이 글에서는 공격 ‘발생 중’ 단계를 살펴보면서 우리가 내려야 할 중요한 결정, 가장 먼저 연락해야 할 대상, 그리고 대응할 때 거쳐야 할 기타 주요 절차에 대해 설명하겠습니다. 이 단계에서는 미리 준비해둔 재해 복구 계획을 실행하고 피해를 최소화하기 위한 조치를 시행합니다.
공격 ‘발생 중’에 일어나는 일은?
이전 글에서는 공격 ‘발생 전’에 일어날 수 있는 일에 대해 설명했습니다. 이제 경보가 울리고 공격이나 데이터 침해가 이루어지고 있을 때 어떤 일이 발생하는지 살펴보겠습니다. 과연 이 단계에서는 정확히 어떤 일이 벌어질까요?
- 공격자는 캠페인에 착수하거나 운영 환경 안에 “잠복”한 후 캠페인을 실행하기 시작합니다. 암호화 캠페인이 실패할 경우를 대비하거나 더 많은 돈을 얻기 위한 2차 공격에 사용하기 위해 민감한 파일을 추출할 수 있습니다.
- 공격자는 익스플로잇 툴킷을 사용하여 타깃 운영 환경에서 승격된 액세스 권한(예: 관리자 액세스 권한)을 얻을 수 있습니다.
- 공격자는 운영 환경 안에 들어온 후 액티브 디렉터리, DNS, 백업 및 기본 스토리지 시스템 등 중요한 인프라를 비롯한 주요 시스템을 식별합니다.
- 공격자는 크리덴셜을 변경하여 사용자가 시스템에 진입하지 못하도록 차단할 수 있습니다.
- 공격자는 먼저 백업을 목표로 삼아 삭제하거나 훼손하려고 시도할 수 있습니다. 또한 카탈로그를 무용지물로 만들기 위해 프론트엔드 백업 서버를 암호화할 수도 있습니다.
- 그 후 공격자는 호스트 시스템의 기본 사용자 데이터 파일을 암호화할 수도 있습니다.
공격 발생 초기 단계에서 대응 및 복구를 실행할 때 중요한 6가지 요소
가장 먼저 랜섬웨어 공격자 또는 해커의 목적을 파악해야 합니다. 이제 행동에 돌입해야 할 때입니다. 정확한 재해 복구 계획은 비즈니스 및 공격 유형에 따라 다르지만, 미국 연방거래위원회의 가이드(영문자료)는 효과적인 출발점을 제시합니다. 또한, 미국에는 의무적으로 준수해야 하는 보안 위반 고지 관련 법규(영문자료)가 있습니다. 이러한 사항에 아직 대비가 안 되어 있다면 이 가이드를 확인하여 CISO와 중요한 논의를 시작(영문자료)할 수 있습니다.
다음은 피해를 최소화하고 복구를 가속화하기 위해 공격 발생 중에 이행해야 할 6가지 단계입니다.
1. 공격을 억제하고 운영 환경을 잠급니다.
보안 침해의 첫 징후가 나타나면 공격의 영향을 받는 시스템을 완전히 분리하거나 프라이빗 네트워크 영역 안에 격리하여 네트워크에서 해당 시스템을 고립시켜야 합니다. 이 방법은 감염의 확산을 막고 피해를 최소화하는 데 도움이 됩니다.
시스템을 완전히 종료하거나 전원을 끄지는 마십시오. 그러면 나중에 포렌식 분석을 수행하기가 어려워질 수 있습니다. 그리고 감염되지 않은 깨끗한 컴퓨터에서 크리덴셜과 암호를 업데이트합니다. 사이트에 보안 정보가 게시된 경우 해당 정보를 제거하고 검색 엔진에 문의하여 캐시를 지우십시오.
2. 이메일 시스템이 다운된 경우 백업 커뮤니케이션 계획을 실행합니다.
제 글 “CISO에 물어야 할 5가지 질문(영문자료)“에 나온 4번 질문은 “공격을 받고 있을 때 어떻게 소통해야 합니까?”입니다. 여러분은 이미 잘 정의된 커뮤니케이션 계획을 세웠을 것입니다. 바로 지금이 이 계획을 사용할 때입니다. 휴대 전화나 대체 이메일 주소를 통해 공격에 관한 정보를 책임자 및 내부 이해 관계자들에게 알리십시오. 최대한 빨리 IT 및 보안 팀, 고위 책임자 및 외부 보안 컨설턴트와 연락이 닿아야 합니다. 자세한 내용은 아래에서 다루겠습니다.
3. 비상 대응 팀을 동원합니다.
비상 대응 팀은 몇 명의 핵심 인력으로 구성해야 합니다. 여기에는 포렌식 전문가, 법률 고문, 정보보안 인력, IT 직원, 투자정보 담당자, 기업 커뮤니케이션 담당자 및 경영진이 포함될 수 있습니다.
