인시던트 대응(사이버 보안 인시던트 대응이라고도 부름)은 사이버 위협, 보안 침해 또는 사이버 공격을 탐지하고 이에 대응하기 위한 조직의 프로세스 및 기술을 일컫습니다. 인시던트 대응의 목표는 사이버 공격이 발생하기 전에 방지하고 사이버 공격으로 인한 비용 및 비즈니스 운영 중단을 최소화하는 것입니다.
이상적인 조직은 다양한 유형의 사이버 공격을 파악하고 통제하고 해결하는 방법을 정확하게 기술한 공식적 인시던트 대응 계획(incident response plan, IRP)에 인시던트 대응 프로세스와 기술을 정의해 둡니다. 효과적인 인시던트 대응 계획은 사이버 보안 팀이 사이버 위협을 탐지 및 통제하고, 영향을 받은 시스템을 더 빨리 복원하고, 수익 손실, 규제 위반으로 인한 벌금 및 위협과 관련된 기타 비용을 줄일 수 있도록 지원합니다. IBM의 Cost of a Data Breach 2022 Report에 따르면 인시던트 대응 팀이 있고 정기적으로 인시던트 대응 계획을 테스트한 조직은 인시던트 대응 팀과 IRP가 없는 조직보다 평균 데이터 침해 비용이 미화 266만 달러 더 낮았습니다.
보안 인시던트 또는 보안 이벤트는 조직의 정보 시스템 또는 중요한 데이터의 기밀성, 무결성 또는 가용성을 위협하는 모든 디지털 침해 또는 물리적 침해를 말합니다. 보안 인시던트는 해커 또는 권한 없는 사용자의 의도적 사이버 공격부터 적법하게 권한을 가진 사용자가 보안 정책을 의도하지 않게 위반한 경우까지 다양하게 발생할 수 있습니다.
가장 흔한 보안 인시던트의 예는 다음과 같습니다.
랜섬웨어. 랜섬웨어는 피해자의 데이터 또는 컴퓨팅 디바이스를 잠그고 피해자가 공격자에게 랜섬을 지불하지 않으면 디바이스를 풀어주지 않거나 더 나쁜 일을 벌일 것이라고 위협하는 일종의 멀웨어 또는 악성 소프트웨어입니다. IBM의 Cost of a Data Breach 2022 보고서에 따르면 랜섬웨어 공격은 2021년과 2022년 사이 41% 증가했습니다.
피싱 및 사회공학적 기법. 피싱 공격은 수신자를 조종하여 중요한 정보를 공유하거나, 악성 소프트웨어를 다운로드하거나, 금전이나 자산을 엉뚱한 사람에게 송금하거나, 기타 피해를 입히는 행동을 하도록 유도하는 디지털 또는 음성 메시지입니다. 사기범은 피싱 메시지를 조작하여 신뢰할 수 있는 조직이나 개인, 경우에 따라 수신자가 개인적으로 알고 있는 사람이 보낸 것처럼 보이거나 들리도록 만듭니다.
IBM의 Cost of a Data Breach 2022 보고서에 따르면 피싱은 가장 많은 비용을 초래하는 데이터 침해의 원인이며 두 번째로 흔한 데이터 침해의 원인입니다. 또한 피싱은 가장 흔한 형태의 사회공학적 기법입니다. 사회공학적 기법이란 중요한 개인/엔터프라이즈 데이터 또는 자산에 무단 액세스 권한을 얻기 위해 디지털 보안의 취약성이 아니라 인간의 본성을 공격하는 기법을 말합니다.
DDoS 공격. 분산 서비스 거부(distributed denial-of-service, DDoS) 공격의 경우 해커는 다수의 컴퓨터에 대한 원격 제어 능력을 얻어 대상 조직의 네트워크 또는 서비스를 트래픽으로 무력화시키는 데 사용합니다. 그 결과 적법한 사용자는 이러한 리소스를 사용할 수 없게 됩니다.
공급망 공격. 공급망 공격은 공급업체를 공격하여 대상 조직에 침입하는 사이버 공격을 말합니다. 예를 들면, 공급업체의 시스템에서 중요한 데이터를 훔치거나 공급업체의 서비스를 사용하여 멀웨어를 배포하는 것을 말합니다. 2021년 7월, 사이버 범죄자들은 Kaseya의 VSA 플랫폼의 결함을 활용하여 (ibm.com 외부 링크) 적법한 소프트웨어 업데이트로 가장하여 고객들에게 랜섬웨어를 퍼뜨렸습니다. IBM의 2021 Cyber Resilient Organization Study에 따르면, 공급망 공격의 빈도가 증가함에도 불구하고 조직 중 32%만이 인시던트 대응 계획을 통해 이 유형의 사이버 위협에 대비하고 있는 것으로 나타났습니다.
