[데이터넷] 사이버 보안에서 100% 안전한 것은 없기 때문에 사고 발생 후 빠르게 대응하는 것이 사고 전 선제대응만큼 중요하다. 일반적으로 침해 발견 후 첫 72시간이 가장 중요하며, 침해대응(IR) 전담조직 뿐만 아니라 여러 조직이 사고 여파를 최소화하기 위한 각자의 기능을 숙지하고 있어야 한다.

이를 위해서는 사고 발생 후 대응을 최종 지휘하는 IR 책임자가 있어야 하며, 체계적인 IR 매뉴얼을 만들고 반복적으로 테스트하면서 부족한 부분을 보완하는 것이 필요하다. 더불어 RACI(Responsible, Accountable, Consulted, Informed) 테이블을 만들고 조치를 담당하는 사람과 역할을 분명히 해야 한다.

가트너의 ‘효과적인 인시던트 대응을 위한 4가지 주요 고려 사항’에서는 ▲비즈니스 연속성 목표에 따라 설계된 IR 계획 ▲IR에 대한 책임을 지는 전담 팀(IRT) ▲정기적인 테스트와 업데이트 및 유지관리 ▲직무순환과 경력 인정을 통한 인재 유지 등이 필요하다고 설명했다.

사고대응 훈련 시 법무 및 비즈니스 조직 참여해야

많은 조직이 IR을 사고 발생 후 대응하는 외부 전문조직으로 생각하는데, 이는 IR에 대한 매우 심각한 오해다. 실효적인 IR을 위해서는 자체 IRT를 구성하고 사고 발견 시 즉각 이행할 수 있는 계획을 수립해야 한다. 외부 전문가에게 의뢰해 IR을 수행하는 것도 좋은 방법이지만, 자체 IRT와 함께 수행해야 침해확장을 막고 추가 피해를 차단하면서 비즈니스 연속성을 보장할 수 있다.

보고서에서는 침해 발견 후 대응까지 19일가량 소요된다는 사실을 언급하면서 이 시간을 단축시켜야 한다고 강조했다. IR을 위한 플레이북과 문서를 작성한 후, IR 팀의 모든 사람이 누구에게 연락해 어떤 조치를 취해야 하는지 반드시 숙지하고 있어야 한다고 강조했다.

더불어 IR 준비도 평가를 실시해 부족한 절차를 보완해야 한다는 점도 조언했다. 최소 연 1회 이상 모의훈련을 통해 IR 준비도를 점검하고 IR 멤버와 역할을 파악해야 한다. 인시던트가 발생했을 때 누가 어떤 것에 대한 의사결정을 해야 하는지, 어떤 작업을 맡아야 하는 팀이나 전담인력은 누구인지 분명하게 알 수 있어야 한다. 가트너 조사에 따르면 40%의 조직이 이러한 계획이 없기 때문에 사고시 제대로 대응하지 못하는 것으로 나타났다.

사고대응 훈련을 할 때, 보안조직 뿐만 아니라 IT, 법무 및 규제준수 조직, 기타 비즈니스 이해관계자도 반드시 참여해야 하며, 이러한 테스트가 현실에서 사용될 수 있도록 만들어야 한다. 레드팀 연습을 포함한 포괄적인 사이버 보안 검증을 통해 실제 사고 시 IR 단계로 즉시 전환될 수 있도록 해야 한다.

보안팀·보안 전문가에 과도한 업무 몰리지 않게 해야

가장 중요한 ‘사람’에 대해서도 보고서는 언급했다. 보안관리자는 늘 과도한 스트레스를 받고 있는 조직이므로 업무 부담을 높이는 방향으로 IR 계획을 세워서는 안 된다. 보고서는 “IR이 결승선을 알 수 없는 경주”라고 설명하면서 IRT는 야간, 주말근무로 이어질 수 있기 때문에 충분한 휴식과 보상을 보장해야 한다고 설명했다. 더불어 외부 IR 서비스를 받고 있을 때에도 서비스 조직의 전문가에게 현실적이지 않은 SLA를 강요하지 말 것을 당부했다.

IR 담당자가 과로에 시달리면 인시던트의 중요성을 간과하기 쉬우며, 탐지된 위협도 숨기려하는 경향을 보이게 된다. 따라서 특정인이나 특정 조직에게 업무가 과도하게 몰리지 않도록 적당히 분산시키는 것이 필수라고 보고서는 강조했다.

김선애 기자 다른기사 보기