홈
topics
인시던트 대응
업데이트 날짜: 2024년 8월 20일
기고자: Jim Holdsworth, Matthew Kosinski
사이버 보안 인시던트 대응이라고도 하는 인시던트 대응은 사이버 위협, 보안 침해, 사이버 공격을 탐지하고 대응하는 조직의 프로세스와 기술을 말합니다. 공식적인 인시던트 대응 계획을 통해 사이버 보안 팀은 피해를 제한하거나 예방할 수 있습니다.
사고 대응의 목표는 사이버 공격이 발생하기 전에 이를 예방하고, 사이버 공격으로 인해 발생하는 비용과 업무 중단을 최소화하는 것입니다. 사고 대응은 사고 관리의 기술적 부분으로, 심각한 사고에 대한 임원, 인사 및 법률 관리를 포함합니다.
이상적으로 조직은 다양한 유형의 사이버 공격을 식별, 억제 및 해결하는 방법을 명확히 규정하는 공식적인 인시던트 대응 계획(IRP)에서 인시던트 대응 프로세스와 기술을 정의해야 합니다.
효과적인 인시던트 대응 계획은 사이버 인시던트 대응 팀이 사이버 위협을 탐지 및 억제하고, 영향을 받는 시스템을 복원하고, 매출 손실, 규제 벌금 및 기타 비용을 줄이는 데 도움이 될 수 있습니다.
IBM의 데이터 유출 비용(CODB) 보고서에 따르면 인시던트 대응 팀과 공식적인 인시던트 대응 계획을 갖추면 조직이 침해 비용을 평균적으로 거의 50만 달러(미화 473,706달러)를 절감할 수 있는 것으로 나타났습니다.
130개 이상의 국가에서 매일 1,500억 건 이상의 보안 이벤트를 모니터링하여 수집한 인사이트와 관찰을 기반으로 하는 이 보고서를 통해 인시던트 대응 기능을 개선하세요.
보안 인시던트 또는 보안 이벤트는 조직의 정보 시스템이나 민감한 데이터의 기밀성, 무결성 또는 가용성을 위협하는 디지털이나 물리적 침해를 말합니다. 보안 인시던트는해커나 권한이 없는 사용자의 의도적인 사이버 공격부터 합법적인 권한이 있는 사용자의 의도하지 않은 IT 보안 정책 위반에 이르기까지 다양합니다.
가장 일반적인 보안 인시던트는 다음과 같습니다.
랜섬웨어는 악성 소프트웨어 또는 멀웨어의 일종으로, 피해자의 데이터나 컴퓨팅 디바이스를 잠그고 피해자가 몸값을 지불하지 않으면 잠금을 풀어주지 않거나 더 나쁜 상태로 만들겠다고 위협합니다.IBM의 최신 X-Force Threat Intelligence Index에 따르면 네트워크 공격의 20%가 랜섬웨어를 사용했으며 탈취 기반 공격이 사이버 범죄의 원동력이며 데이터 도난 및 유출이 그 뒤를 이었습니다.
피싱 공격은 수신자를 조종하여 민감한 정보를 공유하거나, 악성 소프트웨어를 다운로드하거나, 잘못된 사람에게 돈이나 자산을 이체하거나, 기타 피해를 입히는 조치를 취하도록 유도하는 디지털 또는 음성 메시지입니다.
공격자들은 피싱 메시지를 신뢰할 수 있거나 믿을 수 있는 조직이나 개인(때로는 수신자가 개인적으로 알고 있는 개인)이 보낸 것처럼 보이거나 들리도록 조작합니다.
IBM 데이터 유출 비용(CODB) 보고서에 따르면 피싱과 도난 또는 손상된 자격 증명은 가장 흔한 두 가지 공격 벡터입니다. 피싱은 또한 소셜 엔지니어링의 가장 일반적인 형태로, 디지털 보안 취약성이 아닌 인간의 본성을 해킹하여 민감한 개인 또는 기업 데이터 또는 자산에 무단으로 액세스하는 공격 유형입니다.
