2017년 5월 12일 아침 출근길에 사이버 보안 전문가들에게 설문조사를 했다면, 대부분은 중대한 사이버보안 사건이 임박해 있다는 것을 알고 있었다고 말했을 것입니다.
하지만 그날 봄날 아침, 승용차나 여객선을 타고 각자의 사무실로 출근할 때 지금까지 가장 큰 피해를 입힌 사이버 공격인 WannaCry 랜섬웨어라는 완벽한 폭풍을 만나게 될 줄은 아무도 예상하지 못했습니다.
디바이스, 시스템, 네트워크가 점점 더 서로 연결되어 있어 바이러스가 과거에 비해 훨씬 더 쉽게 시스템 간에 이동할 수 있습니다. 하지만 최근 기억에 남는 중요한 사건이 없었기 때문에 우리 대부분은 (심지어 저와 같은 사이버 보안 저널리스트도) 약간 안주하게 되었습니다. 이러한 요소를 활성 디바이스 및 시스템 수와 결합하면 무대가 설정됩니다.
킬 스위치가 발견된 후에도 바이러스는 150개국 300개 조직의 컴퓨터 시스템을 공격하여 모든 시스템과 모든 데이터를 계속 파괴했습니다.
BBC에 따르면 러시아는 전 세계 국가 중 가장 많은 감염 시도를 겪었습니다. 그러나 대부분의 미션 크리티컬 서버는 소련 시대의 소프트웨어인 Elbrus를 실행했기 때문에 영향을 받지 않았습니다. 그러나 기술적 내성이 바이러스가 국가의 컴퓨터로 확산되는 것을 막지는 못했습니다. 내무부, 철도, 은행, 대규모 이동통신사 Megafon의 엔드포인트가 다운되었습니다.
WannaCry를 생생하게 취재한 것은 몇 년이 지난 지금도 저에게 흥미와 많은 의문을 남겼습니다. 지난 3년 동안 공격이 대화의 주제가 될 때마다 같은 주제가 반복되었습니다. WannaCry는 압도적이었고 사이버 보안에 접근하고 비즈니스에 미치는 위험을 보는 방식을 변화시켰습니다.
저는 이 정도 규모의 이벤트에 비해 그 정서가 너무 광범위하다고 생각했습니다. 구체적인 질문이 있었습니다. 2017년 5월 12일에 보안 전문가로 일하는 것은 어떤 일이었을까요? 전 세계 기업과 정부에 미친 총 영향은 어느 정도였을까요? 그날 배운 내용이 현재의 비즈니스, 기술 및 사이버 보안 환경에 어떤 영향을 미쳤을까요?
또한 소셜 미디어와 디지털 뉴스 사이트를 통해 전 세계가 이 이벤트를 시청한 것이 반응과 전반적인 영향력에 어떤 변화를 가져왔는지 궁금했습니다. 비즈니스 리더와 대중은 뉴스 보도를 시청했지만 아무도 무슨 일이 일어나고 있는지 정확히 알지 못했습니다. 거의 모든 사람이 그것이 불길한 징조라고 동의했습니다. 저는 이것이 대중의 공황상태를 악화시키는지, 아니면 문제를 더 빨리 해결하는 데 도움이 되는지 궁금했습니다.
"여전히 큰 규모입니다. 이것은 조직이 준비되지 않은 것으로 간주되어 왔습니다. 많은 기업에 경각심을 불러일으켰습니다."라고 IBM® X-Force 사고 명령 프로그램 관리자인 Tracey Nash는 말합니다. Nash는 2017년 5월 12일을 조직이 사이버 보안 위험의 비즈니스 측면을 고려해야 한다는 것을 알게 된 순간으로 간주합니다.
