흔들리는 침해 대응 기반

최근 RSA는 Global 1000에서 뽑은 보안 리더 그룹인 SBIC(Security for Business Innovation Council)의 원래 연구를 침해 대응이라는 주제로 새롭게 편찬했습니다. SBIC의 연구에는 조직의 운영을 지속적으로 위협하는 사이버 공격에 대비하기 위해 개발하여 사용하는 기술 및 프로세스에 대한 심층적인 통찰력이 담겨 있었습니다.

이러한 통찰력은 매우 귀한 것이기도 했지만 최첨단을 달리는 조직과 일반적인 조직이 비슷한 보안 문제를 다루는 데 있어서 발생하는 격차를 보여 주는 흥미로운 자료가 될 수 있다는 생각이 들었습니다. 지적 재산, 금융 정보, 개인 데이터 등의 절도를 목표로 하는 사이버 범죄자들은 가치 있는 자산을 가진 조직이라면 조직의 규모나 성숙도를 가리지 않고 모두 표적으로 삼는다는 것이 반복적으로 나타났습니다.

RSA는 전 세계 30개 국가에서 170명 이상을 대상으로 설문조사를 시행했습니다. 이 설문조사는 침해 대응에 기여하는 네 가지 영역인 인시던트 대응, 위협 인텔리전스, 분석 인텔리전스 컨텐츠 인텔리전스에 대한 것이었습니다. 설문조사에서 얻은 결과는 많은 보안 전문가가 갖는 의문 중 하나인 “사이버 보안에 대한 관심이 높아짐에도 불구하고 피해가 큰 보안 침해가 지속적으로 발생하는 이유”에 답을 줄 수 있는 데이터였습니다. 이 데이터는 대다수 조직이 보다 효과적으로 공격을 탐지하고 대응하는 데 필요한 기준 관행 및 기술의 채택에 뒤떨어져 있음을 꽤 뚜렷하게 보여 주었습니다.

대부분의 조직은 예방적 차원의 제어 및 툴에서 벗어나 모니터링 및 대응 영역의 기능을 개선하는 것이 타당하다는 의견에 동의했습니다. 인프라스트럭처의 복잡성이 증가하고 공격 표면이 확대되는 현재의 환경에서 조직이 가장 먼저 취해야 할 단계는 환경에서 발생하는 상황에 대한 가시성을 개선하는 것입니다. 그러나 환경 전체의 데이터를 수집하고 의심스러운 활동에 대한 알림을 중앙에서 제공하는 기능을 갖추지 못해 현재 발생하는 위협의 다수를 보지 못하는 응답자가 55%(절반이 넘는 비율)에 달했습니다.

피해를 일으키는 보안 침해 중 다수는 알려져 있지만 해결되지 않은 소프트웨어 취약점을 악용한 것이었습니다. 패치가 적용되지 않은 경계 인프라스트럭처는 많은 공격에 사용되는 진입점 중 하나이며 Heartbleed, POODLE 등 광범위한 버그의 빈도가 증가하면서 취약점 해결의 중요도가 높아지는 동시에 해결하는 데 필요한 노동력의 강도 또한 증가하고 있습니다. 그럼에도 불구하고 설문조사 응답자의 40%는 유효한 취약점 관리 프로그램을 갖추지 못해 심각한 위험에 노출된 상태입니다.

“보안 침해는 가능성의 문제가 아니라 시기의 문제”라는 격언이 있습니다. 이 사회적 통념에도 불구하고 공식적인 인시던트 대응 계획이 없는 응답자가 30%에 달했습니다. 따라야 할 확실한 절차가 없는 조직은 수동적으로 행동하게 되므로 침해 대응의 효과도 떨어집니다. 또한 여러 선두 기업에서 시행하는 효과적인 관행 중 하나가 대응 계획을 정기적으로 테스트하고 정비하는 것인데 일종의 IR 계획을 갖춘 응답자 중 57%는 계획을 단 한 번도 업데이트하거나 검토하지 않았습니다. 인시던트가 창궐할 때 테스트가 완료된 기지의 계획을 가지고 있는 대응 조직은 사소한 피해가 대규모 손실을 야기하는 사건으로 번지는 것을 막을 수 있습니다.

침해 대응을 위한 이 세 가지 기본 요소를 굳건히 하기만 해도 잠재적 공격자의 시도를 훨씬 더 어렵게 만들 수 있습니다. SBIC의 모든 리더가 이러한 장치를 갖추고 있다는 것은 전혀 놀랍지 않습니다.

다음 블로그에서는 선두 조직의 관행을 따르기 위해 구축해야 할 몇 가지 고급 기능을 살펴볼 것입니다. 그 전에 Breach Readiness eBook을 다운로드하여 SBIC의 주요 질문, 통찰력 및 권장 사항과 설문조사에 대한 자세한 내용을 읽어 보시기 바랍니다.

 

No Comments