해킹 직후… 골든타임 원칙 6가지

해킹은 여러 나쁜 결과를 초래한다. 특히 고객 데이터가 유출되면 피해가 더 커진다. 그렇다면 기업은 어떤 방법으로 해킹 공격에 대처해야 장기적으로 도움이 될까?

그 즉시 효과적으로 대응을 하면 피해를 최소화하거나, 고객과 비즈니스 파트너, 사회 전반에 긍정적인 기업 이미지를 전달할 수 있다. 그러나 잘못된 방법으로 굼뜨게 대처하면 상황이 악화되고, 기업은 오랜 기간 피해를 입을 수 있다.

다음은 해킹으로 보안 침해 사고가 발생한 기업들이 실천해야 할 6가지 행동이다.

1. 통일된 대응 계획을 침착하게 이행한다
2. 사고 대응 팀을 가동한다
3. 필요에 따라 보안 전문가 및 벤더와 협력한다
4. 법적 문제에 염두에 두고 대처한다
5. 보험 보상 절차를 감안해 준비한다
6. 커뮤니케이션 통로를 열어 놓는다

1. 통일된 대응 계획을 침착하게 이행한다
해킹을 당한 후 가장 먼저 할 일은 세심하게 정립된 사고 대응 계획을 이행하는 것이다. 이를 위해서는 사고 대응 계획을 갖고 있어야 한다. 사전에 통일된 계획을 수립해둬야만 가능한 이야기다.

해킹에 대처하는 계획에는 사고 대응 총괄 책임자, 사고 대응 과정에 참여할 사람, 각 부서가 취해야 할 행동, 시의 적절한 사고 파악과 신속한 대처를 위해 활용할 기술 툴 등이 포함돼 있어야 한다.

SANS 인스터튜트의 SANS 사이버 방어 프로그램(Cyber Defense Program) 디렉터이자 연구원인 에릭 콜은 “겁에 질린 상태에서 피해를 통제하려 시도하기가 쉽다. 그런데 적절한 계획이 없을 경우, 증거를 파괴하면서 상황을 악화시키는 사례가 아주 많다”라고 지적했다.

이 계획에는 또 보안 침해 규모와 피해가 초래된 데이터 파악, 법무 부서와 협력해 법 집행 기관이나 당국에 적절하게 보고하는 방법, 해킹 공격이 어떤 방식으로 전체 조직에 피해를 초래했는지 파악하는 방법, 피해 산정 등의 내용이 포함되어 있어야 한다.

콜은 “수립된 계획이 있다면, 이를 수행하는데 초점이 맞춰져야 한다”고 강조했다. 계획 이행 단계에서 기업이 초점을 맞춰야 할 핵심 내용들이 있다. 그 중 하나는 ‘봉쇄(억제)’다.

콜은 “계획을 이행하기 시작한 이후에 가장 중요한 것은 공격자가 더 이상은 네트워크 내부에 머물지 못하도록 만전을 기하는 것이다. 해커들이 아주 공격적인 경우가 있다. 피해자가 시스템을 정리하려 시도한다는 사실을 파악했는데, 공격자가 여전히 네트워크에 접속을 할 수 있는 상태라면 더 큰 피해를 초래할 수 있다”라고 말했다.

공격자가 추가적인 피해를 초래하는 것을 최소화하기 위해 트래픽 흐름을 고립시키거나 통제해야 한다.

다음은 ‘근절(박멸)’이다. 콜은 “사고로 인해 시스템이 중단되는 것이 이상적이지는 않지만, 문제 해결에 시간을 투자해 재감염을 방지하는 것이 아주 중요하다. 사고가 발생했을 때 서둘러 시스템을 복구하는 바람에 해커가 침투에 이용한 취약점을 모두 고치지 못하는 기업들이 많다”라고 지적했다.

시간을 투자해 문제점을 바로잡지 않을 경우, 한 번 공격을 한 해커가 다시 공격을 할 수 있다.

세 번째는 ‘복구’이다. 시스템 침해에 악용된 취약점을 고친 이후에는 데이터 복구와 시스템 백업 및 재가동에 초점을 맞춰야 한다. 콜은 “재가동에 앞서 시스템을 검증하는 것이 아주 중요하다. 복구 동안, 시스템이 재감염 되는 사례가 많다”라고 말했다.

