[컴퓨터월드] 디지털 포렌식 및 사고 대응(DFIR, Digital Forensics and Incident Response) 리테이너 서비스는 사이버 보안 사고 대응 역량 강화에 매우 효과적이다. 보안 및 위험 관리 리더는 DFIR 시장을 이해하고 트렌드를 평가하고 요구사항을 구체화하고 시장 내 공급업체들을 파악함으로써 기업에 적절한 DFIR 리테이너 서비스를 제공할 수 있다. 이러한 리더들의 역할은 조직의 사이버 보안 사고 대응 역량 향상으로 이어진다.

시장 정의

DFIR 서비스는 조직이 보안 사고 조사, 포렌식 대응 및 분류, 보안 침해 각각의 범위를 파악하고 처리하도록 돕는다. DFIR 서비스는 일반적으로 디지털 포렌식(DF), 사고 대응(IR) 및 관련 사전 예방적, 사후 대응적 보안 서비스를 조합하여 제공한다. 대부분의 DFIR이 리테이너 기반 서비스로 제공되며 엔드 유저의 사내 DFIR 프로세스 및 절차와 함께 작동하도록 만들어졌다. DFIR 서비스는 두 가지 핵심 기능을 보유한다.

● 사전 예방적 서비스(사고 발생 전): IR 정책 및 프로세스 생성과 검토, 엔드포인트 탐지 및 대응 기술 구성, 사고 대비를 강화하기 위한 기타 활동이 포함된다.
● 사후 대응 서비스(사고 발생 후): 포렌식 수집, 관련 정부 기관에 대한 안내, 침해 원인 파악 및 기타 사후 활동이 포함된다.

시장 설명

전문 지식을 갖춘 사고 대응자를 찾는 것은 보안 사고의 심각성은 물론 그 범위와 영향을 줄이는 데 매우 중요하다. 사고 대응 리테이너는 서비스 제공업체 혹은 경우에 따라 기술 제공업체를 통해 조달되는 기능의 모음으로, 다음을 포함한다.

● 악성 활동 조사
● 멀웨어 리버스 엔지니어링(Reverse Engineer Malware)
● 위협 인텔리전스 확보
● 초기 탐지부터 사후 분석에 이르기까지 향후 보안 사건에 대한 탐지 및 대응 프로세스를 개선하는 사고 복구 지원

DFIR 서비스는 디지털 채널, 메모리, 소셜 미디어, 클라우드 서비스, 엔드포인트 시스템, 디바이스 및 애플리케이션을 분석하기 위한 디지털 포렌식 검사 및 조사 기능을 제공한다. 목표는 사기 및 악의적, 비윤리적 또는 불법적인 활동과 내외부의 공격자를 식별하는 것으로, 조사가 진행되려면 조직에서 침해와 같은 악의적인 활동이 의심되거나 감지돼야 한다. DFIR 조사관은 적절한 절차에 따라 증거를 수집하고 철저한 조사를 수행하고 증거 수집을 위한 관리 체계(Chain of Custody)를 구축하며 잠재적인 법정 소송에 대비해야 한다.

대부분의 사고 대응 계획은 미국 국립표준기술연구소(NIST)의 SP 800-61 2차 개정판에 설명된 프로세스를 일부 변형하여 사용한다(그림 1 참조).

DFIR 서비스는 대개 리테이너 기반이며 조직의 내부 사이버 보안 사고 대응 팀을 지원하고 보강한다. 여기에는 다양한 사전 협상 약관이 포함되는데, 보통 사고 발생 이전에 설정되는 것이 이상적이지만 경우에 따라 사고 발생 이후 신속하게 DFIR 리테이너를 설정하고 협상하기도 한다.

업체들은 보안 사고에 대비하기 위해 레드팀 구성(Red-Teaming) 및 모의 훈련과 같은 사전 예방적 서비스를 서비스에 포함한다. 이외에 침투 테스트(Penetration Testing), 교육 워크샵 등의 사전 예방서비스를 제공하기도 한다. DFIR 리테이너 계약은 무든 지역에 동일하게 제공되는 것은 아니며 이러한 서비스가 점점 더 원격으로 제공되고 있다.

DFIR 서비스는 세 가지 방식으로 접근할 수 있다.

● 애드 혹(Ad Hoc, 특별) 계약: DFIR 리테이너를 제공하는 대부분의 업체는 애드 혹 서비스를 제공한다. 사건의 중대성과 관계없이 이를 직접 겪고 단기간의 대응적 서비스 지원을 필요로 하는 고객을 지원하는 데 집중하며, 소수의 인원이 투입된다.
● 선불 리테이너: 이 유형의 계약은 DFIR 서비스에 자금을 할당하는 제공업체에 대한 연간 지출이 요구된다. 경우에 따라 리테이너는 제공업체가 고객 조직의 IR 성숙도를 확인하고 고객을 온보딩하는 평가 작업과 함께 번들로 제공된다. 이러한 평가는 일반적으로 정책 부재 또는 모호하게 정의된 절차와 같은 IR 기능의 결함에 초점을 맞춰, 고객을 지원할 수 있도록 한다.
● 제로 달러/제로 아워 리테이너: 이 유형의 계약에는 선불금이 없다. 제공업체와 계약해야 할 경우를 대비하여 미리 약관을 정산하고 승인한다. 업체는 공식적인 SLA가 아닌 ‘최선을 다하는’ 응답 시간을 제공할 가능성이 높으며, 시간당 요금은 범위의 최상위 수준일 것이다.

