가장 중요한 침해대응 ‘사고원인 분석 53.5%’…DFIR 중요성 인식
[데이터넷] 국내 기업·기관의 29.5%가 침해사고 대응·조사 전담인력이 없으며, 1~2명의 소수 인력으로 운영되는 것도 14.8%에 이르는 것으로 조사됐다.
플레인비트가 지난달 진행한 ‘2023 하반기 침해사고 정보 공유 세미나’ 참가자 250여명을 대상으로 실시한 설문조사에서 참가자들은 이 같이 답했으며, 침해사고 대응 역량을 높이기 위해 가장 필요한 요소로 ‘기업의 침해사고 예산과 인력 확보(41.2%)’, ‘경영진의 보안인식 개선(33.3%)’을 들었다.
플레인비트는 이 조사 결과를 분석하면서 “대부분의 기업 내 침해사고를 대응하고 조사할 수 있는 인력이 터무니없이 부족하다. 이는 기업의 사이버 보안 위협에 대한 인식 부족으로 대응을 위한 자원 확보 필요성을 느끼지 못하기 때문이다. 침해사고를 예방하는 것보다는 사고가 발생한 후에 심각성을 인지하고 현상만 대응하려는 추세가 있어 이에 대한 인식을 제고하고 개선하는 노력이 필요하다”고 설명했다.
한편 침해사고 대응·조사 시 신뢰할 수 있는 파트너와 협력할 때 협력의 범위와 방법에 대해 32.2%는 ‘전반적인 침해사고 대응 활동’, 30.9%는 ‘사고 원인 분석’을 들었으며, ‘다크웹 등 회사 정보 노출 여부(13.9%)’, ‘재발방지 대책 마련(12.2%)’, ‘침해위협 진단(10.8%)’를 들었다.
침해 현상 조치에서 DFIR로 개선
이 조사에서 침해사고 대응 활동에서 가장 중요한 부분을 묻는 질문에 53.5%가 ‘사고원인 분석’을 꼽았으며, 23%는 재발방지 대책 마련, 14.9%는 피해현황 식별을 들었다. 과거에는 침해 현상을 조치하는데에만 중점을 두었는데, 이제는 포렌식 기술을 활용해 침해사고 원인을 규명하고 대응하는 디지털 포렌식과 사고 대응(DFIR)에 중점을 두고 있다는 점에서 침해대응에 대한 상당한 인식 개선이 있었던 것으로 보인다.
침해사고 위협을 줄이기 위해 조직에서 가장 우선적으로 개선해야 할 점에 대해 30.1%가 구성원의 보안인식 개선, 23.4%는 보안정책 및관리 개선을 들어 절반 이상이 정책과 교육, 관리 개선에 중점을 두는 것으로 보인다. 침해탐지 기술과 관련된 답은 ‘상시적인 호스트 모니터링(23%)’, ‘네트워크 위협 탐지의 고도화(17.8%)’, ‘공급망 보안 강화(5.7%)’ 순이었다.
보고서는 “침해사고 대응을 위한 보안 솔루션이 있어도, 내부자의 실수로 침해사고 위협에 노출되는 경우가 종종 발생한다. 이는 아무리 좋은 보안 솔루션이더라도 구성원의 보안 인식 개선이 필수적으로 수행되어야 보안에 더 강화할 수 있음을 의미한다”고 설명했다.
랜섬웨어 시 해커와 협상 불가 76%
최근 가장 심각한 침해사고 위협으로 42.6%가 랜섬웨어를 들었으며, 23.8%가 개인정보 유출, 22%가 기밀정보 유출을 들었다. 랜섬웨어 시 ‘해커와 협상은 절대 불가하다’는 답이 76%에 달했다. 만일 비용 협상을 해야 한다면, 그 기준은 ‘암호화된 데이터의 가치(79.1%)’가 압도적인 우위를 차지했으며, ‘회사의 영업이익(11.7%)’, ‘회사 매출액(9.2%)’ 순이었다.
플레인비트는 이 조사 결과를 설명하면서 해커에게 돈을 주고 협상을 했다 해도 데이터를 복구할 수 없거나 공격자의 미끼로 인해 2차 감염이 되는 경우도 있으므로, 중요 데이터 손실을 낮출 수 있는 백업 체계를 갖출 것을 권고했다.
보안 솔루션 중 침해사고 대응에 가장 효과적인 것으로 EDR이 50.2%로 절반을 차지해 주목된다. 보고서는 EDR이 침해사고 대응 인력 부족으로 인해 자동으로 탐지·대응하는 솔루션에 대한 관심이 높다고 분석했다.
김진국 플레인비트 대표는 “국내외를 대상으로 고도화된 사이버 침해사고가 꾸준히 증가하는 만큼 정부와 기업들의 사이버 보안 인식 제고가 요구되고 있다”며 “사이버 보안 사각지대에 위치한 중소기업과 개인의 정보보호 역량을 강화할 수 있는 방안 마련이 시급하다”고 전했다.
