인시던트 대응 정의
인시던트 대응을 정의하기 전에 먼저 인시던트를 명확히 정의해야 합니다. IT 분야에는 때로 서로 바꿔 사용되지만, 서로 다른 것을 의미하는 다음과 같은 세 가지 용어가 있습니다.
- 이벤트는 파일 만들기, 폴더 삭제 또는 전자 메일 열기와 같이 자주 발생하는 무해한 작업입니다. 일반적으로 이벤트 단독으로는 침해를 나타내는 것이 아니지만, 다른 이벤트와 함께 나타난 경우 위협을 나타낼 수 있습니다.
- 경고는 이벤트에 의해 트리거되는, 위협일 수도 있고 위협이 아닐 수도 있는 알림입니다.
- 인시던트는 사람 또는 자동화 도구가 진짜 위협이라고 여길 가능성이 큰 상호 관련된 경고 그룹입니다. 각 경고는 단독으로는 주요 위협이 아닌 것처럼 보일 수 있지만, 결합되면 가능한 침해를 나타냅니다.
인시던트 대응은 조직에서 IT 시스템 또는 데이터가 침해되었을 수 있다고 생각하는 경우 취하는 조치입니다. 예를 들어 보안 전문가는 권한 없는 사용자, 맬웨어 또는 보안 조치 실패의 증거를 발견하는 경우 조치를 취합니다.
대응 목표는 가능한 한 빨리 사이버 공격을 제거하고 복구하며 현지 법률에서 요구하는 경우 고객 또는 정부 기관에 알리고 앞으로 유사한 침해의 위험을 줄이는 방법을 알아보는 것입니다.
인시던트 대응 작동 방식
인시던트 대응은 일반적으로 보안 팀이 SIEM(보안 정보 및 이벤트 관리) 시스템에서 신뢰할 수 있는 경고를 받으면 시작됩니다.
팀 구성원은 이벤트가 인시던트로 인정되는지 확인한 후 감염된 시스템을 격리하고 위협을 제거해야 합니다. 인시던트가 심각하거나 해결하는 데 시간이 오래 걸리는 경우 조직은 데이터를 복원/백업하고 랜섬을 처리하거나 고객에게 데이터가 손상되었다고 알려야 할 수 있습니다.
이러한 이유로 일반적으로 사이버 보안 팀이 아닌 사람들이 대응에 관여합니다. 개인 정보 보호 전문가, 변호사, 비즈니스 의사 결정자가 인시던트와 그 여파에 대한 조직의 접근 방식 결정에 도움을 제공합니다.
보안 인시던트 유형
공격자가 회사의 데이터에 액세스하거나 해당 시스템 및 비즈니스 운영에 다른 방식으로 손상을 입히기 위해 시도하는 여러 방법이 있습니다. 가장 일반적은 몇 가지 방법은 다음과 같습니다.
-
피싱
피싱은 공격자가 전자 메일, 문자 또는 전화 통화를 이용하여 평판 좋은 브랜드나 사람을 가장하는 소셜 엔지니어링의 한 유형입니다. 일반적인 피싱 공격에서는 받는 사람이 맬웨어를 다운로드하거나 암호를 제공하도록 설득하려고 시도합니다. 이러한 공격에서는 사람들의 신뢰를 악용하고 공포와 같은 심리적 기법을 효율적으로 이용하여 사람들이 행동하도록 합니다. 이러한 공격의 상당수는 대상이 없으며 수천 명의 사람 중 반응하는 사람이 한 사람이라도 있기를 바라는 마음으로 저지릅니다. 그러나 스피어 피싱이라는 더 정교한 버전에서는 깊이 있는 연구를 통해 한 명의 개인을 대상으로 하는 설득력 있는 메시지를 고안해 냅니다. -
맬웨어
맬웨어란 컴퓨터 시스템을 손상시키거나 데이터를 반출하도록 디자인된 모든 소프트웨어를 말하며, 바이러스, 랜섬웨어, 스파이웨어, 트로이 목마 등 그 형태는 다양합니다. 공격자는 하드웨어 및 소프트웨어 취약성을 이용하거나 소셜 엔지니어링 기법을 통해 직원이 행동하도록 설득함으로써 맬웨어를 설치합니다.
