세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
랜섬웨어 사고에 대비해 당신이 지금 취할 수 있는 7가지 단계
  |  입력 : 2017-11-09 16:48
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
계속 증가하는 랜섬웨어 공격, 사고 대응 계획 마련해야
지금 당장 시작할 수 있는 실용적인 조치 7가지로 정리


[보안뉴스 오다인 기자] 내일 아침 사무실에 출근해보니 회사 컴퓨터가 몽땅 랜섬웨어 공격에 당한 상태라면 당신은 어떻게 할 것인가? 누구에게 전화를 할 것인가? 컴퓨터가 암호로 잠겨 있는데 담당자 전화번호는 어떻게 찾을 것인가? 고객들에게는 어떻게 공지할 것인가?

[이미지=iclickart]


랜섬웨어 공격에 대비하는 데에는 데이터를 오프라인으로 자주 백업해두는 것과 같은 기술적인 팁을 포함해 다양한 방법이 존재한다. 필자는 그런 기술적인 단계에 대해 논하고 싶지 않다. 본 글은 당신이 지금 당장 취할 수 있는 실용적이고도 적용 가능한 조치들에 대해 말하려고 한다. 사건이 터지고 난 이후의 상황에 대해 당신과 당신의 회사가 지금 준비할 수 있는 조치들에 대해서 말이다. 비상 시 계획은 무엇인가? 사건 발발 시 어떤 멤버로 대응팀을 구성할 것인가? 서로 간의 소통은 어떻게 할 것인가?

예상치 못한 일에 대해 준비가 잘 돼있는 사람은 거의 아무도 없다. 그러나 미리 계획하는 건 재앙이 닥쳤을 때 삶의 부담을 훨씬 더 줄여줄 수 있다. 랜섬웨어의 경우엔 닥칠 가능성도 꽤 높다. 지난 5월 워너크라이(WannaCry) 공격이 발발 며칠 만에 전 세계 30만 대의 컴퓨터를 감염시킨 뒤, 미국 연방수사국(FBI) 사이버부서 수장은 랜섬웨어를 “횡행하면서 증가하는 위협”이라고 일컬었다. 랜섬웨어 공격이 계속해서 증가할 가능성이 높다는 뜻이다. 각종 보고서들도 랜섬웨어의 상승세를 예견하고 있다.

이런 사실을 고려해 아래와 같이 7가지 단계를 제시한다. 랜섬웨어가 발생한 뒤 당신 자신과 당신의 회사를 지키기 위해 지금 당신이 준비할 수 있는 단계들이다. 이 단계들 중 일부는 다른 중요한 사건들에도 적용될 수 있고 나머지는 랜섬웨어에만 해당하는 것들이다.

1. 초기 대응을 계획하라
당신 부서의 멤버들은 스트레스가 심한 상황에 익숙하지 않거나 잘 대처하지 못할지도 모른다. 그러므로 그런 상황에서 그들이 무엇을 해야 할지 명확히 알도록 해라. 문제를 논의하기 위해 어디에 모여야 할지, 언론의 취재 요청은 누가 대응해야 할지, 고객과 직원에게는 어떻게 말해야 할지 등등이 포함될 수 있다. 대개 이런 일은 누가, 무엇을, 언제, 어떻게 해야 하는지를 계획한다는 의미다. 이에 대한 계획이 일단 수립되면, 부서 내에서 시간을 충분히 갖고 공유하라.

2. 여러 장소에 대응 계획을 저장해둬라
만약 사건 대응 계획이 PC에 저장돼 있고 그 PC가 암호화 당한다면, 복구 절차를 시작하는 것조차 불가능할 것이다. 랜섬웨어는 데스크톱이나 서버, 아니면 둘 다 감염시킬 수 있다. 그러므로 여러 장소에 계획의 사본을 저장해둬야 한다. 적어도 3개의 개별 클라우드 서비스에 저장해두는 것을 포함해서 말이다. 그리고 이 계획을 정기적으로 업데이트하는 것을 잊지 않기 위해 달력에 알림을 설정해둘 필요도 있다.

3. 사건 대응팀 멤버를 지금 당장 구성해라
사건이 발생한 뒤 누가 논의에 참여해야 하나? 최고경영자(CEO)와 최고정보책임자(CIO)는 당연히 참석한다 치자. 여기다 대외홍보부서, 법률자문부서, 인력개발부서를 포함해 다른 부서의 리더들을 참여시키고 싶을지도 모른다. 사건 대응팀에 참여할 사람의 목록을 지금 써라. 그리고 목록에 오른 사람들 전원이 이 사실을 분명히 숙지하도록 만들어라. 또한, 근무시간 외 연락처 세부사항도 파악해두고, 대응팀 전원과 공유해라.