정확히 무슨 일이 일어났는지, 그리고 더 중요한 것은 WannaCry가 환경에 크레이터를 남겼는지 알아보기 위해 저는 공격에 대응한 주요 인물들과 이야기를 나눴습니다. IBM X-Force Threat Intelligence 부사장인 Wendi Whitmore와 많은 시간을 이야기한 적이 있습니다. 또한 IBM의 보안 혁신 및 개선(CISO 사무실) 담당 이사인 Christopher Scott과 그날의 사건과 WannaCry 공격 이후의 회복에 대한 그의 관점을 들어보았습니다.
이 이야기는 3년 전 그 혼란스러운 날들에 실제로 무슨 일이 일어났는지, 그리고 WannaCry의 영향력과 유산이 오늘날 어떻게 이어지고 있는지 알아내기 위한 여정을 연대순으로 기록합니다.
업계를 선도하는 사이버 보안 전문가를 포함한 많은 사람들이 트윗을 통해 이 공격에 대해 처음 알게 되었습니다. 영국 국가 의료 시스템(NHS)의 한 의사가 트위터에서 대규모 공격 소식을 가장 먼저 전했습니다. 그 후 수많은 동료들이 "죄송합니다, 파일이 암호화되었습니다!"라는 동일한 메시지와 함께 잠긴 컴퓨터 화면의 사진을 보여주었습니다.
당시 NHS 직원들은 이 공격으로 인해 70,000개의 디바이스가 감염되고 전체 NHS 병원의 3분의 1이 완전히 폐쇄될 줄은 몰랐습니다. WannaCry가 전 세계 NHS 및 기타 병원에 미친 영향은 사이버 범죄가 의료 사물인터넷(IoMT) 시대에 혼란을 일으킬 수 있다는 증거였습니다. 다행히도 임상 안전 연구자들은 크립토웜 혼돈이 환자 사망으로 이어지지 않았다는 것을 확실히 입증했습니다.
컴퓨터를 사용하지 않는 사람들도 큰 일이 일어나고 있다는 것을 매우 빠르게 알 수 있었습니다.
독일 통근 열차 도착 및 출발을 알리는 디지털 간판에 비트코인에 대한 요구가 나타났습니다.
그 정확한 문구는 한국의 수십 개의 영화관 스크린에도 나타났습니다.
인도네시아 자카르타에서는 의사들이 컴퓨터 시스템에서 종이 기록으로 전환하는 동안 병원 환자들이 몇 시간을 기다려야 했습니다.
당시 글로벌 파트너로 일하면서 X-Force Threat Intelligence에서 사고 대응을 이끌었던 Whitmore는 공격이 시작되자마자 팀이 머리를 긁적이며 큰 소리로 "이상하다"라고 외치기 시작했다고 말합니다.
특히 Whitmore의 팀은 감염된 파일을 공개하는 것이 말 그대로 불가능하다는 것을 발견했을 때 다른 문제에 직면해 있다는 것을 알았습니다. 랜섬웨어는 해커가 몸값을 지불한 사람이 누구인지 알 수 있는 방법을 제공하지 않았습니다.
그녀의 최우선 과제 중 하나는 멀웨어의 복사본을 확보하는 것이었습니다. 그녀는 그것이 어떻게 작동하는지 정확히 알기 전에는 무언가를 멈출 수 없다는 것을 알고 있었습니다. 하지만 사본을 구하고 분석하는 것은 어려운 일이었습니다. 특히 세상이 빠르게 멈추고 있다는 것을 알아야 한다는 압박감이 있었기 때문입니다.
WannaCry는 지금까지 경험한 것 중 가장 빠르게 확산된 사이버 범죄 공격이었습니다. 패치되지 않은 인터넷 연결 컴퓨터는 몇 분 안에 희생양이 되어 네트워크를 통해 웜을 빠르게 확산시키기 시작할 수 있습니다. 많은 뉴스 기사에서 IT 팀은 동료들이 업무용 PC를 부팅하는 동안 피해를 막기 위해 분주하게 움직였다고 합니다.