-
랜섬웨어
랜섬웨어 공격에서 공격자는 맬웨어를 사용하여 중요한 데이터 및 시스템을 암호화한 후 피해자가 랜섬을 지급하지 않으면 데이터를 공개하거나 폐기할 것이라고 위협합니다. -
서비스 거부
DDoS 공격(분산형 서비스 거부 공격)에서 위협 행위자는 네트워크나 시스템이 느려지거나 작동이 중단될 때까지 네트워크 또는 시스템에 과도한 트래픽을 발생시킵니다. 일반적으로 공격자는 많은 시간을 소비하도록 하고 큰 비용을 발생시킬 목표로 은행 또는 정부와 같은 유명 회사를 대상으로 하지만, 모든 규모의 조직이 이 공격 유형의 피해자가 될 수 있습니다.
-
중간자(man-in-the-middle) 공격
사이버 범죄자가 개인 데이터를 훔치기 위해 사용하는 또 다른 방법은 서로 비공개로 커뮤니케이션하고 있다고 믿는 두 사람 간의 온라인 대화 중간에 자신을 집어넣는 것입니다. 의도된 받는 사람에게 보내기 전에 메시지를 가로채고 복사하거나 변경하여 참가자 중 한 명이 자신에게 중요한 데이터를 제공하도록 조종하려고 시도합니다.
-
내부자 위협
대부분 공격은 조직 외부의 사람에 의해 수행되지만, 보안 팀은 내부자 위협도 경계해야 합니다. 제한된 리소스에 대해 합법적으로 액세스 권한을 보유한 직원과 기타 사람이 의도치 않게 또는 경우에 따라 의도적으로 중요한 데이터를 누출할 수 있습니다.
-
무단 액세스
많은 보안 위반은 도난당한 계정 자격 증명에서 시작됩니다. 공격자가 피싱 캠페인을 통해 암호를 획득하든 또는 일반적인 암호를 추측하여 암호를 획득하든 관계없이, 일단 시스템에 대한 액세스 권한을 얻고 나면 맬웨어를 설치하거나, 네트워크 정찰을 수행하거나, 더 중요한 시스템 및 데이터에 액세스할 수 있도록 권한을 에스컬레이션할 수 있습니다.
인시던트 대응 계획이란?
인시던트에 대응하려면 팀이 효율적이고 효과적으로 협력하여 위협을 제거하고 규정 요구 사항을 충족해야 합니다. 이렇게 스트레스가 심한 상황에서는 쉽게 당황하여 실수하곤 합니다. 많은 회사에서 인시던트 대응 계획을 개발하는 이유입니다. 이 계획은 역할과 책임을 정의하고 인시던트를 적절하게 해결하고 문서화하며 관련해서 커뮤니케이션하는 데 필요한 단계를 포함합니다.
인시던트 대응 계획의 중요성
심각한 공격은 조직의 운영에 피해를 줄 뿐만 아니라 고객과 커뮤니티에서 비즈니스의 평판에도 영향을 주고 법적 영향도 줄 수 있습니다. 보안 팀이 공격에 얼마나 빨리 대응하는지와 경영진이 인시던트에 관해 커뮤니케이션하는 방법을 포함한 모든 사항이 전체 비용에 영향을 미칩니다.
고객 및 정부로부터 피해를 숨기는 회사 또는 위협을 매우 심각하게 여기지 않는 사람은 규정에 위배될 수 있습니다. 참가자가 계획이 없는 경우 이러한 유형의 실수는 더 일반적입니다. 조직에 피해가 발생하는 상황에 처한 공포로 인해 사람들이 충동적으로 경솔한 결정을 내릴 위험이 있습니다.
면밀한 계획이 있으면 사람들이 공격의 각 단계에서 해야 할 일을 알게 되므로 즉시 해야 할 일을 결정할 필요가 없습니다. 또한 복구 후 대중이 궁금해하는 사항이 있는 경우 조직은 어떤 식으로 대응했는지 정확히 보여 줄 수 있으며, 인시던트가 심각하게 여겨졌고 더 나쁜 결과를 방지하는 데 필요한 단계가 구현되었다는 사실로 고객을 안심시킬 수 있습니다.
