규정 준수: 경영진이 CISO에게 묻는 주요 질문
이 글은 CISO를 대상으로 선제적 커뮤니케이션 전략에 관한 지침을 제시하기 위한 시리즈 4부작 중 4부에 해당합니다. 여기에서는 경영진이 쉽게 이해할 수 있는 방식으로 주요 정보를 전달하고 업무 행동을 표현하는 방법을 알려드립니다. 따라서 실무자는 인시던트, 이벤트와 위협에 동등하게 대응하여 기업에 미치는 영향을 완화하는 중요한 업무에 집중할 수 있습니다
지금까지 인시던트가 발생하면 경영진에게 사이버 리스크 노출, 사이버 리스크 완화 계획과 실사에 관해 설명하는 방법을 다루었습니다. 논리적으로, CISO가 이다음으로 답할 준비를 해야 하는 질문은 사이버 보안 규정 준수에 관한 질문이 되겠습니다.
모두 아시다시피, 비즈니스는 수많은 업계 규정과 정부 기관 규제를 따라야 합니다. 인시던트가 발생하거나 위협이 의심되는 순간, 데이터 및 운영의 보안과 무결성에 미칠 잠재적인 영향에 관해 수많은 관련 주체로부터 질문이 쏟아지게 됩니다. 이런 질문에 효과적으로 대응하려면 잘 대비해야 합니다. 이제 ““규제 기관이나 다른 규정 준수 관련 질문에 어떻게 답해야 할까?”라는 질문에 답변하는 방법을 알아보겠습니다.
이때 고려해야 할 잠재적 질문은 다음과 같습니다.
- 노출된 가능성이 있는 시스템이 규제 대상 데이터를 처리, 보관 또는 전송하는 시스템인가?
- 답이 ‘예’인 경우, 누구에게 알려야 하는가? 이미 신고를 마쳤는가?
- 적절한 관리란 무엇인가?
- 복구 업데이트 활동을 어떻게 추적해야 하는가?
사이버 보안 규정 준수: 신고할 내용 및 시기
취약점이 발견된 순간부터, 규제 기관에서는 CISO가 공격 표면 노출 부위를 어떻게 평가하고 피해를 완화했는지 궁금해합니다. 규제 기관에서는 자산 인벤토리에 관한 상세 정보를 파악하고자 할 것입니다. 예를 들어 취약점의 정확한 환경 내 위치, 통신 발생 유무, 잠재적인 침해 사례 유무, 잠재적 침해 사례가 있는 경우 적절한 규제 기관에 제때 알렸는지 여부, 이행한 완화 방안과 복구 절차, 이번 사건을 통해 얻은 교훈 등 여러 가지 질문을 할 수 있습니다.
간단히 말해, 규제 기관에서는 여러분이 기존에 보유하고 있던 프로세스가 무엇인지, 취약한 자산에 미친 영향을 최소화하기 위해 어떤 조처를 취했는지 파악하고자 합니다. 규제 기관이 관여할 때는 고객 및/또는 의뢰인도 관여하게 된다는 의미인 경우가 많고(예: 고객의 개인 식별 정보(PII)를 도난당함), 또는 업계/업종에 전반적으로 리스크가 발생할 수도 있습니다(예: 에너지 그리드를 노린 표적화 공격). 따라서 규제 기관의 질의를 두려워하거나 피할 필요가 없습니다. 그저 심사숙고하여 투명하게 대응하면 됩니다.
이렇게 해야 더 큰 피해(예: 브랜드나 평판에 미치는 영향 등)가 발생할 가능성을 최소화할 수 있습니다. 기업(및 고객)에 피해를 준 익스플로잇이 있고 이에 어떻게 대응했는지(정면돌파, 문제 해결, 교훈 습득) 보여주는 것이 이를 숨기려는 것보다 조직이 더 좋은 평가를 받게 됩니다.
사이버 인시던트에 관한 설명: 신고할 대상 알아두기
일부 규제 기관에서는 침해 발생 시 규제 대상 법인이 고객과 지정된 제삼자에게 알려야 하는 시점에 관한 조항을 명시합니다. 때로는 타사와의 계약에 통보 조항이 포함되기도 합니다. 노출이 발생한 경우 상대방이 귀사에 알려야 하거나, 귀사가 상대방에게 알려야 합니다. 하지만 이외에도 위기 분류 팀, 인시던트 대응 공급업체와 외부 자문업체 등에도 알려야 필요한 조처를 취할 수 있습니다.