시스템을 검증한 이후에는 공격자가 다시 공격을 못하도록 모니터링을 한다. 콜은 “공격자를 적극적으로 막는 것보다는 활동을 감시하고, 공격 재발이나 재감염이 없도록 만전을 기하는데 초점이 맞춰져야 한다”라고 강조했다.

2. 사고 대응 팀을 가동한다
트래블러스(Travelers)의 기업 사이버 보험을 책임지고 있는 팀 프란시스는 “침해 사고가 발생하면 사고 대응 팀을 가동해 상황을 판단해야 한다”라고 조언했다. 사고 대응 팀은 IT, 비즈니스 부문 책임자, HR, PR, 법무, 운영 부서 관계자로 구성되는 것이 일반적이다.

프란시스는 “기업 방어와 데이터 침해 사고 발생 후 발효될 법적 해석에 도움을 받기 위해 보안과 프라이버시 컴플라이언스 문제를 다룬 경험이 있는 변호사가 필요하다”라고 설명했다.

3. 필요에 따라 보안 전문가 및 벤더와 협력한다
침해 사고의 원인을 파악하고, 피해가 초래되기 전에 추가 공격을 막기 위해 보안 컨설팅 회사와 중요 벤더의 도움을 받아야 하는 경우가 많다.

2014년 초, 일리노이 기술원( IIT ; Illinois Institute of Technologies)의 VM 인프라가 여러 대학을 표적으로 삼은 DDoS(Distributed Denial of Service) 공격을 받았다.

IIT의 컴퓨터 시스템 매니저인 루이스 맥휴 IT 관리 분야 조교수는 “VM웨어 플랫폼에 패치가 되지 않은 취약점이 있음을 발견했다.

그는 “자체 조사와 함께 VM웨어 기술 지원부의 컨설팅을 통해서였다. DDoS를 강화하는데 사용된 단순한 NTP(Network Time Protocol) 반사 공격이었다. 우리는 서버 시간 유지에 NTP를 사용하고 있었다”고 설명했다.

IIT는 베스트 프랙티스 가이드라인을 준수하지 않아 패치를 빼먹었었다. 맥휴는 “VM웨어가 권장한 패칭과 미래 공격 대응 강화 방법을 적용해 서버에 변화를 줬다. 또 불필요한 서비스를 끄고, 윈도우와 리눅스 서버 정기적으로 패치를 하고, 네트워크를 종단 라우터와 방화벽으로 방어하는 방법으로 환경에 위치한 서버 일체를 강화하는 조치를 취했다”라고 설명했다.

4. 법적 문제에 염두에 두고 대처한다
해킹 사고가 나면, IT와 보안 부서, 기타 임원들이 내부 법무 담당 부서나 외부 법무 전문가와 만나 논의할 필요가 있다.

로펌인 모리스 매닝 & 마틴(Morris Manning & Martin LLP)의 데이터 보안 및 침해 사고 부문 책임자인 래리 커닌은 “변호사가 통보와 관련된 문제를 해결하는데 도움을 줄 수 있다. 국가 및 지역 법에 따라 차이가 있지만, 신용카드 결제 처리업체 등 벤더에게 통보를 해야 하는 경우도 있다”라고 말했다.

신속하게 해킹 사고의 원인을 파악할 수 없는 경우가 대부분이기 때문에 문제 해결에 장시간이 소요될 수 있다. 이와 관련, 전국적인 로펌인 폭스 로스차일드(Fox Rothschild)의 프라이버시 및 데이터 보안 부문 책임자인 스콧 버닉은 기업들이 증거 보존에 주의를 기울여야 한다고 강조했다.

버닉은 “법 집행 기관이나 당국의 요구, 사고 이후 소송 등을 생각해야 한다”라고 말했다. 증거를 훼손시키지 않으면서 조사와 복구를 하는 것이 중요하다는 설명이다.

버닉은 “서버와 노트북 컴퓨터, 데스크탑 복제, 원본 대비 이미지를 조사하기 위한 문서 이미지 생성 등을 예로 들 수 있다”고 설명했다.

주 정부나 연방 정부 등 정부 조사가 있을 경우에 대비해 법적 문제를 판단해야 한다. 또 관련 법 아래 의무에 따라 이해당사자와 비즈니스 파트너에게 통지를 해야 한다. 버닉은 “소송에 휩싸일 가능성도 감안해야 한다”라고 덧붙였다.