내부자 위협. 내부자 위협은 두 가지 유형이 있습니다. 악의적 내부자는 의도적으로 조직의 정보 보안을 침해하는 직원, 파트너 또는 기타 권한이 있는 사용자를 말합니다. 부주의한 내부자는 취약한 비밀번호를 사용하거나 보안이 적용되지 않은 장소에 중요한 정보를 저장하는 등 보안 베스트 프랙티스를 따르지 않아 의도하지 않게 보안을 침해하는 권한 있는 사용자를 말합니다.
인시던트 대응 계획
위에서 언급했듯이 조직은 인시던트 계획에 따라 인시던트 대응 노력을 기울입니다. 일반적으로 이러한 계획은 조직 전반의 이해 관계자(최고 정보 보안 책임자(chief information security officer, CISO), 보안 운영 센터(security operations center, SOC) 및 IT 직원뿐만 아니라 경영진, 법무, 인사, 규정 준수 및 리스크 관리 대표자 포함)로 구성된 컴퓨터 보안 인시던트 대응 팀(computer security incident response team, CSIRT)이 수립하고 실행합니다.
인시던트 대응 계획에는 일반적으로 다음 사항이 포함됩니다.
각 인시던트 유형마다 다른 대응이 필요할 수 있으므로 CSIRT가 여러 유형의 인시던트에 대해 서로 다른 인시던트 대응 계획을 작성하는 경우가 흔합니다. IBM의 2021 Cyber Resilient Organization Study에 따르면 대부분의 조직은 DDoS 공격, 멀웨어 및 랜섬웨어, 피싱에 대한 구체적인 인시던트 대응 계획을 갖추고 있고 거의 절반은 내부자 위협에 대한 계획을 갖고 있습니다.
사내 CSIRT를 인시던트 대응 서비스를 제공하는 외부 파트너로 보충하는 조직도 있습니다. 이러한 파트너들은 인시던트 대응 서비스 관련 업무를 수행하고 IRP 준비 및 실행 등 인시던트 관리 프로세스의 다양한 측면에 대한 지원을 제공하는 경우가 많습니다.
인시던트 대응 프로세스
대부분의 IRP는 또한 SANS Institute, NIST(National Institute of Standards and Technology) 및 CISA(Cybersecurity and Infrastructure Agency)가 개발한 인시던트 대응 모델을 바탕으로 동일한 일반 인시던트 대응 프레임워크를 따릅니다.
준비. 인시던트 대응의 첫 단계인 준비는 CSIRT가 비즈니스 운영 중단을 최소화하며 최대한 빨리 대응하여 인시던트를 파악, 통제, 복구하기 위해 항상 최상의 절차와 도구를 갖추고 있도록 지원하는 지속적 활동입니다.
정기적인 리스크 평가를 통해 CSIRT는 네트워크 취약성을 파악하고, 네트워크에 리스크를 가하는 다양한 유형의 보안 인시던트를 정의하고, 조직에 대한 잠재적 영향을 바탕으로 각 유형의 우선 순위를 지정합니다. 이러한 리스크 평가를 기반으로 CSIRT는 기존 인시던트 대응 계획을 업데이트하거나 새 계획을 작성할 수 있습니다.
탐지 및 분석. 이 단계에서 보안 팀 구성원은 네트워크를 모니터링하여 의심스러운 활동 및 잠재적 위협을 확인합니다. 이들은 디바이스 로그와 네트워크에 설치된 다양한 보안 도구(안티바이러스 소프트웨어, 방화벽)에서 수집된 데이터, 공지 및 알림을 분석하여 긍정 오류를 걸러내고 심각도를 기준으로 실제 알림을 분류합니다.
현재 대부분의 조직은 SIEM(security information and event management) 및 EDR(endpoint detection and response) 등 하나 이상의 보안 솔루션을 사용하여 보안 팀이 실시간으로 보안 팀을 모니터링 및 분석하고 인시던트 탐지 및 대응 프로세스를 자동화하도록 돕습니다. (자세한 내용은 아래의 “인시던트 대응 기술”을 참조하십시오.)
또한 이 단계에서는 커뮤니케이션 계획도 실행됩니다. CSIRT는 위협 또는 침해의 종류를 파악한 후 인시던트 대응 프로세스의 다음 단계로 이동하기 전에 적절한 담당자에게 이를 알립니다.
통제. 인시던트 대응 팀은 침해로 인해 네트워크에 추가적인 피해가 발생하지 않도록 조치를 취합니다. 통제 활동은 두 가지 범주로 나눌 수 있습니다.
이 단계에서 CSIRT는 또한 영향을 받은 시스템과 그렇지 않은 시스템의 백업을 만들어 추가적인 데이터 손실을 방지하고 향후 조사를 위해 인시던트에 대한 포렌식 증거를 수집할 수 있습니다.
근절. 위협이 통제된 후 CSIRT는 완전한 해결을 위한 단계를 진행하고 시스템에서 위협을 제거합니다. 이 단계에서는 멀웨어를 파괴하고 네트워크에서 권한이 없거나 불량한 사용자를 쫓아내는 등 위협 근절을 적극적으로 실시하고 영향을 받은 시스템과 그렇지 않은 시스템을 모두 검토하여 침해의 흔적이 남지 않도록 합니다.
