과거에는 침해사고 대응을 할 때 현상을 조치에만 중점을 두는 양상을 보였다. 그러나 최근 들어 포렌식 기술을 활용해 사고의 원인을 규명하고 대응하는 것에 활동의 초점이 맞춰지는 추세다. 현재 글로벌 비롯한 국내 보안 분야에서도 침해사고 대응을 IR(Incident Response)에서 더욱 강화된 DFIR(Digital Forensics & Incident Response)로 인식하는 모습이다.

디지털포렌식 및 사고대응 전문기업 플레인비트(대표 김진국)는 지난해 말 진행한 ‘2023 하반기 침해사고 정보 공유 세미나’에서 250여 명의 참석자를 대상으로 침해사고 대응에 대한 설문조사를 실시하고 결과를 9일 공유했다. 해당 결과의 원문은 플레인비트 블로그에서 확인할 수 있다.

침해사고 대응활동에서 가장 중요한 부분에 대해 조사한 결과, 53.5%의 응답자가 '사고 원인 분석'이라고 응답했다. 이러한 결과를 통해 침해사고의 원인을 신속하게 분석하고 재발방지를 위한 대책 마련이 가장 중요한 부분임을 확인할 수 있다.

최근 가장 심각한 침해사고 위협에 대해 조사한 결과, 대부분의 응답자(42.6%)가 랜섬웨어라고 답변했다. 랜섬웨어 사고는 기업과 개인을 대상으로 급증하는 추세이며, 파일 암호화로 인한 업무 마비와 금전 요구 등의 피해를 발생시킨다. 일상에서 흔히 발생할 수 있는 사고이며 앞으로도 지속적으로 증가할 것으로 예상된다.

침해사고 위협을 줄이기 위해 가장 조직에서 개선해야 하는 분야에 대해 응답자의 30.1%가 '구성원의 보안 인식 개선'이라고 답했다. 침해사고에 효과적으로 대응하기 위해 보안 솔루션을 구축해 운용하더라도 사람의 실수로 위협에 노출되는 경우가 종종 발생한다. 이는 아무리 좋은 보안 솔루션이더라도 구성원의 보안 인식 개선이 필수적으로 수행되어야 보안에 더 강화할 수 있음을 의미한다.

침해사고 대응 역량을 높이기 위해 가장 필요한 요소에 대해 41.2%의 응답자가 '기업의 침해사고 예산과 인력 확보'라고 답했다. 이는 기업의 사이버 보안 위협에 대한 인식 부족으로 대응을 위한 자원 확보 필요성을 느끼지 못해서이다. 더불어 침해사고 예방에 비해 사고 발생 후에 대응에 급급하려는 부분에 있어 경영진들의 보안 인식 제고와 개선의 노력이 필요하다는 답변이 이어졌다.

침해사고 대응 역량을 높이기 위해 가장 필요한 교육에 대해 조사한 결과, 50.3%의 응답자가 '로그 분석'이라고 답했다. 로그는 시스템이나 운용 중인 솔루션에서 발생한 동작과 관련된 정보 등을 기록한 파일로, 침해사고 대응에서는 원인을 규명하고 침해 정황을 파악하는데 핵심 자료로 활용된다. 실질적으로 사고나 오류가 발생했을 때 로그를 통해 전반적인 정황을 파악할 수 있기 때문에 효과적으로 분석할 수 있는 교육이 시급한 것으로 볼 수 있다.

김진국 플레인비트 대표는 “국내외를 대상으로 고도화된 사이버 침해사고가 꾸준히 증가하는 만큼 정부와 기업들의 사이버 보안 인식 제고가 요구되고 있다”며 “사이버 보안 사각지대에 위치한 중소기업과 개인의 정보보호 역량을 강화할 수 있는 방안 마련이 시급하다”고 전했다.

플레인비트는 2024년에도 침해사고와 관련한 각종 서밋과 교육을 진행하며 실제 공격 사례를 공유해 유용한 정보를 습득할 수 있는 자리를 지속적으로 이어갈 예정이다. 더불어 점점 더 고도화되고 있는 침해사고에 대한 대응과 협업의 필요성에 대한 논의를 통해 DFIR 분야의 성장과 고객 보안 강화를 도모하겠다는 전략이다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★