[데이터넷] 정상회담, 선거, 스포츠 대회 등 많은 국제·국내·지역 규모의 행사들이 온라인 공간으로 옮겨간 오늘날, 이를 노리는 사이버 공격 역시 빠르게 증가하고 있다. 많은 사람들을 끌어모으는 대형 국제 행사는 공격자들이 다양한 사이버 공격을 펼칠 기회로 작용한다. 특히 중요 인프라 및 공급망을 노려 큰 혼란을 야기시키고 있다.

지난 6월 전국동시지방선거를 거쳐 9월 항저우 아시안 게임, 11월 카타르 월드컵 등 수많은 대중들이 모이는 대형 행사들이 줄을 잇는 지금, 행사를 기획하는 조직에서는 사이버 위협의 가능성을 항시 염려에 두고 그에 따른 사이버 공격에 대한 방어와 피해 예방을 위해 안전한 보안 환경을 구축해 강력한 보안 태세를 갖춰야 한다.

전략적 보안 프로그램 마련해야

사회적 대규모 행사에 대한 보안은 잠재적 공격자에 대한 최신 정보를 바탕으로 한 적극적 방어가 필요하다. 주최 조직은 행사에 앞서 안전한 진행을 위한 전략적인 보안 프로그램과 적절한 기술적 솔루션을 도입해 강화된 사이버 보안 태세를 갖춰야 한다.

하지만 대중의 집중적인 관심 속에서 정해진 시간 내에 높은 수준의 사이버 보안성을 확보하는 것은 이를 위한 체계적인 계획과 함께 집중과 투자가 필요하기에 쉽지 않은 일이다. 따라서 대규모 행사를 준비하고 실행하기에 앞서 미리 적절한 보안 태세를 갖추는 것이 필요하다. 사이버 위협 대응 준비를 위한 ‘환경 이해’, 대응 능력을 평가하고 모니터링하는 ‘위협 예측’, 그리고 ‘공격 대응’, 이 세 가지 단계를 통해 이를 구축할 수 있다.

행사 개최 전 위협 환경 충분히 파악

첫 단계인 ‘환경 이해’는 사전 예방적으로 보호하고 보안성을 강화하는 것을 목표로 행사 개최 이전에 거쳐야 하는 단계다. 이 단계에서 행사 주최 측은 잠재적인 공격자에 대한 충분한 정보를 파악하고 있는지, 혹시 모를 상황에 대해 대응 인력, 프로세스 및 기술이 제대로 준비되었는지 여부를 확인해야 한다.

이때 고려해야 할 몇 가지 사항이 있다. 먼저, 보안 경보를 확실히 모니터링 및 조사하고 공격자를 사전 예방적으로 추적해 위협을 방지하고 해결할 수 있도록 해야 한다. 또 전체 환경에 엔드포인트 및 네트워크 탐지 기술을 배치하고 모든 계정과 외부 서비스 전반에 걸쳐 다중 인증을 구축한다.

최신 위협 지표를 기반으로 현재뿐 아니라 앞으로의 전방위적인 위협을 포함해 취약점에 대한 경보가 발생되는 것도 중요하다. 소셜 미디어, 블로그, 포럼, 뉴스 사이트 및 채팅 앱에서의 위협, 잘못된 정보 및 허위 정보 캠페인을 모니터링하는 과정도 포함된다. 마지막으로, 관련 국가 기관과 협력해 인텔리전스를 얻고 또 반대로 기여하는 것도 필요하다.

인프라 강화를 위해서는 침해사고 조사(Compromise Assessment)를 실시하고 보안 성능을 검증해 환경의 보안성 및 무결성과 보호가 필요한 주요 데이터를 점검한다. 해당 환경으로 침투할 수 있는 모든 방법을 고려해보고 네트워크에서 외부에 노출된 모든 자산을 기록하고 정기적으로 점검해야 한다.

또 행사가 시작한 뒤에는 팀을 개편하기 쉽지 않기 때문에 적절한 전문 인력 및 경영진이 포함된 위기 대응팀 구축과 커뮤니케이션 채널 확보는 행사 전에 선행돼야 한다. 문제 발생 시 각 팀원이 자신의 역할과 책임을 확실히 이해할 수 있도록 모의 훈련(tabletop exercise)을 진행하고 데이터를 신속하게 복원해 문제없이 행사가 진행될 수 있는 절차를 미리 준비돼 있어야 한다.

