2022년 3월, 바이든 행정부는 2022년 중요 인프라를 위한 사이버 사고 보고법(CIRCIA)을 법으로 제정했습니다. 이 획기적인 법안은 사이버 보안 및 인프라 보안 기관(CISA)이 대상 기관이 해당 사이버 사고와 랜섬웨어 지불을 보고하도록 요구하는 규정을 개발하고 시행하는 것을 목표로 합니다.
CIRCIA 사고 보고서는 CISA가 다음을 수행할 수 있도록 하기 위한 것입니다.
흔히들 말하듯, 악마는 디테일에 숨어 있습니다. 4월 초, CISA는 CIRCIA가 위임한 책임에 따라 447페이지 분량의 규칙 제정 제안 고지서(NPRM)를 발표했습니다. 이 문서는 현재 연방 관보를 통해 공개 피드백을 받고 있습니다.
CIRCIA와 새로 발표된 NPRM을 고려할 때 랜섬웨어 공격에 대한 사고 보고는 미래의 모습은 어떨까요? 한번 확인해 봅시다.
CISA에 따르면, "랜섬웨어는 디바이스 내 파일을 암호화하여 파일과 그에 의존하는 시스템을 사용할 수 없게 만드는 끊임없이 진화하는 멀웨어 형태입니다. 그런 다음 악의적인 공격자는 암호 해독의 대가로 몸값을 요구합니다."
랜섬웨어 그룹은 몸값을 지불하지 않으면 탈취한 데이터나 인증 정보를 판매하거나 유출하겠다고 협박하는 경우가 많습니다. 랜섬웨어 공격은 주, 지방, 부족 및 영토(SLTT) 정부 기관과 중요 인프라 조직 사이에서 점점 더 흔해지고 있습니다.
CISA의 NPRM은 중대한 사이버 사고로 분류되어 보고 대상이 되는 네 가지 유형의 영향을 제안합니다. 네 가지 유형의 영향은 다음과 같습니다.
CISA는 또한 랜섬웨어의 관련 여부와 관계없이 원인에 관계없이 모든 사고가 상당한 사이버 사고에 포함된다고 제안합니다. 이러한 공격에는 클라우드 서비스 공급자, 관리 서비스 공급자 또는 기타 제3자 데이터 호스팅 공급자의 침해, 공급망 침해, 서비스 거부 공격, 랜섬웨어 공격 또는 제로데이 취약점의 악용이 포함될 수 있습니다.
CIRCIA는 적용 대상 기관이 적용 대상 사이버 사고가 발생했다고 합리적으로 판단한 후 72시간 이내에 CISA에 보고하도록 규정하고 있습니다.
한편, 랜섬웨어 공격에 대응하여 몸값을 지불한 경우 몸값 지불이 이루어진 후 24시간 이내에 보고해야 합니다. CIRCIA는 랜섬웨어를 보고 우선 순위로 삼고 있습니다.
랜섬웨어 보고와 관련하여 CISA의 NPRM은 다음과 같은 네 가지 단계를 설명합니다.
CISA는 또한 시간이 보고를 배제하지 않는다고 설명합니다. 예를 들어, 회사에서 2년 전에 사이버 사고가 발생했고 그 사고가 현재 진행 중이라는 사실을 발견했다고 가정해 보겠습니다. 제안된 규칙에 따라 해당 사이버 사고 보고서를 제출해야 합니다. 사고가 아직 종결되지 않았고 완전히 완화 및 해결되지 않았기 때문입니다.
CISA에 따르면 보고 대상 사고에는 "정보 시스템의 소유자 또는 운영자의 특정 요청에 따라 기업이 선의로 사이버 사고를 저지른 경우"는 제외됩니다.
"선의" 시나리오란 정확히 무엇인가요? 타사 서비스 제공업체가 계약의 매개변수 내에서 의도치 않게 회사의 디바이스를 잘못 구성하여 서비스 중단을 초래할 수 있습니다. 또 다른 예는 적절하게 승인된 모의 침투 테스트가 실수로 실제 영향을 미치는 사이버 사고를 초래하는 경우입니다.
기타 선의의 예외로는 보안 연구 테스트와 관련된 사고가 있을 수 있습니다. 연구자들은 취약점 공개 정책이나 버그 현상금 프로그램에 따라 시스템을 침해하려는 시도를 허가받았을 수도 있습니다. 그렇긴 해도, CISA는 이러한 예외가 거의 발생하지 않을 것으로 예상합니다. 선의의 보안 연구는 일반적으로 취약성을 입증할 수 있는 시점에서 중단되며 실제로 영향을 미치는 사건으로 이어지지는 않아야 합니다.
경우에 따라 실제 랜섬웨어나 기타 악성 사건에 대응한 대상이 스스로를 대상으로 조치를 취할 수 있으며, 이는 시스템이나 운영을 중단하는 등 보고 가능한 영향을 초래할 수 있습니다. 예를 들어,서비스형 랜섬웨어 공격 피해자는 사이버 공격으로 인한 더 광범위한 영향을 방지하기 위해 이 작업을 수행할 수 있습니다. 이 시나리오는 여전히 보고가 필요한 중대한 사이버 사고로 간주됩니다.
이런 경우, 사건 자체는 선의로 이루어지지 않았으며, 공격이 없었다면 임계값 수준의 영향은 발생하지 않았을 것입니다. 따라서 CISA는 해당 법인의 행위가 '선의'의 예외를 충족하는 것으로 간주하지 않습니다. 해당 기업이 사이버 사고의 잠재적 피해를 최소화하기 위해 의도적으로 영향력 있는 이벤트(예: 시스템 오프라인 전환)를 일으킨 것이 분명합니다. 그러나 이러한 종류의 활동은 신고 요건에서 예외되지 않습니다.
랜섬웨어 보고 요건에 대한 논의는 현재 진행 중입니다. 강력한 사이버 복원력을 갖춘 기관조차 위험에 처해 있을 때, CIRCIA의 최종 결론은 모든 사람의 관심을 끌게 될 것입니다.