4. 소통에 대한 계획도 필요하다
주로 쓰는 소통 수단이 암호화 될지도 모른다. 따라서 대체적인 소통 수단을 생각해둬야 한다. 이메일은 좋은 선택지가 아닐 것이다. 스마트폰이 작동한다면, 협업 애플리케이션이 단체로 소통하는 데 좋은 수단이 될 수 있다. 모든 사람이 해당 앱을 설치했는지 확인하면 될 뿐이다. 만에 하나 랜섬웨어가 모바일 기기까지 감염시킬 경우에 대비해서 백업이 필요하다. 여러 장소에 전화번호, 개인 이메일 주소 등을 저장해두는 것도 좋은 시작점이 될 수 있다.

5. 누가 책임질 것인지 지금 정해라
공격이 발생하고 나면 직원에게 지시를 내리는 일부터 수사당국과 고객, 파트너 업체에 연락하는 일까지 할 일이 산더미처럼 쌓인다. 누군가는 전체를 보고 복구 작업을 관리하면서 쏟아지는 질문에 대답할 준비가 돼 있어야 한다. 그건 최고정보책임자(CIO)일 수도 있고, 최고운영책임자(COO)일지도 모르며, 보안 전담부서의 수장이거나 아예 다른 사람일 수도 있다. 그러나 명확한, 단 한 사람의 책임자가 존재하는 것이 최고다. 그 사람이 누가 될 것인지를 지금 정해라. 그래서 사건 대응에 대한 책임이 어느 날 아침 누군가의 무릎에 뜬금없이 떨어지는 일이 없도록 해라.

6. 당신이 어떻게 대응할 것인지에 대해 지금 논의하라
랜섬웨어의 몸값을 지불할지 말지 결정하는 건 사건의 심각성이나 본질에 따라 다를 것이다. 그러나 이와 관련한 대화는 공격에 당해 분위기가 과열됐을 때보다 지금 시작해두는 것이 좋다. 미국 연방수사국(FBI)은 향후의 공격을 조장하는 일이 될 수도 있기 때문에 몸값을 지불하는 걸 용납하지 않겠다고 밝히면서도 모든 기업이 자체적으로 결정할 필요가 있다는 사실도 인지하고 있다고 말했다. 지금 논의를 시작한다고 해도 아무런 해가 없다. 적어도 결정의 순간이 찾아오면 무엇을 잃고 무엇을 얻을지에 대해 부서원이 익숙해질 수 있을 것이다.

7. 위험과 관련한 당신의 욕구를 파악하라
모든 것을 계획할 수는 없다. 그러므로 당신이 위험을 어느 정도까지 참을 수 있는지, 어느 선까지 해로움과 싸울 수 있는지 파악한 다음, 무엇을 주고 무엇을 얻을 것인지 결정해라. 예컨대, 일부 회사들은 매월 재난 복구 연습을 진행해서 늘 준비된 상태를 유지하도록 노력한다. 그러나 이건 대단히 큰 헌신을 요하는 일이고, 다른 회사들은 분기별로 한 번씩 진행하기도 한다. 이 모든 일은 당신이 회사 시스템에 얼마나 큰 ‘보험’을 구축하길 원하느냐에 달려 있다. 어려운 결정이지만 미리 의도적으로 계획될 필요가 있는 일이다.

운이 좋다면 랜섬웨어가 당신을 평생 피해갈지도 모른다. 하지만 운에만 의존해서 기업을 운영할 수는 없다. 당신의 기술 전담부서는 공격을 막아내고 피해를 줄이기 위해서 많은 일을 하게 될 것이지만, 체계적으로 대응하고, 고객에게 알리고, 기업을 계속해서 앞으로 나아가게 하는 일은 관리의 영역이다. 당신이 한 번도 겪어보지 못한 상황을 미리 상상하는 건 어려운 일이다. 그러나 어느 날 아침 전화가 걸려오고, 회사가 랜섬웨어 공격에 당했다는 소식을 들었다고 상상해보라. 그날 아침 당신이 후회하게 될 그 모든 일들을 함께 떠올려보라. 그 일을 지금 당장 시작해라.

글 : 패트릭 힐(Patrick Hill)
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
북한의 사이버 공격이 갈수록 심해지고 있습니다. 해킹 공격이 미사일 공격보다 더 무섭다는 소리도 나올 정도입니다. 정부 차원에서 더 강화된 사이버 보안을 위한 전략을 새롭게 수립해야 한다고 생각하십니까?
아니다. 지금 있는 것만 제대로 해도 충분하다.
그렇다. 단, 미국의 행정명령처럼 장기적인 방향성을 가져야 한다.
그렇다. 단, 지금의 위기상황에 당장 적용할 수 있는 것이어야 한다.
아니다. 민간 차원에서 해결할 수 있어야 한다.
정부 차원의 전략이 얼마나 도움이 될지 잘 모르겠다.
크게 보면 외교 문제다. ‘보안’의 시각으로만 접근해서는 안 된다.
기타(댓글로)