사이버 공격 이후 복구 시 데이터 포렌식의 중요성

집에 돌아와서 누군가 집에 침입한 것을 발견했다고 상상해 보세요. 가장 먼저 해야 할 일은 집 안으로 들어가도 안전한지 확인하는 것입니다. 그런 다음 모든 문과 창문이 잠겼는지 재빨리 확인합니다. 이러한 즉각적인 대응은 시스템을 안전하게 복구하고 가동하기 위한 신속한 노력인 복구시간목표(RTO)와 동일합니다.

경찰이 도착하면 즉각적인 위협은 사라지지만, 이제 다음 단계는 무슨 일이 일어났는지 파악하는 것입니다.

경찰은 누가 여기에 있었는지, 어떻게 침입했는지, 혹은 무엇을 가져갔는지 등 정보를 알고 싶어 합니다. 문 손잡이의 지문이나 진흙이 묻은 발자국 등 모든 세부 사항이 중요한 단서가 됩니다.

사이버 보안에서 데이터 포렌식은 범죄 현장에서 수사관이 수사하는 것과 같은 방식으로 작동합니다.

데이터 포렌식이 중요한 이유

포렌식은 운영 복구만큼 시급하게 느껴지지 않을 수 있지만, 더 강력하고 안전한 방어 전략을 구축하는 데는 그 못지않게 중요합니다. 데이터 포렌식은 공격이 어떻게 발생했는지, 공격의 배후는 누구인지, 어떤 데이터와 시스템이 영향을 받았는지, 어떤 취약점이 악용되었는지, 재공격을 어떻게 방지할 수 있는지 등을 파악하는 데 도움이 됩니다.

데이터 포렌식이 중요한 이유는 다음과 같습니다:

• 정부는 정보가 필요합니다: 랜섬웨어 조직이나 해외자산통제국(OFAC) 목록에 있는 단체의 공격을 받으면 정부가 개입하여 시스템을 압수할 수 있으며, 조사를 위해 자세한 증거 기록을 요구할 수 있습니다.
• 아는 것이 곧 보호입니다: 누가, 무엇을, 어떻게, 왜 공격했는지 이해하면 분석 속도가 빨라지고 향후 공격을 방지하기 위해 무엇을 해야 하는지 파악할 수 있습니다.
• 보험 청구 처리: 사이버 보험(영문자료)에 가입한 경우, 보험 회사에서 공격에 대한 조사를 요청할 수 있습니다. 보험에 가입하지 않은 경우, 사이버 공격이 계속 증가함에 따라 보험에 가입하는 것이 더 어렵고 비용이 많이 듭니다. 하지만 강력한 데이터 포렌식 계획을 포함하여 사이버 공격을 방어하기 위한 사전 조치를 취하면, 보험에 가입하고 갱신할 수 있는 가능성이 높아집니다.

정부나 보험사가 사이버 공격에 관여하지 않더라도 비즈니스를 보호하기 위해 일정 수준의 포렌식을 실행해야 하지만, 이는 시간이 걸리며 운영 중단을 야기할 수 있습니다.

이를 극복하는 최적의 방법은 데이터를 잘 보존하는 것입니다. 하지만 이는 생각보다 쉽지 않습니다.

증거를 수집하고 보존하는 데 따르는 일반적인 도전 과제

데이터 포렌식 관리는 복잡합니다. 다음은 기업이 직면하는 가장 큰 도전 과제와 이를 해결하기 위한 몇 가지 팁입니다.