복구. 인시던트 대응 팀은 위협이 완전히 근절되었다고 확신할 수 있을 때 영향을 받은 시스템을 정상 운영 상태로 복원합니다. 이를 위해 패치를 배포하고, 백업을 활용하여 시스템을 재구축하고, 문제가 해결된 시스템과 디바이스를 온라인 상태로 전환할 수 있습니다.
인시던트 후 검토. 인시던트 대응 프로세스의 각 단계에서 CSIRT는 침해의 증거를 수집하고 위협을 통제 및 근절하는 데 필요한 단계를 문서화합니다. 이 단계에서 CSIRT는 이러한 정보를 검토하여 인시던트에 대한 이해를 높입니다. CSIRT는 향후 이러한 유형의 인시던트가 발생하지 않도록 공격의 근본 원인을 파악하고, 네트워크를 성공적으로 침해하는 데 활용된 방법을 알아내고, 취약성을 해결하고자 합니다.
또한 CSIRT는 향후 공격에 대한 인시던트 대응 이니셔티브를 강화하기 위해 효과적이었던 조치와 시스템, 도구, 프로세스 개선을 위한 기회를 평가합니다. 침해 상황에 따라 법 집행 기관도 인시던트 후 조사에 관여할 수 있습니다.
위에서 언급했듯이, 인시던트 대응 계획에는 일반적으로 보안 인시던트 발생 시 CSIRT가 취해야 할 조치뿐만 아니라 보안 데이터 수집 및 상관관계 분석, 실시간 인시던트 탐지, 진행 중인 공격에 대한 대응 등 주요 인시던트 대응 워크플로우를 실행하거나 자동화하기 위해 인시던트 대응 팀이 마련해야 할 보안 솔루션이 설명되어 있습니다.
가장 흔히 사용되는 인시던트 대응 기술의 예는 다음과 같습니다.
IBM Security의 인시던트 대응 서비스를 구독하여 조직이 침해 대비 역량을 향상하는 데 필요한 보안을 갖출 수 있습니다. 엘리트 IR 컨설턴트로 구성된 팀과 협력하면 신뢰할 수 있는 파트너가 대기하게 되므로 인시던트 대응에 소요되는 시간을 단축하고, 그 영향을 최소화하고, 사이버 보안 인시던트에 대한 의심이 발생하기 전에 더 빨리 복구할 수 있습니다.
위협 감지는 보안 현황의 절반에 불과합니다. 날로 양이 늘어나는 알림, 다수의 도구와 인력 부족에 대한 스마트한 인시던트 대응도 함께 필요합니다. IBM과 함께 자동화, 프로세스 표준화 그리고 기존 보안 도구와의 통합을 통해 인시던트 대응을 가속화할 수 있습니다.
노트북, 데스크탑, 원격 근무자 수가 증가함에 따라 첨단 기술을 갖춘 사이버 범죄자들이 조직에 침투할 수 있는 경로도 훨씬 더 많아졌습니다. 이러한 진입 지점을 통해 이들이 탐지되지 않고 심층적으로 침입할 수 있는 경우가 많습니다. IBM은 고도의 위협을 파악하고 해결할 수 있도록 위협 인텔리전스와 선제적 위협 사냥이 지원하는 턴키 방식의 연중무휴 24시간 위협 방지, 탐지 및 신속한 대응 기능을 제공합니다.
원격 근무 트렌드와 엔드포인트 간 상호연결 증가로 인해 악의적 활동이 증가했습니다. 멀웨어 및 랜섬웨어 위협을 자동으로 차단하고 격리할 수 있는 현대적인 AI 기반 EDR을 활용하여 분석가의 업무량을 줄일 수 있습니다.
가상 또는 대면 형식으로 3시간 동안 진행되는 이 무료 디자인 씽킹 세션에서는 IBM 보안 아키텍트 및 컨설턴트와 함께 귀사의 사이버 보안 환경을 진단하고 여러 이니셔티브의 우선순위를 결정할 수 있습니다.
가상 또는 대면 형식으로 3시간 동안 진행되는 이 무료 디자인 씽킹 세션에서는 IBM 보안 아키텍트 및 컨설턴트와 함께 귀사의 사이버 보안 환경을 진단하고 여러 이니셔티브의 우선순위를 결정할 수 있습니다.
인시던트 대응 과제 해결을 위한 강력한 전략 구축
랜섬웨어는 랜섬을 지불할 때까지 피해자의 디바이스와 데이터를 인질로 잡는 멀웨어입니다.
내부자 위협은 권한이 있는 사용자가 의도적으로 또는 의도치 않게 중요한 데이터 또는 네트워크 자산을 노출시키는 경우를 말합니다.
글로벌 관점에서 위협 환경에 대한 사이버 공격 위험을 파악합니다.
데이터 유출 비용 보고서에서는 데이터 유출의 재정적 영향을 조명하고, 데이터 유출 사고를 방지하거나 사고 발생 시 비용 부담을 최소화하는 데 도움이 될 수 있는 보안 조치를 설명합니다.