CISO Perspectives: CISO가 클라우드 제공 업체와 협력해 사고 대응 방식을 개선하는 방법

* 해당 블로그의 원문은 2024년 9월 28일 Google Cloud 블로그(영문)에 게재되었습니다.

2024년 9월 두 번째 CISO 관점(CISO Perspectives)의 주요 내용을 정리해 보았습니다.

“2024년 9월 두 번째 클라우드 CISO 관점(Cloud CISO Perspectives)에 오신 것을 환영합니다. 이번에는 구글 클라우드의 Vinod D’Souza와 Chris Cornillie가 CISO(최고 정보 보안 책임자)가 클라우드 제공업체와 협력하여 조직의 사고 대응 준비 태세를 개선하는 데 중요한 역할을 하는 방법을 알아봅니다. 모든 CISO 관점 뉴스레터는 구글 클라우드 블로그에도 게시됩니다. 구독하면 뉴스레터로 편히 받아 볼 수 있습니다.”

-- 필 베너블스, 구글 클라우드 부사장 및 CISO

CISO가 클라우드 제공업체와 협력해 사고 대응 준비를 강화하는 방법

By Vinod D’Souza, Office of the CISO, and Chris Cornillie, 정부 관계 및 공공 정책 부서

올 여름 대규모 글로벌 IT 중단이 공항과 대중교통, 병원과 의료 클리닉, 금융 서비스, 뉴스 미디어 등 많은 중요 산업에 영향을 미쳤을 때, 우리는 최고 정보 보안 책임자들이 수년간 직면해 온 어려움을 다시 상기했습니다. 현대 경제의 기반이 되는 IT 시스템과 공항, 대중교통, 병원, 스마트 그리드, 스마트 공장 등에서 사용하는 물리적 세계와 사이버 세계를 연결하는 시스템(cyber-physical systems)은 매우 복잡하게 구성되어 있습니다. IT와 물리 사이버 시스템은 수많은 하드웨어, 소프트웨어, 통신 네트워크 등으로 구성되어 있고, 서로 긴밀하게 상호작용을 합니다. 이런 복잡성으로 인해 IT와 물리 사이버 시스템의 보안 및 안전을 확보하기 쉽지 않습니다. 이에 따라 이러한 시스템을 더욱 탄력적으로 만들 필요가 있습니다.

구글 클라우드와 맨디언트가 사고 발생 시 고객을 지원한 경험과 고객 및 파트너와 함께 실제 상황을 가정해 위기 대응 능력을 평가하고 개선하기 위한 테이블탑 훈련(tabletop exercises)에 참여하며 쌓은 노하우를 바탕으로 고객을 지원합니다. 구글 클라우드는 고객이 클라우드 제공자의 전문성을 활용해 사고가 끼치는 범위를 제안하고 더 빠르게 복구하는 여러 방법을 제안합니다.

공유 운명 모델

구글 클라우드는 고객의 보안 성과에 더 깊이 관여하는 '공유 운명' 모델을 강력히 지지합니다. 클라우드 고객들은 각기 다른 규모와 전문성을 가지고 있습니다. 구글 클라우드는 SRE 원칙을 활용해 기본적으로 탄탄한 애플리케이션을 구축할 수 있도록 돕는 다양한 자원을 제공합니다. 이 자원에는 안전한 구성, 배포 가능한 설계도, 아키텍처 프레임워크, 정책 계층 구조, 그리고 높은 신뢰성을 보장하는 통제 수단이 포함됩니다.

초보부터 경험이 많은 전문가까지 모든 보안 관계자들은 구글 클라우드 전문가들이 제공하는 온라인 과정, 자격증 프로그램, 워크숍에 참여할 수 있습니다. 또한, 보안 담당자들은 공격 경로 시뮬레이션과 AI 기반 보안 같은 고급 기능을 사용할 수 있으며, 구글 클라우드 고객 전용으로 설계된 사이버 보험과 자동화된 위험 관리 및 지침을 포함한 위험 보호 프로그램에도 접근할 수 있습니다.

연습의 중요성

재해 복구 시스템과 사고 대응 계획을 정기적으로 테스트하는 것은 계획의 격차를 찾아내고 이를 보완하는 데 필수입니다. 또한, 테스트는 다양한 기능을 가진 팀들 간의 협력 강화와 외부 이해관계자들과의 관계 형성에도 중요한 역할을 합니다.

사고가 발생할 때 처음으로 대응 계획을 실행하거나, 업계 또는 법 집행기관의 관계자와 처음 만나는 상황은 피해야 합니다. 구글 클라우드와 맨디어트와 함께 위기 상황을 가정한 테이블탑 훈련이나 위기 커뮤니케이션 훈련을 수행해 조직의 전략적 준비를 강화할 수 있습니다.