당시 글로벌 매니지드 서비스 제공업체에서 근무하던 X-Force Threat Intelligence 의 글로벌 리더인 Laurance Dine에게 그날의 가장 기억에 남는 일이 무엇이냐고 묻자, 그는 끊임없이 울리는 전화벨이라고 답했습니다. 상대방은 모두 도움을 필요로 하는 당황한 고객이었습니다. 그는 그날을 '완전한 광기'라고 요약했다.
사고 대응 팀에 속하지 않은 다른 보안 전문가를 포함한 그의 팀 전체가 매우 빠르게 최전선에 배치되었습니다.
"모든 분야에 걸쳐서 모든 사람이 관여하고 있는 것처럼 느껴졌습니다. 일반 시민들은 랜섬웨어에 무슨 일이 일어나고 있는지 알고 있었습니다."라고 Dine는 말합니다. "그들은 뉴스와 무슨 일이 일어나고 있는지 이해했고, 병원에 갈 수 없었고, 사람들의 삶은 그로 인해 영향을 받았습니다."
사고 대응 담당자들은 하루 종일 계획을 취소하고 긴 주말 동안의 고된 업무에 대비해 허리띠를 졸라맸습니다. WannaCry 웜의 여파로 전 세계 기업들이 충격을 받는 모습을 모두가 지켜보았습니다.
당시에는 아무도 이 크립토웜이 접촉하는 모든 시스템을 파괴하는 것이 사실 2개월 전에 알려진 EternalBlue라는 취약점 때문이라는 사실을 알지 못했습니다. 'Wanna Decryptor'가 단일 네트워크에 있는 단일 시스템을 감염시키자 WannaCry는 패치가 적용되지 않은 다른 컴퓨터를 인터넷에서 검색하면서 동일한 네트워크에 있는 다른 컴퓨터로 확산되기 시작했습니다. EternalBlue가 악용한 취약점으로 인해 패치가 적용되지 않은 Windows 시스템이 감염되어 WannaCry 바이러스가 확산되었습니다.
크립토웜은 일반적으로 기업 네트워크에서 빠르게 탐지할 수 있습니다. 하지만 WannaCry는 탐지되지 않았습니다. 탐지되기 전까지는 말입니다. 탐지는 특히 고도로 표적화된 공격이 발생하는 경우 많은 정교한 위협 행위자가 어떤 희생을 치르더라도 피하려고 하는 작업이지만, WannaCry는 표적 공격이 아니었습니다. 가능한 한 많은 관심을 끌기 위해 신중하게 계획된 글로벌 공격이었고, 실제로 그런 일이 벌어졌습니다.
Scott은 많은 경우, "M&M 네트워크"라고 부르는 것을 통해 확산이 가능했다고 설명합니다. 이런 경우 네트워크 구조는 외부는 단단하고 내부는 부드럽습니다. 이는 위협 행위자와 크립토웜을 환영하는 인테리어였습니다. 그는 크립토웜이 네트워크 가장자리의 딱딱한 캔디 셸을 통과한 후 WannaCry가 환경을 자유롭게 이동할 수 있게 되었다고 말합니다.
사이버 보안 연구원인 Marcus Hutchins와 Jamie Hankins가 킬 스위치를 발견하기 전까지 7시간 동안 이 '거대한 슬라임 웜'은 전 세계를 혼란에 빠뜨렸습니다. 두 개의 추가 킬 스위치가 발견되어 결국 랜섬웨어 변종이 대부분 비활성화되었습니다.
하지만 전 세계 300개 조직의 긴 복구 프로세스는 이제 막 시작되었고, 우리 중 누구도 피해의 정도와 이를 해결하는 프로세스를 알지 못했습니다. 우리는 여전히 매핑되지 않은 영역에 있었고, Scott의 팀은 서둘러 수정 사항을 적용했습니다.
"이러한 환경을 운영 역량으로 다시 가져와야 했습니다."라고 Scott은 말합니다. "하지만 수정이 정상인지 확인하기 위해 테스트를 어떻게 진행해야 할까요? 사용자 승인은 어떻게 진행되나요? 그렇다면 이를 어떻게 프로덕션으로 옮길 수 있을까요?"