그런 면에서 인시던트 대응 수임계약 을 체결하는 것이 거의 표준 관행으로 자리 잡았습니다. 이를 통해 인시던트 이후 규제 대상 데이터가 노출되지 않도록 합당한 수준의 단계를 거쳐 데이터를 보호했다고 입증할 수 있기 때문입니다. 악용이나 침해가 의심되는 경우, 외부 자문업체에 알리는 것은 물론 포렌식 및 인시던트 대응 전문업체와 적절한 수임계약을 맺으면 큰 도움이 됩니다.
중요한 것은 사내외 모든 구성요소에 대해 전달 프로토콜이 철저히 안전해야 한다는 것입니다. 규제 기관에서는 인시던트가 발생한 즉시 이를 복구하거나 완화할 것을 기대하지는 않습니다. 규제 기관에서 원하는 것은 규제 대상으로서 여러분이 미리 실사를 마쳤으므로 완전히 무방비 상태는 아니었는지 확인하는 것입니다. 즉, 규제 기관은 여러분이 공격과 그 영향력을 제때 탐지하고 적절한 이해 관계자와 협력하여 정보를 알리고 상황을 복구 업데이트할 능력이 있었는지 알아보려 합니다.
성공적인 인시던트 대응: 탄탄한 관계 확보의 중요성
한창 인시던트를 수습하다 보면 그동안 외부 자문업체, 인시던트 대응 공급업체와 구축한 관계에서 위안을 얻게 됩니다. 지금부터 주도적으로 관계를 구축하기 시작하세요. 그들의 분류 프로세스를 알아두고, 전화번호도 저장해야 합니다. 이런 선제 작업을 해두어야 실제로 인시던트에 대응하거나, 입사 후 최악의 하루를 보내고 있을 때 이러한 굳건한 관계가 생명줄 역할을 해줄 수 있습니다.
인시던트 대응 공급업체와 여러분의 인시던트 대응 계획 을 공유하고 그에 대한 의견을 구하세요. 이러한 전문가 팀이 본격적인 조사를 수행하게 되면 그들이 정확히 어떤 일을 하는지 파악하여 이들이 상황을 제대로 판단할 능력이 있다는 확신을 가질 수 있어야 합니다.
수임계약을 숙지하세요. 법무 및 규정 준수 의무를 이행하기 위해 필요한 업무 활동을 포함해야 합니다. 법무팀과 미리 교류하여 여러 관할권에서 규제 의무를 잘 알아두는 것이 좋습니다. 특히 다국적 기업인 경우 중요한 부분입니다.
또한 규제 기관과 관계를 형성하는 것도 좋은 방법입니다. 규제 기관은 때때로 위협 현황을 가장 잘 알고 있으므로 앞으로 닥칠 일에 대비하는 데 도움될 수 있습니다. 데이터가 도난당하지 않았다고 규제 기관이 관심을 보이지 않을 것으로 생각하면 안 됩니다. 규제 기관은 끊임없이 신종 위협과 익스플로잇이 출현하는지 면밀히 살핍니다. 따라서 여러분의 조직 내에서 데이터에 액세스할 권한이 있는 위치의 잠재적인 공격자가 있을 경우에 대비해 어떤 조처를 취했는지 관심을 보일 것입니다. 실제로 데이터가 조직 외부로 유출되었다는 증거가 없어도 마찬가지입니다.
또한 이런 관계를 통해 위협에 대응한 방식을 보여줄 수도 있습니다(예: “그 이벤트 시점을 기준점으로 잡고, 킬 체인 전체에서 앞뒤를 면밀히 살펴 발생 가능했던 사건과 실제로 발생한 사건이 무엇인지 알아보았습니다.”). 이렇게 하면 규제 기관에서 여러분의 프로세스와 프로그램이 얼마나 건실한지 쉽게 파악하고, 이후 업무를 원활하게 처리할 수 있습니다.
다음 동영상을 통해 경영진에게 사이버 보안 규정 준수에 관해 설명하는 방법을 자세히 알아보세요.
Get in Touch
인시던트 대응 서비스가가 필요한 경우, 사이버 보험업체에 Unit 42 ®이름으로 서비스를 요청하세요.
Log4j 취약점이나 다른 중대한 공격의 영향을 받았다고 생각되는 경우, Unit 42에 연락하여 당사 팀원과 상담하시기 바랍니다. Unit 42 인시던트 대응팀은 상시 대기 중입니다. 또한 사전 평가를 요청하여 예방 조치를 취할 수 있습니다..