[기고] 정보보안 사고에 대비/대처하는 5단계 절차

김영우 pengo@itdonga.com

[IT동아]

영국의 보안전문 기업인 소포스(Sophos)가 2020년에 실시한 설문조사에 따르면, 조사대상 기업 중 절반 이상(51%)이 2019년에 데이터 공격 피해를 당했고, 사내 주요 데이터의 73%가 해커에 의해 암호화되어 랜섬웨어의 위협을 받았다.

이처럼 기업 대상의 보안 위험은 여전히 심각한 상황이며, 데이터를 볼모 삼아 금품을 요구하는 랜섬웨어를 비롯해, 중요 데이터를 탈취하려는 피싱 웹사이트, 계정/암호를 무차별 대입해 강제 로그인하는 크래킹 사례도 끊이지 않고 있다.

보안 문제는 예고 없이 발생하니 사전에 대응하기가 어렵다. 정보보안 대비의 개념은 요즘 같이 바이러스나 질병과 싸우는 것과 비슷하다. 예방이 치료보다 훨씬 수월하고 효과도 좋다. 문제 발생 조짐이 없을 때부터 보안 대비를 공고히 해야 한다. 더구나 기업 전체에 결정적 영향을 미칠 중요한 데이터가 많은 기업이라면 더욱 그러하다.

정보보안 사고에 대비하는 5단계 절차
정보보안 사고에 대비하는 5단계 절차

이에 시놀로지는 고객사의 보안 환경 검토 시 국제표준기술연구소(NIST)의 네트워크 보안 프레임워크에 따라, 아래와 같은 '식별', '보호', '감지', '대응', '복구' 등의 5단계 절차를 따르도록 제안하고 있다.

1 단계/식별 - 기업/조직 내 핵심 장치/장비를 면밀히 제어, 위험 평가 및 전략 작성 수행

식별 단계는 기업 임직원들이 자사 내부 자산(장치/장비/솔루션/서비스 등)에 대해 충분히 인지하고 있는지 확인해서, 정보보안 사고 발생 시 사고의 범위를 즉시 파악하고 대응할 수 있도록 해야 한다. 여기서 포인트는 '영향을 받았는가' 또는 '받았다면 얼마나 받았는가'이다.

예를 들어, 기업 서버에 침투 시도하는 특정 랜섬웨어가 돌아다닌다 거나, 특정 서버 제조업체의 한 부품/칩 등에 문제가 있는 경우, 이와 관련해서 상사에게 들을 수 있는 첫 질문은 아마도 '우리는 영향을 받았나? 우리는 괜찮나?'일 것이다. 이때 자사 자산에 대해 정확히 인지하고 있지 않으면 문제 발생 시 재빠른 대응을 하기가 어려워진다.

이에 기업 내 IT/전산관리자라면 여러 서비스가 존재하는, 작동되는 서버나 컴퓨터, 장비, 가상 머신, 또는 직원용 컴퓨터, 휴대폰/스마트폰/태블릿PC/노트북 등 모든 내부 자산을 아우르는 최신 자산 목록을 보유하고 있어야 한다.

이런 물리적 자산 외에, 사내 통신 방법과 데이터의 흐름, 그리고 사용 중인 외부 서비스(예: 지메일이나 AWS 등 클라우드 서비스) 등도 정확히 파악해서 잠재적 위험이나 취약점이 있는지 점검해야 한다.

자산 목록을 꼼꼼히 확인해야 자사의 실제 자산과 서비스를 파악할 수 있으며, 이후 사전 위험 평가를 진행하고 이에 따른 대응 계획 초안도 작성할 수 있다. 당연히, 사내 적용된 ERP, CRM, 급여시스템 같은 여러 시스템도 포함된다. 이들 서비스/시스템은 사내 중요도에 따라 분류되는데, 이때 고려해야 할 요소에는 서비스 가용성, 사용 빈도, 사용 또는 유지보다 편의성 등이 포함된다. 이들 요소를 종합적으로 평가해 문제 발생 시 대응 우선 순위와 방법을 결정하면 된다.

2 단계/보호 - 보호 구조 계획 및 구현 수행

'보호' 단계에서 수행해야 할 작업은 회사 내 보호 구조를 계획, 구현하는 것이다. 여기에는 내부 네트워크 분리, 가상 네트워크, 방화벽 설정 등의 기본 네트워크 보안 설정 외에도, 정말 중요한 개념인 '제로 트러스트' 보안 모델 구축이 해당된다.

