침해사고 대응훈련

금융회사는 전자금융감독규정에 따라 연 1 회 이상 침해사고 대응 및 복구훈련을 시행해야 한다.

일반적으로 DDoS, APT, 서버 해킹 3종류로 진행을 하게 된다. 금융보안원 회원사의 경우 훈련신청을 받아 진행이 가능하다.

---

전자금융감독규정 제37조의4(침해사고대응기관 지정 및 업무범위 등) ① 침해사고에 대응하기 위한 침해사고대응기관은 다음 각 호의 자로 한다.

1. 금융보안원

...

⑤ 금융회사 및 전자금융업자는 침해사고에 대한 대응능력 확보를 위하여 연 1회 이상 침해사고 대응 및 복구훈련 계획을 수립·시행하여야 하며 그 계획 및 결과를 침해사고대응기관의 장에게 제출하여야 한다. 다만 다음 각 호의 어느 하나에 해당하는 금융회사는 그러하지 아니한다.  <개정 2016. 10. 5.>

1. 법 제2조제3호가목의 금융회사 중 신용협동조합

2. 법 제2조제3호다목·라목의 금융회사

3. 시행령 제2조제4호부터 제6호까지의 조합

4. 시행령 제5조제2항의 요건을 충족한 금융회사

---

DDoS공격 훈련은 주로 DDoS 대응장비에서 차단을 하는데 장비가 없거나 노후화된 장비라면 ISP(Internet Service Provider)의 클린존 서비스를 이용할 수 있다. 인터넷 서비스 사업 제공자가 금융회사로 들어오는 악성 트래픽을 걸러주는 서비스인데 별도의 DDoS 장비관리가 필요 없다는 게 장점이다.

금융보안원에서도 금융회사가 갖고 있는 DDoS 장비로는 트래픽 차단에 한계가 있다. 몇 기가 공격을 막는 DDoS 장비를 설치하여도 실제 DDoS 공격은 수십~수백 기가 트래픽이 들어온다.

수십 기가 트래픽을 감당하는 장비를 설치하더라도, DDoS 장비에 도달하기 전에 네트워크 회선이 가득 차기 때문에 정상 통신이 되지 않는다. 여러 가지 이유로 위에서 말한 클린존 서비스가 필수라고 생각한다.

서버 해킹은 주로 IDS/IPS, WAF에서 탐지/차단이 가능하다. 새로 나온 CVE나 과거에 유명했던 제로데이 공격을 보내기도 하고, 기본적인 OWASP TOP10 공격을 하기도 한다. 평소에 룰 튜닝을 해놨다면 별다른 이상 없이 대부분의 공격들은 차단될 것이다.

APT훈련은 악성메일을 임직원 이메일 주소로 보내는 훈련이다. 보안담당자가 어떻게 대처하는지 또는 임직원 보안의식 개선을 목적으로 훈련을 진행한다. 재무담당자를 노리고 세금계산서 메일을 보내는 등의 정교하게 메일을 보낸다. 

훈련을 통해 메일과 첨부파일을 실행한 임직원의 PC를 잠궈버릴 수도, 바탕화면을 바꿔버릴 수도 있다.

DDoS, 서버 해킹, APT훈련을 다 해야 하나요?

아니다. 침해사고 대응훈련을 수행하라고 했지 DDoS, 서버 해킹, APT 공격 구분지어서 다 해야 한다고 되어있지 않다. 만약 서비스 장애에 매우 민감한 금융회사라면 아마 일부 훈련은 진행하지 않을 것이다.

연간 수행하는 침해사고대응훈련 시에 보안담당자 입장에서 공격을 잘 차단하고자 평소 탐지 모드였던 보안시스템 정책을 차단 모드로 변경할 수 있다. 이때에 정책 백업은 필수다. 수많은 정책이 변동되기 때문에 훈련 종료 이후 백업 정책으로 롤백을 반드시 해야 한다.

필자는 신입사원 때 훈련을 잘하고자 정책을 변경해놨었다. 미리 IPS정책을 백업해놨지만 훈련 종료 후, 그대로 퇴근한 적이 있었다. 다음 영업일날 영업전용 홈페이지 접속이 안되었고 난리가 났었던 적이 있었다.

이 글을 읽는 독자라면 필자 같은 실수는 반복하지 않길 바란다.