많은 경우 Scott의 팀은 전통적인 테스트 프로세스를 우회하고 서두르면 '몇 가지 문제가 발생'할 수 있는 위험을 감수해야 했습니다. WannaCry는 사람들에게 선택권을 제공하지 않았으며, 이는 대량 살상이 발생한 가장 큰 이유 중 하나였습니다.
대부분의 사이버 보안 전문가는 WannaCry가 재정적 성공을 거두지 못했고 순이익 데이터에 따르면 예상보다 훨씬 낮았다는 것을 알고 있습니다. 블록체인 기록에 따르면 2017년 5월부터 2019년 12월까지 WannaCry를 통해 공격자에게 총 약 386,000달러가 유입된 것으로 나타났지만, 총액은 비트코인 가치에 따라 변동합니다. 감염된 컴퓨터 한 대당 미화 1.08달러 이하의 적은 비용입니다.
엄밀히 말해 비용 측면에서 훨씬 이전의 이메일 바이러스와 비교하면 거의 싼 가격이었습니다. Symantec은 2018년에 WannaCry로 인한 재정적 손실이 40억 달러에 달할 것으로 추정했으며, 현재 이 수치는 더 높을 것으로 예상됩니다. Conficker 바이러스는 2007년에 91억 달러 이상의 피해를 입히고 전 세계 수백만 대의 컴퓨터를 감염시켰습니다. 2004년에 MyDoom은 약 380억 달러의 피해를 입히고 한 해 동안 전송된 이메일의 약 25%에 영향을 미쳤습니다.
이 크립토웜은 단일 표적으로 이익을 얻는 대신 많은 소음을 내도록 고안되었습니다. Dine에 따르면 WannaCry의 배후에 있는 위협 행위자들은 특히 정부가 우크라이나에서 사업을 운영하는 모든 조직에 의무화한 소프트웨어인 우크라이나 세무 회계 소프트웨어를 활용했습니다. 위협 행위자는 소프트웨어 업데이트를 추진함으로써 그 과정에서 우크라이나 국가 인프라의 상당 부분을 무너뜨렸습니다.
사이버 범죄의 대부분은 금전적인 동기에 의해 발생합니다. 실제 몸값을 거의 고려하지 않고 대량 파괴를 일으키도록 설계된 랜섬웨어를 만나는 일은 드뭅니다.
WannaCry에서 가장 중요하다고 생각하는 부분이 무엇인지 물었을 때, Whitmore는 모든 것이 중요했다고 말합니다.
"분명히 큰 경각심을 불러일으켰습니다."라고 Whitmore는 말합니다. "따라서 [바이러스의] 영향을 받는 우수한 보안 프로그램과 프로토콜을 갖춘 이러한 글로벌 대기업을 본 모든 조직의 인식이 높아졌습니다."
"분명히 큰 경각심을 불러일으켰습니다."라고 Whitmore는 말합니다. "따라서 [바이러스의] 영향을 받는 우수한 보안 프로그램과 프로토콜을 갖춘 이러한 글로벌 대기업을 본 모든 조직의 인식이 높아졌습니다."
그녀는 WannaCry의 여파로 더 표적화된 캠페인이 더 보편화되었다고 말합니다. 공격이 항상 단일 클라이언트를 대상으로 하는 것은 아니지만, 이제 위협 행위자는 많은 피싱 이메일을 보내고 10개의 클라이언트에 액세스할 수 있습니다. 그 후 위협 행위자들이 네트워크 내부의 탐지를 피하면서 잠재적인 표적에 대해 신중한 정찰을 수행하는 데 6~12개월을 소비하는 것을 볼 수 있습니다.
결국 랜섬웨어는 돈을 더 많이 받을 수 있다고 생각하거나 그럴 가능성이 높다고 의심되는 곳에 랜섬웨어를 설치한다고 Whitmore는 말합니다.
