사이버 복구는 일반적인 재해 복구와 다릅니다.
안타깝게도 사이버 공격으로부터 복구할 수 있는 '쉬운 버튼'은 없습니다. 마법처럼 "모든 것을 복원"하는 메뉴 옵션도 없습니다. 선제적인 리더는 사이버 복구가 일반적인 재해 복구보다 더 복잡하다는 점을 이해해야 합니다. 이를 위해서는 내부 보안 팀 간의 협업을 통한 고급 계획이 필요합니다. 고려해야 할 사항에는 다음이 포함됩니다.
- 액세스 차단을 위한 격리
- 공격자의 진입 지점을 파악하기 위한 포렌식
- 영향을 받는 시스템을 파악하기 위한 평가
- 복구 중에 위협이 다시 유입되지 않도록 데이터 오염 제거
사이버 사고로부터 효과적으로 복구하려면 보안, 비즈니스 연속성, 백업 및 복구를 포함한 기존 인프라 서비스 등 IT 분야 전반에 걸친 총체적인 접근 방식이 필요합니다.
복구 접근 방식
먼저 백업을 통한 전통적인 재해 복구 방식부터 살펴보겠습니다. 하드웨어 고장이나 실수로 인한 삭제와 같은 악의적이지 않은 사고의 경우 백업 플랫폼은 공격 대상이 되지 않습니다. 최근 백업 사본을 사용하면 간단하게 복구할 수 있습니다. 원래 위치 또는 다른 위치로 빠른 복구가 가능합니다. 간단합니다. 사용 중인 시스템은 정상적으로 작동하며 신뢰할 수 있습니다.
반면, 사이버 공격은 모든 것을 악의적으로 공격하므로 복구가 복잡해집니다. 봉쇄가 최우선입니다. 이를 통해 공격자의 액세스를 차단하고 추가 피해를 즉시 방지할 수 있습니다. 영향을 받는 시스템이나 네트워크를 격리하면 공격의 확산을 최소화하고 더 빨리 복구를 시작할 수 있습니다. 봉쇄는 방화벽과 네트워크를 넘어 확장됩니다. 자격 증명도 고려해야 합니다. 실제 공격 사례로는 공격자가 손상된 자격 증명을 사용하여 전화 회의에 참여하거나 그룹 채팅을 청취하는 경우가 있습니다. 그러한 경우에는 팀과 의존 중인 시스템 간의 신뢰 문제로 인해 복구 작업이 더욱 복잡해지고 느려집니다. 포렌식 팀은 공격자가 어떻게 침입했는지 정확히 파악하고, 취약점과 악성 코드를 찾고, 잠재적으로 영향을 받은 시스템을 진단하여 재감염을 방지하기 위해 노력합니다.
봉쇄 및 포렌식 조치와 동시에 진화하는 비즈니스 복잡성을 해결해야 합니다. 랜섬웨어의 경우 전문 기업이나 정부 기관이 공격자와 협상하기 위해 개입할 수도 있습니다. 경영진, 재무, 홍보 및 투자자 관계 팀은 매시간 회의를 통해 고객 영향을 평가하고, 누구에게 알릴지 결정하고, 보험사와 협력할 것입니다.
그동안 개인정보 보호 및 컴플라이언스 전문 법무 팀은 통보 대상과 그 시기를 결정해야 합니다. 한편, 내부 커뮤니케이션 팀은 직원들에게 무슨 일이 일어나고 있는지 알려야 합니다. 공격으로 인해 제때 급여를 지급할 수 없거나 다른 직원 문제가 발생하는 경우 인사 팀에서 개입하는 경우도 있습니다.
특히 사이버 공격이 실제로 발생하기 전에 사이버 복구 계획을 수립하지 않았다면 이 모든 것이 큰 부담으로 다가올 수 있습니다. 사이버 공격을 견디고 복구하는 데 도움이 되도록 인시던트 발생 전, 발생 시, 발생 후에 취해야 할 몇 가지 단계를 살펴보겠습니다.
사이버 공격 전
미리 준비할수록 복구가 더 쉬워집니다. 보안 태세, 즉 인시던트를 식별, 대응 및 복구할 수 있는 능력과 준비 상태를 강화하는 것은 준비에 매우 중요합니다. 환경을 더 잘 이해할 수 있을 뿐만 아니라 대응의 우선 순위를 정할 수 있습니다.
데이터 인벤토리, 분류 및 캡처
환경 전반에서 무엇을 보호해야 하는지 파악하십시오. 모든 데이터를 인벤토리화하고 보호 정책의 공백이 존재하는 위치를 파악하십시오. 환경 전체에서 섀도우 IT와 다크 데이터를 찾아서 제거하십시오. 기본 생산 데이터를 분류 및 캡처하여 무엇이 미션 크리티컬한지 평가하고 민감한 데이터 분석을 수행합니다.
데이터 보호
보호 및 보존 정책을 수립하십시오. 보안 평가, 스코어카드, 감사를 활용하여 상태를 개선하십시오. 자동화와 AI/ML을 활용하여 복잡성을 줄이십시오. 모든 프로덕션 시스템을 백업하고 SLA를 충족하기 위해 즉시 복원할 수 있는지 확인하십시오.
