삶의 다양한 영역에서 우선순위를 정하는 것이 중요합니다. 예를 들어 쇼핑을 하고 싶어서 사고 싶은 품목 목록을 작성한다고 가정해 보겠습니다. 하지만 예산으로는 목록에 있는 모든 품목을 살 수 없습니다. 덜 중요한 것은 포기하고 가장 중요한 것을 구입하기로 결정합니다.

위의 시나리오는 분류를 통해 일어나는 일입니다. 하지만 물건을 쇼핑하는 대신 사이버 사고를 처리하고 있습니다. 분류란 정확히 무엇이며 어떻게 작동하며 어떤 이점이 있을까요?

사이버 보안에서 분류란 무엇인가요?

분류는 사이버 위협을 식별하고 대응 우선순위를 정하기 위한 사고 대응 기법입니다. 위협 경고를 분석하여 가장 해롭거나 영향력이 큰 경고를 파악하고 다른 경보보다 우선순위를 지정하여 시스템 손상을 방지하는 데 도움이 됩니다.

분류는 어떻게 작동하나요?

분류는 사이버 공격을 약화시키지 않습니다. 리소스를 관리하여 긴급한 위협을 효과적으로 해결할 수 있도록 도와줍니다. 이를 위해서는 수신되는 경고를 우선순위가 낮은 것, 중간 우선순위, 높은 우선순위의 세 가지 주요 카테고리로 분류해야 합니다.

낮은 우선순위

낮은 우선순위 알림은 완전히 무해하지는 않지만 네트워크 운영 및 사용자 경험에 큰 영향을 미치지는 않습니다. 이러한 위협은 겉으로 드러나지 않습니다. 시스템을 자세히 살펴봐야만 알 수 있습니다.

대부분의 경우 네트워크 소유자 또는 관리자는 우선 순위가 낮은 인시던트를 알아차리는 유일한 사람입니다. 우선 순위가 낮은 알림의 예로는 트래픽이 갑자기 급증하는 경우를 들 수 있습니다.

중간 우선순위

중간 우선순위 알림은 네트워크에 어느 정도 영향을 미칩니다. 사용자 환경이 예전만큼 원활하지 않다는 것을 알 수 있지만 장애는 없습니다.

특히 중요한 작업이나 활동에 몰두하고 있을 때는 중간 우선순위 위협에 대한 대응을 지연시킬 수 있습니다. 예를 들어 사용자에게 전달되는 피싱 공격 콘텐츠가 이에 해당합니다.

높은 우선순위

높은 우선순위 알림은 위협이 지속될 경우 작업을 중단시킬 수 있습니다. 즉시 해결하지 않으면 다운타임을 겪을 수 있습니다. 이러한 인시던트는 시스템을 손상시킬 수 있습니다. 우선 순위가 높은 알림의 예로는 맬웨어 공격이 있습니다.

이 글도 확인해 보세요:  YouTube 프록시 사이트 사용의 4가지 위험성

위협을 분류하는 것은 까다로울 수 있습니다. 올바르게 분류하려면 영향력과 긴급성이라는 두 가지 요소를 고려해야 합니다.

영향

인시던트 알림의 영향을 파악하려면 사전 측정이 필요합니다. 발생 가능한 위협의 개요를 파악하고 시스템에 어떤 영향을 미칠지 측정해야 합니다. 영향력이 낮은 위협은 걱정할 이유가 적고, 영향력이 높은 위협은 걱정할 이유가 더 많습니다.

긴급성

여기서 긴급성은 인시던트가 네트워크에 해를 끼치는 데 걸리는 시간을 의미합니다. 인시던트가 오래 지속되더라도 시스템에 큰 영향을 미치지 않는다면 긴급하지 않은 것입니다.

분류를 통한 사이버 인시던트 관리

인시던트 알림을 성공적으로 분류한 후에는 인시던트가 발생했을 때 그에 따라 관리할 수 있습니다. 분류를 통해 인시던트를 관리하는 방법은 다음과 같습니다.

인시던트 기법 결정

위협 행위자가 상황에 따라 배포하는 공격 기법은 다양합니다. 분류를 통해 인시던트를 해결하기 위한 첫 번째 단계는 해당 공격 방법을 식별하는 것입니다. 이를 통해 올바른 대응 전략을 수립할 수 있습니다.

영향을 받는 영역 식별

사이버 공격은 무작위가 아니라 조직적으로 이루어집니다. 성공률을 높이기 위해 침입자는 표적에 집중합니다. 인시던트를 철저히 조사하여 영향을 받은 특정 영역을 찾아야 합니다. 대부분의 경우 위협 행위자는 공격을 통해 데이터를 훔치거나 손상시키므로 데이터가 양호한 상태인지 확인하세요.