이와 관련해 산업에 따른 침해 사고 통지 규정에 따라 해킹 사고를 보고할 정책과 절차를 수립해야 한다. 예를 들어, 의료 산업에는 HIPAA(Health Insurance Portability and Accountability Act)와 HITECH(Health Information Technology for Economic and Clinical Health)가 적용된다.

버닉은 “가능한 철저히 준비를 하고, 투명성을 유지하는 것이 중요하다. 정보 파악 과정에서 변화가 있기 때문에 일부 어려운 업무가 있을 수 있다. 그러나 고객이나 직원, 정부 기관을 중심으로 이해 당사자에게 가능한 빨리 투명하게 공개하는 것이 좋다. 투명성이 높을 수록 결과도 좋아지기 때문이다”라고 말했다.

5. 보험 보상 절차를 감안해 준비한다
침해 사고가 발생하면 가능한 빨리 보험 대리인과 클레임 담당자에게 연락한다. 프란시스는 “IT 직원들로 하여금 사고와 관련된 사실 자료를 수집 및 기록하도록 만들어야 한다. 네트워크 보안 이벤트 로그는 날짜와 시간, 사고에 영향을 받은 머신을 파악할 때 중요하다”라고 말했다.

사회보장번호 등 개인 식별 정보, 의료 기록, 금융 관련 정보, 기타 비밀 데이터에 피해가 있는지 파악하기 위해서 데이터를 분류하는 것이 중요하다.

프란시스는 “기업은 이런 방법으로 가장 중요한 데이터를 보호 및 보안 처리하는데 초점을 맞춰야 한다”라고 강조했다. 또 해킹 공격 대응 시간과 인력 시간(Man-hours), 복구 비용을 문서로 기록하라고 그는 조언했다.
 

6. 커뮤니케이션 통로를 열어 놓는다
직원, 고객, 비즈니스 파트너, 기타 이해당사자에게 사고 관련 정보와 대응책을 전달하는 것이 중요하다. ‘침묵’은 불신과 혼동, 상황 악화를 초래하기 때문이다.

페이스 대학(Pac University) SSCSIS(Seidenberg School of Computer Science and Information Systems) 대학원의 조교수이자 사이버 보안 디렉터인 다렌 헤이스는 “네트워크 침해 범위에 관해 알고 있는 정보를 반복해 알려야 하는 경우가 많다. 타깃 같이 얼마나 많은 고객 데이터를 도난 당했는지 확신하지 못할 수도 있다. 이 경우, 경계를 할 필요가 있는 고객 전원에게 정보를 제공해야 한다. 어떤 경우에도 보수적으로 피해를 추정해서는 안 된다”라고 강조했다.

이렇게 사고 발행 후 사람들에게 위험에 관해 ‘많은 경보’를 발령한 회사로는 애플리케이션 개발사인 에버노트(Evernote)가 좋은 사례가 될 수 있다.

헤이스는 “에버노트는 피해가 초래되지 않은 사용자를 포함 모든 사용자들이 비밀번호를 바꾸도록 만들었다. 이 회사는 고객들에게 여러 커뮤니케이션 채널을 통해 피해 내용에 관한 정보를 전달했다”라고 설명했다.

감정 분석(Sentiment analysis) 툴을 이용해 소셜 미디어 등에서 우려에 대한 목소리를 높이는 고객을 파악해 대응할 필요성도 있다. 헤이스는 “감성 분석 툴이 마케팅 캠페인용이라고 생각하는 사람들이 많다. 그러나 사고 대책에도 높은 효과를 발휘한다”라고 말했다.

효과적인 커뮤니케이션과 더불어 해킹 공격이 직원과 고객에 미칠 심리적인 영향도 고려해야 한다. 특히 이메일과 개인 식별 정보가 관여된 사고에서 중요한 부분이다.

‘테크노크립’(Technocreep)이라는 책을 저술한 캘거리 대학 컴퓨터 공학 및 환경 설계과 교수인 톰 키넌은 “기업 시스템이 공격을 당했을 경우, 개인 공간이 침해 당했다는 감정을 갖게 된다. 사실이든 거짓이든, 대다수 사람들은 이메일이 개인적인 공간이라고 생각한다. 개인 정보가 공개된 충격을 진정시키도록 돕기 위해 전문가를 찾을 필요가 있다”라고 말했다.

dl-ciokorea@foundryco.com