인시던트 대응이란?

인시던트 대응(사이버 보안 인시던트 대응이라고도 부름)은 사이버 위협, 보안 침해 또는 사이버 공격을 탐지하고 이에 대응하기 위한 조직의 프로세스 및 기술을 일컫습니다. 인시던트 대응의 목표는 사이버 공격이 발생하기 전에 방지하고 사이버 공격으로 인한 비용 및 비즈니스 운영 중단을 최소화하는 것입니다.

이상적인 조직은 다양한 유형의 사이버 공격을 파악하고 통제하고 해결하는 방법을 정확하게 기술한 공식적 인시던트 대응 계획(incident response plan, IRP)에 인시던트 대응 프로세스와 기술을 정의해 둡니다. 효과적인 인시던트 대응 계획은 사이버 보안 팀이 사이버 위협을 탐지 및 통제하고, 영향을 받은 시스템을 더 빨리 복원하고, 수익 손실, 규제 위반으로 인한 벌금 및 위협과 관련된 기타 비용을 줄일 수 있도록 지원합니다. IBM의 Cost of a Data Breach 2022 Report에 따르면 인시던트 대응 팀이 있고 정기적으로 인시던트 대응 계획을 테스트한 조직은 인시던트 대응 팀과 IRP가 없는 조직보다 평균 데이터 침해 비용이 미화 266만 달러 더 낮았습니다.

보안 인시던트란 무엇입니까?

보안 인시던트 또는 보안 이벤트는 조직의 정보 시스템 또는 중요한 데이터의 기밀성, 무결성 또는 가용성을 위협하는 모든 디지털 침해 또는 물리적 침해를 말합니다. 보안 인시던트는 해커 또는 권한 없는 사용자의 의도적 사이버 공격부터 적법하게 권한을 가진 사용자가 보안 정책을 의도하지 않게 위반한 경우까지 다양하게 발생할 수 있습니다.

가장 흔한 보안 인시던트의 예는 다음과 같습니다.

랜섬웨어. 랜섬웨어는 피해자의 데이터 또는 컴퓨팅 디바이스를 잠그고 피해자가 공격자에게 랜섬을 지불하지 않으면 디바이스를 풀어주지 않거나 더 나쁜 일을 벌일 것이라고 위협하는 일종의 멀웨어 또는 악성 소프트웨어입니다. IBM의 Cost of a Data Breach 2022 보고서에 따르면 랜섬웨어 공격은 2021년과 2022년 사이 41% 증가했습니다.

랜섬웨어 자세히 보기.

피싱 및 사회공학적 기법. 피싱 공격은 수신자를 조종하여 중요한 정보를 공유하거나, 악성 소프트웨어를 다운로드하거나, 금전이나 자산을 엉뚱한 사람에게 송금하거나, 기타 피해를 입히는 행동을 하도록 유도하는 디지털 또는 음성 메시지입니다. 사기범은 피싱 메시지를 조작하여 신뢰할 수 있는 조직이나 개인, 경우에 따라 수신자가 개인적으로 알고 있는 사람이 보낸 것처럼 보이거나 들리도록 만듭니다.

IBM의 Cost of a Data Breach 2022 보고서에 따르면 피싱은 가장 많은 비용을 초래하는 데이터 침해의 원인이며 두 번째로 흔한 데이터 침해의 원인입니다. 또한 피싱은 가장 흔한 형태의 사회공학적 기법입니다. 사회공학적 기법이란 중요한 개인/엔터프라이즈 데이터 또는 자산에 무단 액세스 권한을 얻기 위해 디지털 보안의 취약성이 아니라 인간의 본성을 공격하는 기법을 말합니다.

사회공학적 기법 자세히 보기.

DDoS 공격. 분산 서비스 거부(distributed denial-of-service, DDoS) 공격의 경우 해커는 다수의 컴퓨터에 대한 원격 제어 능력을 얻어 대상 조직의 네트워크 또는 서비스를 트래픽으로 무력화시키는 데 사용합니다. 그 결과 적법한 사용자는 이러한 리소스를 사용할 수 없게 됩니다.

DDoS 공격 자세히 보기.