제로 트러스트(Zero Trust)는 적합한 인증 절차/단계를 거치지 않으면 내부든 외부든 모두 사전 차단하는 원칙을 말한다. 이는 일반적으로 업계가 선호하는 원칙으로, 내부 관계자라도 신뢰하기 전에 철저히 확인하는 게 핵심이다. 인증 절차를 거친 사용자라 하더라도 관련 권한을 부여한 후에 지속적으로 관리, 검증, 심사해야 한다. 특히 기업 쪽에서는 강력한 권한, 모든 권한이 부여된 계정 관리에 더욱 신경 써야 하며, 이를 위해 ID 인증 메커니즘을 강화하거나 계정 권한을 제어하길 권장한다.

정보보호에 관한 인식 개선이 중요하다 (제공=셔터스톡)
정보보호에 관한 인식 개선이 중요하다 (제공=셔터스톡)

대만의 한 IT 매체의 보고에 따르면, 기업 내 정보보안 위험 원인 1위는 직원 과실이나 정보보안 인식 부족이다. 정보보호 메커니즘 구축이 물론 중요하지만, 악의적 피싱 메일, 온라인 광고, 불법 웹페이지 등에 경각심을 갖는 정보보안 인식 개선 역시 중요하다.

3 단계/탐지 - 시스템/바이러스 백신 소프트웨어 정기 업데이트, 모든 서비스의 트래픽 상태 파악

기업 내 시스템, 브라우저 및 기타 일반 프로그램이 최신 버전으로 업데이트되었는지 정기적으로 확인해야 하고, 이미 공개된 취약점도 수정하여 완전한 보호 설정을 마련해야 한다. 또한 모든 서비스 트래픽 상태를 파악하고, 백신 소프트웨어나 기타 시스템 보안 툴을 활용해 악의적 위협을 실시간으로 탐지, 대응해야 한다.

만에 하나, 정보보안 사고가 발생하면 즉시 위험과 피해를 탐지할 수 있는지도 파악할 수 있어야 하겠다. 예를 들어, 사내 중요한 감사 로그의 경우, 해당 로그가 정상 제어되는지, 비정상 로그인/정보보안 문제 발생 시 처리 담당자에게 즉시 연락할 수 있는지 등을 확인해야 한다.

백신 소프트웨어를 정기 업데이트해야 한다 (제공=셔터스톡)
백신 소프트웨어를 정기 업데이트해야 한다 (제공=셔터스톡)

4 단계/대응 - 원활한 내부/외부 소통 채널 및 비상 계획 수립

사고가 발생했을 때 신속한 대응을 받을 수 있는 스토리지 업체, 백신 소프트웨어 업체, 또는 각 제공사 홍보담당자, 법률고문 등 관련 업체의 긴급연락망을 확보해야 한다. 그리고 평소에도 그들과 충분한 커뮤니케이션을 유지해야 사고 발생 시 최대한 빠른 시간 내에 지원을 받을 수 있다.

기업/조직 내부 소통도 원활해야 하며, 상호간 사전대응 과정이 정립돼 있는지 확인할 필요도 있다. 보안사고가 터지면 대부분 당황하며 서두르기 마련인데, IT부서가 빠른 시간 내 문제 원인을 파악하고 대처할 수 있도록 소통해야 한다. 다른 부서의 적극적인 협조가 필요하며, 임원급 책임자가 주도하는 문제해결/장애대책 계획도 명확히 수립돼야 한다.

5 단계/복구 - 계획 프로세스의 지속 개선

마지막 단계는 '복구'다. 여기에는 위 4개 단계를 모두 포함하며, 문제/장애 복구 및 수리 방법 계획을 비롯해 실제 복구 작업과 그후 검토까지 해당된다. 복구/수리 계획을 수립할 때 목표 달성률에 유의하고, 프로세스 설정이 비현실적이거나 구현하기 어려운 지를 면밀히 평가해야 한다. 마지막으로, 기업 내부에서도 현재 기술/트렌드를 따라갈 수 있도록 최신 정보보안 동향과 뉴스 등에 지속적인 관심을 가져야 함은 당연하다.

글 / 시놀로지 세일즈 디렉터 조앤 웡 (Joanne Weng)

정리 / IT동아 김영우 (pengo@itdonga.com)

IT동아의 모든 콘텐츠(기사)는 Creative commons 저작자표시-비영리-변경금지 라이선스에 따라 이용할 수 있습니다.
의견은 IT동아(게임동아) 페이스북에서 덧글 또는 메신저로 남겨주세요.