 언제고 조언을 구할 수 있도록 해두라”고 권장한다.
사실 사이버 범죄만이 아니더라도 기업들은 심심치 않게 법정으로 불려나간다. 법 전문가 한 명쯤과 친해지는 건 여러 모로 도움이 된다. 아니면 법무부를 새로 만들어 내부에 법 전문가를 두는 것도 좋은 방법이다. 오해하지 말 것은, 뒷거래나 편법 활동을 위해 법 전문가와 친해지라는 게 아니다. 언제고 다급한 상황에서 객관적인 조치 사항을 알려줄 수 있는 정도의 파트너를 구하라는 것이다.
물론 사이버 보안 사고는 안 일어나는 게 제일 좋다. 유출 사고의 재발을 막는다 해도, 아무도 칭찬해주지 않는다. 당연히 해야 할 일이라고 생각하기 때문이다. 첫 번째 사고는 두 번째 사고의 방지를 위한 침투 테스트인 것처럼 여기라. 그리고 최대한 많은 것들을 배워두어야 한다. 위 네 가지 과정만 침착히 밟아나가도 피해를 최소화하는 데에 도움이 될 것이라고 본다.
글 : 멀웨어바이츠(Malwarebytes)
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
- 아시아 최대 규모의 종합 보안 전시회 SECON 2017 - 3월 15일(수)~17일(금) 개최
- IFSEC과 BlackHat 주관사인 UBM이 직접 투자한 한국 유일 전시회
- 해외 보안 분야 바이어들과 1:1 전문 상담
- 가상현실, 심폐소생술, 드론 해킹, 1인 가구 안전 체험 등 다양한 코너 마련
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
