정보통신망법 제2조 제1항 제7호에 따르면 ‘‘침해사고’’란 ‘‘해킹, 컴퓨터바이러스. 논리폭탄, 메일폭탄, 서비스 거부 또는 고출력 전자기파 등의 방법으로 정보통신망 또는 이와 관련된 정보시스템을 공격하는 행위를 하여 발생한 사태’’를 의미 한다.
정보 자산 관련 시스템에서 발생하는 침해사고는 시스템 및 애플리케이션에서 비정상 동작이 발생하거나, 관리자가 의도하지 않은 현상(삭제, 수정, 유출 등)이 공격자에 의해 발생하는 경우를 의미 한다.
사이버침해사고가 발생하면 기업은 신속하게 피해 범위를 파악하고, 사고 수습을 통해 비지니스 영향을 최소화해야 한다. 산업에서 요구하는 법규 또는 규정 준수를 위해 필요한 활동이 누락될 경우 관련 법규나 규정에 의한 처벌이나 추가 이행 항목이 발생할 수 있다. 비지니스 영향을 최소화하기 위해 기업의 보안팀과 홍보팀, 법무팀 등 전사적으로 사고대응에 집중을 한다. 기업에서는 보안사고가 발생할 경우 대응하기 위해 필요한 필수 활동을 모의 훈련을 통해서 연간 또는 분기별 훈련을 수행 한다.
보안 분석가는 기업이나 조직에 침해사고가 발생하거나 법적인 이슈가 발생할 경우 사고 분석 업무를 수행 한다. 다양한 원인으로 발생되는 시스템 이상 현상의 원인을 파악하기 위해서는 이러한 문제 상황을 구분할 수 있는 역량이 필요하다. 특히, 외부인의 침입이나 내부 임직원에 의한 침해사고가 발생할 경우 사고 분석을 통해 시스템의 피해 상황 및 침해 원인 분석 업무를 수행해야 하는 게 보안 분석가의 역할이다.
기업의 사고 피해를 분석하고, 사고가 재발하지 않도록 대응 방안을 도출하기 위해서는 정확한 사고 원인을 분석하는 게 가장 중요하다. 하지만 실제로 사고 분석 과정을 경험하는 경우는 굉장히 드물고 어려운 일이다.
“Big Root” 는 일반적으로 문제나 상황의 복잡성을 강조할 때 사용 된다. “Big Root”는 문제의 뿌리가 크고 복잡하다는 것을 의미 한다. 이는 문제가 단순한 원인이나 요인에만 국한되지 않고 다양한 요인들이 복잡하게 얽혀 있음을 나타낸다.
고도화된 사이버 공격에 의한 침해사고 역시 표면에 드러난 시스템 분석으로 사고 원인에 대한 문제 해결이 어렵다. 고도화된 공격으로 사고가 반복적으로 재발하고 기업의 비지니스에 지속적인 피해를 입히게 된다. 기업 보안팀은 보안사고의 핵심 원인 (root cause)과 침입 경로 (vector)를 식별하기 위해 분석 과정에서 다양한 시스템과 솔루션의 정보를 확인해야 한다.
공격 유형과 관련된 특징을 통해 시스템 침해사고 분석을 수행 할 수 있다. 공격 유형에 따른 공격 특징을 이용해 침해사고원인을 분석하고 재발 방지 대책을 세울 수 있다. 많이 발생되는 사이버 공격 유형을 정리해 놓은 OWASP Top 10 공격 유형 중 자주 발생하는 공격 유형에 대해서 살펴 본다.