WannaCry는 아마도 현재의 위협 벡터와 상용 랜섬웨어 공격의 인기 상승에 적어도 부분적으로 책임이 있을 것입니다. 2018년 데이터 유출 조사 보고서(DBIR)에 따르면 랜섬웨어는 2017년 전체 멀웨어 사고의 39%를 차지했으며 데이터 손실이 발생했습니다. 그 이후로 공격은 훨씬 더 정교해지고 피해자에게 더 많은 비용이 드는 방식으로 변모했습니다. 또한 상업용 랜섬웨어는 탐지 메서드를 회피하는 능력이 뛰어난 경우가 많습니다.
영향을 받은 많은 조직이 충분한 데이터 백업을 보유하고 있었지만 항상 복구할 수 있는 것은 아니었습니다. 대부분의 경우, 백업은 네트워크에 연결되어 WannaCry에 의해 잠기기 쉬웠습니다. 다른 경우에는 조직에서 오프사이트 백업을 가지고 있었으며 간편한 복구가 가능한지를 테스트하지 않은 경우도 있었습니다.
2017년 5월의 크립토 랜섬웨어 사건은 위협 환경의 전환점이 되었습니다. WannaCry는 기업의 사이버 보안 문화에 긍정적인 영향을 미쳤지만, 랜섬웨어가 전 세계 위협 행위자의 의식을 고취시키기도 했습니다. 많은 상업용 랜섬웨어 위협 행위자들은 이제 피해자의 데이터가 손실되거나 경쟁업체에 판매되는 경우 그 가치에 대해 연구합니다.
적절한 사례: Whitmore는 지난 6주 동안 조직에 대한 랜섬웨어 공격을 목격했습니다. "공격자들은 몸값으로 2,500만 달러를 요구했습니다. 이 회사는 결코 큰 회사가 아니었습니다."라고 Whitmore는 말합니다.
WannaCry 이전에는 대부분의 엔터프라이즈 리더, 특히 의료 분야 외부에서 '우리에게는 일어날 수 없는 일'이라는 태도를 가지고 있는 것 같았습니다. 이제 제가 랜섬웨어에 대해 이야기하면 사람들은 귀를 기울입니다. Enterprise 리더들은 필자와 다른 사이버 보안 전문가들과 함께 랜섬웨어를 가장 먼저 꺼내는 경우가 많습니다. 제 생각에는 WannaCry의 트라우마와 파괴로 인한 가장 중요한 영향 중 하나는 기업 경영진이 랜섬웨어가 의미 있는 위협이라는 것을 인식한 것입니다.
이벤트는 또한 기업 내 사이버 보안의 역할과 이사회에서 CISO의 역할에도 지대한 영향을 미쳤습니다. 이제 경영진은 대규모 사이버 침해가 발생하더라도 평판 측면에서 더 나은 결과를 얻을 수 있다는 사실을 깨닫고 있습니다.
EU에 본사를 둔 한 물류 브랜드는 WannaCry로 인해 평판 손상이 거의 발생하지 않았음을 보여줍니다. CEO는 공개적인 역할을 맡아 공격 후 며칠 동안 대중과 고객에게 직접 이야기했습니다. 크립토웜과 자신감 있고 의사소통이 가능한 CEO의 결합은 책임을 공유하는 기업 사이버 보안 문화를 향한 중요한 첫 걸음이었습니다.
첫 번째 WannaCry 공격 이후 수많은 모방과 여진이 발생했습니다. ESET은 2020년 5월에 WannaCry가 2020년 1분기에 전체 랜섬웨어 탐지의 40.5%를 차지했다고 발표했습니다. 주요 ISP가 킬 스위치 도메인을 차단하기 때문에 일부 국가는 여전히 WannaCry 여진의 영향을 불균형적으로 받고 있습니다. 이러한 감염이 지속되는 이유 중 일부는 사이버 위생 관행이 좋지 않기 때문입니다. 다른 감염은 많은 기업이 관리는 고사하고 탐지하기 어려운 비전통적인 엔드포인트에서 지속됩니다.