위협 예측해 공격자 접근 경로 차단

두 번째는 ‘위협 예측’ 단계이다. 일단 행사가 시작되면 사이버 공격의 위험성은 높아진다. 주최 측은 이 시점에 능동적이고 강화된 방어 모드로 전환해야 한다. 이때 지속적인 보안 성능 검증과 중요 자산 보호를 주요 우선순위로 둔다.

다시 말해 공격자가 접근할 수 있는 경로를 원천적으로 차단하는 것이다. 여기서도 외부에 노출된 모든 자산에 대한 모의 침투 테스트와 더불어, 내부 보안 인력과 기술의 탐지 능력, 예방 및 대응 능력, 실제 공격 기술에 대한 사고 대응팀의 대응 시간 등을 평가하는 것이 핵심이다.

이 단계의 핵심은 실시간 모니터링이다. 조직은 운영, 인텔리전스, 외부 조직 정보 및 커뮤니케이션을 통합하기 위한 상황실을 구축해야 한다. 그 다음, 인텔리전스 데이터와 분석을 지속해서 모니터링, 분석 및 리포팅한다.

더불어 진행 중인 공격 활동에 대한 방어 성능을 지속적으로 검증하고, 주요 시스템에서 이그레스(egress) 통신을 제한하는 것도 중요하다. 궁극적으로는 중요한 자산을 보호하는 데 초점을 맞춰야 하며 주요 인프라와 네트워크 아키텍처를 보호해 행사 시스템에 대한 접근을 제한하거나 위험성을 제거하고 만일의 경우를 대비한 오프라인 백업도 고려할 필요가 있다.

행사 중 지속적인 잠재적 공격 탐지·대응

마지막 단계는 ‘공격 대응’이다. 앞선 두 단계에서 보안 태세 강화를 위한 준비가 됐다면 잠재적 공격에 대응할 준비를 마치고, 행사를 안전하게 진행하며 이 단계를 무사히 지나갈 수 있다. 대규모 글로벌 행사는 진행 기간 동안 국내외 소셜 미디어 및 언론 보도는 대부분 실시간으로 진행된다. 이 때문에 기존 공격자와 새로운 공격자의 TTP(전술, 기법 및 절차)에 대한 광범위한 인텔리전스를 확보한다면 효과적이고 효율적으로 사고에 대응할 수 있다.

효과적인 침해사고 대응은 기술적 조사, 방지 및 복구를 넘어 법률, 규제, 홍보 관점에서 경영진 커뮤니케이션과 위기관리를 포함한다. 이를 위해 잠재적인 공격자의 시선으로 상황을 바라보는 것이 필요하다.

위협에 대한 실제 경험과 확인된 데이터를 활용하지 않고 한쪽의 시선으로 치우쳐 잠재 사고에 대비하면 문제를 절반 밖에 해결할 수 없기 때문이다. 행사 이후에는 성공 사례, 도전 과제 및 권장 사항을 자세히 기록해 유사한 사건으로부터 지속적으로 학습하고 미래에 비슷한 상황을 피하기 위해 가능한 많은 정보를 공유하는 것이 좋다.

오늘날의 사이버 보안은 하나의 조직이 홀로 해결하기에는 거의 불가능하다. 또한, 광범위한 사이버 보안 범위와 필요한 방어 수준을 확보하기 위해 상당하고 지속적인 집중과 투자가 필요하다. 이러한 과제는 대규모 행사에서 더욱 필수적이다.

따라서 사이버상에서의 대규모 행사에 대한 보안은 여러가지 상황을 고려한 신속하고 적응력 높은 사이버 방어 태세를 확보할 수 있어야한다. 앞서 설명한 세 단계에 따라 준비가 된 사이버 전략과 전술을 갖춘 조직이라면, 주최 측뿐만 아니라 참가자, 대중 모두를 위한 안전한 사이버 보안 환경을 구축할 수 있을 것이다.