대부분의 보안 조직에서는 사고 이후 분석이 여전히 중요한 과제로 남아 있다. 파운드리의 ‘보안 우선순위(Security Priorities)’ 조사에 따르면, 보안 리더의 57%가 지난 1년 동안 발생한 보안 사고의 근본 원인을 파악하는 데 어려움을 겪었다고 답했으며, 이는 재침해 위험을 더욱 높이는 요인으로 나타났다.
보안 전문가들은 사고 발생 이후 즉각적인 진화와 복구 압박이 커지면서, 학습과 분석에 투입되는 자원이 부족해지는 것이 문제의 핵심이라고 진단했다. 반복 침해 가능성을 낮추기 위해서는 사고 대응을 단순한 일회성 정리 작업이 아니라 지속적인 학습 주기로 운영해야 한다는 설명이다.
관리형 보안 대응 기업 헌트리스(Huntress)의 보안 운영 총괄 드레이 아가는 “많은 조직이 즉각적인 침해 차단에만 집중하고 있다. 이 때문에 정작 핵심적인 포렌식 조사가 뒷전으로 밀리고, 결국 다음 공격자가 그대로 다시 들어올 수 있는 상황을 만들고 있다”라고 설명했다.
아가는 “근본 원인을 정확히 짚어내는 철저한 사후 분석이 이뤄지지 않으면 조직은 사실상 눈을 가린 채 방어하는 셈이며, 같은 실수를 반복하게 된다”라고 지적했다.
근본 원인 분석을 통한 회복력 강화
전문가들은 많은 기업이 사고 대응을 분석이 아닌 운영 중심의 절차로만 취급하고 있다고 지적한다. 이 때문에 침해 차단과 복구 같은 절차는 충분히 반복 연습돼 있지만, 심층 포렌식 조사나 사고 이후의 학습은 뒤처지고 있다.
관리형 보안 서비스 기업 블루보이언트(BlueVoyant)의 디지털 포렌식·사고 대응 디렉터 톰 무어는 “증거 보존과 근본 원인 분석이 체계적으로 이뤄지지 않으면 중요한 통찰이 사라지게 된다. 견고한 사고 대응은 단순히 시스템을 다시 가동하는 데 그치지 않는다. 사고로부터 얻은 교훈을 탐지·예방·위험 감소 전략에 반영하는 과정까지 포함해야 한다”라고 설명했다.
무어는 또한 “이 같이 지속적으로 학습 및 개선하는 순환 구조가 장기적인 회복력을 강화한다. 빠르게 변화하고 적응하는 사이버 위협 환경에서는 그 가치가 더욱 커진다”라고 말했다.
클라우드 보안 기업 셈페리스(Semperis)의 위기관리 수석 컨설턴트 마리 하그레이브스도 “대다수 조직은 ‘불길에서 무엇을 배울지’보다 ‘눈앞의 불을 끄는 데’ 더 집중하고 있다”라고 평가했다.
그는 모든 위기가 감지, 대응, 검토라는 3단계로 구성된다고 언급하며, “회복력이 구축되는 지점은 3번째 단계인 사후 검토 과정이다. 실시간 데이터를 수집하고 이를 면밀히 분석해, 도출된 교훈을 실제 조치로 연결하는 조직은 더 빠르게 회복하고 더 강해진다. 사고 대응은 단순히 살아남는 것이 아니라, 변화에 적응하며 회복력을 쌓는 과정”이라고 조언했다.
공격 경로 추적
충분한 사전 대비가 필수이기 때문에, 기업은 SIEM(보안 사고 및 이벤트 관리) 같은 기술을 통해 디지털 포렌식에 필요한 전용 도구와 역량을 갖춰야 한다.
SIEM이 중요한 이유는 게이트웨이와 VPN 장비 상당수가 몇 시간 내에 자체 저장 공간을 덮어쓰도록 설계돼 있기 때문이다.
헌트리스의 아가는 “공격자가 VPN을 통해 침투한 뒤 하루 정도 내부에 머물다가 핵심 서버로 이동하면, 그 사이에 VPN 텔레메트리 정보는 이미 사라졌을 가능성이 크다. SIEM처럼 VPN 로그를 중앙에서 수집·보존하는 체계를 마련하면 사고 이후 탐지는 물론, 초기 침해가 어떻게 발생했는지 근본 원인을 분석하는 데 필요한 핵심 데이터를 확보할 수 있다”라고 말했다.
헌트리스의 통계에 따르면, 숙련도 높은 사이버 범죄자의 약 70%가 VPN을 통해 침입하는 것으로 나타났다. 아가는 “SIEM을 도입한 환경에서는 공격 경로 초기에 위협을 포착할 수 있을 뿐 아니라, 사후 분석을 통해 침해로 이어진 정확한 근본 원인을 규명하는 작업도 가능하다”라고 설명했다.
또한 MDR(관리형 탐지·대응), XDR(확장형 탐지·대응) 같은 다양한 서비스에 포렌식 캡처 소프트웨어를 포함할 수도 있다. 이런 기술은 벤더와 포렌식 조사 전문가가 협력해 침해의 출발점을 식별하고 이를 해결하는 데 필요한 분석과 조치를 수행할 수 있도록 지원한다.
사이버 보안 기업 시큐러스 커뮤니케이션(Securus Communication)의 CTO 롭 더비셔는 “이런 도구가 갖춰져 있지 않으면 침해가 어떻게 발생했는지 사후에 파악하기가 훨씬 어려워진다. 침해가 발생했을 때 사고 대응 서비스를 제공하는 기업도 있지만, 침해를 신속히 정리하고 재발을 막는 핵심은 대응을 훨씬 효율적으로 수행하는 도구와 절차를 미리 갖추는 데 있다”라고 말했다.