또한, 미국 사이버보안 인프라 보안국(CISA)에서 2년마다 주최하는 Cyber Storm 연습과 같은 정부 기관 주도의 다중 이해관계자 연습에 참여하면 공공 부문 및 업계 관계자들과 더 폭넓은 경험을 쌓을 수 있습니다.

SLA 조건을 제대로 활용하세요

SLA(서비스 수준 계약)는 고객이 클라우드 제공 업체의 성능을 평가하고, 사전에 정해진 서비스 수준 목표를 달성했는지 확인하는 중요한 도구입니다. 하지만 구글 클라우드의 경험에 따르면 고객마다 클라우드 SLA에 대한 이해 수준이 매우 다양합니다.

보안 팀은 사건이 발생한 후에야 SLA를 처음 검토해서는 안 됩니다. 클라우드 제공 업체가 중단이나 사고 중에 어떤 지원을 제공할 수 있는지 미리 이해하는 것이 필수입니다. 이렇게 해야 고객이 필요한 지원이나 보상을 신속하게 요청할 수 있습니다.

SLA에 명시된 클라우드 제공업체의 사고 관리 책임에 대한 기대치가 맞지 않으면, 위기 상황에서 큰 손실을 초래할 수 있습니다. 테이블탑 훈련은 SLA를 실제로 테스트하고, 잠재적인 문제를 미리 발견할 수 있는 좋은 기회입니다.

계정 복구 절차와 대체 통신 채널 설정

조직은 사고, 중단 또는 악의적인 활동으로 인해 클라우드 계정에 접근할 수 없게 되는 상황을 미리 대비해야 합니다. 구글 클라우드는 고객이 플랫폼에서 워크로드를 배포할 때 보안 및 준수 목표를 달성할 수 있도록 모범 사례와 지침을 제공합니다. 더 자세한 정보는 구글 클라우드 보안 모범 사례 센터에서 확인할 수 있습니다.

승격된 권한은 가능한 한 짧은 기간 동안만 유지해야 하며, 그렇지 않으면 공격자의 표적이 될 수 있습니다. 또한, 고객 관리자는 구글 클라우드 계정 팀과 협력해 슬랙이나 구글 챗 같은 비상 통신 채널을 설정해야 합니다. 이는 네트워크에 위협 행위자가 침입해 이메일과 같은 공식 통신 채널을 감시할 수 있다고 의심될 때 사용할 수 있는 대체 통신 수단입니다.

위협 인텔리전스를 활용한 대비 및 대응

CISO들은 새로운 보안 통제에 대한 투자 방향을 설정하거나, 특정 위협에 대한 사고 대응 계획을 세우고, 활성화된 위협 캠페인에 대한 가시성을 확보하기 위해 점점 더 사이버 위협 인텔리전스를 활용하고 있습니다. 사고가 발생했을 때 위협 행위자의 기술과 동기에 대한 정보는 사고 대응팀이 결정적인 우위를 점하는 데 큰 도움이 될 수 있습니다.

또한, 고객은 ISACs(정보 공유 및 분석 센터)에 참여하여 동종 업계 및 정부 기관과 정보를 교환할 수 있으며, 이 과정에서 개인 정보 보호와 기밀성을 유지할 수 있습니다. 구글 클라우드는 여러 ISAC의 위협 인텔리전스 파트너로서 자랑스럽게 활동하고 있습니다.

비상 연락망 설정

클라우드 제공 업체는 고객이 환경에 대한 접근을 복구하거나 백업을 활성화하는 데 도움을 줄 수 있지만, 고객 환경에 대한 충분한 가시성과 접근 권한이 없기 때문에 대규모 사고 대응 및 복구를 직접 수행할 수 없습니다. 클라우드 제공 업체가 전문으로 하는 SRE 기술과 전문성은 조직 내에서 위협 행위자를 제거하는 데 필요한 세부적인 대응에 적합하지 않을 수 있습니다.

이러한 이유로 많은 조직들이 사전에 사고 대응 전문가를 확보해 두는 것을 선택하는데, 이는 실제 사건 발생 시 중요한 시간을 절약할 수 있습니다. 맨디언트 리테이너(Mandiant Retainer) 같은 솔루션을 통해 고객은 구글 계약의 일부로 컨설팅 및 사고 대응 서비스를 미리 확보할 수 있습니다.

구글 클라우드를 보안 팀의 일원으로 만드세요
To learn more about how you can prepare a resilient strategy to respond to cybersecurity incidents, please see our CISO Insights hub and contact us at Ask Office of the CISO.

