파이브아이즈 국가들, 합동으로 사이버 보안 권고문 발표

호주, 캐나다, 뉴질랜드, 영국, 미국의 사이버 보안 담당 기관이 합동으로 발표
통상적 가이드라인...참고할 수 있지만 맞춤형 전략 수립하는 것이 중요

[보안뉴스 문가용 기자] 이른 바 파이브아이즈(Five Eyes)라고 불리는 동맹국인 호주, 캐나다, 뉴질랜드, 영국, 미국의 사이버 보안 관련 정보 기관들이 합동으로 ‘악성 행위 탐지 및 대응’에 관한 가이드라인을 발표했다.

[이미지 = utoimage]

이 가이드라인에 의하면 가장 모범적인 사건 대응 절차는 아티팩트, 로그, 데이터의 수집부터 시작한다고 한다. 수집한 건 따로 모아서 추가적인 심층 분석을 이어가며 동시에 복구 및 완화 절차를 계속해서 도입시키는 것이 관건이며, 특히 이 과정 중 공격자들이 탐지된 것을 알아채지 못하게 하는 것이 핵심이라고 보고서는 강조했다.

또한 다섯 정보 기관들은 서드파티 IT 보안 전문 조직과의 협력 체계를 구축하는 게 중요하다고 주장했다. 그래야 보다 충분한 기술 지원을 받을 수 있고, 이를 통해 네트워크 내 악성 세력을 깨끗하게 제거할 수 있으며 추가 침해도 효과적으로 막을 수 있다는 것이다.

이번 보고서는 사건이 일어난 후 대응 체계에 집중되어 있다. 보고서 내에도 “관계 기관과 파트너들, 네트워크 관리자들의 사건 대응력을 강화하고, 수사 진행 시 플레이북 역할을 하게 하는 것이 이 보고서의 목적”이라고 명시되어 있다. 결국 공격을 예방하는 것도 중요하지만 국가 기관 입장에서는 대응이 더 실질적인 과제라는 것이다.

악성 행위를 탐지하기 위한 기술적 방법들에는 다음과 같은 것들이 제시되어 있다.
1) 침해지표 검색
2) 트래픽 패턴 분석(네트워크와 호스트 시스템)
3) 데이터 분석(반복되는 패턴 찾기)
4) 비정상 행위 탐지

또한 네트워크 조사나 호스트 분석을 위해서는 광범위하고 다양한 아티팩트를 찾도록 보고서는 제안하고 있다. 여기에는 다음과 같은 것들이 있다.
1) DNS 트래픽
2) RDP 세션
3) VPN 세션
4) SSH 세션
5) 가짜 악성 프로세스
6) 새로운 애플리케이션
7) 레지스트리 키
8) 열려진 포트
9) 성립된 연결
10) 사용자 로그인 데이터
11) 파워셸 명령

또한 사건을 대응할 때 조직들이 흔히 저지르는 실수들도 지적됐다.
1) 시스템 침해 사실을 알게 된 후 즉각적인 행동을 취한다. 이렇게 할 경우 공격자가 탐지된 사실을 알게 된다.
2) 아티팩트들을 충분히 확보하기 전에 시스템 복구부터 시작한다.
3) 공격자의 인프라를 먼저 차단한다.
4) 크리덴셜을 성급하게 재설정한다.
5) 로그 데이터를 삭제한다.
6) 공격의 뿌리가 되는 근원을 파헤치거나 해결하지 못한다.

비슷한 공격의 재발을 막기 위해 조직들이 할 수 있는 일로는 다음과 같은 것들이 제안됐다.
1) FTP의 제한 및 차단
2) 텔넷(Telnet)의 제한 및 차단
3) 조직이 허용하지 않은 VPN 서비스의 제한 및 차단
4) 사용되지 않는 서비스나 시스템의 제한 및 차단
5) 침해된 호스트의 깨끗한 청소
6) 불필요한 포트와 프로토콜의 폐쇄
7) 원격 네트워크 관리자 도구의 비활성화
8) 비밀번호 재설정
9) 늦지 않은 취약점 패치

피해를 최소화 시키는 방법에 대해서는 다음과 같은 것들이 망라됐다.
1) 네트워크 분리(망분리)
2) 민감한 데이터의 물리적 분리 보관
3) 권한 최소화의 원칙 준수하기
4) 분리된 망들의 환경설정 상황 주기적으로 모니터링하기

하지만 다섯 개 조직들은 권고문을 통해 “여기에 제안된 것이 모든 문제의 해결책은 아니고, 모든 상황에 통용되는 것도 아니”라며 “조직의 특성에 맞는 다양한 방어책을 겹겹이 구성하는 게 핵심”이라고 강조했다. “방어 장치가 많으면 많을수록 공격자는 더 많은 노력과 시간, 돈을 투자해야 합니다. 공격자 쪽에서 많은 손해를 보게 하는 것이 방어의 기본입니다. 공격자의 이상 행위가 탐지되면 식별, 격리, 대응의 절차가 순서대로 자동 발생하도록 하면 공격자의 투자 대비 성과를 낮출 수 있습니다.”

3줄 요약
1. 파이브 아이즈 국가들, 합동으로 사이버 보안 권고문 발표.
2. 적 세력의 움직임을 탐지하고 대응하는 방법에 관한 보고서.
3. 하지만 통상적인 가이드라인일 뿐 맞춤형 전략 독자적으로 수립하는 게 더 중요.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)