2024-03-29 17:45 (금)
“언제든 당할 수 있다…침해사고 준비도 필요해”
상태바
“언제든 당할 수 있다…침해사고 준비도 필요해”
  • 길민권
  • 승인 2015.03.02 07:46
이 기사를 공유합니다

[SFIS 2015] 김진국 플레인비트 대표 “사고시, 대응보다 원인 파악이 중요”
조사 비용은 최소로 하고 디지털 증거 활용 가능성은 최대로 하기 위한 조직의 준비 능력을 ‘포렌식 준비도’라고 한다.
 
김진국 플레인비트 대표(사진)는 “포렌식 준비도는 2009년 영국에서 정보보안정책프레임워크(Cabinet Office) 37번째 요구사항으로 명시된 내용이며 사고 가능성을 낮추기 위한 것이 아닌 사후 대응을 위한 사전적 투자개념이다. 기술적 준비 및 인적, 정책적, 조직적 노력이 필요하고 사고 발생 시 신속히 잠재적 흔적에 대해 법적 증거 능력을 유지한 상태에서 수집하고 사후 포렌식 조사의 효율성과 적법성을 높이도록 지원해 조사의 성공을 보장한다”고 설명했다.
 
포렌식 준비도 혜택에 대해 김 대표는 “사고 조사의 비용과 시간을 절감하고 사고 조사에 따른 시스템 중단 및 복구 시간을 절약해 비즈니스 방해를 최소화할 수 있다. 또 신속히 사고 원인을 분석해 적시에 대응하고 디지털 증거의 법적 증거능력 확보와 기업의 보안 수준 향상에도 도움이 된다”며 “또 기업의 합리적 보호조치 이행 여부를 홍보해 기업의 신뢰도를 향상시킬 수 있고 사이버 침해사고 소송에서의 승소가능성과 면책가능성을 높여주며 이디스커버리 등 IT 규제를 효과적으로 준수할 수 있다”고 말했다.
 
최근 침해사고의 일반적 문제는 우선 어떻게 인지 되었으며, 누가 인지했느냐다. 또 어떻게 처리되었는지와 사고로 인한 잠재위협이 모두 제거되었는지 문제다. 마지막으로 사고를 조기에 식별하고 사후 대응을 체계화해 피해를 최소화할 수 있는지가 관건이다.
 
김진국 대표는 침해사고 준비도를 상세 설명하면서 몇가지 사항을 강조했다. 우선 클라이언트 설정을 강화하고 신속한 대응 절차를 마련하자는 것. 또 장비와 솔루션은 인력을 보완하는 역할일 뿐 전문 인력이 중요하며 대응보다는 원인 파악에 초점을 맞춰 분석해야 한다는 것.
 
김 대표는 “침해사고 준비도에서는 사람이 가장 중요하다. 장비는 인력을 보완하는 역할로 판단은 사람이 하며 식별된 징후에 대해 분석할 수 있는 새로운 역할의 분석팀이 필요하다. 또 자체적인 인력을 구성하기 어렵다면 외부 전문 감사 서비스를 활용하는 것도 필요하고 대응 보다는 원인 파악에 초점을 맞춘 분석이 필요하다”고 강조했다.
 
그리고 “평상시에는 정기적, 상시적 감사와 위협 요인에 대한 다양한 정보수집, 샘플 테스트가 필요하고 사고발생시에는 사고 원인과 과정을 분석해 보안성을 강화하는 것이 중요하다”고 덧붙였다.
 
한편 관리 정책을 강화해야 한다고 강조했다. 타깃형 공격의 대부분이 관리적 취약점을 노리고 공격하기 때문이다. 즉 이미 갖추고 있는 정책이라도 익숙해지면 취약하기 마련이라는 것. 또 마련 된 정책도 지속적으로 모니터링해 준수 여부를 감독해야 한다고 강조했다.
 
김 대표는 또 “차단보다는 모니터링이 중요하고 이미 갖추고 있는 장비나 솔루션 및 클라이언트의 로그 설정을 강화하고 형상 관리를 해야 한다”며 “포맷은 답이 아니며 목적과 위험도에 따라 보존 절차를 마련해야 향후 법률적 대응에 활용할 수 있다. 용량이 부담되면 압축해 용량을 최소화하고 사건 유형에 따라 조사에 필요한 데이터만 보관하면 된다. 덧붙여 대부분 타깃형 공격은 대상 조직의 유형에 따라 유사한 패턴을 보이기 때문에 분석 인력을 통해 지속적인 지표 업데이트를 하는 것이 중요하다”고 조언했다.
 
이번 제3회 SFIS 2015에서 발표된 김진국 대표의 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.
 
데일리시큐와 머니투데이가 공동 주최하고 금융위, 금감원 등이 후원한 제3회 SFIS 2015 스마트 금융& 정보보호 페어는 2월 26일 그랑서울 3층 나인트리 컨벤션센터에서 금융위, 금감원, 전국 금융기관 CIO, CISO, 정보보호 실무자, 핀테크 관계자 등 400여 명이 참석한 가운데 성황리 개최됐다.
 
<★정보보안 대표 미디어 데일리시큐!★>
 
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★