공급망 공격. 공급망 공격은 공급업체를 공격하여 대상 조직에 침입하는 사이버 공격을 말합니다. 예를 들면, 공급업체의 시스템에서 중요한 데이터를 훔치거나 공급업체의 서비스를 사용하여 멀웨어를 배포하는 것을 말합니다. 2021년 7월, 사이버 범죄자들은 Kaseya의 VSA 플랫폼의 결함을 활용하여 (ibm.com 외부 링크) 적법한 소프트웨어 업데이트로 가장하여 고객들에게 랜섬웨어를 퍼뜨렸습니다. IBM의 2021 Cyber Resilient Organization Study에 따르면, 공급망 공격의 빈도가 증가함에도 불구하고 조직 중 32%만이 인시던트 대응 계획을 통해 이 유형의 사이버 위협에 대비하고 있는 것으로 나타났습니다.

공급망 보안 자세히 보기.

내부자 위협. 내부자 위협은 두 가지 유형이 있습니다. 악의적 내부자는 의도적으로 조직의 정보 보안을 침해하는 직원, 파트너 또는 기타 권한이 있는 사용자를 말합니다. 부주의한 내부자는 취약한 비밀번호를 사용하거나 보안이 적용되지 않은 장소에 중요한 정보를 저장하는 등 보안 베스트 프랙티스를 따르지 않아 의도하지 않게 보안을 침해하는 권한 있는 사용자를 말합니다.

내부자 위협 자세히 보기.

인시던트 대응 작동 원리

인시던트 대응 계획

위에서 언급했듯이 조직은 인시던트 계획에 따라 인시던트 대응 노력을 기울입니다. 일반적으로 이러한 계획은 조직 전반의 이해 관계자(최고 정보 보안 책임자(chief information security officer, CISO), 보안 운영 센터(security operations center, SOC) 및 IT 직원뿐만 아니라 경영진, 법무, 인사, 규정 준수 및 리스크 관리 대표자 포함)로 구성된 컴퓨터 보안 인시던트 대응 팀(computer security incident response team, CSIRT)이 수립하고 실행합니다.

인시던트 대응 계획에는 일반적으로 다음 사항이 포함됩니다.

CSIRT의 각 구성원의 역할 및 책임
소프트웨어, 하드웨어 및 기타 기술과 같은 엔터프라이즈 전반에 설치해야 할 보안 솔루션
운영 중단 발생 시 영향을 받은 중요한 시스템과 데이터를 최대한 빨리 복원하기 위한 절차를 설명하는 비즈니스 연속성 계획
인시던트 대응 프로세스(아래 참조)의 각 단계에서 밟아야 할 구체적 단계와 이를 실행하는 주체를 명시하는 상세한 인시던트 대응 방법론
회사 리더, 직원, 고객, 심지어 법 집행 기관에게 인시던트를 알리기 위한 커뮤니케이션 계획
사후 검토 및 (필요할 경우) 법적 소송을 위해 인시던트에 대한 정보를 수집하고 이를 문서화하기 위한 문서화 지침

각 인시던트 유형마다 다른 대응이 필요할 수 있으므로 CSIRT가 여러 유형의 인시던트에 대해 서로 다른 인시던트 대응 계획을 작성하는 경우가 흔합니다. IBM의 2021 Cyber Resilient Organization Study에 따르면 대부분의 조직은 DDoS 공격, 멀웨어 및 랜섬웨어, 피싱에 대한 구체적인 인시던트 대응 계획을 갖추고 있고 거의 절반은 내부자 위협에 대한 계획을 갖고 있습니다.

사내 CSIRT를 인시던트 대응 서비스를 제공하는 외부 파트너로 보충하는 조직도 있습니다. 이러한 파트너들은 인시던트 대응 서비스 관련 업무를 수행하고 IRP 준비 및 실행 등 인시던트 관리 프로세스의 다양한 측면에 대한 지원을 제공하는 경우가 많습니다.

인시던트 대응 프로세스

대부분의 IRP는 또한 SANS Institute, NIST(National Institute of Standards and Technology) 및 CISA(Cybersecurity and Infrastructure Agency)가 개발한 인시던트 대응 모델을 바탕으로 동일한 일반 인시던트 대응 프레임워크를 따릅니다.