Google Cloud의 보안 관련 최신 소식

• mWISE '24 소식, 방어자의 이점을 활성화하기: 변화하는 위협에 대응하기 위해 보안 전문가들이 mWISE '24에 모여 방어를 강화하는 중요한 도구로 ‘협업’을 강조했습니다. 더 알아보기
• 사이버 복원력을 갖춘 의료 시스템으로 생명을 보호하는 방법: 의료 분야의 CISO들은 복잡한 규제 변화, 협업 수용, 최신 기술 사용 등 다양한 도전에 직면하고 있습니다. 이 Q&A에서는 이러한 문제를 다룹니다. 더 알아보기
• CEO들이 직접 개인 이메일을 보호하는 방법: 개인 이메일에는 가족 사진, 쇼핑 확인서, "비밀번호 재설정" 링크 등이 포함되어 있어 사이버 공격의 표적이 될 수 있습니다. 이를 보호하는 방법을 알려드립니다. 더 알아보기
• 구글, IDC 마켓스케이프(MarketScape)에서 2024년 전 세계 SIEM 엔터프라이즈 리더로 선정: 구글이 IDC 마켓스케이ㅍ의 전 세계 SIEM 엔터프라이즈 2024 공급 업체 평가에서 리더로 선정되었습니다. 이는 보안 운영 강화를 위해 지속해서 투자한 노력을 인정받은 결과입니다. 더 알아보기
• 인증서 기반 액세스로 계정 탈취 방지 방법 소개: 자격 증명 도난과 손실을 방지하기 위해 인증서 기반 액세스를 도입한 새로운 기능을 발표하게 되어 기쁩니다. 더 알아보기
• Security Command Center의 새로운 CIEM 지원이 위험을 줄이는 방법: Cloud Infrastructure Entitlement Management에 다중 클라우드 기능을 추가하여 보안 명령 센터에서 더 쉽게 관리할 수 있습니다. 더 알아보기
• 자동 비밀번호 회전 방법: 비밀번호 회전은 번거로울 수 있지만 중요한 보안 관행입니다. 이제 비밀번호 회전을 자동화할 수 있는 새로운 설계를 제공합니다. 더 알아보기

위협 인텔리전스 소식

• 북한 IT 노동자 위협 완화: 맨디언트는 2022년부터 북한(DPRK)을 위해 활동하는 IT 노동자를 추적해왔습니다. 이 보고서에서는 북한의 IT 노동자 고용 시도와 그들의 운영 전술을 분석합니다. 더 알아보기
• LummaC2, 간접 제어 흐름을 이용한 난독화: 맨디언트 연구자들은 최근 LummaC2 도난 프로그램 샘플이 분석 도구를 방해하고 역공학을 차단하기 위해 사용하는 제어 흐름 난독화 기법을 탐구합니다. 더 알아보기
• 중동 네트워크에 숨겨진 이란의 활동: UNC1860은 이란 정보 및 보안부(MOIS)와 연관된 국가 지원 위협 행위자로, 정부 및 통신 분야에서 다양한 목표를 지원하는 특수 도구와 백도어를 수집하고 있습니다. 더 알아보기
• UNC2970의 백도어 배포: 트로이화된 PDF 리더 사용: 북한과 연관된 사이버 스파이 그룹 UNC2970은 미국 주요 인프라 부문 종사자를 대상으로 합법적인 직무 설명을 이용해 공격을 수행합니다. 더 알아보기
• 제11회 Flare-On 챌린지 발표: Flare-On 챌린지 시즌이 돌아왔습니다. 이 역공학 대회는 수천 명의 참가자를 끌어들이며, 현재 및 미래의 역공학자를 위한 주요 CTF 스타일 도전 과제입니다. 더 알아보기

최신 팟캐스트

• 방어자가 더 많이 승리하지 못하는 이유와 방어자의 이점을 얻는 방법: 방어자들이 실제로 방어자의 이점을 제대로 활용하지 못하는 이유는 무엇일까요? 구글 클라우드의 사이버 방어 매니저 Dan Nutting이 호스트 Anton Chuvakin과 함께 새로운 방어자의 이점 전자책과 인텔리전스를 앞세운 사이버 방어의 중요성에 대해 이야기합니다. 팟캐스트 듣기
• 보안 데이터 패브릭의 가치: Josh Liburdi, Brex의 스태프 보안 엔지니어는 보안 데이터 패브릭의 중요성을 설명합니다. 이를 배포했을 때 개선되는 점과 데이터 도구에 어떻게 도움이 되는지에 대해 탐구합니다. 팟캐스트 듣기

이상으로 2024년 9월 두 번째 클라우드 CISO 관점 뉴스레터의 주요 내용을 알아보았습니다. 2주 후에 최신 뉴스레터로 찾아 뵙겠습니다.