인시던트 대응 단계
인시던트 대응에 접근하는 방법은 두 가지 이상이 있으며 많은 조직에서는 보안 표준 기구를 활용하여 접근 방식을 마련합니다. SANS(SysAdmin Audit Network Security)는 아래에 간략하게 설명된 6단계 대응 프레임워크를 제공하는 민간 조직입니다. 또한 많은 조직에서는 NIST(National Institute of Standards and Technology) 인시던트 복구 프레임워크를 채택합니다.
- 준비 - 인시던트가 발생하기 전에 취약성을 줄이고 보안 정책 및 절차를 정의하는 것이 중요합니다. 준비 단계에서 조직은 위험 평가를 수행하여 약점이 있는 곳을 확인하고 자산의 우선 순위를 지정합니다. 이 단계에는 위험을 줄이기 위한 보안 절차 작성 및 구체화, 역할 및 책임 정의, 시스템 업데이트가 포함됩니다. 대부분 조직은 경험을 통해 알게 된 유용한 사실이 있거나 기술이 변화함에 따라 정기적으로 이 단계를 다시 논의하고 정책, 절차, 시스템을 개선합니다.
- 위협 식별 - 어느 날이든 보안 팀은 의심스러운 활동을 나타내는 수천 개의 경고를 받을 수 있습니다. 이러한 경고 중 일부는 가양성이거나 인시던트 수준으로 올라가지 않을 수 있습니다. 인시던트가 식별되면 보안 팀은 침해의 특성을 자세히 살펴보고 침해의 소스, 공격 유형, 공격자 목표 등 발견한 사실을 문서화합니다. 또한 이 단계에서 보안 팀은 관련자들에게 알려야 하며 다음 단계에 관해 커뮤니케이션해야 합니다.
- 위협 통제 - 다음으로 가장 중요한 일은 가능한 한 빨리 위협을 통제하는 것입니다. 공격자에게 액세스가 허용되는 시간이 길어질수록 공격자가 입힐 수 있는 피해도 커집니다. 보안 팀은 공격을 받는 애플리케이션 또는 시스템을 나머지 네트워크로부터 빠르게 격리합니다. 그러면 공격자가 비즈니스의 다른 부분에 액세스하지 못하게 하는 데 도움이 됩니다.
- 위협 제거 - 통제가 완료되고 난 후 보안 팀은 감염된 시스템 및 리소스로부터 공격자와 모든 맬웨어를 제거합니다. 이 과정 중에 시스템을 오프라인 상태로 전환하는 일이 수반될 수 있습니다. 또한 보안 팀에서는 계속해서 관련자들에게 진행 상황을 알립니다.
- 복구 및 복원 - 인시던트에서 복구하는 데는 몇 시간이 걸릴 수 있습니다. 위협이 사라진 후 보안 팀은 시스템을 복원하고 백업에서 데이터를 복구하고 영향을 받은 영역을 모니터링하여 공격자가 돌아오지 않았는지 확인합니다.
- 피드백 및 구체화 - 인시던트가 해결되면 보안 팀은 발생한 일을 검토하고 프로세스에 적용할 수 있는 개선 사항을 식별합니다. 이 단계에서 알게 된 내용은 보안 팀이 조직의 방어 상태를 향상하는 데 도움이 됩니다.
인시던트 대응 팀이란?
인시던트 대응 팀(CSIRT(컴퓨터 보안 인시던트 대응 팀) 또는 CIRT(사이버 인시던트 대응 팀)라고도 함)은 조직에서 인시던트 대응 계획 실행을 담당하는 사람들로 구성된 부서간 그룹을 포함합니다. 여기에는 위협을 제거하는 사람뿐만 아니라 인시던트와 관련한 비즈니스 또는 법적 의사 결정을 내리는 사람도 포함됩니다. 일반적인 팀은 다음과 같은 멤버로 구성됩니다.
인시던트 대응 관리자(대개 IT 책임자)는 대응의 모든 단계를 관리하고 계속해서 내부 관련자들에게 진행 상황을 알립니다.
보안 분석가는 인시던트를 연구하여 발생하고 있는 상황을 파악하려고 합니다. 또한 발견한 사실을 문서화하고 포렌식 증거를 수집합니다.
위협 연구원들은 조직 외부로 눈을 돌려 추가 컨텍스트를 제공하는 인텔리전스를 수집합니다.