• 시간 제약: 공격을 차단하고 비즈니스가 정상적으로 작동하려면 신속하게 대응해야 합니다. 하지만 증거를 보존하고 분석하는 과정은 느리고 조심스럽게 진행됩니다. 변경 불가 백업 솔루션과 같은 자동화된 툴은 철저한 조사에 필요한 증거를 신속하게 수집하는 데 도움이 될 수 있습니다.
• 데이터에 대한 액세스: 수많은 소스에서 데이터가 쏟아져 나오고 있습니다. 압도당하지 않고 중요한 단서를 찾으려면 어떻게 해야 할까요? SIEM(보안 정보 및 이벤트 관리) 및 SOAR(보안 오케스트레이션, 자동화 및 대응) 플랫폼과 같은 툴을 사용할 수 있습니다. 이러한 도구는 데이터를 효율적으로 필터링하고 상호 연관성을 파악하여 공격 지점과 취약점을 식별합니다.
• 전문성 부족: 데이터 포렌식은 전문적인 기술이며, 모든 팀이 전문 지식을 갖추고 있는 것은 아닙니다. IT 팀을 위한 정기적인 교육에 투자하거나 필요한 경우 사고 대응 전문가와의 계약을 고려할 수 있습니다.
• 증거 오염 리스크: 라이브 시스템을 조사하다 보면 실수로 중요한 증거가 변형되거나 파괴될 수 있습니다. 모든 증거가 법정에서 인정될 수 있도록 하려면 엄격한 증거 처리 절차를 준수해야 합니다. 기록 방지 장치를 사용하고, 영향을 받은 시스템을 격리하며, 분석을 위해 데이터의 비트 단위 사본을 생성하여 원본 증거를 그대로 유지할 수 있습니다.
• 백업 무결성 및 재감염 리스크: 공격 후 시스템을 복구하는 것은 까다롭습니다. 조직의 63%(영문자료)는 백업에 악성 코드가 포함되어 있어 재감염의 리스크가 있습니다. 퓨어스토리지 세이프모드 스냅샷(SafeMode Snapshots)과 같은 솔루션을 사용하면 백업을 깨끗한 위치로 안전하고 신속하게 복구할 수 있습니다.
• 법률 및 규제 준수: 지역마다 증거 처리 및 침해 보고에 관한 법률이 상이하고 때로는 상충되기도 합니다. 법률 고문과 협력하여 해당 법률에 부합하는 사고 대응 계획을 수립해야 합니다. 지속적인 컴플라이언스를 위해 규정 변경에 대한 정보를 지속적으로 파악해야 합니다.
• 사고 발생 후 분석: 공격이 차단된 후에는 정상 운영으로 돌아가야 한다는 압박감 때문에 사고 후 분석이 우선순위에서 밀릴 수 있습니다. 사고 후 분석을 대응 계획의 필수 단계로 삼아야 합니다. 이를 통해 교훈을 파악하고, 철저한 분석에 필요한 리소스를 확인하며, 미래 방어를 강화할 수 있습니다.

퓨어스토리지가 포렌식 프로세스를 원활하게 하는 방법

평균적으로 기업은 랜섬웨어 공격 후 데이터의 약 59%(영문자료)만 복구할 수 있지만, 퓨어스토리지를 사용하면 그렇지 않습니다. 퓨어스토리지는 빠르고 효과적인 데이터 복구 및 데이터 포렌식을 위해 필요한 도구를 제공합니다. 방법은 다음과 같습니다:

• 변조 방지 스냅샷: 퓨어스토리지의 세이프모드 기술은 데이터의 불변(변경 불가) 스냅샷을 생성합니다. 이러한 백업은 완전히 안전하며, 관리자 액세스 권한을 가진 공격자라도 변형하거나 삭제할 수 없습니다. 즉, 공격이 발생하기 직전의 정확한 상태로 데이터를 완전히 복구할 수 있습니다. 이렇게 하면 정상 운영으로 빠르게 복귀할 수 있을 뿐만 아니라 디지털 포렌식 프로세스가 간소화되어 무엇이 잘못되었는지 조사하는 데 도움이 됩니다.
• 향상된 SIEM 및 SOAR 기능: 퓨어스토리지는 최고의 SIEM 및 SOAR 제공업체와 협력하여 사이버 복원력을 강화합니다. 이러한 솔루션을 함께 사용하면 잠재적인 공격을 더 빠르게 발견하고, 세이프모드 스냅샷을 트리거하여 중요 데이터가 손상되기 전에 잠그는 등 자동으로 대응할 수 있습니다.

올바른 스토리지가 엔터프라이즈 SIEM 운영을 개선하는 방법(영문자료) 웨비나 보기

• 깨끗한 스토리지 보장: 시스템이 공격을 받으면 퓨어스토리지는 신속하게 새로운 스토리지 장비를 제공하고 설정합니다. 깨끗한 환경을 유지하면 포렌식 조사가 백그라운드에서 원활하게 진행될 수 있으며, 고객은 비즈니스 운영을 정상화하는 데 집중할 수 있습니다.
• 사이버 복구 SLA: 퓨어스토리지는 복구 및 포렌식을 위해 항상 사용 가능한 깨끗한 스토리지 외에도 48시간 복구 계획이 포함된 SLA와 현장 전문 서비스 엔지니어의 복구 지원을 포함한 번들 서비스를 제공합니다.

침해, 중단 또는 데이터 도난이 발생한 후에는 시스템을 가능한 한 빨리 온라인 상태로 복구하는 것이 최우선 과제입니다. 모든 것이 다시 실행되면 심층적인 조사를 진행해야 하는데, 여기에는 많은 시간이 소요됩니다. 퓨어스토리지는 이러한 프로세스를 간소화하고 사이버 복원력(영문자료)을 강화하는 실질적인 인사이트를 확보할 수 있도록 기술과 지원을 설계했습니다.

에버그린//원(Evergreen//One)의 퓨어스토리지 사이버 복구 및 복원력 SLA에 대해 자세히 알아보세요.

Minimize Risk with Data That’s Always Available

Keep your data available in the event of disasters or accidents, regardless of your required recovery point objectives (RPOs) and recovery time objectives (RTOs).

Safeguard Your Data