에클렉틱IQ(EclecticIQ)의 시니어 위협 인텔리전스 애널리스트 아르다 뷔윅카야는 “근본 원인 분석이 충분히 이뤄지지 않으면 실제 공격 원인이 여전히 파악되지 않은 상태로 남아 있을 수 있고, 심지어 활성 상태일 가능성도 있다”라고 지적했다.
뷔윅카야는 “디지털 포렌식 전문성, 근본 원인 분석 절차, 위협 인텔리전스 통합을 통해 개별 사고를 공격자의 전술 및 캠페인과 연결하는 접근이 필요하다. 이런 방식은 조직이 경험하는 모든 사고를 회복력 강화의 계기로 삼는 기반이 된다”라고 조언했다.
체계적인 계획 수립
사고가 발생했을 때 상황을 총괄하는 대응팀은 일반적으로 CISO가 주도권을 행사하도록 해야 한다. 또한 IT 담당자부터 법률 자문까지 각 이해관계자의 역할과 책임이 계획서에 명확히 정의돼 있어야 한다.
전문가들은 사고 대응 플레이북이 일반적으로 다음 핵심 단계를 이룬다고 설명한다.
- 준비 단계: 검증된 사고 대응 계획을 유지하고, 역할과 보고 체계를 명확히 한다.
- 탐지 및 분석: 모니터링을 중앙화하고, 위협 인텔리전스를 활용하며 포렌식 역량을 확보한다.
- 차단 및 복구: 신속하게 대응하되 증거를 보존하고, 복구 전에 시스템을 검증한다.
- 사후 분석: 구조화된 검토를 수행해 결과를 문서화하고, 이를 보안 아키텍처와 교육에 반영한다.
- 지속적 개선: 위협 모델링을 통합하고, 대응 자동화를 확대하며, 역량 개발에 투자한다.
많은 조직이 ISO 등 이미 검증된 프레임워크를 사고 대응 체계의 템플릿으로 활용하고 있다. 인티그리티360(Integrity360)의 CTO 리처드 포드는 “이런 프레임워크는 거버넌스부터 기술적 대응까지 모든 핵심 요소를 체계적으로 구성할 수 있도록 섹션 단위로 정리돼 있다. 널리 알려진 프레임워크를 사용하면 완성도를 높일 수 있을 뿐 아니라, 해당 기준에 익숙한 외부 이해관계자와의 소통도 훨씬 수월해진다”라고 설명했다.
조직 회복력 구축
효과적인 사고 대응은 시간이 지날수록 조직의 회복력을 높일 수 있도록, 체계적으로 구조화되고 반복적으로 실행 가능하며 인텔리전스를 기반으로 운영되는 프로세스를 구축하는 데 초점을 둬야 한다.
사고 대응 계획은 모의 훈련이나 테이블탑 훈련 등을 통해 정기적으로 테스트하고 보완하며 업데이트해야 한다. 이는 더 넓은 차원의 비즈니스 연속성 및 조직 회복 전략의 일부로 수행돼야 한다.
사이버 보안 기업 트렌드마이크로(Trend Micro)의 필드 CTO 바라트 미스트리는 많은 조직이 여전히 사고 대응 체계가 충분히 성숙한 수준에 이르지 못하고 있다고 지적한다. 그는 사고 대응이 단순한 차단과 복구에 그쳐서는 안 되며, 포렌식 분석과 사후 검토까지 확장돼야 한다고 강조했다.
미스트리는 “근본 원인 분석을 건너뛰면 결국 겉으로 드러난 증상만 해결하는 셈이다. 이런 문제는 여러 요인이 겹쳐 발생한다. 공격 과정을 정확히 재구성하기 어렵게 만드는, 도구 간 단절로 인한 가시성 부족, 포렌식과 위협 헌팅 역량이 부족한 인재 격차, 그리고 사후 분석이 형식적으로 끝나거나 아예 생략되는 프로세스 취약점이 대표적 요인이다”라고 지적했다.
‘침해–복구–재침해’의 악순환 끊기
많은 경우 운영을 신속히 복구하는 데만 집중하다 보니, 서버 초기화나 로그 손실, 포렌식 흔적 소실 등 핵심 증거가 의도치 않게 사라지곤 한다.
미스트리는 “여기에 업무 압박, 시간 제약, 제한된 자원 등이 겹치면서, 사고로부터 무엇을 배울지보다 다음 긴급 업무를 처리하는 데 더 몰두하게 된다. 그 결과, 사후 스캔이나 근본 원인 분석, 절차 업데이트 같은 필수 작업이 자주 건너뛰어진다”라고 설명했다.
이렇게 되면 초기 공격 경로와 내부 확산 방식이 끝내 규명되지 못한 채 취약점이 남게 되고, 이는 ‘침해-복구-재침해’가 반복되는 악순환을 만든다.
미스트리는 “이 악순환을 끊기 위해서는 조직이 사고 대응 전략에 포렌식 준비태세를 반드시 포함해야 한다. 증거 보존, 체계적인 사후 분석, 학습 내용을 보안 아키텍처와 교육에 반영하는 과정이 필수”라고 조언했다.
dl-ciokorea@foundryco.com
Read More from This Article: 원인 모르면 보안 침해 반복된다···조직 회복력 흔드는 ‘분석 부재’
Source: News