• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

지금 유출사고가 발생한다면 대처할 수 있을까? 2015.07.31

빠른 행동은 반드시 훈련 거친 계획이 있어야만 가능

아무리 일을 잘 처리해도 변화 없는 배움은 말짱 도루묵


[보안뉴스 문가용] 지금 당신 기업의 소중한 정보가 유출된 사실을 알아차렸다면 대처할 수 있는가? 이런 경우 행동이 빨라야 한다. 이런 사건이 있을 때 경찰에 신고를 한다든가, 경보를 울린다든가 하는, 지켜야 하는 규칙들이나 정책이 마련되어 있다면 그걸 우선 따라야 한다. 최근 포네몬에서 발간한 보고서에 따르면 지난 1년 동안 데이터 유출 사고시 1초 동안 발생하는 평균 비용이 12% 증가했다고 한다. 즉 빠르면 빠르게 유출 범위를 줄일수록 금전적인 손해를 줄일 수 있다는 것이다.

 


행동이 빠르다는 건 계획이 잘 세워져 있다는 말이다. 정보 유출이 발생했을 때의 계획이란 어떤 내용을 담고 있어야 할까? 구체적이고 깔끔하고 직관적이어야 한다는 건 당연하고, 무엇보다 ‘연습되어’ 있어야 한다. 민방위훈련처럼 말이다. 계획은 종이 위에 있을 때 아무런 도움이 되지 않는다. 몸에 배어 있어야 한다. 물론 사건마다 심각도가 다르고 그 정도에 따라 다른 대처를 보여주어야 하지만 그래도 ‘평균치’라는 건 존재하기 마련이다. 그건 다음과 같다.


상황 진단

일단 앞서 말했다시피 유출 사태의 심각성을 정확하게 진단해야 한다. 기업용 기기가 도난당했나? 서버가 해킹 당했나? 디도스 공격이 있었나? 그런 눈에 보이는 사태를 먼저 확인하고 나면 대강이라도 위협의 종류에 대해서는 예상이 가능해진다. 그렇다면 그에 맞게 대처법을 만들어야 한다. 예를 들어 랩탑이 도난당한 경우라면 원격 삭제 기능 비슷한 걸 발동시켜 그 안에 든 자료를 강제로라도 지워버린다거나, 트래킹을 한다거나, 최소 사내 네트워크에서 그 기기를 말소시켜야 한다. 이런 정도의 절차까지는 자동으로 처리할 수 있다.


역할 배분

실제로 각자가 할 일을 정하는 부분이다. 누군가는 법적인 절차나 숙지해야 할 사항을 파악하고 누군가는 기술적으로 유출을 제한시켜야 한다. 누군가는 둘 사이에서 커뮤니케이션을 담당해야 하고, 누군가는 대외 홍보나 언론 홍보를 담당해야 한다. 누군가는 고객이나 다른 관계자들에게 보고의 임무를 맡아야 할 수도 있다.


분석 및 수사과정의 문서화

모든 일의 핵심은 문서다. 문서화의 핵심은 사실의 장악이고 말이다. 어떤 종류의 데이터가 유출된 것인지에 따라 다르긴 하지만 현장에 참여하고 있는 관계자가 아니라면 큰 그림을 알고 싶어 하는 게 보통일 것이다. 그리고 큰 그림을 그리려면 증거는 확실히 수집해서 저장해놔야 한다. 비단 증거수집 목적이 아니더라도 추후에 비슷한 사고가 일어나는 걸 보다 확실하게 예방할 수 있는 힘이 바로 이 문서화에서 나온다. 그리고 마치 계획이란 게 실천을 통해 구현되듯이 문서화는 여러 사람이 읽었을 때 가치가 생긴다. 즉 문서화를 마치면 사업 파트너, 고객, 써드파티 등 관계자들에게 모두 보내 수사 진행 상황에 대해 알려준다거나 큰 그림을 그릴 수 있게 해주는 것이 중요하다.


취했던 행동들을 되돌아보라

위협을 알아냈고, 그래서 유출을 어느 정도 확산방지 시켰고, 분석까지 마쳤다면 그 일련의 과정들을 시스템화하여 안착시킬 수 있다(물론 안전하다고 판단되는 시점에). 그리고 이때야 말로 그간 취했던 행동들을 돌아보고 뭘 잘 했는가, 뭘 잘못 했는가 똑바로 판단해야 할 때다. 계획이나 정책도 실제 움직여보니 어떤 건 무용지물이더라 혹은 어떤 건 바르더라 판단해 고치거나 보강할 수 있어야 한다. 그래야 미래가 보다 더 안전하게 된다.


배울 건 모두 배우라

한 차례 바쁜 게 지나갔다고 해서 일이 다 끝난 게 아니다. 위협이란 건 한번 오고 마는 게 아니기 때문이다. 위협은 계속해서 넷을 타고 움직이며 흐르고 변한다. 마치 당신 사업체가 그러하듯 말이다. 배운다는 건 변화를 반드시 수반하기 마련이다. 위협이 계속 변하는 건 해커들이나 사기꾼들, 공격자들이 자신들을 막아내는 기술들을 공부하고 배운다는 뜻이다. 그렇다면 우리도 그래야 한다. 잘 막고, 잘 문서화해서, 공감대를 잘 이끌어내도 실제로 배워서 변화하지 않으면 말짱 도루묵이다.


글 : 스티븐 트레글리아(Stephen Treglia)

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>