해킹 사고 발생한다면 무엇을 어떻게 해야할까요?

인터넷이 보편화되면서 우리는 더불어 심각한 해킹 사고 가능성을 안고 살고 있습니다. 즉, 아무리 철저한 보안 대책을 세웠다 할지라도 위험의 가능성은 여전히 존재하는 것이 현실입니다. 상황이 이쯤되고 보면 해킹 사고시 손실을 최소화할 뿐 아니라 신속하게 복구작업을 수행할 수 있는 노하우 정도는 숙지하고 있는 것이 도움이 되지 않을까요. 이런 생각에서 시스코에서 SMB 보안 마케팅 매니저를 맡고 있는 마이클 산체스(Michael Sanchez)는 네트워크 공격시 효과적으로 대응할 수 있는 요령을 5단계로 정리해 소개하고 있습니다. 원문 포스팅은 You’ve Been Hacked? Here’s What to Do에서 함께 서비스되고 있사오니 한번쯤 관심을 가지고 읽어 보시기 바랍니다.

비정상적인 팝업창, 비인증 소프트웨어, 자기도 모르는 사이 변경된 패스워드, 혼자서 마구 돌아가는 프로그램, 웹사이트에 게재된 비정상적인 컨텐츠...이 모든 것은 여러분들의 소중한 업무용 네트워크가 해킹당했다는 신호의 일종인데요. 이때 절대 당황하지 마십시오. 허둥되는 순간 오히려 위험을 더 키울 수 있으니까요. 평정심을 갖고 제가 제안한 내용에 순차적으로 행동해 보십시오. 크게 도움이 될 것입니다. 

우선 해킹 사고가 발생하면 보안 전문가가 지시해 주는 대응 지침에 따라 행동하는 것이 중요합니다. 더불어 제가 다음에 제시해 드리는 다섯가지 단계별 대처법을 꼭 숙지해 두십시오. 당신의 선택에 따라 신속하고 안전한 복구가 가능할 수도, 그렇지 않을 수도 있음을 꼭 명심하십시오. 

1. 네트워크 공격 상황을 명확하게 인지하십시오. 네트워크 공격이 일어났을 때는 이것이 공격
상황이라는 것을 명확히 하고 가능한 한 빨리 많은 정보를 모아야 합니다. 네트워크 공격인지 아닌지도 제대로
알지 못해 우물쭈물하는 것은 피해를 더 키우는 결과만 초래합니다. 가장 먼저 어떤 시스템이 위험에 처했는지를 파악해야 합니다. 공격에 사용된 IP주소를 확인하고 이것이 인증되지 않은 원격 접속에 의한 것인지, 바이러스에 의한 것인지, 아니면 웹사이트에 달라붙은 멀웨어 페이지로 인한 것인지 등등의 공격 형태를 규명해야 합니다. 이때 라우터와 방화벽에 있는 트래픽 기록 및 syslog 메시지와 같은 관리 툴을 이용하면 유용할 것입니다. 또 네트워크 상의 각 장치들의 트래픽 플로우 기록이 매우 유용할 수 있으니 가능한 경우 이 기록들을 조사해 분류함으로써 향후 공격의 방향이나 패턴을 예측할 수 있도록 하십시오. 이 밖에도 인터넷서비스제공업체(ISP)와 아웃소싱 서비스를 제공 중인 IT업체로부터도 해킹 대응에 필요한 유용한 정보를 얻을 수 있을 것입니다. 이 과정 전반에서 보안 전문가의 도움을 받는다면 더할나위 없이 좋겠지요. 정보를 수집하고 수집된 관련 정보를 제대로 파악하는데 큰 도움이 될 것입니다.

