마그넷에서 "2023 State of Enterprise DFIR"이라는 이름으로 기업의 DFIR 현황과 관련한 보고서를 공개했다. 해당 보고서는 북미, 유럽, 중동, 아프리카의 기업 DFIR 전문가(500명 이상)를 대상으로 실시한 설문조사 결과를 바탕으로 작성되었다. 조사 대상에서 아시아가 빠져있는 점이 아쉽지만 보고서에서 언급한 DFIR의 흐름이 아시아에서도 유사할 것으로 판단된다. 보고서에서는 크게 3개의 인사이트를 소개하고 있는데 하나 씩 살펴보자.
#1. KEY INSIGHTS - 사고 대응에서 디지털 포렌식이 더 중요해지고 있다.
디지털 포렌식은 기업 환경에서 오랫동안 인사문제(인사 분쟁, 괴롭힘, 불만 등) 해결, 정책 위반 평가(기업 자산 오용), 법적 의무 이행(컴플라이언스, 이디스커버리), 부정조사(사기, 데이터 유출, IP 도난 등)에 적용되어 왔다. 이런 조사의 대부분은 데스박스 포렌식 형태로 내부자의 엔드포인트를 조사하는데 중점을 두었다.
디지털 환경이 변화하면서 외부자에 의한 새로운 공격 벡터가 생겨나고 조사가 더욱 복잡해지고 있다. 또한, 외부 공격자의 TTP가 더 정교해짐에 따라 드러난 위협을 처리하는 것에 치중했던 기존의 사고대응 체계에서 디지털 포렌식을 활용해 사고의 근본 원인을 밝히려는 형태로 변화하고 있다. 이로 인해 디지털 포렌식의 도구와 기술이 아래와 같은 사고대응(IR) 조직의 활동과 프로세스에 점점 더 통합되고 있다.
- 사이버 공격의 식별, 억제, 해결, 복구
- 보험 청구, 규제 기관의 주의 의무 입증, 법적 수단 모색에 사용할 수 있는 증거 준비
- 향후 공격을 방어하기 위한 전략과 전술 마련
사고대응에 디지털 포렌식이 활용되면서 데드박스 포렌식으로 전체 데이터를 수집하지 않고 심층분석이 가능한 동적인 형태로 원격에서 데이터를 선별 수집하는 방식이 요구되었고 많은 조직에서 심층 분석 기술에 투자를 늘려왔다. 사고대응에서 디지털 포렌식이 강조됨에 따라 DFIR 전문가는 보안운영센터(SOC) 내의 SecOps 팀 일원으로 업무를 수행하고 있다. 소규모 조직의 경우, DFIR 인력이 SOC에 속해 있을 확률이 50%이지만, 조직 규모가 2,500명이 넘으면 확률은 77%로 늘어난다.
근본 원인 식별의 중요성
응답자의 17%는 24시간 이내에 사고의 근본 원인을 파악한다고 답했지만, 36%는 근본 원인 파악에 1일~1주일이 걸린다고 답했다. 사고의 근본적인 원인 파악이 늦어질 수록 추가 공격과 업무 중단의 위험은 계속될 수 밖에 없다.
근본 원인의 분석을 통해 발견된 격차를 식별하고 좁히게 되면 공격자가 더 이상 동일한 취약점을 다시 악용할 수 없기 때문에 전체 공격 표면을 줄이는 것과 동시에 침해사고 발생 비율도 점진적으로 줄일 수 있다.
DFIR 조직이 자주 접하는 사고 유형
DFIR 조직이 가장 많이 접하는 사고 유형은 데이터 유출/IP 도난, BEC, 내부 부정 순이었지만, 피해자에게 가장 큰 영향을 미치는 사고 유형은 랜섬웨어, 데이터 유출/IP 도난, 내부 부정, BEC 순으로 조사되었다.
보안 사고에 따른 비용
조직의 보안 사고는 직접적인 비용을 유발하는데 IBM의 데이터 유출 비용 보고서에서는 다음의 4가지 활동의 비용을 강조하고 있다.