기업이 2020년에 글로벌 크립토웜 공격에 2017년보다 훨씬 더 잘 대비할 수 있을지는 말하기 어렵습니다. 하지만 제가 만난 대부분의 전문가들은 사이버 보안의 인적 요소가 극적으로 발전하여 사고 대응 전문가들에게 희망을 줄 수 있다는 데 동의했습니다.
그러나 ESET에 따르면 검색 엔진인 Shodan의 데이터에 따르면 2019년 5월 현재 거의 100만 대의 디바이스가 EternalBlue 취약점에 취약하고 패치되지 않은 것으로 나타났습니다. 2017년 5월 말 이후 이 수치에는 거의 차이가 없었으며, 이는 매우 우려스러운 일입니다.
최근 설문조사에 따르면 전 세계 조직의 27%가 데이터 유출 사고의 원인이 패치되지 않은 취약점 때문이라고 답했습니다. 더 우려스러운 점은 네트워크에서 어떤 엔드포인트가 위험을 초래하는지 정확히 파악하지 못하는 비율이 매우 높다는 점입니다. 한편, 조직의 39%는 취약성 스캔을 한 달에 한 번 미만으로 수행한다고 인정합니다. CA Veracode에 따르면 취약점의 70% 이상이 30일 후에도 패치가 적용되지 않은 상태로 남아 있습니다.
매우 파괴적인 공격에서 복구하는 데 드는 비용은 2억 3,900만 달러로, 데이터 손실과 관련된 평균 사고보다 61배 더 비쌌습니다.
Scott은 웜이 빠르게 확산되도록 한 '단단한 캔디 셸' 상태를 피하기 위해 조직이 환경과 제어 지점에 접근하는 방식에 큰 긍정적인 변화가 있음을 확인했습니다. 고객은 이제 2017년 및 그 이전에 일반적으로 사용했던 유연하고 끈끈한 네트워크 표적을 공격자에게 제공하는 대신 컨테이너화와 마이크로서비스에 대해 생각하고 있습니다. 이는 부분적으로 WannaCry와 관련이 있을 수 있지만, 기업 네트워크 경계가 이동했기 때문일 수도 있습니다.
오늘날의 네트워크에서는 워크스테이션에 액세스할 수 없는 서버가 많은 경우를 흔히 볼 수 있습니다. 대신 사용자는 에이전트를 통해 클라우드 데이터에 액세스할 수 있습니다. 보안 클라우드는 보안 정책을 약간 복잡하게 만들고 일부 워크플로를 복잡하게 만들지만, 여러 측면에서 보안 태세를 개선하기도 했습니다. 클라우드 기반 격리는 조직이 더 이상 하나의 큰 네트워크에서 운영되지 않는다는 것을 의미합니다.
어제의 캔디 네트워크에서 벗어난 전환은 사용자 권한에도 영향을 미쳤습니다. Scott은 이것이 지능형 지속 위협(APT) 및 권한 있는 계정을 방어하는 데 있어 큰 이점이라고 생각합니다. 가장 중요한 것은 많은 조직이 슈퍼 사용자를 지정하고 권한을 재구성하는 대신 신뢰 기반 및 필요 기반 액세스 모델로 전환하고 있다는 것입니다.
그러나 WannaCry 웜이 발생한 지 3년이 지난 현재, 고도로 표적화된 랜섬웨어 및 APT로부터 복구하는 데 드는 비용은 사상 최고치를 기록했습니다. 믿을 수 없을 정도로 당혹스러운 일입니다. 2019년 데이터 유출 비용(CODB) 보고서에 따르면 작년 데이터 침해로 인한 평균 복구 비용은 392만 달러였습니다. 매우 파괴적인 공격에서 복구하는 데 드는 비용은 2억 3,900만 달러로, 데이터 손실과 관련된 평균 사고보다 61배 더 비쌌습니다.
