[데이터넷] 시장조사기관 포레스터 조사에 따르면 지난해 1회 이상 랜섬웨어 공격을 받은 기업이 63%에 달했으며, 보안 기업 크라우드스트라이크 조사에 따르면 랜섬웨어로 인한 데이터 유출은 82% 증가한 것으로 나타났다. 기업·기관은 지속적으로 보안 투자를 늘리고 보안 조직을 강화하고 있지만, 공격으로 인한 피해를 줄이지 못하고 있다.

랜섬웨어 피해를 줄이기 위해 사이버 보안 보험을 권고하지만, 공격자들이 요구하는 랜섬머니가 천정부지로 치솟으면서 보험사들이 보험료를 크게 인상하거나 보험상품을 철회하고 있어 보험은 결코 대안이 되지 못한다.

위협의 방식에 따라, 비즈니스의 변화와 확장에 따라 그에 맞는 보안 솔루션을 도입하고, 보안 정책을 개선하지만, 너무 잦은 확장과 변경으로 인해 보안 복잡성이 높아지고 사각지대가 늘어나 오히려 보안을 어렵게 하고 있다. 이 복잡한 환경을 단순하게 보호하기 위한 통합 보안 솔루션도 등장하고 있지만, ‘통합보안솔루션’이라는 또 하나의 포인트 솔루션이 추가되는 형태가 될 뿐 아니라, 통합보안 솔루션조차 통합되지 않은 개별 기술이 느슨하게 연결된 방식이 많아 복잡성을 더 증가시키게 된다.

최악의 상황까지 지원하는 서비스 찾아야

복잡해지는 보안 탐지·대응의 문제를 해결하하는 방법 중 하나로 사이버 보안 사고 대응 서비스(CIRS: Cybersecurity Incident Response Services)가 주목받고 있다. CIRS는 사고 발생 시 빠르게 문제를 해결하고 비즈니스를 복원할 수 있도록 도와주는 서비스로, 피해 조직의 특성과 컴플라이언스, 고객과 기업·기관 신뢰에 미치는 영향 등을 종합 분석해 최선의 복원 프로그램을 신속하게 제공한다.

포레스터의 ‘포레스터 웨이브: CIRS, 2022년 1분기’ 보고서에서는 CIRS 서비스 도입을 위해서는 반드시 최악의 상황에 대비할 수 있는 서비스 공급업체를 찾아야 하며, 사이버 보안 보험에 가입해야 한다고 조언했다.

보고서에서는 CIRS 제공업체가 사고대응 프로그램을 마련하는데 도움을 주어야 한다고 주장하면서, 보험금과 보험사에 청구하는 피해보상 금액을 선정하는데 관여할 수 있어야 한다고 강조했다. 사이버 보험 정책은 협상에 따라 달라질 수 있기 때문에 보험 가능성과 사고 대비를 함께 논의할 수 있는 패널에 참여해야 한다고 설명했다.

침해가 발생했을 때 CIRS는 청구 관리 프로세스를 가속화하는 도구를 제공할 수 있다. 경영진과 주요 이해 관계자를 위해 설계된 제품을 포함, 모든 범위의 사고 대비 및 시뮬레이션 제품을 제공하는 제공업체를 찾는 것이 도움이 된다.

컴플라이언스 지원·비즈니스 복구 전반 지원해야

CIRS는 고객이 사업을 운영하는 지역의 사이버 보안·개인정보 보호법 등 각종 규제에 정확하게 대응할 수 있어야 한다. 규제위반으로 소송이 발생할 경우 모든 당사자를 보호하기 위해 자체 법률조직, 외부 변호사와 올바르게 계약이 체결돼 있는지 확인해야 한다.

많은 CIRS 제공업체는 법적 배경을 가진 사고 대응 팀 리더 또는 특정 법률 및 규제 요구 사항에 대한 전문 지식을 갖춘 지역 내 리소스를 제공한다. 변호사의 지시에 따라 사고 보고서와 같은 작업의 중요성을 이해하고 편안하게 생성하고 전체 사고 대응 수명 주기에 정보를 제공하는 귀중한 법적 지식을 제공한다.

또한 사고 후 비즈니스와 브랜드를 재구축하는 과정의 전반을 지원할 수 있어야 한다. 사내 커뮤니케이션 전문가, 환경 복구 전문가 또는 고객 지원 콜 센터 작성자가 포함될 수 있다. 많은 제공업체는 공격자가 다시 진입하지 못하도록 관리형 탐지 및 대응(MDR) 서비스를 포함하는 지속적인 관계를 제공합니다.