(1) 탐지 및 에스컬레이션 : 포렌식 조사 활동, 평가와 감사 서비스, 위기 관리, 경영진 및 이사회에 대한 커뮤니케이션을 포함해 기업이 합리적으로 유출을 탐지할 수 있도록 지원하는 활동(2) 통지 : 이메일, 서신, 아웃바운드 전화, 데이터 주체에 대한 일반 통지, 규제 요건 결정 등 회사가 데이터 주체, 데이터 보호 규제 기관, 제3자에 대한 통지 활동
(3) 사고 후 대응 : 헬프데스크 및 인바운드 커뮤니케이션, 신용 모니터링 및 신원 보호 서비스, 신규 계정 또는 신용카드 발급, 법률 비용 지출, 제품 할인, 규제 벌금을 포함해 침해 피해자와 회사가 소통하고 피해자 및 규제 기관에 구제를 지원하는 활동
(4) 비즈니스 손실 : 비즈니스 중단 및 매출 손실, 고객 손실과 신규 고객 확보 비용, 평판 손실과 영업권 감소
DFIR 전문가가 직면한 가장 큰 과제: 진화하는 사이버 공격 기법
최근 몇 년 동안 소프트웨어 공급망 취약성이 반복적으로 드러나고 있고 풀서비스 사이버 범죄 경제로 인해 진입 장벽이 사실상 사라졌고 제로데이 익스플로잇이 수만 개의 조직에 영향을 미치고 있다. 게다가 공격자들의 침입을 탐지, 차단, 조사하는 것을 더 어렵게 하는 TTP가 계속 발견되고 있다.
예를 들어, 도난 당한 인증 정보의 사용이 급증하고 ID 시스템을 표적으로 삼거나 활용하는 공격이 늘어나고 있는데, 이 두 가지는 공격자와 내부자의 구분을 더욱 어렵게 만들고 있다. 동시에 내장된 시스템 명령어(LOLBins;Living-Off-the-Land binaries) 사용이 증가하면서 합법적인 활동을 배경으로 한 침입 행위를 탐지하기 더 어려워졌다.
#2. KEY INSIGHTS - 자동화는 사치가 아닌 필수이다.
오늘날 기업의 DFIR 전문가들은 신속하고 철저한 조사를 수행해야 한다는 엄청난 압박감을 받고 있고, 보다 많은 조사 유형, 보다 많은 조사 건수, 보다 많은 데이터에 직면해있다. 응답자의 45%는 급증하는 조사 건수와 데이터의 양이 가장 큰 문제라고 답했다. 데이터의 양이 계속 증가하고 DFIR 전문가가 더 많은 조사에 투입될 것이므로 조직은 자동화 도구에 투자해 전문가가 보조를 맞출 수 있도록 지원해야 한다는 것이 모든 응답자의 공통된 의견이었다. DFIR 자동화에 투자할 때는 자동화가 기존 문제를 더 악화시키지 않도록 기존 도구 세트와 함께 작동하는 것에 초점을 맞춰 진행해야 한다.
DFIR 전문가들의 번아웃과 채용과 관련한 응답을 보면 경고/조사 피로가 실제 문제라는 응답이 매우 높았으며, 응답자의 30% 이상이 DFIR 전문가를 모집하고 채용하는 것이 주요 과제라는 것에 강력하게 동의했다. 27%는 신입 직원을 온보딩하는 것이 어렵다는 것에 강력히 동의했다.
전 세계적으로 사이버 보안 전문가가 부족하다는 것은 널리 알려진 사실이며, 전문화된 교육 프로그램을 마친 신규 졸업생이 그 공백을 메우기까지는 수년이 걸릴 것이다. 자동화는 조직이 이미 보유하고 있는 사내 전문 인력을 활용함으로써 이런 인력 문제를 해결하는데 도움이 될 수 있다.
SOC를 포함한 대부분의 IT 환경은 자동화되어 있는 것처럼 디지털 포렌식도 DFIR 작업을 자동화해 사람의 전문성을 확장하고 조사 속도를 높일 수 있다. 투자할만한 가치 있는 자동화 대상에 대한 응답은원격 수집, 트리아지, 증거 처리, 문서화 및 요약 보고, 증거 분석, 로컬 수집 순으로 나타났다.
#3. KEY INSIGHTS - 그 어느 때보다 DFIR 리더십이 중요해졌다.
기업의 디지털 포렌식 분야가 빠르게 진화하고 있고 DFIR 실무자들이 사고 대응에 기여하는 것 자체가 사이버 보안에서 필수적인 것으로 간주되면서 이전과 다르게 많은 주목을 받고 있다. 이런 상황에서 정보에 입각한 결단력 있는 리더십은 조직의 목표를 달성하고 의무 이행 여부를 결정하는데 중요한 역할을 한다.
오늘날 DFIR 리더가 갖추어야 할 덕목은 다음과 같다.
(1) 조직은 디지털 포렌식의 역할을 명시하는 효과적인 사고 대응 계획이 필요하다. 동시에 리더는 DFIR 실무자가 자신의 역할을 수행하는데 필요한 리소스와 권한을 갖추도록 지원해야 한다.
(2) 규제 의무는 끊임없이 진화함에 따라 DFIR 전문가들은 이를 따라잡기 위해 고군분투하고 있다. 규제 리스크를 관리하기 위해 리더는 DFIR 팀의 규정을 해석하는 데 필요한 시간을 확보해주거나 법률 고문과 같은 전문가의 해석에 접근할 수 있도록 지원해야 한다.
