누구나 사이버 공격자의 표적이 될 수 있으므로 사이버 사고나 공격을 미리 관리하기 위한 전략을 수립하여 선제적으로 대응하는 것이 현명합니다.
효과적인 사고 대응 계획은 공격의 영향을 최소한으로 완화할 수 있습니다. 하지만 몇 가지 실수로 인해 전략이 망가지고 시스템이 추가 위협에 노출될 수 있습니다.
다음은 사고 대응 계획에서 주의해야 할 몇 가지 실수입니다.
복잡한 대응 절차
사고 대응 계획을 실행해야 하는 모든 상황이 가장 도움이 되는 것은 아닙니다. 이러한 위기 상황에서는 당연히 압박을 받게 되므로 간단하고 포괄적인 전략을 실행하는 것이 복잡한 전략보다 훨씬 쉽습니다. 계획을 쉽고 실행 가능하게 만들기 위해 미리 머리를 맞대고 고민하세요.
복잡한 대응 절차를 처리할 수 있는 최상의 컨디션이 아닐 뿐더러 그럴 시간적 여유도 없습니다. 매 순간이 중요합니다. 간단한 절차가 더 빠르게 구현되고 시간을 절약할 수 있습니다.
불명확한 명령 체인
공격이 발생하면 어떻게 대응을 조율하겠습니까? 인시던트 대응 문서에 필요한 모든 절차를 캡처했을 수도 있지만, 조치 순서를 설명하지 않으면 큰 영향을 미치지 못할 수 있습니다.
인시던트 대응 계획은 저절로 실행되는 것이 아니라 사람들이 실행합니다. 지휘 체계와 함께 사람들에게 역할과 책임을 할당해야 합니다. 대응팀은 누가 담당하나요? 이러한 준비를 미리 해두면 컨디션이 좋지 않은 상황에서도 신속하게 조치를 취할 수 있습니다.
백업을 미리 테스트하지 않음
데이터 백업은 모든 형태의 데이터 손상에 대한 사전 예방적 보안 조치입니다. 어떤 일이 발생하더라도 백업할 수 있는 데이터 사본이 있기 때문입니다.
신뢰할 수 있는 백업 애플리케이션이나 서비스를 사용하더라도 사이버 공격으로 인해 결함이 발생할 수 있습니다. 백업이 작동하는지 확인하기 위해 공격이 발생할 때까지 기다리지 마세요. 실망스러운 결과를 초래할 수 있습니다.
사용자가 제어할 수 있는 환경에서 백업을 테스트 실행하세요. 윤리적 해킹을 통해 중요한 데이터가 저장된 시스템을 공격할 수 있습니다. 백업이 오작동하는 경우 실제로 데이터를 잃지 않고 문제를 해결할 수 있는 기회를 갖게 됩니다.
일반 플랜 사용
사이버 보안 공급업체는 시중에서 구매하여 사용할 수 있는 기성 사고 대응 계획을 제공합니다. 이러한 기성 플랜은 즉시 사용할 수 있기 때문에 시간과 리소스를 절약하는 데 도움이 된다고 주장합니다. 하지만 시간을 절약할 수 있는 만큼 제대로 된 서비스를 제공하지 못하면 비생산적입니다.
두 시스템은 동일하지 않습니다. 기성 문서가 어떤 시스템에는 적합할 수 있지만 다른 시스템에는 부적합할 수 있습니다. 가장 효과적인 인시던트 대응 계획은 맞춤형입니다. 시스템의 특정 조건을 해결하고 강점을 중심으로 방어 체계를 구축할 수 있는 기회를 얻게 됩니다.
반드시 처음부터 계획을 만들 필요는 없으며, NIST 컴퓨터 보안 사고 처리 가이드 와 같은 평판이 좋은 사이버 보안 프레임워크는 고유한 사이버 환경에 맞게 사용자 지정할 수 있는 표준화된 대응 프로세스를 제공합니다.
네트워크 환경에 대한 지식이 제한적임
활성 애플리케이션, 오픈 포트, 타사 서비스 등 보안 환경을 이해해야만 사고 대응 계획을 시스템에 맞게 조정할 수 있습니다. 이러한 이해는 운영에 대한 완벽한 가시성 확보에서 비롯됩니다. 가시성이 부족하면 무엇이 잘못되었는지, 어떻게 해결해야 하는지 알 수 없습니다.
모든 활동을 추적하고 보고하는 고급 네트워크 모니터링 도구를 설치하여 운영에 대해 자세히 알아보세요. 이러한 도구는 플랫폼의 취약성, 위협 및 일반적인 활동에 대한 실시간 데이터를 제공합니다.