모든 팀원은 복구에 참여하는 다른 사람들과 마찬가지로 명확한 행동 지침을 받아야 합니다. 이는 “해커가 직접 알려주는 랜섬웨어 예방 및 복구 가이드” ebook에서 전직 해커인 헥터 몬세구르(Hector Monsegur)가 특히 중요하다고 지적한 내용입니다. 그는 다음과 같이 말했습니다. “그렇게 하지 않으면 네트워크 및 시스템 관리자가 위협을 무력화하기 위해 자의적으로 판단하게 되며, 이는 제 경험에 따르면 일반적으로 비효율적이거나 때로는 재앙적이기도 합니다.”
4. 외부 커뮤니케이션 계획을 시작합니다.
중요한 파트너 및 당국에 연락하세요. 스토리지 제공업체 및 기타 공급업체를 포함한 외부 기술 파트너와 협력하여 도움을 받으세요. 공격이 발생한 후 미디어, 규제 당국 및 법무팀과 협력하면 법 집행 당국(예: 미국 FBI)의 현지 사무소에 연락할 수 있는 최신 연락처 목록을 더 쉽게 확보할 수 있습니다. 가입해둔 사이버 보험 회사에 문의하여 보장 범위와 제한 사항을 확인하시기 바랍니다. 필요한 경우 지역 당국과 FBI에 연락하고 컴플라이언스 의무와 과징금 등을 확인해야 합니다.
또한, 공격의 영향을 받는 고객과 기업에 공격 사실을 알리기 위한 계획을 실행해야 합니다. 그러기 위해서는 사전에 의무적으로 공유해야 하는 정보, 영향을 받은 사람들을 위한 권장 사항, 향후 계획에 대한 명확한 설명 등을 작성하는 데 도움이 되는 공지문과 메시지 초안을 작성해 두어야 합니다.
5. 포렌식 프로세스를 시작합니다.
몬세구르는 다음과 같이 말합니다. ” SEIM 및 로그와 같은 적절한 네트워크 모니터링 도구를 모두 갖추고 있다고 가정했을 때 이상 및 이벤트를 찾도록 적절히 교육받은 직원은 실행되고 있는 공격을 식별할 수 있습니다.” 보안 및 액세스 로그를 활용하면 공격 소스를 빠르게 식별할 수 있습니다(영문자료). 이러한 로그는 규제 기관에 규정 준수 증거로 제공할 수도 있으므로 적절하게 보호해야 하고 삭제되지 않도록 주의해야 합니다.
공격의 영향을 받는 장치를 분류하고 포렌식 검토를 위해 우선순위를 정하세요. 보안 팀은 어떤 유형의 공격이 시작되었고 운영 환경 안의 어느 범위까지 영향을 받는지 판단해야 합니다. 이 판단이 더 빠를수록 팀에서 더 빨리 패치를 적용하고 깨끗한 백업을 복원할 수 있습니다. 상황 파악이 끝나면 미리 준비한 환경으로 복원 프로세스를 시작할 수 있습니다.
팁: 몬세구르는 다음과 같이 조언합니다. “공급업체 또는 법 집행 기관과 함께 철저한 조사를 위한 환경을 준비해야 합니다. 기업에 조사 수행을 의뢰했다면 해당 기업과 법 집행기관 사이에 이관이 있는지 확인해야 합니다.”
6. 준비된 복구 환경으로 이동합니다.
실질적인 물리적 복구를 시작할 때입니다. 재해 복구 계획의 일환으로, 적절한 준비 및 테스트를 거쳐 바로 사용할 수 있는 복구 환경을 마련해 두어야 합니다. 이는 공격 발생 직후에 온라인으로 돌아갈 수 있는 “사전 구축형” 방식입니다. 이를 위해 새로운 하드웨어 및 시스템을 확보하고 있어야 합니다. 기존 키트나 하드웨어를 사용할 수 있다는 보장이 없기 때문입니다. 공격받은 시스템은 관련 당국 또는 조사 기관이 증거로 가져가거나 격리해야 할 수도 있습니다.
세이프모드(SafeMode) 스냅샷을 사용하면 변경 불가능한 데이터 백업으로 즉시 복구를 시작할 수도 있습니다. 이 기능은 온라인 상태로 빠르게 복귀하는 과정을 공격자가 방해하지 못하게 합니다. 따라서 공격 발생 중 단계에서 특히 중요합니다.
퓨어스토리지 솔루션으로 복구 준비하기
공격 발생 초기 단계에서 우선적으로 직면할 문제와 가능한 즉각 조치를 미리 알아 두면 손실과 비용, 위험을 최소화할 수 있습니다. 퓨어스토리지는 다음과 같이 공격 “발생 중” 단계에서 신속한 조치를 취할 수 있도록 지원합니다.
- 성능 오버헤드를 일으키지 않고 관리가 필요 없는 상시적 미사용 데이터 암호화 기능 제공
- 보호된 데이터의 수정 또는 삭제 가능성을 제거하여 복구 보장
공격 “발생 전” 단계에 대한 설명은 이 시리즈의 1부에서 확인하실 수 있습니다. 3부에서는 공격 발생 후에 취할 수 있는 조치에 대해 이야기할 예정입니다. 많이 기대해주시기 바랍니다.