공격 밀도 측정

사이버 인시던트가 항상 겉으로 보이는 것과는 다릅니다. 데이터 도난이나 노출이 인시던트의 핵심일 수 있지만, 그 이상으로 집중적으로 발생할 수 있습니다. 우리가 인지하지 못하는 근본적인 영향이 있을 수 있습니다. 공격 밀도를 측정하면 가능한 모든 문제를 해결하는 데 도움이 됩니다.

공격 기록 확인

시스템에서 이전에 이러한 인시던트가 발생했을 가능성이 있습니다. 이를 파악하는 효과적인 방법은 공격 이력을 살펴보는 것입니다. 이전 공격과 현재 공격 사이의 상관관계를 파악하면 누락된 퍼즐을 찾는 데 도움이 될 수 있습니다.

계획에 따라 대응하기

분류는 인시던트 대응 프로세스의 일부입니다. 수집한 모든 정보를 사고 대응 계획에 입력하고 정책, 절차 및 프로세스를 조합하여 원하는 결과를 얻을 수 있도록 대응하세요.

이 글도 확인해 보세요:  사칭 공격이란 무엇인가요? 사칭 공격을 막는 방법

사이버 보안에서 분류의 이점은 무엇인가요?

분류는 의료 행위에서 시작되었습니다. 의료 서비스 제공자는 제한된 자원을 관리하여 위중한 상태의 환자에게 치료를 제공합니다. 이 기술을 사이버 보안에 적용하면 다음과 같은 여러 가지 이점을 얻을 수 있습니다:

자원의 효율적인 사용

사이버 보안을 구현하려면 적절한 인력, 도구 및 애플리케이션이 필요합니다. 보안 예산이 많은 대형 플랫폼도 장기적으로 운영에 영향을 미칠 수 있는 리소스 낭비를 피하기 위해 리소스를 관리하려고 노력합니다. 한정된 예산으로 모든 위협 경보가 발생하는 순간에 모든 위협에 투자할 수는 없습니다.

분류를 통해 리소스를 관리하고 리소스가 가장 필요한 영역에 리소스를 할당할 수 있습니다. 사용하는 모든 비용과 리소스를 설명하고 그 결과를 확인할 수 있으므로 낭비할 여지가 없습니다.

중요 데이터 우선순위 지정

중요 데이터는 운영의 중심 단계에 있습니다. 모든 데이터를 잃는 것은 불편할 수 있지만, 중요한 데이터를 잃는다면 문제는 더욱 심각해집니다. 매우 민감할 뿐만 아니라 그 가치도 높기 때문입니다.

트리아지는 중요 데이터가 위협에 노출된 경우 조치를 취하라는 메시지를 표시하여 중요 데이터에 최대한의 주의를 기울일 수 있도록 합니다. 분류 기능이 없다면 가장 중요한 데이터가 공격을 받고 있을 때 먼저 발생했다는 이유만으로 중요하지 않은 인시던트를 처리할 수 있습니다.

위협을 신속하게 해결

시스템에 중대한 영향을 미치는 위협에 대한 대응이 지연되면 상황이 악화됩니다. 위협 분류를 통해 우선순위가 높은 경고를 미리 결정할 수 있습니다. 이러한 위협에 대한 알림을 받으면 즉시 조치를 취할 수 있습니다.

분류 분석에서 인시던트의 주요 메트릭에 집중하면 관련 없는 중복 절차에 시간을 낭비하는 것을 방지할 수 있습니다. 이를 통해 적시에 효과적으로 대응할 수 있습니다.

분류를 통해 가장 중요한 데이터 보호

네트워크가 활성화되어 있으면 수많은 위협에 정기적으로 직면하게 됩니다. 각 위협을 신속하게 해결하는 것이 좋은 생각처럼 보이지만, 네트워크에 거의 또는 전혀 영향을 미치지 않는 위협을 해결하느라 가장 긴급한 위협을 놓치거나 소홀히 할 수 있습니다. 분류를 사용하면 주어진 시간에 가장 중요한 것에 집중할 수 있습니다.

By 김민수

안드로이드, 서버 개발을 시작으로 여러 분야를 넘나들고 있는 풀스택(Full-stack) 개발자입니다. 오픈소스 기술과 혁신에 큰 관심을 가지고 있고, 보다 많은 사람이 기술을 통해 꿈꾸던 일을 실현하도록 돕기를 희망하고 있습니다.