.png)
사이버 사고 시 대처 방법, 2부: 비기술적 대응
에서 논의한 바와 같이 첫 번째 부분 이 시리즈에서는 사이버 사고 이후 발생한 초기 기술 대응은 사고를 억제하고 추가 데이터 도난을 방지하는 데 매우 중요합니다.사이버 사고의 범위를 파악할 수 있으므로 비기술적 대응을 구성하는 데 유용할 수 있는 사소한 세부 사항이라도 기록해 두는 것이 중요합니다.사이버 사고 대응 계획을 확고히 수립해야 합니다.Gartner는 이를 다음과 같이 정의합니다.
“컴퓨터 사고 대응 계획”이라고도 하는 이 계획은 바이러스나 해커 공격과 같이 잠재적으로 치명적인 컴퓨터 관련 사고에 대응하기 위해 기업에서 수립합니다.CIRP에는 인시던트가 악의적인 소스에서 비롯되었는지 여부를 파악하고, 그렇다면 위협을 억제하고 공격자로부터 기업을 격리하는 단계가 포함되어야 합니다.
이 계획은 발생할 수 있는 모든 사고를 처리할 관련 팀의 구성을 알려줍니다.예를 들면 다음과 같습니다.
- 최초 대응자
- 전술 (보안)
- 팀 코디네이터 (C-레벨)
- 법률
- 홍보
최초 대응자는 일반적으로 조직의 IT 관련 문제 및 고장/수리 문제에 관여하는 경향이 있는 IT 헬프 데스크입니다.보고된 문제가 보안 성격의 문제인 경우 전술 (보안) 팀으로 신속하게 에스컬레이션됩니다. 전술 (보안) 팀에는 사고의 심각도에 따라 좀 더 전문적인 외부 사고 대응 팀이 포함될 수 있습니다.이후 이 팀은 보다 상세한 포렌식 조사와 근본 원인 분석을 담당하게 됩니다.일반적으로 CIO나 CISO와 같은 최고 경영진은 정기적으로 업데이트를 받아 최상위 경영진에게 제공할 수 있습니다. 특히 심각한 경우에는 더욱 그렇습니다. 데이터 침해.법률 또는 홍보 관련 커뮤니케이션이 필요한 경우 각 팀에 문의해야 합니다.이러한 모든 단계는 전체 계획의 일부로서 표준 운영 절차 (SOP) 의 일부를 구성해야 합니다.
또한 조직 내 모든 직원은 사고 발생 시 보고 내용을 명확히 파악해야 합니다.직원들이 이러한 정책의 중요성을 인식하지 못하면 효과적인 사이버 대응 계획을 세우기가 매우 어려울 것입니다.
예를 들어, 의심스러운 이메일을 받은 직원은 해당 사고를 즉시 신고하여 해당 기술 담당자가 악의적인 사고인지 여부를 확인할 수 있도록 해야 합니다.또한 조직의 사이버 모니터링 시스템 중 하나에서 경고가 트리거될 수도 있습니다.대부분의 경우 위협 행위자는 가장 취약한 링크인 최종 사용자를 표적으로 삼고, 겉보기에 사소해 보이는 사건을 보고하지 못하는 것이 대규모 악성 캠페인의 시작을 탐지하느냐 마느냐의 판가름날 수 있습니다.
따라서 비기술적 대응 부분에서는 다음과 관련된 정책, 절차 및 프로세스를 다룹니다.
- 사고 평가
- 사고 보고
- 규제 보고
- 공개 정보
사고 평가
현재 알려진 정보를 기반으로 사이버 사고를 초기에 분류하는 것이 중요합니다.모든 세부 사항이 없더라도 가능한 영향 수준은 최악의 시나리오여야 합니다.에서 설명한 참조 예시에서와 같이 초기 기술 대응사이버 사고에 내부 사용자 계정 침해와 관련된 경우 손상된 계정이 액세스할 수 있는 각 리소스도 영향을 받을 수 있습니다.
이는 VPN 또는 원격 액세스, 이메일 액세스, 인트라넷 리소스 액세스와 같은 리소스일 수 있습니다. 특히 사고 당시 다단계 인증 또는 시스템 인증 제어를 사용하지 않은 경우에는 더욱 그렇습니다.
잠재적 영향 수준은 기술 대응 단계의 지침이 되어야 합니다.사고의 전체 규모를 조사하고 어느 정도 확실하게 파악한 후에는 알려진 영향 수준 평가를 확인할 수 있습니다.이 경우 사고의 영향과 영향이 처음에 생각했던 것만큼 심각하지 않을 수도 있습니다.