준비. 인시던트 대응의 첫 단계인 준비는 CSIRT가 비즈니스 운영 중단을 최소화하며 최대한 빨리 대응하여 인시던트를 파악, 통제, 복구하기 위해 항상 최상의 절차와 도구를 갖추고 있도록 지원하는 지속적 활동입니다.

정기적인 리스크 평가를 통해 CSIRT는 네트워크 취약성을 파악하고, 네트워크에 리스크를 가하는 다양한 유형의 보안 인시던트를 정의하고, 조직에 대한 잠재적 영향을 바탕으로 각 유형의 우선 순위를 지정합니다. 이러한 리스크 평가를 기반으로 CSIRT는 기존 인시던트 대응 계획을 업데이트하거나 새 계획을 작성할 수 있습니다.

탐지 및 분석. 이 단계에서 보안 팀 구성원은 네트워크를 모니터링하여 의심스러운 활동 및 잠재적 위협을 확인합니다. 이들은 디바이스 로그와 네트워크에 설치된 다양한 보안 도구(안티바이러스 소프트웨어, 방화벽)에서 수집된 데이터, 공지 및 알림을 분석하여 긍정 오류를 걸러내고 심각도를 기준으로 실제 알림을 분류합니다.

현재 대부분의 조직은 SIEM(security information and event management) 및 EDR(endpoint detection and response) 등 하나 이상의 보안 솔루션을 사용하여 보안 팀이 실시간으로 보안 팀을 모니터링 및 분석하고 인시던트 탐지 및 대응 프로세스를 자동화하도록 돕습니다. (자세한 내용은 아래의 “인시던트 대응 기술”을 참조하십시오.)

또한 이 단계에서는 커뮤니케이션 계획도 실행됩니다. CSIRT는 위협 또는 침해의 종류를 파악한 후 인시던트 대응 프로세스의 다음 단계로 이동하기 전에 적절한 담당자에게 이를 알립니다.

통제. 인시던트 대응 팀은 침해로 인해 네트워크에 추가적인 피해가 발생하지 않도록 조치를 취합니다. 통제 활동은 두 가지 범주로 나눌 수 있습니다.

단기적 통제 대책은 감염된 디바이스를 오프라인 상태로 전환하는 것처럼 영향을 받은 시스템을 격리하여 당면한 위협이 확산되는 것을 방지하는 데 주력합니다.
장기적 통제 대책은 중요한 데이터베이스를 네트워크의 나머지 부분과 분리하는 것처럼 주변에 더 강력한 보안 장치를 적용하여 영향을 받지 않은 시스템을 보호하는 데 주력합니다.

이 단계에서 CSIRT는 또한 영향을 받은 시스템과 그렇지 않은 시스템의 백업을 만들어 추가적인 데이터 손실을 방지하고 향후 조사를 위해 인시던트에 대한 포렌식 증거를 수집할 수 있습니다.

근절. 위협이 통제된 후 CSIRT는 완전한 해결을 위한 단계를 진행하고 시스템에서 위협을 제거합니다. 이 단계에서는 멀웨어를 파괴하고 네트워크에서 권한이 없거나 불량한 사용자를 쫓아내는 등 위협 근절을 적극적으로 실시하고 영향을 받은 시스템과 그렇지 않은 시스템을 모두 검토하여 침해의 흔적이 남지 않도록 합니다.

복구. 인시던트 대응 팀은 위협이 완전히 근절되었다고 확신할 수 있을 때 영향을 받은 시스템을 정상 운영 상태로 복원합니다. 이를 위해 패치를 배포하고, 백업을 활용하여 시스템을 재구축하고, 문제가 해결된 시스템과 디바이스를 온라인 상태로 전환할 수 있습니다.

인시던트 후 검토. 인시던트 대응 프로세스의 각 단계에서 CSIRT는 침해의 증거를 수집하고 위협을 통제 및 근절하는 데 필요한 단계를 문서화합니다. 이 단계에서 CSIRT는 이러한 정보를 검토하여 인시던트에 대한 이해를 높입니다. CSIRT는 향후 이러한 유형의 인시던트가 발생하지 않도록 공격의 근본 원인을 파악하고, 네트워크를 성공적으로 침해하는 데 활용된 방법을 알아내고, 취약성을 해결하고자 합니다.