DFIR 계약은 일반적으로 다음과 같은 특징을 갖는다.

● 사전 합의된 시간당 서비스 요금: 제공업체, 계약 기간(연 단위), 원하는 SLA/서비스 등급 및 고객의 지역(지역 및 글로벌 요구사항 준수)에 따라 달라지며 업체에서 일일 요금을 제시할 수도 있다. 선불 계약은 비선불 계약보다 시간당 요금이 낮으며 선불로 결제한 사용량에 따라 요금이 책정된다. 사용량이 많을수록 요금이 낮아진다.
● DFIR 서비스에 할당된 선불 시간 수: 구매자의 요구 사항에 따라 수십 시간에서 수백 시간까지 다양하지만 일반적으로 80시간에서 160시간 범위다.
● 사고가 보고된 후 설정된 대응 SLA: 대응 SLA는 다양하지만, 일반적으로 선불 계약의 대응 시간이 무료 또는 애드 혹과 같은 비선불 계약보다 빠르다. 경우에 따라 랜섬웨어를 처리하기 위해 가능한 한 빨리 암호화 범위를 제한하는 특정 SLA가 포함되기도 한다.
● 필요한 도구에 대해 사전 정의되거나 합의된 비용: 직원을 고객의 현장에 파견해야 하는 경우 출장 경비 및 요금과 조건이 정해져 있다.
● 원격 또는 온프레미스 지원 제공 시기 및 방법 결정

시장 방향

현재 DFIR 서비스는 서로 밀접하게 연관돼있다. 그러나 기존에는 DF 및 IR 활동에 필요한 전문 기술이 달라 IR 컨설턴트와 포렌식 조사 컨설턴트라는 두 가지 유형의 컨설턴트가 각각 서비스를 제공했다. DF 프로세스는 일반적으로 보안 침해의 정확한 세부 사항을 밝히기 위해 더 많은 시간이 소요됐고 법적 절차에 따라 진행되는 경우가 많았다.

반면 IR은 ‘사이버 위협’에 더욱 초점을 맞췄으며 멀웨어(Malware)를 억제하고 보안 탐지, 모니터링 또는 보호 제어를 재구성하는 등 다양한 보안 운영 프로세스와 기술을 적극적으로 운영하는 것을 포함했다.

오늘날 이러한 경계는 모호해졌다. 글로벌 자문 회사, 보안 기술 제공업체, 관리형 보안 서비스 제공업체, 전문 부티크 보안 서비스 회사에서 DFIR 리테이너 기반 서비스를 제공하는 복잡한 시장이 형성되고 있다. 그러나 이 시장은 획일화된 시장이 아니며 요구 사항, 선불 및 반복 비용, SLA, 공급업체의 전문성에 따라 몇 가지 공급업체를 최종 후보로 선정할 수 있다.

가트너의 고객 조사 결과 DFIR 리테이너 기반 서비스에 대한 몇 가지 새로운 트렌드를 확인할 수 있었다.

● DFIR 리테이너 서비스는 종종 사이버 보험사에 의해 의무화된다.
● 일부 사이버 보험사는 침해 코치, 전문 법률 서비스 등이 포함된 기본 제공 서비스 번들, 할인 및 사이버 보험사와의 프로세스 통합을 갖춘 DFIR 제공업체를 선호한다.

시장 분석

많은 관리형 보안 서비스 공급업체(MSSP, Managed Security Services Provider) 및 MDR 서비스 제공업체 역시 DFIR 리테이너 기반 서비스를 제공한다. DFIR 리테이너 서비스는 적절한 보안 절차를 대체하는 것이 아니다. 위기 상황에서 함께 협력할 파트너로 간주해야 하는 것으로, 현재 MDR 제공업체나 MSSP를 사용하는 조직은 해당 업체의 신규 또는 기존 서비스에 DFIR 서비스를 추가할 수 있다.

DFIR 공급업체는 세 가지 범주로 나뉜다.

● 클라이언트 엔드포인트에 에이전트를 배치하지 않는 업체
● 클라이언트 엔드포인트에 자체 에이전트를 배치해야 하는 업체
● 상용(Commercial Off-The-Shelf) 엔드포인트 탐지 및 대응 기능을 갖춰야 하는 업체

구매자는 요구사항에 가장 적합한 공급업체 유형을 결정해야 한다. 예를 들어 위협이 랜섬웨어와 관련 있다면 공격 중에 적당한 수준의 아티팩트(레지스트리 항목, 메모리 덤프 등)를 확보할 수 있는지 확인해야 한다. 일부 국가의 고객은 사고 발생 시 영향을 받은 민감한 데이터를 위한 추가 절차를 요구할 수도 있는데, 이러한 절차는 사고 발생 전 서비스에서 다루어져야 하며 법무팀이 포함될 가능성이 있다. 또한 고객은 엔드포인트에서 자체 에이전트를 활용하는 공급업체의 데이터 수집과 관련해 개인정보 보호 문제를 제기할 수 있다.