2. 손실을 최소화할 수 있도록 조치를 취하십시오. 해킹이 일어났을 때 처음 취하는 일반적인 행동은 전체
네트워크를 오프라인 상태로 만들어 버리는 것입니다. 그러나 잘 생각해보세요. 이러한 조치는 기업의 전반적인 운영 측면에서는 또 다른 리스크를 야기할 수 있을 것입니다. 갑자기 기업 전체 네트워크가 다운되면 고객과의 관계나 시장내 평판에 좋지 않은 영향을 미치게 될 것입니다. 그렇기 때문에 네트워크 공격으로 인해 영향을 받을 수 있는 애플리케이션에 한해서만 전략적으로 분리시키는 조처가 필요합니다. 즉, 감염되거나 문제가 발생한 애플리케이션만 오프라인 상태로 만들거나 필요하다면 문제의 애플리케이션이 운영 중인 서버와 컴퓨터만 작동을 멈추도록 하는 것입니다. 이에 다른 업무는 계속 진행될 수 있도록 함으로써 비즈니스 가용성을 보장해야 하는 것입니다. 이와 동시에 개별 장비마다 어떤 위협을 받았는지 파악하고 확인해야 합니다. 이 같은 작업은 손상된 컴퓨터와 서버의 접속 상태 및 데이터셋을 가장 최근에 행해진 안전하고 깨끗한 각 시스템의 백업 데이터와 비교하는 것으로 수행이 가능하니 말입니다. 또 웹사이트에 남겨진 공격성 컨텐츠를 삭제하거나 시스템에 남겨진 멀웨어도 깨끗하게 지워야 합니다. 그러나 이 대목에서 꼭 기억할 한가지 사실은 지우는 것만이 능사가 아니라는 것입니다. 해킹은 여러분의 기업을 겨냥해 이뤄진 범죄인만큼 증거를 보존할 필요도 있겠지요. 이 과정에서는 Anti-Phishing Working Group(APWG)이 추천한 실행 방법을 참고하시기 바랍니다. APWG는 수많은 불법적인 컨텐츠와 비인증 애플리케이션을 안전하게
복제본을 만들어둘 것을 제안하는 동시에 이에 필요한 절차를 소개하고 있습니다. 왜냐하면 비정상적 컨텐츠의 경우 보관하더라도 반드시 위협이 가능한 시스템으로부터도 분리돼 있어야 하기 때문입니다. 이 밖에도 APWG는 이미 오래 전부터 마련해놓은 기업들을 위한 합법적인 권고 조항들도 서비스하고 있어 참조하시면 크게 도움이 될 것입니다. 문제가 컨텐츠 중 일부는 복제가 불가능할 수도 있습니다. 아동 포르노 데이터가 대부분 그런데요. 이런 경우라면 감염되거나 문제가 발생한 시스템을 깨끗하게 재구성하기 전에 반드시 상부기관이나 감독기관에
이 같은 사항을 즉각 보고하십시오. 이런 절차들이 너무 복잡하게 느껴지신다고요. 그런 경우라면 보안 관련해 전문적인 경험을 갖고 있는 시스코 협력사 또는 Certified Information Systems Security Professionals (CISSP)와 상의해 보십시오. 상당부분 도움이 되어 드릴 것입니다.

3. 해당 사고의 공개 여부 및 수준에 대해 전략적으로 결정하십시오. 보안 사고가 일어났을 때 이를 무조건 숨겨야 할까요. 아님 낱낱히 공개해야 할까요. 이와 관련해서는 전략적인 의사결정 과정을 통해 공식적으로 공개할 것인지, 공개한다면 어느 정도 수위까지 할 것인지 정책을 먼저 마련해야 합니다. 보안 사고가 일단 발생되면 공격과 손상의 종류에 따라 고객은 물론 협력사, 그리고 상부기관에 보고할 필요도 생기게 됩니다. 가령, 발생한 보안문제가 특정 정부 규제와 관련이 있는 경우라면 보안 조사관을 불러 법적인 해결책을 모색해 봐야 하는 것입니다. 또 고객이나 협력사 데이터가 영향을 받았다면 그들의 정보가 위험에 처하게 됐다는 사실을 명확히 알릴 의무도 있는 것이지요. 그렇다고 무작정 관련 상황을 공개하기 보다는 앞서 변호사와 PR 전문가에게 자문을 받는 것이 좋습니다. 반면 보안 사고에 대해 공식발표가 필요 없는 상황도 있을 수 있습니다. 그렇더라도 안티바이러스 및 안티멀웨어 솔루션 업체들에게는 해당 정보를 공유해야 할 것입니다. 각종 로그와 보안 위협 상황들을 업데이트할 수 있도록 말이지요. 특히, 사이버범죄라는 관점에서 보면 법적 처리를 위해 해당 지역 및 중앙 사법기관에 이를 고지하는 것도 검토해야 할 것입니다.

