사이버 공격은 항상 예상치 못한 상황에서, 매우 빠르게 발생합니다. 따라서 제대로 대응하려면 단순히 사이버보안팀만이 아니라 조직 구성원 모두가 맡은 역할을 해야 하죠. 여러분은 모두 준비돼 있나요? 보안 사고가 발생했을 때, 무엇을 하고, 무엇은 하지 말아야 하는지 임직원 모두가 알고 있나요? 가장 중요한 건, 조직 전체가 사이버 공격에 대한 대응을 연습해 본 적이 있는가 하는 것입니다. 이사회, 경영진, 관리자와 팀원 모두가 자신의 역할과 책임을 알고 있어야 하며 사이버 공격이 실제로 발생해 조직에 막대한 부담을 주기 전에 잠재적인 문제를 잡아나가야 합니다.
사고대응계획(IRP)이 실제 상황에서 제대로 작동할지, 그리고 팀 구성원들이 각자의 역할을 알고 있는지 쉽게 확인하는 방법이 있습니다. 바로 테스트입니다. 그러나 포네몬연구소의 설문 조사에 따르면 기업의 47%가 사고대응팀의 준비 상태를 평가하지 않고 있는 것으로 확인됐습니다. 다시 말해, 사이버 공격이 발생한 최악의 시점이 돼서야 회사의 대응 계획을 처음으로 테스트하게 되리라는 뜻입니다. 해커들은 지속적으로, 그리고 끊임없이 당신의 방어와 대응 수준을 테스트합니다. 여러분의 조직 역시도 그래야 할 것입니다.
공공 및 민간, 그리고 크고 작은 다양한 국내외 기관과 기업의 사이버 공격 대응 계획 수립을 자문해오면서 발견한 것은 최악의 상황에 대비하는 가장 좋은 방법이 바로 긴급 대응훈련과 도상훈련이라는 사실입니다.
긴급 대응훈련 및 도상훈련
교통사고 환자를 받는 병원 응급실을 생각해보세요. 중상을 입은 환자가 도착하자마자 응급실 근무자는 정확히 무엇을, 어떻게 해야 하는지 알아야 합니다. 위기가 일어나고 있는데 배우고 있을 수는 없죠. 기업 임원들과 최고경영진도 마찬가지입니다. 사이버 공격을 받는 실제 상황에서도 회사의 대응 계획을 잘 파악하고 있으려면 사전 훈련을 통해 대응 방법에 대한 근육 기억을 만들어 놔야 합니다. 가상 시나리오 시뮬레이션은 조직의 대응 계획을 검증하고 회사의 리더들을 준비시킬 수 있습니다.
효과적인 훈련 수행은 계획 수립에만 몇 주가 필요하며 실제와 유사한 상황과 시나리오가 적용될 때 가장 효과적입니다. 회사 보안 사고에 대해 비난하는 뉴스 보도를 시뮬레이션한 비디오를 제작하고, 탐사 보도 취재 기자가 갑자기 나타나 CEO와 인터뷰를 요구하거나, 최근 받은 사이버 공격에 대해 질문하기 위해 기자회견을 중단시키는 등 실제와 유사한 상황을 만듭니다. 다크웹에서 해커들에 의해 유출된 회사의 기밀정보가 거래되고 회사 주가가 급락하는 상황도 시뮬레이션합니다.
첫 번째 단계는 훈련에 대한 명확한 학습 목표를 확인하고 어떠한 사이버 공격이 조직에 심각한 악영향을 미칠지 알아내는 것입니다. 긴급 대응훈련과 도상훈련은 조직의 취약점과 위험을 파악하고, 위험의 규모, 그리고 이를 관리하기 위한 보안 자원 및 투자의 중요성을 알리며, 대응 계획 테스트를 통해 조직 구성원 모두가 항상 준비돼 있도록 도움을 줍니다. 예상치 못한 사고는 언제나 일어날 수 있지만 무엇을 해야 할지 알고 있다면 실제 사고 발생 시에도 경영진은 충분히 대응할 수 있을 것입니다.
도상훈련과 긴급 대응훈련은 서로 대상과 목적이 다른데 도상훈련(TTX)은 비정기적으로 관리 역량과 조직의 대응을 테스트합니다. 이와는 다르게 긴급 대응훈련은 인력, 프로세스 및 기술 차원에서 적절하게 대응하는지를 테스트하고, 초동 대응이 실패하는 경우를 대비하는 비상 계획이 있는지 확인하는 정기적 연습입니다. 디지털 시스템이 다운되는 경우, 핵심 프로세스와 시스템을 정상 상태로 복원할 수 있을 때까지 대체 통신 계획, 운영 계획, 백업, 긴급 발주, 장비 도입 방안을 파악, 확보하는 것은 매우 중요합니다. 이러한 테스트를 거치지 않으면 사이버 공격으로 인해 회사의 주요 시스템이 손상되는 순간 생각할 수 있는 모든 부분이 취약한 상태가 됩니다. 최근 산탄데르은행, 볼티모어시, 그리고 미 재무부가 겪은 것처럼 엄청난 규모의 업무 중단을 겪게 되죠.