위협 행위자들은 피해자의 데이터가 가치 있다고 생각하는 금액을 정확히 요구하는 것에 대해 점점 더 대담해지고 더 계산되고 있습니다. 2020년의 상용 랜섬웨어는 네트워크를 통해 바이러스를 확산시키거나 패치되지 않은 수십만 개의 엔드포인트를 표적으로 삼는 것이 아닙니다. 대신 위협 행위자는 수백만 달러의 몸값을 지불할 가능성이 있는 회사를 표적으로 삼습니다.
위협 행위자는 피해자를 표적으로 삼아 모든 올바른 시스템을 침입하여 테러 환경을 조성하며, 종종 백업 서버에 접근하여 피해자의 손에 몸값을 지불하도록 강요하기도 합니다.
협업 증가는 지난 3년 동안 가장 긍정적인 영향 중 하나였습니다. WannaCry는 산업, 공공 부문 및 국제 정책 입안자 간의 협업을 강화하는 촉매제 역할을 했을 수 있습니다.
X-Force Incident Command의 프로그램 디렉터인 Mike Barcomb과 대화를 나누며 변화에 대한 그의 관점을 들었습니다.
Barcomb은 "이러한 [사고 대응] 프로그램을 구축하는 것뿐만 아니라 동종 업계 및 업계의 다른 비즈니스와 협력하는 것도 기업의 관심사였습니다."라고 말합니다. "이들은 위협 행위자에 대한 모범 사례와 위협 정보, 즉 자신이 본 것과 경험한 것을 공유할 수 있는 에너지를 구축합니다.
"위협 행위자에 대한 모범 사례와 위협 정보, 즉 자신이 본 것과 경험한 것을 공유하기할 수 있는 에너지를 구축합니다."
"기업들이 협력하여 위협에 대한 방어 체계를 구축하는 것을 보는 것은 매우 고무적인 일입니다."
IBM X-Force Threat Intelligence 북미 지역 책임자인 Kurt Rohrbacher는 적절한 사이버 위생을 보장하는 데 있어 준비라는 인적 요소도 기술적 준비 상태만큼이나 중요하다고 말합니다. 조직이 모든 글로벌 사고에 대비할 수 있는 가장 좋은 방법은 제어에 실패했을 때 어떤 일이 발생하는지 생각하고 각 결정의 무게를 고려하는 것입니다.
Rohrbacher는 "사람들은 사고 발생 후 처음 몇 시간이 하루, 일주일, 한 달, 경우에 따라서는 1년을 처리할지 결정하는 경우가 많다고 생각하지 않습니다."라고 말합니다. "사고 발생 초기에 취할 조치를 파악하는 것이 궁극적인 대응의 성패를 좌우합니다."
"사고 초기에 취할 조치를 파악하는 것이 궁극적인 대응의 성패를 좌우합니다."
스트레스와 공포가 의사 결정 능력에 미치는 영향을 과소평가하는 경우가 많기 때문에 이 말이 정말 마음에 들었습니다. 사소해 보이는 이러한 결정이 수백만 달러의 복구 비용 또는 몇 개월의 시간을 좌우할 수 있습니다.
Scott은 특히 자신이 열정을 갖고 있는 분야인 핵심 성능 지표(KPI)의 변화를 시작할 수 있다는 희망을 갖게 되었다고 말했습니다. 그는 종종 팀에 "어떻게 하면 사람들이 업무를 올바르게 수행하도록 유도하고 인센티브를 제공할 수 있을까요?"라고 질문합니다.
SOC 분석가의 경우 문제 해결 속도와 기간에 초점을 맞춘 지표는 역효과를 낳을 수 있습니다. SOC 분석가가 효율성에 너무 초점을 맞춘 환경에서 운영되면 곁길로 빠져들 수 있습니다. 조사를 완료하기 전에 티켓을 종료하여 공격의 침투 지점과 같은 더 큰 그림을 놓칠 수 있습니다.