분산 서비스 거부(DDoS) 공격에서 해커는 대량의 컴퓨터를 제어하여 가짜 트래픽으로 대상 조직의 네트워크 또는 서버를 압도하여 합법적인 사용자가 해당 리소스를 사용할 수 없게 만듭니다.
공급망 공격은 공급업체를 공격하여 대상 조직에 침투하는 사이버 공격입니다. 예를 들어, 공급업체의 시스템에서 중요한 데이터를 훔치거나 공급업체의 서비스를 사용하여 맬웨어를 배포하는 것이 포함될 수 있습니다.
내부자 위협에는 두 가지 유형이 있습니다. 악의적인 내부자는 조직의 정보 보안을 의도적으로 손상시키는 직원, 파트너 또는 기타 승인된 사용자입니다. 부주의한 내부자는 보안 모범 사례를 따르지 않음으로써 의도치 않게 보안을 손상시키는 승인된 사용자입니다. 예를 들어, 약한 암호를 사용하거나 안전하지 않은 곳에 중요한 데이터를 저장하는 것입니다.
여기에는 공격자가 먼저 시스템에서 제한된 권한을 얻은 다음, 이를 사용하여 횡적으로 이동하여 더 높은 권한을 받고 더 중요한 데이터에 대한 액세스 권한을 얻는 것과 관련이 있습니다.
도난당한 자격 증명은 공격자가 초기 진입을 하거나 권한을 높이는 데 도움이 될 수 있습니다. X-Force Threat Intelligence Index에 따르면 유효한 계정을 남용하는 것은 오늘날 공격자가 시스템을 침해하는 가장 일반적인 방법입니다.
MITM 공격에서 위협 행위자는 사용자 이름이나 비밀번호와 같은 민감한 정보가 포함된 이메일인 통신을 가로채 해당 통신을 훔치거나 변경합니다. 공격자는 훔친 정보를 직접 사용하거나 멀웨어를 주입하여 의도한 수신자에게 전달합니다.
조직의 인시던트 처리 활동은 일반적으로 인시던트 대응 계획에 따라 진행됩니다. 일반적으로 계획은 조직 전체의 이해 관계자로 구성된 컴퓨터 보안 인시던트 대응 팀(CSIRT)에 의해 만들어지고 실행됩니다.
CSIRT 팀에는 최고 정보 보안 책임자(CISO), 보안 운영 센터(SOC), 보안 분석가 및 IT 직원이 포함될 수 있습니다. 또한 경영진, 법무, 인사, 규정 준수, 리스크 관리 및 서비스 제공업체의 제3자 전문가가 포함될 수도 있습니다.
데이터 유출 비용(CODB) 보고서에 따르면 "대응 준비에 투자함으로써 조직은 데이터 침해의 비용이 많이 들고 파괴적인 영향을 줄이고, 운영 연속성을 지원하며, 고객, 파트너 및 기타 주요 이해 관계자와의 관계를 유지하는 데 도움이 될 수 있습니다."
인시던트 대응 계획에는 일반적으로 다음이 포함됩니다.
인시던트 대응 라이프사이클 전반에 걸쳐 CSIRT 각 구성원의 역할과 책임을 포함하는 인시던트 대응 플레이북.
소프트웨어, 하드웨어 및 기타 기술과 같은 보안 솔루션을 기업 전체에 설치.
업무 중단 시 중요한 시스템과 데이터를 최대한 신속하게 복구하기 위한 절차를 설명하는 비즈니스 연속성 계획.
인시던트 대응 프로세스의 각 단계에서 수행해야 할 구체적인 단계와 담당자를 상세히 설명하는 인시던트 대응 방법론.
회사 리더, 직원, 고객, 법 집행 기관에 인시던트에 대해 알리기 위한 커뮤니케이션 계획.
사후 검토 및 (필요한 경우) 법적 절차를 위해 인시던트에 대한 정보를 수집하고 문서화하기 위한 지침.
CSIRT는 각 유형이 고유한 대응이 필요할 수 있으므로 다양한 유형의 사건에 대한 인시던트 대응 계획을 마련할 수 있습니다. 많은 조직이 DDoS 공격, 멀웨어, 랜섬웨어, 피싱 및 내부자 위협과 관련된 구체적인 인시던트 대응 계획을 가지고 있습니다.