최고 정보 보안 책임자 또는 최고 정보 책임자와 같은 경영진의 누군가는 지침을 제공하고 다른 경영진에 대한 연락 담당자 역할을 합니다.
인사 관리 전문가는 내부자 위협을 관리하는 데 도움을 제공합니다.
자문위원은 인시던트 대응 팀이 법적 책임 문제를 처리하는 데 도움을 제공하고 포렌식 증거가 수집되었는지 확인합니다.
- 홍보 전문가는 미디어, 고객, 기타 관련자들에 대한 정확한 외부 커뮤니케이션을 조정합니다.
인시던트 대응 팀은 인시던트 대응 너머의 보안 운영을 처리하는 SOC(보안 운영 센터)의 일부일 수 있습니다.
인시던트 대응 자동화
대부분 조직에서 네트워크 및 보안 솔루션은 인시던트 대응 팀이 현실적으로 관리할 수 있는 것보다 훨씬 더 많은 보안 경고를 생성합니다. 대응이 필요한 위협에 집중할 수 있도록 많은 기업에서는 인시던트 대응 자동화를 구현합니다. 자동화에서는 AI 및 기계 학습을 사용하여 프로그래매틱 스크립트를 기반으로 대응 플레이북을 실행함으로써 경고를 심사하고 인시던트를 식별하며 위협을 근절시킵니다.
SOAR(보안 오케스트레이션 자동화 및 대응)은 기업에서 인시던트 대응을 자동화하는 데 사용하는 보안 도구 범주입니다. 이 솔루션은 다음과 같은 기능을 제공합니다.
여러 엔드포인트 및 보안 솔루션에 걸쳐 데이터의 상관 관계를 지정하여 인시던트를 식별함으로써 사람이 추가 작업을 수행할 수 있도록 합니다.
미리 스크립팅된 플레이북을 실행하여 알려진 인시던트 유형을 격리하고 처리합니다.
분석에 사용할 수 있는 작업, 의사 결정, 포렌식 증거를 포함하는 조사 타임라인을 생성합니다.
사람이 수행하는 분석을 위해 관련 있는 외부 인텔리전스를 도입합니다.
인시던트 대응 계획을 구현하는 방법
인시던트 대응 계획을 개발하기란 어려워 보일 수 있지만, 개발하면 심각한 인시던트 중에 비즈니스가 대비가 안 된 상태가 되는 위험을 크게 줄일 수 있습니다. 시작하는 방법은 다음과 같습니다.
-
자산 식별 및 우선 순위 지정
인시던트 대응 계획의 첫 단계는 보호할 대상을 아는 것입니다. 조직의 중요한 데이터가 있는 위치 및 해당 데이터가 비즈니스에 가지는 중요도를 포함하여 조직의 중요한 데이터를 문서화합니다.
-
잠재적인 위험 확인
조직마다 위험이 다릅니다. 조직의 가장 큰 취약성을 숙지하고 공격자가 해당 취약성을 악용할 수 있는 방법을 평가합니다.
-
대응 절차 개발
스트레스가 많은 인시던트가 발생한 상황에서 명확한 절차는 인시던트를 빨리 효과적으로 해결하는 데 크게 도움이 됩니다. 먼저 인시던트로 인정되는 사항을 정의한 후 팀이 인시던트를 탐지하고 격리하고 인시던트로부터 복구하기 위해 취해야 하는 단계를 확인합니다(의사 결정을 문서화하고 증거를 수집하기 위한 절차 포함).
-
인시던트 대응 팀 만들기
인시던트가 있는 경우 대응 절차 파악 및 동원을 담당하는 부서간 팀을 만듭니다. 역할을 명확하게 정의하고 커뮤니케이션 및 법적 책임과 관련된 의사 결정을 내리는 데 도움을 줄 수 있는, 기술과 관련되지 않은 역할을 고려해야 합니다. 회사의 가장 높은 수준에서 인시던트 대응 팀과 인시던트 대응 팀의 요구 사항을 지지할 경영진의 누군가를 포함합니다.
