디지털 포렌식 대비하는 건, 기업의 지출 줄이는 것과 동일

[보안뉴스 문가용] 디지털 포렌식이란 게 아직도 사건이 일어난 후에 뒤따라 시작하는 경우가 다반사다. 즉 사후대처라는 개념에서 주로 활용되고 있다는 것이다. 일의 순서가 이렇게 될 경우, 포렌식 수사관들에게는 어마어마한 압박이 가해진다. 디지털 포맷이 대부분인 증거 자료가 사라지거나 조작이나 수정 등을 통해 유효성을 잃기 전에 중요한 일을 마쳐야 한다는 것이다. 또한 이렇게 ‘사후대처’의 방식을 취한다는 건 보통 디지털 포렌식은 외부기관에서 진행하는 것이므로 기업들은 보안에 대한 대처가 아직까지도 매우 수동적이라는 걸 뜻한다.

수사가 정말로 능동적으로 변하려면 기업 스스로가 수사에 투자되는 시간, 돈, 그밖에 자원에 관심을 가져야 한다. 그리고 면밀히 관찰해야 한다. 특별할 건 없다. 사업을 진행할 때 비용과 지출 전반을 꼼꼼히 검사하며 이윤을 최대한 높이는 것과 본질은 같다. 포렌식에도 지출이 발생하니 이를 최대한 아낄 방법을 모색하라는 것이다. 핵심은 외부 포렌식 전문 기관에 일을 맡기더라도 그 세부내용과 과정을 파악하고 있으라는 것. 마치 장을 보기 전에 꼼꼼한 주부들이 인터넷으로 물건의 가격을 대조해보고 사용자 후기를 조사하는 것과 마찬가지다.

이처럼 지출 절감의 측면에서 디지털 포렌식에 대비하는 자세를 갖춘다는 건 전기의 형태로 저장된 정보를 최대한으로 이용해 디지털 포렌식 수사 비용을 낮춘다는 것을 말한다. 그러려면 회사 내부와 외부에서 일어날 수 있는 여러 가지 다양한 사건들을 고려한 위기의 상세한 분석이 있어야 한다. 그래서 통제가 가능한 일은 통제하는 노력이 필요한데, 여기에는 직원의 실수 일부와 정전 상황 등이 포함된다. 외부 상황이라면 보통 통제가 불가능하긴 한데 예를 들면 자연재해나 정부 정책 변화 등이 있다.

다음은 이런 식으로 기업 스스로 정보의 효용성을 최대화시키면서 동시에 포렌식의 가격을 낮출 수 있게 해주는 방법 여섯 가지다.

시나리오 1 : 사이버 범죄의 충격 줄이기
현대의 기업 환경에서처럼 매일 업무를 볼 때 IT 기술에 대한 의존도가 높아진다는 건 양날의 검과 같다. 편리해진다는 것과 위험해진다는 것이 바로 그것이다. 게다가 직접 자리를 떠 움직이지 않아도 되는 사이버 범죄 역시 같은 토양에서 같은 영양분을 흡수해 잘 자라고 있다. 그러나 ‘같은 IT 환경’에서 자라고 있기 때문에 예외적인 경우 몇몇을 제외하고는 해킹이 일어나는 경위와 경로 등은 충분히 예상하는 게 가능하다.

해커 입장에서 우리 회사를 어떻게 공격할까, 뭘 노릴까를 고민해 구체적인 시나리오를 짜면 어떤 경우에 가장 큰 피해를 입는지도 그려볼 수 있게 된다. 이런 시나리오는 여러 개가 존재할 것이다. 그렇다면 그런 시나리오에 대한 대처법을 마련하는 것이 최소 ‘평범한’ 공격으로부터 피해를 최소화시키고 더불어 포렌식의 가격을 낮추는 기본적인 절차가 아닐까.