조직의 환경 또는 환경에 맞는 인시던트 대응 계획을 수립하는 것이 조직이 공격에 대응하고 문제를 해결하며 복구하는 데 걸리는 시간을 단축하는 데 매우 중요합니다.
일부 조직에서는 인시던트 대응 서비스를 제공하는 외부 파트너를 통해 사내 CSIRT를 보완합니다. 이러한 파트너들은 일반적으로 유지보수 업무를 수행하며, 전반적인 인시던트 관리 프로세스의 다양한 측면을 지원하는데 중점을 둡니다. 이를 통해 인시던트 대응 계획의 준비와 실행을 담당합니다.
대부분의 인시던트 대응 계획은 미국 국립표준기술연구소(NIST)1 및 SANS Institute2에서 개발한 모델을 기반으로 하는 동일한 일반 인시던트 대응 프레임워크를 따릅니다. 일반적인 인시던트 대응 단계는 다음과 같습니다.
인시던트 대응의 첫 번째 단계 역시 지속적인 단계입니다. CSIRT는 가능한 한 신속하고 비즈니스 중단을 최소화하면서 사고에 대응, 식별, 억제 및 복구할 수 있는 최상의 절차, 도구 및 기법을 선택합니다.
CSIRT는 정기적인 위험 평가를 통해 보호해야 할 비즈니스 환경, 잠재적인 네트워크 취약성 및 네트워크에 위험을 초래하는 다양한 유형의 보안 사고를 식별합니다. 팀은 조직에 미칠 수 있는 잠재적 영향에 따라 각 유형의 인시던트의 우선 순위를 지정합니다.
CSIRT는 여러 가지 공격 전략을 "기동 훈련"한 다음, 실제 공격 중에 조치를 가속화하기 위해 가장 효과적인 대응 템플릿을 만들 수 있습니다. 향후 연습 및 가능한 공격에 대한 메트릭을 설정하기 위해 응답 시간을 추적할 수 있습니다. 완전한 위험 평가를 바탕으로 CSIRT는 기존 인시던트 대응 계획을 업데이트하거나 새 인시던트 대응 계획의 초안을 작성할 수 있습니다.
이 단계에서 보안 팀 구성원은 네트워크를 모니터링하여 의심스러운 활동과 잠재적 위협이 있는지 확인합니다. 디바이스 로그 및 다양한 보안 도구(바이러스 백신 소프트웨어, 방화벽)에서 수집한 데이터, 알림 및 경고를 분석하여 진행 중인 인시던트를 식별합니다. 팀은 실제 인시던트에서 오탐을 필터링하고 심각도에 따라 실제 경고를 분류합니다.
오늘날 대부분의 조직은 보안 정보 및 이벤트 관리(SIEM) 및 엔드포인트 탐지 및 대응(EDR)과 같은 하나 이상의 보안 솔루션을 사용하여 보안 이벤트를 실시간으로 모니터링하고 대응 작업을 자동화합니다. (자세한 내용은 '인시던트 대응 기술' 섹션을 참조하세요.)
커뮤니케이션 계획도 이 단계에서 작동합니다. CSIRT가 다룰 위협 또는 침해의 종류를 결정하면, 인시던트 대응 프로세스의 다음 단계로 넘어가기 전에 적절한 담당자에게 알립니다.
인시던트 대응 팀은 침해 또는 기타 악의적인 활동이 추가 피해를 주지 않도록 조치를 취합니다. 그런 다음, 긴급 인시던트 대응 계획이 실행됩니다. 격리 활동에는 다음과 같은 두 가지 범주가 있습니다.
단기 완화 조치는 감염된 디바이스를 오프라인 상태로 전환하는 등 영향을 받는 시스템을 격리하여 현재 위협이 확산되는 것을 방지하는 데 중점을 둡니다.