다른 회사는 전반적인 보안 태세를 개선하기 위한 노력의 실행과 경영진의 동의를 얻는 데 도움을 줄 수 있다. 평판 회복 요구 사항과 프로그램의 성숙도 격차에 가장 잘 맞는 장기 지원 기능과 서비스를 제공해야 한다.

IT 및 OT/ICS 포함된 사고대응 서비스 지원

포레스터 보고서에서는 이러한 조건을 만족하는 기업으로 맨디언트, 크라우드스트라이크, 딜로이트 등을 리더 그룹으로 선정했다. 맨디언트는 벤더 제약 없이 타사 탐지·대응 툴과의 매끄러운 통합을 통해 고객의 기존 환경을 최대한 활용할 수 있는 능력을 인정받았다. 맨디언트가 인수한 공격 표면 취약점 관리(ASM) 기능을 포함해 실전 검증된 솔루션도 주목받았다.

보고서에서는 평가한 맨디언트의 CIRS 역량은 OT/ICS 보안도 포함된다. 맨디언트는 이 분야 전문 지식을 보유하고 있으며 공격자의 전술에 대한 맞춤형 보고서, 지속적인 모니터링 및 관리 검증 등의 ‘침해 사고 후 서비스’를 제공한다.

맨디언트 고객은 맨디언트가 경영진 교육과 테이블탑 훈련을 통해 보안 가시권 및 운영권을 보안운영센터(SOC)에서 경영진으로 이동시켰다고 평가하고 있으며, 사이버 보안, 법 집행 기관 및 입법 기관과 관련된 경험을 가능한 범위 안에서 최대한 공유하기 위해 노력하고 있다고 인정받는다.

보고서는 “복잡한 침해 및 공격 시나리오를 시뮬레이션하고 해결하는 파트너이자 기술과 실행 커뮤니케이션에 능통한 서비스 제공업체를 찾고 있는 보안 전문가라면 맨디언트를 고려해 볼 것”을 권장했다.

위르겐 커스처(Jurgen Kutscher) 맨디언트 서비스 제공 담당 수석부사장(EVP)은 “맨디언트 컨설팅은 사이버 위협으로부터 모든 조직을 안전하게 지킨다는 비전을 실현하기 위해 주요 목표를 달성하며 큰 보폭으로 성장하고 있다”며 “맨디언트는 정보 보안 지표를 어지럽힌 주요 사이버 사고를 조사하는 것을 포함해 작년 한 해 동안에만 공공 부문 및 민간 부문에서 수천 건의 보안 침해에 대비하고 대처할 수 있도록 지원해 왔다”고 설명했다.

크라우드스트라이크는 “단순한 기술 이상의 의미를 부여한다”는 평가를 받았다. 크라우드스트라이크 ‘팔콘(Falcon)’ 플랫폼은 발생한 침해사고에 대응할 뿐 아니라 사고 전반을 추적하고 조치해 추가 피해를 입지 않도록 지속적인 위협 추적·모니터링 도구 및 서비스를 원한다.

전체 사고대응 수명주기에 탐지·대응 도구와 인텔리전스를 통합하고 자동화한다. 고객 환경과 능력을 이해하고, IR 서비스를 제공할 수 있도록 2회의 워크숍을 제공해 고객과의 이해도를 높인다. 고객의 요구에 신속하게 응답하며, 포괄적인 클라우드 응답·조사 기능과 OT/ICS 파트너와의 공동 대응을 제공한다.

숀 헨리(Henry Shawn) 크라우드스트라이크 최고 보안 책임자 겸 사장은 “보안 침해가 발생하면 조직에서 수백만 달러의 잠재적 손실로 이어질 수 있으므로 사고 대응(IR)은 사업 중단을 최소화하는 데 필수적인 요소가 됐다. 지능화되는 공격자를 차단하려면 속도와 가시, 전문 지식과 기술이 결합된 노력이 필요하다”며 “크라우드스트라이크는 팔콘 플랫폼, 위협 헌팅 전문가 및 동급 최고의 사고 대응 능력을 결합한 CIRS를 통해 가장 정교한 위협으로부터 조직을 보호할 수 있다”고 밝혔다.

김선애 기자 다른기사 보기