또한 CSIRT는 향후 공격에 대한 인시던트 대응 이니셔티브를 강화하기 위해 효과적이었던 조치와 시스템, 도구, 프로세스 개선을 위한 기회를 평가합니다. 침해 상황에 따라 법 집행 기관도 인시던트 후 조사에 관여할 수 있습니다.

인시던트 대응 기술

위에서 언급했듯이, 인시던트 대응 계획에는 일반적으로 보안 인시던트 발생 시 CSIRT가 취해야 할 조치뿐만 아니라 보안 데이터 수집 및 상관관계 분석, 실시간 인시던트 탐지, 진행 중인 공격에 대한 대응 등 주요 인시던트 대응 워크플로우를 실행하거나 자동화하기 위해 인시던트 대응 팀이 마련해야 할 보안 솔루션이 설명되어 있습니다.

가장 흔히 사용되는 인시던트 대응 기술의 예는 다음과 같습니다.

SIEM(security information and event management): SIEM은 별개의 내부 보안 도구(예: 방화벽, 취약성 스캐너, 위협 인텔리전스 피드) 및 네트워크 디바이스에서 얻은 보안 이벤트 데이터를 집계하고 상관관계를 분석합니다. SIEM은 인시던트 대응 팀이 이러한 도구에서 생성되는 많은 양의 알림 때문에 발생하는 '알림 피로'와 싸우고 실제 위협에 대한 지표를 활용할 수 있도록 돕습니다.
SOAR(security orchestration, automation and response): SOAR는 보안 팀이 플레이북(보안 인시던트에 대응하기 위해 다양한 보안 작업과 도구를 조율하는 공식화된 워크플로우)을 정의하고 가능하면 이러한 워크플로우의 부분을 자동화하도록 지원합니다.
EDR(endpoint detection and response): EDR은 안티바이러스 소프트웨어와 기타 기존의 엔드포인트 보안 도구를 통과한 사이버 위협으로부터 조직의 최종 사용자, 엔드포인트 디바이스 및 IT 자산을 자동으로 보호하도록 설계된 소프트웨어입니다. EDR은 지속적으로 네트워크의 모든 엔드포인트에서 데이터를 수집합니다. 실시간으로 데이터를 분석하여 알려진 사이버 위협 또는 의심스러운 사이버 위협의 증거를 찾고, 확인된 위협으로 인한 피해를 방지하거나 최소화하기 위해 자동으로 대응합니다.
XDR(extended detection and response): XDR은 위협 방지, 탐지, 대응을 위한 중앙집중식 단일 엔터프라이즈 시스템을 만들기 위해 하이브리드 IT 환경 전반(엔드포인트, 네트워크, 프라이빗 및 퍼블릭 클라우드)에서 보안 도구, 제어 포인트, 데이터 및 원격측정 소스, 분석을 통합하는 사이버 보안 기술입니다. 아직 신생 기술로 여겨지는 XDR은 보안 도구 간의 사일로를 해소하고 사이버 위협 킬 체인 전반에서 대응을 자동화하여 과중한 업무에 시달리는 보안 팀과 SOC(security operations center)가 효율성을 높일 수 있도록 도울 수 있는 잠재력이 있습니다.
UEBA(user and entity behavior analytics): UEBA는 행동 분석, 머신 러닝 알고리즘 및 자동화를 활용하여 비정상적이고 잠재적으로 위험할 수 있는 사용자 및 디바이스 행동을 파악합니다. UEBA는 권한 있는 네트워크 트래픽을 흉내내므로 다른 보안 도구의 감시를 피할 수 있는 내부자 위협(악의적 내부자 또는 침해된 내부자 자격증명을 사용하는 해커)을 파악하는 데 특히 효과적입니다. UEBA 기능은 SIEM, EDR 및 XDR 솔루션에 포함된 경우가 많습니다.
ASM(attach surface management): ASM 솔루션은 조직의 공격 표면에 있는 모든 자산에 대해 취약성과 잠재적 공격 벡터를 지속적으로 검색, 분석, 해결, 모니터링하는 작업을 자동화합니다. ASM은 이전에 모니터링되지 않은 네트워크 자산을 찾아내어 자산 간의 관계를 매핑할 수 있습니다.