사고의 초기 영향을 평가하는 것은 중요한 단계입니다.규제 기관에 제출하는 공식 보고서의 성격, 공개 커뮤니케이션 공개가 필요한지 여부, 배경 프로토콜을 활성화해야 하는지 여부 등 다른 단계에 대해 정보에 입각한 결정을 내릴 수 있는 방법을 제공합니다.어떤 경우든 그렇지 않다는 것이 입증되기 전까지는 최악의 시나리오를 가정하여 진행하는 것이 최선입니다.
사건 보고서
사이버 보안 사고가 자동으로 중대한 침해로 이어지지는 않지만 여전히 사건을 보고하는 것은 필수적입니다.처음에는 사고의 몇 가지 중요한 측면을 자세히 설명하는 공식 내부 보고서가 될 것입니다.보고서는 사고 ID와 사고 소유자를 명확하게 식별해야 합니다.
공식 보고서에는 인시던트 유형, 인시던트 요약, 타임라인, 영향 및 근본 원인 분석, 해결 또는 복구 조치, 마지막으로 특정 인시던트에서 얻은 교훈과 같은 몇 가지 유용한 정보도 포함되어야 합니다.예는 다음과 같습니다.
- 사고 날짜
- 인시던트 ID
- 인시던트 소유자
- 사건 요약
- 인시던트 타임라인
- 사건 세부 정보
- 영향 분석
- 근본 원인
- 치료 및 복구
- 배운 교훈
- 충수
보고서에는 영향을 받은 사용자와 해당 계정에 대한 세부 정보와 사고 이전, 도중, 이후에 발생한 일정이 포함되어야 합니다.컴퓨터 시스템, 데이터, 웹 사이트 등 조직의 영향을 받는 자산도 자세히 설명해야 합니다.이는 최종 영향 분석 및 근본 원인 분석을 위한 정보를 제공하는 데 도움이 됩니다.모든 보고서는 적절하게 정리한 다음, 보고된 각 사고에 대해 마감 시 카탈로그를 작성해야 합니다.
규제 및 공개
규제 기관과 거래할 때는 조직의 업종 (의료, 금융, 운송 또는 소매업) 에 따라 특정 프레임워크와 규정을 준수해야 합니다.특히 고객 또는 직원의 개인 데이터와 관련된 사고의 경우 GDPR과 같은 다양한 분야를 포괄하는 일반 규정 준수 규정도 마련될 예정입니다.여기서는 법 집행 기관에 알리는 것도 필요할 수 있습니다.해당 신고의 접수를 담당하는 전담 법 집행 기관이 해당 기관일 수 있습니다.방어 시설도 제공하거나 중요한 국가 기반 시설에 참여하는 조직의 경우, 규제 요건으로 인해 해당 기관에 신고해야 할 사항이 이미 명확할 수 있습니다.
사건의 법적 측면도 크게 고려해야 합니다.다시 말씀드리지만, 사고에 개인 정보의 데이터 유출이 포함되는 경우 잠재적인 법적 문제에 대비하여 적절한 준비가 이루어져야 합니다.조직은 유능한 법률 자문을 구해야 합니다.또한 법률 고문은 모든 공개 내용의 내용과 조직 내에서 공식적으로 공개한 사람을 알려야 합니다.이러한 하위 팀에는 다음이 포함될 수 있습니다.
- 최고 경영진 (CIO/CISO 또는 동급 자격)
- 사고 대응 팀장 (기술)
- 법률
- 홍보
개인 또는 고객 데이터에 대한 부적절한 액세스를 의미하는 중대한 데이터 침해가 확인되면 공개 발표가 필요할 수 있습니다.이는 조직에 법적, 재정적으로 직간접적으로 부정적인 결과를 초래할 수 있기 때문에 비기술적 대응에서 가장 민감한 부분 중 하나입니다.따라서 이러한 공개에 접근하기 위한 최선의 방법을 유능한 PR 팀과 상의하는 것이 가장 중요합니다.대부분의 경우 규제 체계에 따라 공개 시기와 방법이 결정됩니다.또한 규제 기관을 참여시킬 시기와 방법도 결정합니다.
이제 모든 조직의 사이버 보안 정책 문서에는 사이버 사고 대응 계획이 포함되어야 한다는 것이 분명해졌습니다.상설 대응팀과 명확하고 실행 가능한 표준 운영 절차 (SOP) 가 필요합니다.모든 직원, 계약자 및 제휴 직원은 사이버 정책 및 신고 라인을 충분히 숙지해야 합니다.NIST와 같은 현지 및 국제 조직은 사고 대응 계획을 안내하는 공개 프레임워크를 제공합니다.사이버 사고 대응의 경우 조직의 규모나 위상에 관계없이, 특히 이 시대에는 계획과 준비가 성공의 궁극적인 열쇠입니다.위반을 가정하다. '
