[샌프란시스코=데일리시큐] “사고 위협을 찾아 냈을 때 희열은 크다. 하지만 사고대응은 보안담당자에게 상당한 스트레스를 준다. 사고 현장에 머물면서 가족과도 만날 수 없어 그 스트레스는 몇 주 동안 계속될 수 있다. 여기저기서 걸려오는 전화와 수많은 로그 분석으로 피곤함이 몰려온다. 조직은 이들에 대한 건강 및 복지 그리고 사고대응 일원이 몸이 아파 대응 업무를 할 수 없을 경우 등에 대한 계획도 세워야 한다. 그리고 사고 당시에 배운 것과 시간을 두고 배울 수 있는 것에는 차이가 있다. 무엇을 잘못했는지 파악하고 같은 사고가 발생하지 않도록 대비하는 것이 중요하다.”
RSAC 2023에서 4명의 여성 패널이 참가해 ‘사고 대응과 위협 인텔리전스에 대한 리얼 스토리’ 토론이 열려 참관했다. 참가 패널은 와이어드 매거진 릴리 헤이 뉴만 시니어 라이터, 드라고스 보안책임자 리즐리 카하트, 레드 카나리 디렉터 카티 니켈스, 팔로알토 네트웍스 웬디 위트모 부사장 등이 참석했다.
이들은 사고 대응 담당자와 위협 정보 분석가는 네트워크 제어를 위해 공격자와 직접적으로 기술을 겨뤄야 하는 업무를 맡고 있다. 토론자들은 인시던트 대응 및 위협 인텔리전스 업계의 주요 인사들로 지난 12개월 동안 인시던트에 대한 대응 경험을 공유하는 시간을 가져 관심을 끌었다.
침해사고 대응인력의 피로도 개선과 사고에 대한 장기적 분석
이들의 대화를 정리하면, 침해사고를 찾아 냈을 때 큰 보람을 느낀다. 하지만 막상 사고가 발생해 대응하고 분석할 때는 엄청난 스트레스를 받게 된다. 대응 직원들이 아프지 않도록 신경을 써야 하고 사고 대응시 과거, 현재, 미래 시점에서 분석한 내용으로 재발방지 대책을 세워야 한다는 내용이었다.
그리고 사고를 분석할 때, 단순한 조사가 아닌, 마치 사고 현장을 수사관들이 검사하는 것 처럼 모든 것을 분석하고 추적해 전체적인 사고 시나리오를 확보해야 한다는 것이다. 즉 침해사고에 대한 장기적인 분석이 중요하다고 강조했다.
침해사고의 문서화와 공유의 중요성
특히 사고 직후 조사 데이터와 함께 4개월 뒤 다시 조사해 보면 다른 것을 찾아 낼 수 있기 때문에 그 연관 관계를 찾아내고 종합된 내용을 문서화 해놓아야 한다고 말했다.
최근 랜섬웨어 공격자들은 랜섬머니를 주지 않으면 훔친 데이터를 다크웹에 올린다고 협박을 한다. 이때 공격자에 대한 공격 방법 등이 문서화되어 있다면 다음 공격을 대비할 수 있다.
대부분의 랜섬웨어 공격자들은 더 많은 데이터를 탈취하기 위해 다시 공격을 감행한다. 또 다른 조직을 대상으로 같은 방법에 의해 공격을 진행할 수도 있다. 이때 공격자 분석 내용이 문서화되어 있고 공유된다면 재발을 방지할 수 있다. 어떤 조직이든 공격을 받았다면 그것을 문서화해 공격자들의 TTP를 공유하려고 해야 한다. 위협에 대한 공유는 정부와 민간, 기업과 기업 등 모든 부분에서 활발하게 이루어져야 한다. 러시아-우크라이나 전쟁을 보더라도 각 두 나라는 정부와 민간이 총력을 다해 위협 정보를 공유하고 있다. 이것이 곧 전쟁의 승패를 가를 수 있다는 것을 알고 있기 때문이다.
사고에 대한 인사이트를 숨길 것이 아니라 장기적으로 분석한 내용을 문서화하고 다른 조직과 공유하는 것이 무엇보다 중요하다는 것이다. 그래야 유사한 공격을 예방하는데 있어 서로에게 도움이 될 수있기 때문이다.
클라우드의 잘못된 구성이 가져올 위협
한편 클라우드를 잘못 구성했을 때 위험성도 강조했다. 모두가 클라우드를 도입하고 있는 시점에 와 있지만, 실제로 클라우드 환경을 제대로 구성하지 못하는 경우가 많다. 특히 기본 사항을 올바르게 설정하고 추측하기 어려운 암호 및 투팩터인증 요소를 반드시 갖춰야 한다. 매우 위험한 환경이 개방형으로 운영되고 있는 상황이다.
많은 기업들이 수십억 달러를 들여 보안솔루션을 도입하고 있지만 정작 클라우드 환경을 잘못 구축하는 경우가 많다는 지적이었다. 이를 과소평가한다면 엄청난 위협에 직면하게 될 것이다.
모든 패널들은 위협 정보와 사건 사고 정보를 장기적으로 분석해서 인사이트를 문서화하고 이를 정부와 민간, 기업과 기업들이 적극적으로 공유할 것을 권고하고 있다. 분석은 경쟁적으로 하지만 인사이트에 대한 공유는 활발히 해야 대응할 수 있다는 것을 강조했다. 그러기 위해서는 공유 시스템이 원활하게 작동할 수 있는 공유센터들이 만들어져야 한다고 조언했다.
★정보보안 대표 미디어 데일리시큐!