2017년 5월 이후 업계의 사이버 위생 및 패치 습관이 눈에 띄게 개선되지는 않았지만, 대부분의 전문가들은 이미 랜섬웨어 공격에 직면한 조직 외부를 제외하고도 이전보다 더 잘 대비할 수 있을 것이라는 데 동의합니다. 이는 사이버 보안의 인적 요소의 변화에 관한 것입니다.
Rohrbacher는 기업과 사이버 보안 전문가가 예상치 못한 상황에 어떻게 대비하는지 묻자 킬킬 웃습니다. 그는 어깨를 움츠리며 "실제와 같은 것은 없습니다."라고 말합니다.
그는 WannaCry와 같은 실제 사고가 인식과 준비성을 모두 높여준다고 말했습니다. 그 외에도, 제가 상담한 거의 모든 사고 대응 전문가들은 분기별 테이블탑 연습과 정기적인 커뮤니케이션 도구 테스트가 기억력을 키우는 데 중요한 것처럼 시뮬레이션이 중요하다는 데 동의했습니다.
그는 조직이 예상치 못한 결과에 대비할 수 있는 두 가지 방법으로 피싱 시뮬레이션과 사이버 레인지(Range) 활동을 지적했습니다. Rohrbacher는 연습이나 훈련이 실제로 사람들을 상황에 끌어들이고 재미있게 놀도록 장려하면 더 잘 대응하는 방법에 대한 지침을 갖게 될 가능성이 더 높다고 말합니다.
저는 현재 코로나19 팬데믹과 WannaCry 공격이 유사하다는 사실에 끊임없이 충격을 받습니다. 모두가 전례 없는 상황을 관리하기 위해 위기 모드로 전환한 2020년 3월의 공격 초기와 매우 유사하게 느껴졌습니다. 팬데믹이 계속되는 지금, 오늘날에도 여전히 WannaCry 감염을 겪고 있는 우리와 비슷한 느낌입니다. 팬데믹은 우리 대부분에게 보다 개인적인 차원에서 영향을 미칠 가능성이 높습니다. 그러나 두 위기 모두 누구도 상상하거나 예측할 수 없는 방식으로 우리의 일상 생활에 영향을 미쳤습니다.
두 이벤트에서 얻을 수 있는 핵심 교훈은 준비성에 달려 있습니다. WannaCry와 팬데믹으로 인해 모두가 당황했습니다. 이는 이전에는 한 번도 일어나지 않았던 일에 어떻게 대비해야 하는지에 대한 오래된 질문을 던집니다.
대비를 생각할 때 가장 먼저 떠오르는 것은 전략적 계획, 시뮬레이션, 교육, 복구를 위한 백업과 같은 도구 사용입니다. 그러나 이러한 조치는 새로운 공격이 발생하고 무슨 일이 일어나고 있는지에 대한 계획이 없는 경우에만 유효합니다. 새로운 관점과 접근 방식을 취하는 것이 중요하다고 생각합니다.
"위기 상황에서는 근육 기억을 제외한 모든 것이 사라집니다."
Rohrbacher는 "위기의 한가운데에 있으면 머슬 메모리를 제외한 모든 것이 창 밖으로 사라집니다."라고 말합니다.
물론 기술을 배포하고 계획을 수립하고 복구 옵션을 백업할 수 있어야 합니다. 하지만 모든 사고 대응 담당자가 자신감을 갖고 기억력을 키우는 데도 집중해야 합니다.
자신감은 단 한 번의 교육 세션이나 목요일 오후에 체크박스에 체크하는 것만으로 생기는 것이 아닙니다. 이는 문화와 프로세스의 근본적인 변화입니다. 준비는 개인이 책임을 질 수 있을 만큼 자신감을 가질 수 있도록 힘을 실어주는 것으로 귀결됩니다. 예상치 못한 일이 발생하더라도 팀원들이 심호흡을 하고 "좋아, 내가 할 수 있어"라고 말할 수 있기를 바랍니다.
Jasmine Henry가 이 스토리를 보도하는 데 기여했습니다.