[보안맨] 침해사고 대응훈련

안녕하세요,


정보 보안의 3대 요소는기밀성무결성가용성입니다. 3대 요소 모두 비즈니스에 직결되는 중요한 요소이지만회사 측면에서 중요한 한 가지를 굳이 뽑자면, '가용성'을 생각하실 것 같습니다유무형의 고객 서비스와 직결되며이를 위해 DBMS, 서버네트워크 회선 등을 이중화 하는 등 전폭적인 IT 투자를 하는 곳도 많습니다이때단 한차례 외부 (또는 내부해킹 공격으로 인해 대 고객 서버가 중단된다면 어떻게 될까요회사는 직/간접적으로 큰 손실을 입을 것입니다. - 실제 'XX'라는 업체의 경우랜섬웨어 공격으로 인해 약 13억 원의 손실을 입었고대외 이미지 측면 큰 어려움을 겪었습니다.

침해 사고가 일어나지 않을 것이라고 단언할 수 없기 때문에회사에서는 사이버 보증 보험을 통해 위험을 전가하거나보안 시스템 구축침해 사고 예방 훈련 등 다각적인 보안 대책을 마련합니다.

본 기고글에서는 위 보안 대책 중, "침해 사고 대응 훈련"에 대해 살펴보도록 하겠습니다특별히 '악성코드 메일대응훈련'에 대해 3가지 steps으로 다루고자 합니다.


● 계획 수립 / 환경 설정 / 테스트

필자는 아래와 같은 목차를 고려해 계획서를 작성했습니다.


훈련 개요 및 목적

※ 관련 법적/사내 규정 또는 회사 보안 환경 등 고려

※ 금융권의 경우 침해 사고 관련 전자금융 감독규정 하위 조항 명시

훈련 대상

훈련 일시 및 장소

훈련 단계

기대 효과

훈련 시나리오

훈련 평가 기준 및 등급


Figure 1. 침해사고 대응 훈련 계획서 ()


최대한 실전과 같은 훈련 시나리오를 제공하기 위해 계획서 작성에 심혈을 기울였습니다당시 '코로나'로 인한 정부 재난 지원금 수급 관련 템플릿을 기획했던 기억이 있습니다. - 훈련을 실제 그럴듯한 악성코드 메일 형태로 할 것인지아니면 비즈니스 부서의 반발 등을 고려해 형식적인 수준의 훈련을 할 것인지는 '정보보호 최고 책임자 (CISO)' 또는 경영진의 의지가 중요한 것 같습니다.


훈련 준비 및 계획 수립 당시외부 전문 업체를 통해 악성코드 메일 발송 환경을 구성해야 했습니다내부 메일 서버 설정, IP/포트 정보 설정외부 스팸 훈련 솔루션 내 환경 설정 등 은 일정 내 잘 준비되었으나테스트 단계에서 계속 스팸메일로 분류되는 이슈가 있었습니다당시 필자 회사 메일 주소는 본사의 메일 서버 하위 도메인에 속해있었고본사 네트워크 구조 상 본사 메일 서버 상단의 스팸 솔루션으로 인해 차단되는 현상이었습니다관련 환경을 인지하고 있지 못해 준비 과정 중 많은 어려움이 있었지만본사 담당자에게 신속한 whitelist 예외 처리 요청 등을 통해계획된 기간 내 악성 훈련메일 테스트를 완료할 수 있었습니다.



● CISO 보고 / 모의 훈련 시행

계획서테스트 결과 등을 바탕으로 CISO (정보보호 최고 책임자)에게 모의 훈련 준비 결과를 보고 했습니다모의 훈련 세부 시행 날짜는 최소한의 담당자만 알도록 하고절대 기밀을 유지했습니다만일의도적 혹은 비의도적으로 회사 다른 인원에게 알려지게 되면 훈련 효과성이 매우 떨어지기 때문입니다.


최종 모의 훈련일에 임직원에게 일괄 발송하여위 훈련 평가 기준에 따른 임직원의 반응 (신고 여부 등), 악성 링크 클릭 여부 등을 체크했습니다.

사실 본 훈련의 목적 중 하나는 '임직원의 초동 신고'입니다임직원의 철저한 보안의식을 바탕으로 사전 예방 형태의 100% 안전한 환경을 유지하는 게 이상적이지만혹여 1명의 PC가 감염되었을  경우악성코드(e.g. 바이러스랜섬웨어 등확산 형태에 따라2, 3 PC 감염으로 이어질 수 있기 때문입니다이전 훈련 당시 보안팀으로의 신고 접수율이 많이 낮았던 기억이 있는데보안 담당자 입장에서 씁쓸함과 동시에지속적으로 인지할 수 있는 보안 인식 프로그램에 대해 좀 더 고민해 보는 시간이었습니다.



● 미흡 인원 보안 교육 / 경영진 보고

0명의 인원이 나왔으면 좋겠지만부서별 1~2명의 인원이 호기심 등의 이유로 악성 링크를 클릭했었습니다따라서추후 동일한 행위가 반복되지 않도록보안 인식이 다소 떨어지는 위 인원을 대상으로 집체 교육을 실시했습니다당시 '악성코드 메일 훈련'의 결과 여부가 개개인의 인사평가에 반영됨을 상기시킴과 동시에모르는 발신자 메일 주소또는 파일 확장자 등 주의해야 할 스팸메일 상식에 대해 각인시키는 교육을 진행했습니다. -  'XX' 기업을 포함한 여러 해킹 피해 사례를 공유해 임직원 한 사람의 행동이 회사 전체에 영향을 미칠 수 있다는 점을 강조했습니다.


Figure 2. 침해 사고 대응훈련 후속 교육 자료 ()


경영진에게는 최대한 숫자핵심 문구를 바탕으로 간결히 보고 했습니다경영진의 경우작년 훈련 미흡 인원수 대비 올해 개선이 된 부분이 있었는지 많은 관심이 있었습니다/퇴사자 등이 존재하므로 100% 비교는 어려웠지만최대한 현 인원 기준 수치 및 개선해야 할 항목 (e.g. 시나리오 다각화사전 예방 교육 주기적 실시 등을 적절히 설명했습니다.

 

6개의 댓글이 있습니다.

약 2년 전

안녕하세요. 혹시 훈련 계획서를 받아볼 수 있을까요? 감사합니다.

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

2년 이상 전

백업과 침해 사고 모두 모의 훈련이 중요한것 같습니다.
벌도 리얼하게

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

2년 이상 전

자료 감사합니다

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

2년 이상 전

자료 감사합니다.

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

2년 이상 전

실질적인 훈련내용을 공유해주셔서 감사합니다. ^^

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

3년 이하 전

대응훈련 자료 감사합니다.

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입