(3) 써드파티 포렌식 서비스 제공업체(FSP)는 조직의 역량을 확장하고 공정하는 검토를 제공하는 등 다양한 요구 사항을 충족할 수 있기 때문에 리더는 FSP를 이용해 단기적인 요구 사항을 해결하는 동시에 장기적인 내부 역량에 투자해 균형을 유지해야 한다.
#결론
동기를 부여받고, 숙련되고, 자금력이 풍부한 사이버 범죄 그룹은 끊임없이 혁신하고 있기 때문에 DFIR을 통해 이를 대응하는 것이 최근 위협 환경에서 매우 중요해지고 있다. 사이버 리스크를 관리하고 점점 더 엄격해지는 의무를 충족하려면 모든 조직이 최신 DFIR 기능을 적시에 접근하는 것이 중요하다. DFIR 접근 방식을 강화하기 위해 활용할 수 있는 몇 가지 인사이트는 다음과 같다.
속도, 정확성, 완전성을 우선시하는 DFIR 솔루션에 투자하자.
잠재적으로 침해가 발생하면 시간이 가장 중요하다. 사고의 근본 원인을 파악하는 것이 늦춰지면 조직은 잠재적으로 더 많은 위험에 노출되고 비즈니스 연속성에 영향을 미칠 수 있다. 공격이 점점 더 정교해짐에 따라 간단하면서도 철저하고 정확한 방식으로 필요한 상세 정보를 얻을 수 있는 포렌식 솔루션에 투자해 사고를 신속히 대응해야 한다.
포렌식 자동화를 도입해 업무 피로감을 줄이자.
사이버 보안 분야에서 자동화가 새로운 솔루션은 아니지만(많은 조직에서 SOAR 솔루션을 활용하고 있음), 포렌식 조사 프로세스에서는 여전히 실무자가 처리가 완료될 때까지 기다렸다가 [다음]을 클릭해 다음 단계로 이동해야 하는 경우가 많다.
포렌식 자동화 솔루션을 도입해 워크플로우의 수집 및 처리를 간소화하면 조사 일정 이 늘어나는 것에 대한 부담을 최소화하고 번아웃을 줄일 수 있어 결과적으로 DFIR 전문가를 지속적으로 유지하는데 도움을 준다.
포렌식 전문가가 활성 이벤트에 대응해 IR 플레이북을 만들수 있도록 지원
IR 계획을 미리 수립하면 활성 이벤트를 더 빠르고 원활하게 대응하는데 도움이 된다. IR 계획에는 포렌식 조사자의 역할과 책임, 그리고 포렌식이 NIST 사이버 보안 프레임워크에 어떻게 기여하는지 명확히 정의해야 한다.
설문조사에 따르면 데이터 접근 문제가 조사를 지연시키는 것으로 나타났다. DFIR 팀이 조직 전반의 다양한 이해관계자와 협력할 시간이 촉박할 때 조사관이 업무에 필요한 데이터에 접근할 수 있도록 지원해야 한다. 신속하고 목표에 맞는 데이터 수집을 지원하는 검증된 툴에 미리 투자하는 것은 활성 이벤트에 대응하는 데 매우 중요하다. 마지막으로 SOC, DFIR 팀을 포함해 모든 이해관계자가 참여하는 사이버 훈련을 정기적으로 실시해 IR 대응 계획을 업데이트하고 조정할 수 있어야 한다.
DFIR 팀이 조직의 규제 의무를 이해하도록 지원
새롭게 변화하는 사이버 보안 규정은 여러 가지 면에서 DFIR 팀에게 압박이 되고 있다. DFIR 실무자가 이해할 수 있도록 법률 전문가가 규정을 읽고 해석해주는 것이 가장 이상적이지만 그렇지 못하다면, 정보를 읽고 이해하는데 필요한 리소스, 특히 시간을 마련해주고 혼란스러운 요건에 대해 법률 자문을 이용할 수 있도록 지원해야 한다. 사고 발생 전에 규제 세부 사항을 이해하고 있어야 사고 발생 시 DFIR 팀이 정확하고 신속하게 요구 사항을 충족시켜줄 수 있다.
서비스 제공업체에 의존하지만 미래의 계획이 있어야 함
규모에 관계없이 거의 모든 조직은 DFIR 조사의 일부분을 서비스 제공업체에 의존한다. 서비스 제공업체는 전문화된 툴을 제공하거나 인재 공백으로 어려움을 겪는 내부 팀을 지원하는 등 조직의 역량을 강화하는 데 도움을 준다. 장기적으로 보안 리더는 내부 팀과 협력해 공식적인 격차 분석을 수행하고 단기적인 요구 사항과 보안 조직의 장기적인 전략적 요구 사항과의 균형을 맞춰야 한다.