구매자는 제로 아워 리테이너로 인해 모든 엔드포인트에 에이전트를 배포하는 등의 사전 작업이 누락될 수 있다는 점도 고려해야 한다. 이는 아티팩트 양이 불충분하고 대응 효율성이 떨어지는 결과를 낳을 수 있다. 엔드포인트가 암호화되면 필요한 아티팩트를 수집하는 것이 불가능할 수도 있다.

DFIR 서비스 제공업체를 선택하는 데 여러 요인이 영향을 미칠 수 있다. 그러나 보안 및 위험 관리 리더는 다음 두 가지 주요 요인을 사용해 잠재적인 업체 목록을 좁힐 수 있을 것이다.

● 사전예방적 서비스를 제공하는 제공업체: 긴급 서비스를 제공하는 DFIR 서비스 공급업체에 대한 문의가 증가하고 있다. 이는 침해가 발생할 경우 고객이 서비스 공급자의 대기열에서 한 자리를 ‘확보’하는 데 도움이 된다. 그러나 원격 혹은 현장에서의 응답 시간 및 응답 시간에 대한 SLA는 리테이너와 계약하기 전 고려해야 할 가장 중요한 기준이다. 보안 침해가 발생하여 응답 대기열로 들어간 고객은 많다. 그러나 대기열에서 한 자리를 확보하는 것만으로는 충분치 않다. 대기열의 맨 앞에 위치해야 한다.
● 전문 도구, 솔루션 및 프레임워크: 고객들은 사고를 더 심층적으로 조사해 고급 분석 및 상세한 포렌식 리포팅을 제공하기 위해 서비스 제공업체에 의존하고 있다. 이를 위해서는 DFIR 제공업체가 고도로 전문화된 제품 및 프로세스의 조합을 활용해 활성 사고의 평균 차단 시간(MTTC, Mean time to contain)과 평균 대응 시간(MTTR, Mean time to respond)을 낮춰야 한다.

시장 제안

사고 대응 서비스에서 모든 걸 해결하는 단 하나의 접근방법은 없다. 서비스 공급업체와 그 역량은 여러 요인에 따라 크게 달라질 수 있다. 업계에는 수많은 서비스 공급자가 있으므로 IR 리테이너 기반 서비스 구매자는 이러한 서비스 공급자의 역량, 강점, 경험을 면밀히 검토해야 한다. 다음 영역들을 고려한다면 조직의 요구에 적합한 DFIR 리테이너 서비스를 선택하는 도움이 될 것이다.

● 보안 사고는 ‘만약 발생한다면’의 명제가 아니라 ‘발생하면’의 상황임을 인식해야 한다. 따라서 IR 프로그램을 마련하고 이를 위해 적절한 프로세스를 수립해 조직이 이를 이해하고 검토하고 정기적으로 테스트할 수 있도록 해야 한다.
● 계획을 검토하고 IR 계획을 수립하고, 필요한 경우 IR 서비스 공급자와 적절한 리테이너 기반 서비스를 설정하는 데 도움을 줄 제 3자를 선정하는 것을 고려할 수 있다.
● 이미 MDR 또는 관리형 보안 서비스를 이용하고 있는 경우, 해당 업체에 IR 리테이너 기반 서비스를 제공하는지 문의한다. 이렇게 하면 사고를 해결하는 동안 더 빠른 대응 시간과 간소화된 커뮤니케이션을 보장할 수 있을 것이다.
● IR 서비스 제공업체에서 컨설턴트와 애널리스트가 증거를 처리할 때 적절하고 엄격한 프로세스를 준수한다는 증거를 제공하도록 해야 한다. 전문가는 어떤 데이터와 시스템이 관련돼 있는지, 어떻게 그리고 왜 관련됐는지, 가능한 경우 사고의 원인을 특정 원인으로 돌릴 수 있는 명확한 분석과 보고서를 제공할 수 있어야 한다. 또한 문제를 방지하고 근절하기 위해 무엇을 해야 할지 조언하고 향후 취약점을 찾기 위한 단계를 제공해야 한다.
● IR 리테이너는 보통 3년 계약으로 이뤄진다. 리테이너 계약을 철저히 검토하고 시간당 요금을 사전 협상했는지, 선불 지출을 사후 대응에서 사전 예방 서비스로 전환할 수 있는 유연성이 있는지 확인하여 ‘사용 또는 폐기 양자택일(Use it or lose it)’ 시나리오를 피해야 한다. 다음 해로 이월하거나 사전 예방 서비스로 전환할 수 있는 경우가 아니라면 사전에 할당된 연간 시간을 너무 많이 구매하지 않도록 주의해야 한다.
● 사이버 보험 규정이 있는 경우 공급자와 IR 리테이너를 실행하기 전 통신사에 문의해 지침을 요청해야 한다.