침해사고 사례 공유 세미나를 진행하며 침해사고 대응 및 조사의 현주소를 파악하기 위해 다양한 문항으로 설문조사를 실시했다. 해당 설문 조사는 상반기 및 하반기 세미나 참석자에게 응답을 받았으며, 문항은 총 11개이다.
설문조사 결과를 통해 침해사고 대응의 현주소에 대한 인사이트를 공유하고자 한다.
문항 #1 - 현재 어떤 업무를 수행하고 계신가요?
세미나 참석자의 업무 분야를 조사한 결과, 다양한 분야에서 활동하고 있는 것으로 확인되었다. 가장 많은 참석자가 침해사고 조사 업무를 수행하거나 보안 담당자로 확인되었다.
문항 #2 - 귀하가 속한 조직에 침해사고 대응/조사 관련 전담 인력이 있나요?
침해사고 대응/조사 관련 전담 인력의 규모를 조사한 결과, 대부분 조직에 침해사고 대응/조사 인력이 없거나 1~5명에 해당되는 소규모 조직이 있는 것으로 확인되었다. 설문 결과를 통해 대부분의 기업에 침해사고 대응 및 조사를 전담하는 인력이 터무니없이 부족하다는 것을 알 수 있었다.
문항 #3 - 침해사고 대응활동에서 가장 중요한 부분은 무엇인가요?
과거에는 침해사고 대응을 할 때 현상을 조치에만 중점을 뒀다면, 지금은 포렌식 기술을 활용해 침해사고의 원인을 규명하고 대응하는 것에 중점을 두고 있다. 이로 인해 최근에는 침해사고 대응을 IR(Incident Response)이 아닌 DFIR (Digital Forensics & Incident Response)이라고 칭하고 있다.
침해사고 대응활동에서 가장 중요한 부분에 대해 조사한 결과, 대부분의 응답자가 '사고 원인 분석'이라고 응답했다. 이러한 결과를 통해 침해사고를 대응할 때 원인을 분석하고 이에 대한 재발방지 대책 마련을 중요시한다는 것을 확인할 수 있다.
문항 #4 - 최근 가장 심각한 침해사고 위협은 무엇이라고 생각하시나요 ?
최근 가장 심각한 침해사고 위협에 대해 조사한 결과, 대부분의 응답자가 랜섬웨어 사고가 가장 심각하다고 응답했다.
랜섬웨어 사고는 기업이나 개인 입장에서 직접적인 피해(파일 암호화로 인한 업무 마비 등)를 입히는 공격이고 일상에서 흔히 발생할 수 있는 사고이기 때문에 더욱 심각하게 느꼈을 것이라고 생각된다.
문항 #5 - 기업의 보안 솔루션 중 침해사고 대응에 가장 효과적이라고 판단되는 솔루션은 무엇인가요?
침해사고에 대한 위협을 탐지하고 대응하기 위해 각 기업에서 보안 솔루션을 도입하는 추세가 늘어나고 있다. 이전에는 중요 자산에 대한 보안에 좀 더 집중했다면, 최근에는 EndPoint를 통해 주요 자산이 침해 받는 경우가 늘어 각 기업에서는 EndPoint의 보안을 강화하는 방향으로 점차 변화되고 있다.
침해사고 대응에 가장 효과적이라고 판단되는 솔루션을 조사한 결과, 대부분의 응답자가 'EDR (Endpoint Detection and Response)'라고 답했다. 각 기업에서 침해사고 대응을 수행할 수 있는 인력 부족으로 인해, 자동으로 탐지하고 대응할 수 있는 EDR 솔루션에 대한 관심이 높아진 것으로 보인다.
문항 #6 - 침해사고 대응 역량을 높이기 위해 가장 필요한 요소가 무엇이라고 생각하시나요?
침해사고 대응 역량을 높이기 위해 가장 필요한 요소에 대해 조사한 결과, 대부분의 응답자가 '기업의 침해사고 예산과 인력 확보'라고 답했다. "문항 #2 귀하가 속한 조직에 침해사고 대응/조사 관련 전담 인력이 있나요?"에서도 확인할 수 있듯 현재 대부분의 기업 내 침해사고를 대응하고 조사할 수 있는 인력이 터무니없이 부족하다.