데이터 보호 평가 및 강화
제로 트러스트 원칙을 활용하여 데이터 보호를 개선하십시오. 액세스 제어를 강화하고 다중 인증( MFA ) 및 다인원 인증(MPA)을 구현하여 백업 일정 및 보존 기간을 제어하십시오. 사용자 및 프로세스 권한에 역할 기반 액세스 제어(RBAC)를 활용하십시오. 데이터 전송 및 저장 시 모든 데이터를 암호화하십시오.
중요 데이터 격리
최신 3-2-1 백업 전략을 구현하십시오. 격리된 변조 불가 및 삭제 불가 데이터 사본을 생성하고 격리된 복구 환경(IRE) 또는 SaaS 데이터 격리를 구현하십시오.
복구 계획 정의
환경의 모든 데이터와 모든 팀에 걸쳐 조정된 복구 계획을 조정하십시오. 이는 오늘날 복구의 핵심이자 가장 어려운 부분입니다. 테이블 연습을 포함하여 중단 없는 복구 테스트 및 리허설을 수행하십시오. 비즈니스, 보안 및 운영 부서에 걸쳐 팀을 구성하여 특정 기능에 대한 적절한 복구 계획을 파악하십시오. 가능한 한 많이 자동화하십시오. 재해나 사이버 공격 이후 미션 크리티컬 애플리케이션이 다운될 수 있는 최대 시간인 복구 시간 목표(RTO)를 설정하십시오. 재해나 사이버 공격 중에 허용할 수 있는 데이터 손실량인 복구 시점 목표(RPO)를 정의하십시오.
공격 중 3가지 주요 조치
사용자 활동 평가
- 항상 데이터 자산 내에서 무슨 일이 일어나고 있는지 파악하십시오.
- 대시보드를 배포하여 공격이 진행 중임을 나타낼 수 있는 모든 비정상적인 사용자 활동을 관찰하십시오.
위협 탐지
- AI 기반 변형 탐지 기능을 사용하여 백업 데이터가 새로운 랜섬웨어 공격의 징후를 보이는지 여부를 식별하십시오.
- 보안 작업에 대한 알림을 생성하십시오.
- 악성 코드 스캐닝을 시작하여 알림을 분류하십시오.
영향 분석 수행
- 유출 및 액세스 가능성이 있는 데이터를 찾으십시오.
공격 후 4가지 우선순위
복구를 시작할 수 있게 되면 데이터를 재감염시키지 않는 것이 중요합니다. 가능한 한 빨리 비즈니스를 정상으로 복구해야 한다는 압박감이 느껴질 수도 있습니다. 그러나 실수로 취약점이나 악성 코드가 있는 파일을 복원하면 전체 프로세스를 다시 시작해야 합니다.
보안 팀이 활성 위협을 해결하는 동안 통합 악성 코드 및 취약성 검사를 활용하여 백업 데이터를 평가하십시오. 병행 접근 방식을 취하면 오염 제거 및 복구 속도가 크게 빨라질 수 있습니다.
포렌식 분석 수행
백업은 일종의 타임머신과 같은 활약을 하는 경우가 많습니다. 인시던트가 파일, 앱, 컴퓨팅 및 스토리지에 미치는 영향을 평가하십시오. 모든 것을 감사하십시오. 영향을 받은 시스템을 사용하는 모든 팀에 보고할 준비를 하십시오. 부분적인 영향이나 전체 손실을 경험한 부분을 평가하십시오. 어려운 우선순위 결정을 누가 내릴지 결정하십시오. 전반적인 비즈니스 영향, 비용, 소요 시간을 기준으로 복구 우선순위를 정하십시오.
IRE로 복원 및 데이터 정리
마지막으로 알려진 양호한 백업을 식별하여 복원할 깨끗한 데이터를 확보하십시오. 데이터를 정리한 다음 남아 있거나 추가적인 취약점 및 위협이 있는지 확인하십시오. 다시 말하지만 감염의 흔적이 남지 않도록 하는 것이 목표입니다.
Active Directory 및 ID 서비스 복원
Active Directory 또는 도메인 이름 시스템과 같은 기본 서비스를 재부팅해야 할 수 있습니다.
프로덕션으로 복구
신속하고 유연하며 조정된 복구 및 절차를 배포하여 기본 서비스와 애플리케이션을 복원하십시오.
사전 대응적 준비 우선순위 지정
보안 팀과 함께 복구 계획을 계획하고 자동화하는 것이 성공의 열쇠입니다. 그런 다음 연습하고 또 연습하십시오. Playbook이 있고 팀이 공격에 대비하고 있다는 것을 알고 있다면 실제 인시던트를 관리할 준비가 된 것입니다. 공격 복구 계획을 세우는 작업은 시스템 정전이나 애플리케이션 장애와 같은 일상적인 복구 문제를 더 잘 관리하는 데도 도움이 됩니다.
Veritas는 데이터 손실을 방지하고, 중단 시간을 제한하며, 확실하고 신속하게 복구하여 비즈니스 레질리언스를 지원합니다. 데이터 보호, 보안, 거버넌스를 확장되는 사이버 보안 파트너 에코시스템과 결합하는 총체적인 접근 방식인 Veritas 360 Defense에 대해 알아보십시오.