장기 격리 조치는 네트워크의 나머지 부분에서 민감한 데이터베이스를 분할하는 등 시스템에 더 강력한 보안 제어를 배치하여 영향을 받지 않는 시스템을 보호하는 데 중점을 둡니다.
이 단계에서 CSIRT는 추가 데이터 손실을 방지하고 향후 연구를 위해 인시던트의 포렌식 증거를 캡처하기 위해 영향을 받는 시스템과 영향을 받지 않는 시스템의 백업을 생성할 수도 있습니다.
위협이 완화된 후 팀은 시스템에서 위협을 완전히 제거하고 전체 수정 단계로 넘어갑니다. 여기에는 멀웨어를 제거하거나 네트워크에서 권한 없는 사용자 또는 악성 사용자를 차단하는 것이 포함될 수 있습니다. 또한 팀은 영향을 받은 시스템과 영향을 받지 않은 시스템을 모두 검토하여 침해의 흔적이 남지 않도록 합니다.
인시던트 대응 팀은 위협이 완전히 근절되었다고 확신하면 영향을 받는 시스템을 정상 작동 상태로 복원합니다. 이 치료 조치에는 패치를 배포하고, 백업에서 시스템을 재구축하며, 시스템 및 장치를 다시 온라인으로 가져오는 작업이 포함될 수 있습니다. 공격 및 해결 방법은 분석 및 시스템 개선을 위해 보존됩니다.
인시던트 대응 프로세스의 각 단계에서 CSIRT는 침해 증거를 수집하고 위협을 격리하고 근절하기 위해 취하는 단계를 문서화합니다. 이 단계에서 CSIRT는 이 정보를 검토하여 사건을 더 잘 이해하고 “교훈”을 수집합니다. CSIRT는 공격의 근본 원인을 파악하고, 공격이 성공적으로 네트워크를 침해한 방법을 확인하여, 향후 이러한 사건이 재발하지 않도록 취약점을 수정하려고 합니다.
CSIRT는 잘 진행된 사항을 검토하며 향후 공격에 대한 인시던트 대응 이니셔티브를 강화하기 위해 시스템, 도구 및 프로세스를 개선하기 위한 기회를 찾습니다. 침해의 상황에 따라 법 집행 기관도 인시던트 사후 조사에 관여할 수 있습니다.
CSIRT가 보안 인시던트 발생 시 취해야 할 조치 외에도 인시던트 대응 계획은 일반적으로 보안 데이터 수집 및 상관 관계, 실시간 인시던트 감지, 진행 중인 공격에 대응 등 주요 인시던트 대응 워크플로를 구현하거나 자동화하기 위해 사용해야 하는 보안 솔루션을 설명합니다.
가장 일반적으로 사용되는 인시던트 대응 기술은 다음과 같습니다.
ASM 솔루션은 조직의 공격 표면에 있는 모든 자산의 취약성과 잠재적 공격 벡터를 지속적으로 발견하고, 분석하고, 수정하고, 모니터링하는 작업을 자동화합니다. ASM은 이전에 모니터링되지 않았던 네트워크 자산을 발견하고 자산 간의 관계를 매핑할 수 있습니다.
EDR은 바이러스 백신 소프트웨어 및 기타 기존 엔드포인트 보안 도구를 우회하는 사이버 위협으로부터 조직의 사용자, 엔드포인트 디바이스 및 IT 자산을 자동으로 보호하도록 설계된 소프트웨어입니다.
EDR은 네트워크의 모든 엔드포인트에서 지속적으로 데이터를 수집합니다. 또한 실시간으로 데이터를 분석하여 알려진 또는 의심되는 사이버 위협의 증거를 찾고, 식별한 위협으로부터 피해를 예방하거나 최소화하기 위해 자동으로 대응할 수 있습니다.
SIEM은 서로 다른 내부 보안 도구(예:방화벽, 취약성 스캐너 및 위협 인텔리전스 피드)와 네트워크의 디바이스에서 보안 이벤트 데이터를 집계하고 상호 연관시킵니다.
SIEM은 보안 도구가 생성하는 방대한 양의 알림에서 실제 위협의 지표를 구별하여 인시던트 대응 팀이 '알림 피로'를 해소하는 데 도움을 줄 수 있습니다.