이는 기업의 사이버 보안 위협에 대한 인식 부족으로 대응을 위한 자원 확보 필요성을 느끼지 못해서라고 생각된다. 아직까지도 침해사고를 예방하는 것보다는 사고가 발생한 후에 심각성을 인지하고 현상만 대응하려는 추세가 있어 이에 대한 인식을 제고하고 개선하는 노력이 필요해 보인다.
문항 #7 - 침해사고 대응 역량을 높이기 위해 가장 필요한 교육은 무엇이라고 생각하시나요?
침해사고 대응 역량을 높이기 위해 가장 필요한 교육에 대해 조사한 결과, 대부분의 응답자가 '로그 분석'이라고 답했다.
로그는 시스템이나 운용 중인 솔루션에서 발생한 동작과 관련된 정보 등을 기록한 파일로, 침해사고 대응에서는 원인을 규명하고 침해 정황을 파악하는데 핵심 자료로 활용된다. 따라서, 실질적으로 사고나 오류가 발생했을 때 로그를 통해 전반적인 정황을 파악할 수 있기 때문에 로그 분석 교육이 필요하다고 답한 것으로 보인다.
문항 #8 - 중요 데이터가 랜섬웨어에 감염되었을 때 어떻게 조치하는 것이 바람직하다고 생각하시나요?
최근 랜섬웨어 공격이 더욱 급증하고 있어 중요 데이터가 랜섬웨어에 감염되었을 때 어떻게 조치하는 것이 바람직한지에 대해 조사한 결과, 대부분의 응답자가 '해커와 협상은 절대 불가'하다고 응답했다.
랜섬웨어 공격은 파일을 암호화한 후, 복호화를 위한 금전을 요구하는 공격이다. 이로 인해 해커와의 협상이 불가피하게 이루어져야 하는데, 협상을 했다고 하더라도 복호화가 잘되지 않거나 공격자의 미끼로 인해 2차 감염이 되는 경우도 많이 발생하고 있다. 따라서, 랜섬웨어 사고에 감염되었다고 하더라도 중요 데이터에 대한 손실도를 낮추기 위해 백업 체계를 갖추는 것이 중요하다.
문항 #9 - 랜섬웨어를 감염시킨 해커와 복호화 비용을 협상할 때, 어떤 기준이 합리적이라고 판단되나요?
랜섬웨어를 감염시킨 해커와 복호화 비용을 협상할 때 어떤 기준이 합리적으로 판단되는지 조사한 결과, 대부분의 응답자가 '암호화된 데이터의 가치'라고 답했다.
문항 #10 - 외부의 신뢰된 파트너와 침해사고 대응을 협력한다고 할 때, 어떤 협력이 필요한가요?
침해사고를 대응하고 조사할 수 있는 인력이 충분하게 있다면 기업 내에서도 자체적으로 조사가 가능하다. 그러나, 기업 내 보안팀이 있어도 침해사고 조사가 어려운 경우 신뢰된 파트너와 협력을 통해 조사나 대응이 수행될 수 있다.
이에 외부의 신뢰된 파트너와 침해사고 대응 시 필요한 사항에 대해 조사한 결과, 대부분의 응답자가 '전반적인 침해사고 대응 활동', '사고 원인 분석'이라고 답했다.
문항 #11 - 침해사고 위협을 줄이기 위해 조직에서 가장 우선적으로 개선해야 할 분야는 무엇인가요?
침해사고 위협을 줄이기 위해 가장 조직에서 개선해야 하는 분야를 조사한 결과, 대부분의 응답자가 '구성원의 보안 인식 개선'이라고 답했다.
침해사고를 대응하기 위해 보안 솔루션을 운용해도 내부자의 실수로 침해사고 위협에 노출되는 경우가 종종 발생한다. 이는 아무리 좋은 보안 솔루션이더라도 구성원의 보안 인식 개선이 필수적으로 수행되어야 보안에 더 강화할 수 있음을 의미한다.