4. 해킹에 영향을 받은 시스템을 깨끗이하고 복구하십시오. 한 대 이상의 컴퓨터나 서버가 보안 공격을 받았다면 해당 시스템들을 이전 상태로 되돌리기 위해 우선순위를 정해 처리하는 작업이 필요합니다. 물론 핵심 업무 시스템이 가장 일순위이겠지요. 이때 위협을 받은 데이터, 환경 설정 및 애플리케이션은 가장 최신 버전의 깨끗한 백업 데이터로 대체하십시오. 더불어 루트 패스워드를 비롯해 모든 감염된 시스템 이용자, 사용자, 애플리케이션의 패스워드를 바꾸는 작업도 함께 병행하셔야 합니다. 또 공격에 영향을 받지 않은 시스템이라 할지라도 전사적으로 패스워드를 변경할 것을 요구합니다. 특히, 기본 설정된 패스워드를 그대로 놔두거나 ‘admin’과 같은 패스워드를 쓰는 경우가 없는지 반드시 확인하십시오. 해킹은 종종 이 같이 엉성한 패스워드 관리로부터 가능해지기도 하니까요.

5. 취약점을 보완함과 동시에 보안 수준을 강화하십시오. 네트워크에서 외부 접근이 허용된 적이 있는 모든 취약한 곳을 보강해야 합니다. 그것이 설치 오류든, 이메일 다운로드든 혹은 그 밖의 그 어떤 요소이든 상관없이 말입니다. 이와 함께 무엇보다 네트워크 보안 수준을 높여야 합니다. 일단 모든 시스템과 소프트웨어에 가장 최신 버전의 보안 패치와 업데이트를 실행해야 합니다. 특히, 네트워크 하드웨어와 소프트웨어의 모든 부분에 보안 설정이 제대로, 또 적정하게 돼 있는지 꼭 확인해 보십시오. 이 밖에도 온라인 상태의 시스템에서 일상적으로 비즈니스 작업을 수행하는 경우 아마도 여러분들은 어떤 위협 요소가 있는지 모니터링을 하기 원하시는 경우라면 침입차단시스템
(IPS)과 같은 보안 솔루션 도입을 고려해 보시기 바랍니다. IPS 기능은 물론 웹과 이메일 보안 기능을 제공하는 Cisco SA 500 Security Appliance 등의 시스템은 여러분들의 강략한 보안 요구를 적절히 해소시켜 드릴 것입니다.

보안 전문가들은 네트워크가 위험에 빠질 경우를 대비해 이상적인 사고 대응 계획(Incident Response Plan)을 마련할 것을 강력하게 권고하고 있는데요. 위에서 소개한 다섯가지 행동 수칙은 보안 공격시 대응 계획을 위한 기본사항으로 매우 중요합니다. 하오니 이 내용을 꼭 숙지하시는 것은 물론 네트워크 보안 전문가의 도움을 받아 각 기업에 맞는 사고 대응 계획을 마련해 두시는 것도 좋을 듯 합니다. 주변에 시스코 인증 파트너(Cisco Certified Partner)나 인증된 보안 전문가인 CISSP를 찾아 한번 상담을 받아보시기 바랍니다.