SOAR을 통해 보안 팀은 보안 사고에 대응하여 다양한 보안 운영 및 도구를 조정하는 공식화된 워크플로우인 플레이북을 정의할 수 있습니다. SOAR 플랫폼은 가능한 경우 이러한 워크플로의 일부를 자동화할 수도 있습니다.
UEBA는 동작 분석, 머신 러닝 알고리즘 및 자동화를 사용하여 비정상적이고 잠재적으로 위험한 사용자 및 장치 동작을 식별합니다.
UEBA는 승인된 네트워크 트래픽을 모방하여 다른 보안 툴을 우회할 수 있는 내부자 위협(악의적인 내부자 또는 도용된 내부자 자격 증명을 사용하는 해커)을 식별하는 데 효과적입니다. UEBA 기능은 일반적으로 SIEM, EDR 및 XDR 솔루션에 포함됩니다.
XDR은 하이브리드 IT 환경 전반에서 보안 도구, 제어 지점, 데이터 및 원격 측정 소스, 분석을 통합하는 사이버 보안 기술입니다. XDR은 위협 방지, 탐지 및 대응을 위한 단일 중앙 엔터프라이즈 시스템을 만듭니다. XDR은 보안 도구 간의 사일로를 제거하고 전체 사이버 위협 킬 체인에 걸쳐 대응을 자동화함으로써 과도하게 확장된 보안 팀과 SOC가 더 적은 비용으로 더 많은 일을 할 수 있도록 지원합니다.
데이터 도둑과 해커가 AI를 사용해 공격을 강화하는 것처럼, 인공 지능(AI)은 조직이 사이버 위협에 맞서 더 강력한 방어력을 구축하는 데 도움이 될 수 있습니다.
추가된 AI 보호 기능을 사용하면 상당한 비용 절감 효과를 얻을 수 있습니다. IBM 데이터 유출 비용(CODB) 보고서에 따르면 AI 기반 보안 솔루션을 사용하는 조직은 최대 220만 달러의 침해 비용을 절감할 수 있습니다.
엔터프라이즈급 AI 기반 보안 시스템은 다음을 통해 사고 대응 역량을 개선할 수 있습니다.
AI 기반 시스템은 방대한 양의 데이터를 모니터링하여 의심스러운 트래픽 패턴이나 사용자 행동에 대한 검색 속도를 높임으로써 위협 탐지 및 완화를 가속화할 수 있습니다.
AI 기반 시스템은 사이버 보안 팀에 실시간 인사이트를 제공하고, 인시던트 분류를 자동화하고, 사이버 위협에 대한 방어를 조정하고, 공격을 받는 시스템을 격리함으로써 보다 사전 예방적인 인시던트 대응 프로세스를 지원할 수 있습니다.
AI 기반 위험 분석을 통해 사고 요약을 생성하여 경보 조사를 가속화하고 실패의 근본 원인을 찾는 데 도움을 줄 수 있습니다. 이러한 사고 요약은 향후 발생할 가능성이 가장 높은 위협을 예측하는 데 도움이 되므로 사고 대응 팀은 이러한 위협에 대응하기 위한 더 강력한 계획을 세밀하게 조정할 수 있습니다.
IBM 위협 탐지 및 대응 솔루션을 활용하여 보안을 강화하고 위협 탐지를 가속화하세요.
정책을 코드로 정의하고, 보안 데이터에 대한 제어를 구현하고, 하이브리드 멀티클라우드 환경 전반에서 보안 및 규정 준수 상태를 평가할 수 있는 통합 솔루션 제품군입니다.
DNS 데이터를 사용하여 잘못된 구성과 보안 문제를 빠르게 식별할 수 있습니다.
모든 링크는 ibm.com 외부에 있습니다.
1 사이버 보안 프레임워크의 5가지 기능, 미국 국립표준기술연구소(NIST), 2024년 2월 26일.
2 SANS 백서: 인시던트 처리자의 핸드북, SANS Institute, 2012년 2월 21일.