-
커뮤니케이션 계획 정의
커뮤니케이션 계획은 조직의 내부 및 외부의 다른 사람들에게 발생하고 있는 일을 알릴 시기와 방법을 정하는 과정에서 추측을 제거합니다. 다양한 시나리오를 심사숙고하면 경영진, 전체 조직, 고객, 미디어 또는 기타 외부 관련자들에게 알려야 할 상황을 결정하는 데 도움이 됩니다.
-
직원 교육
공격자는 조직의 모든 수준에 있는 직원들을 대상으로 합니다. 그렇기 때문에 모든 사람이 대응 계획을 이해하고 공격의 피해자가 된 것으로 의심되는 경우 해야 할 일을 알아야 합니다. 피싱 전자 메일을 인식할 수 있는지 확인하고 실수로 잘못된 링크를 클릭하거나 감염된 첨부 파일을 연 경우 인시던트 대응 팀에 쉽게 알릴 수 있도록 직원들을 주기적으로 테스트합니다.
인시던트 대응 솔루션
심각한 인시던트에 대비하는 것은 위협으로부터 조직을 보호하는 데 중요한 부분입니다. 내부 인시던트 대응 팀을 설정하면 공격자에 의해 피해를 입더라도 대비가 된 상태임을 확신할 수 있습니다.
자동화를 사용하여 인시던트를 식별하고 인시던트에 자동으로 대응하는 데 도움을 주는 Microsoft Sentinel과 같은 SIEM 및 SOAR 솔루션을 활용하세요. 리소스가 적은 조직은 인시던트 대응의 여러 단계를 처리할 수 있는 서비스 공급자를 통해 팀을 보강할 수 있습니다. 그러나 인시던트 대응을 내부적으로 충원하든 또는 외부적으로 충원하든 관계없이 계획이 마련되어 있어야 합니다.
자주 묻는 질문
-
인시던트 대응은 보안 위반이 의심되는 경우 조직이 수행하는 모든 활동입니다. 목표는 가능한 한 빨리 공격자를 격리하고 근절시키며 데이터 개인 정보 보호 규정을 준수하고 조직에 대한 피해를 가능한 한 줄여 안전하게 복구하는 것입니다.
-
부서간 팀이 인시던트 대응을 담당합니다. IT는 일반적으로 위협 식별 및 격리와 위협으로부터 복구를 담당하지만, 인시던트 대응에는 공격자를 찾아 제거하는 것 이상의 일이 수반됩니다. 공격 유형에 따라 누군가는 랜섬을 처리하는 방법과 같은 비즈니스 의사 결정을 내려야 할 수 있습니다. 변호사 및 홍보 전문가는 조직이 데이터 개인 정보 보호법을 준수하는 데 도움을 줍니다(고객과 정부에 대한 적절한 알림 포함). 직원이 위협을 자행한 경우 인사 관리 팀에서 적절한 조치에 관해 조언합니다.
-
CSIRT는 인시던트 대응 팀의 또 다른 이름입니다. 여기에는 위협 탐지, 격리 및 제거, 복구, 내부 및 외부 커뮤니케이션, 문서화, 포렌식 분석 등 인시던트 대응의 모든 측면 관리를 담당하는 사람들로 구성된 부서간 팀이 포함됩니다.
-
-
인시던트 대응 수명 주기에는 다음과 같은 6단계가 포함됩니다.
- 준비는 인시던트가 식별되기 전에 이루어지며 조직에서 인시던트로 간주하는 것의 정의와 공격을 방지, 탐지, 제거하고 공격으로부터 복구하는 데 필요한 모든 정책과 절차를 포함합니다.
- 위협 식별은 분석가와 자동화를 모두 사용하여 이벤트가 해결되어야 하는 실제 위협인지 식별하는 프로세스입니다.
- 위협 통제는 팀이 위협을 격리하고 비즈니스의 다른 영역을 감염시키지 못하도록 하기 위해 취하는 조치입니다.
- 위협 제거에는 조직에서 맬웨어와 공격자를 제거하는 단계가 포함됩니다.
- 복구 및 복원에는 시스템과 컴퓨터를 다시 시작하는 작업과 손실된 모든 데이터를 복원하는 작업이 포함됩니다.
- 피드백 및 구체화는 팀이 인시던트로부터 유용한 사실을 알아내고 이렇게 알게 된 사실을 정책 및 절차에 적용하는 프로세스입니다.
Microsoft 팔로우