시나리오 2 : 실제 사이버 범죄의 충격 줄이기
미리 충격을 예상해서 그 피해를 가늠해보는 것도 좋지만, 실제로 사건이 발생했을 때 생기는 진짜 피해를 재빨리 측정할 수 있는 능력도 중요하다. 이를 위해서 ‘사건’을 빠른 시간 안에 분석해 직접적인 요소와 간접적인 요소를 구분해낼 줄 알아야 한다. 이는 통제의 여러 가지 유형(예방 중심, 탐지 중심, 복구 중심 등)에 따른 다양한 로그들을 분석하고 사후처리에 드는 전체 관리비용(인건비, 기술 관련 비용 등)을 산출할 줄 안다는 뜻이다. 이 역시 외주인원이 해준다면, 비용이 든다.

시나리오 3 : 증거 및 직원 관리
사업상 행위 규범을 열거한 문서를 갖춘 것과 그렇지 않은 것에는 보이지 않는 차이가 있다. 직원들이 이런 정책에 직접 서명을 하고 현장에 투입되면 ‘프로로서의 자부심’도 생기는데, 이는 단순히 서명을 했다는 사실 자체에 기인하는 것이 아니라 ‘내가 어떤 범위 내에서 어떤 행동을 취할 수 있다’는 걸 인지하게 되기 때문이다. 그리고 규범을 어겼을 때 직원에게 잘잘못을 물을 수 있는 근거가 된다. 간혹 잘잘못을 따지는 걸 넘어, 법정에 서게 되는 경우도 생길 수 있다. 이럴 때 기업은 해당 규범을 기준으로 공정성이 있는 디지털 증거를 제출함으로서 문제를 깔끔하고 원만하게 해결할 수 있다.

시나리오 4 : 법적인 정책 및 규율 준수하기
법을 잘 지키고 정책도 준수해야 하는 건 당연하다. 다만 세상에 만능법과 만능정책이 없기 때문에 불만이 발생하는 건데, 그렇다고 이를 지키지 않아도 된다는 건 아니다. 산업이나 국가별로 보안에 관해서 직원이나 기업이 꼭 지켜야 하는 정책이 다르지만, 어느 곳이건 포렌식의 수사라는 것이 정책과 가이드라인이라는 큰 틀 안에서 진행되기 때문에 이를 평소에 지킨다면 ‘수사가 벌어지는 환경과 맥락’을 최대한 동일하게 가져가는 것이 아무래도 사건 해결에 도움이 된다. 같은 배경에 대해 공통된 이해를 가지고 있으면 소통도 더 원활하다.

시나리오 5 : 법원에서 관리하는 데이터 효과적으로 관리하기
기업이 평소 얼마나 부지런하게 포렌식을 준비해왔든지 상관없이 보안 사고의 결말은 대부분 법정에서 맺어진다. 결국 사이버상에서 일어나는 일이지만 법의 정서를 바탕으로 마무리가 된다는 것인데, 이를 미리 알고 증거나 디지털 자료를 준비한다면 효율성을 극대화시킬 수 있다. 미국의 경우 연방증거규칙(U.S Federal Rules of Evidence)이란 것이 있는데, 미리 이런 정책이나 법을 숙지해두면 데이터를 모으는 데에 분명한 기준이 된다. 그러므로 정보의 바다에서 헤맬 확률을 줄일 수 있다. 각 나라마다 조금씩 다른 이런 법들을 알아두는 건 현대 기업문화에서 이미 상식이다.

사후대처가 중요한가, 미리 탐지하고 예방하는 것이 중요한가, 하는 문제는 더 이상 보안의 정의에 대한 갈림길이 아니다. 효율성과 가격이라는 경제의 문제다. 또한 여태까지 기업들이 사후대처의 방식을 취한 건 사실 능동적인 사이버보안이 무엇인지 잘 이해하지 못하고 있어서인 것도 어느 정도는 사실이다. 거꾸로 말하자면 능동적인 사이버보안을 강조함으로써 기업들이 사이버보안에 대해 더 잘 이해하도록 유도할 수도 있다는 것이다. 모든 기업이 보안 전문 수사팀을 꾸릴 순 없지만, 최대한 비용을 아낄 수 있는 노력은 할 수 있지 않을까. 그것만이라도 충분하다.
글 : 제이슨 사코우스키(Jason Sachowski)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>