측정 지표 부족
인시던트 대응은 지속적인 노력입니다. 계획의 품질을 개선하려면 성과를 측정해야 합니다. 성과에 대한 구체적인 지표를 식별하면 측정의 표준 기준을 얻을 수 있습니다.
예를 들어 시간이 걸립니다. 위협에 더 빨리 대응할수록 데이터를 더 잘 복원할 수 있습니다. 시간을 추적하고 더 나은 성과를 내기 위해 노력하지 않으면 시간을 개선할 수 없습니다.
복구 용량도 고려해야 할 또 다른 지표입니다. 요금제를 통해 데이터의 어느 부분을 복구할 수 있었나요? 이 정보는 최상의 완화 전략을 개선하는 데 도움이 됩니다.
비효율적인 문서
사고 대응 계획은 사용자만 액세스하고 실행할 수 있는 것이 아닐 때 더 유용합니다. 연중무휴 24시간 시스템에 접속하지 않는 한, 문제가 발생했을 때 주변에 없을 수도 있습니다. 팀원들이 직접 나서서 문제를 해결하길 원하시나요, 아니면 여러분을 기다리길 원하시나요?
계획을 문서화하는 것은 표준 관행입니다. 문제는 효과적으로 문서화했느냐는 것입니다. 다른 사람들은 문서가 명확하고 포괄적이어야만 이를 해석할 수 있습니다. 모호하게 작성하지 말고 상대방이 무엇을 해야 하는지 알고 있다고 가정하세요. 기술 전문 용어는 피하세요. 누구나 따라할 수 있도록 각 단계를 가장 간단한 용어로 설명하세요.
오래된 계획 사용
사고 대응 계획을 마지막으로 업데이트한 것이 언제인가요? 사이버 인시던트 해결을 위한 문서를 작성할 당시의 시스템이 더 이상 예전과 다를 가능성이 높습니다. 이러한 변화는 전략을 쓸모없고 비효율적으로 만들어 위기 상황에 적용하는 데 큰 도움이 되지 않습니다.
대응 계획을 시스템에 대한 지원 문서로 생각하세요. 시스템이 발전함에 따라 대응 전략에도 반영할 수 있도록 하세요. 시스템의 작은 변화가 있을 때마다 계획을 수정하는 것은 피곤할 수 있습니다. 수정에 대한 피로를 방지하려면 업데이트 시간을 예약하세요.
인시던트의 우선순위를 정하지 않음
시스템을 손상시킬 수 있는 모든 문제를 해결하면 보다 안전한 디지털 환경을 만드는 데 도움이 되지만, 그림자를 쫓는 데 리소스를 소비하면 비생산적이 됩니다. 인시던트는 반드시 발생하기 마련이므로 인시던트의 영향력에 따라 우선순위를 정해야 하며, 그렇지 않으면 인시던트 피로를 겪게 되어 심각한 위협이 발생했을 때 대처할 수 없게 됩니다.
다른 이벤트보다 우선순위를 정할 이벤트를 임의로 선택하는 것은 오해의 소지가 있습니다. 대신 우선순위를 정량화할 수 있는 지표를 설정하세요. 가장 중요한 데이터에 가장 큰 주의를 기울여야 합니다. 데이터 세트와의 관계를 기반으로 인시던트의 우선순위를 정하세요.
사일로화된 인시던트 보고
시스템의 다양한 구성 요소는 인시던트 보고 노력을 향상시킬 수 있는 고유한 정보를 제공합니다. 각 시스템은 서로 다를 수 있지만, 시스템의 성능 또는 부족은 일반적인 운영에 영향을 미칩니다. 이러한 모든 영역의 데이터를 고려하지 않으면 대응 계획에 실질적인 내용이 부족합니다. 기껏해야 해당 영역의 문제만 다루게 될 것입니다.
모든 데이터를 수집하고 필요한 정보에 쉽게 액세스하고 검색할 수 있는 곳에 저장하세요. 이렇게 하면 모든 영역에 손을 댈 수 있고 어느 하나도 놓치지 않을 수 있습니다.
효과적인 사고 대응 계획으로 사이버 공격 피해 완화
사이버 범죄자가 언제, 어떻게 시스템을 공격할지는 통제할 수 없지만, 그 이후에 일어나는 일은 통제할 수 있습니다. 위기를 어떻게 관리하느냐에 따라 많은 차이가 있습니다.
효과적인 사고 대응 계획은 사용자와 방어에 대한 자신감을 심어줍니다. 무력감에 빠지지 않고 의미 있는 조치를 취할 수 있도록 안내를 받을 수 있습니다.