침해사고 대응에 있어 기업의 CERT(침해사고대응팀, Computer Emergency Response Team)이 공통적으로 저지르는 실수는 과연 무엇일까?

이 질문에 호주 침해사고대응팀에서 교육 및 컨퍼런스 책임자로 활동하고 있는 로버트 로우(Robert Lowe)씨는 “‘준비부족’이 가장 크다”는 답을 내놨다.

그는 한국정보보호진흥원과의 최근 인터뷰에서 관련 질문을 받고 이 같이 대답한 뒤 “많은 기관이나 기업들은 수사를 원활히 진행하기에 충분한 로그 정보나 그밖의 원천 정보들을 보관하지 않았다”며 “사고가 일어난 시점에서 이 같은 정보들이 미비하다면 사고에 대한 대응은 매우 어려워지기 마련”이라고 덧붙였다.

뒤이어 로우씨는 “이런 실수를 하지 않는 동시에 사고발생 때 원활히 대응하기 위해 기업이 필수적으로 준비해야 하는 건 무엇인가”라는 질문에 “실제 사고가 일어났을 때를 대비해 계획이나 절차를 마련해놓고 있어야 한다”고 말했다.

아울러 “침해사고 담당자들은 사고가 일어났을 때 침착함을 갖추고 있어야 한다”며 “만약 그들이 당황하게 된다면 성급하게 잘못된 결론을 내릴 수 있을뿐더러 사고의 본질을 잘못 판단할 수 있고, 또 증거를 훼손하거나 잘못 취급할 수도 있으며, 자신들의 대응이 어떤 영향을 미칠지 생각하지 못해 상황을 악화시킬 수도 있을 것”이라고 대답하기도 했다.

그러면서 “어떻게 사고에 대응할지에 대해 침착하게 객관적인 태도로 생각하고 행동에 옮기는 것은 사고의 피해를 최소화하는 데에 도움을 줄 수 있다”고 강조했다.

이밖에 그는 2009년 전 세계가 관심있게 봐야 할 정보보호 이슈가 무엇이냐는 질문에 악의적인 목적의 소프트웨어인 말웨어를 언급한 다음 “말웨어 이슈는 2009년에도 지속될 것으로 보인다”며 “아이폰 등 모바일 기기가 금융거래 등 점차 다양한 분야에서 활용됨에 따라 말웨어의 활동영역은 더욱 넓어질 것으로 예상된다”고 전망했다.

마지막으로 로우씨는 다양한 공격기법에 효과적으로 대응하기 위해 기업이 해야 할 일은 또 무엇이냐는 물음에 대해서는 “봇넷으로 제어되는 DDoS 공격에 어려움을 겪는 기관들은 위험을 완화시키기 위해 도움을 요청할 필요가 있다”며 “이 경우 ISP에서 도움을 줄 수 있을 것이며, 국가 CERT는 공격에 사용된 봇넷이 어떤 종류인지를 밝혀내는 데 도움을 줄 수 있을 것”이라고 전했다.

[최한성 기자(boan1@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>