답변
사고 대응 계획(Incident Response Plan)이란 무엇인가요?
사고 대응 계획(incident response plan)은 사이버 사고나 중대 IT 문제가 발생했을 때 귀사가 무엇을 할지에 대한 간단한 서면 실행 지침(플레이북)입니다. 구성원들이 침착함을 유지하고 더 빠르게 움직이며, 비용이 큰 혼란을 피하는 데 도움이 됩니다.
짧은 답변
사고 대응 계획은 보안 또는 기술 사고를 비즈니스가 어떻게 인지하고, 보고하고, 억제하고, 조사하며, 복구할지에 대한 단계별 계획입니다. 예를 들어 랜섬웨어, 수상한 로그인, 도난당한 노트북, 가짜 송장 이메일, 또는 중요한 시스템이 다운되는 상황일 수 있습니다.
컴퓨터, 계정, 비즈니스 데이터를 위한 소방 훈련(fire drill)이라고 생각해 보세요. 목표는 가능한 모든 문제를 예측하는 것이 아닙니다. 목표는 팀이 누가 무엇을 하는지, 누구에게 연락해야 하는지, 무엇을 기록해야 하는지, 그리고 비즈니스를 계속 움직이기 위한 방법을 알고 있도록 하는 것입니다.
소규모 비즈니스의 경우 계획이 길 필요는 없고, 기술적일 필요도 없습니다. 많은 경우 아무도 읽지 않는 두꺼운 바인더보다 2~5페이지 정도의 명확한 문서가 훨씬 낫습니다.
만약 관리형 IT 서비스(managed IT services)가 처음이라면, 답변 섹션이 일반적인 용어를 쉬운 영어(평이한 표현)로 설명합니다. 계획을 만들거나 검토할 수 있도록 독립적인 제공업체를 찾는 데 도움이 필요하다면, 저희가 매칭을 도와드릴 수 있습니다.
비즈니스에 중요한 이유
무언가 잘못되었을 때 첫 번째 문제는 대개 혼란입니다. 사람들이 그 사건이 심각한지, 누구에게 알려야 하는지, 컴퓨터를 꺼야 하는지, 고객에게 알려야 하는지 확신이 서지 않는 경우가 많습니다. 서면 계획은 당황을 줄이고, 압박이 큰 상황에서도 더 나은 판단을 돕습니다.
좋은 계획은 또한 비즈니스 중단을 줄일 수 있습니다. 결제 시스템, 스케줄링 시스템, 이메일, 파일 접근에 영향을 받으면 짧은 장애만으로도 매출 손실, 작업 지연, 화난 고객이 생길 수 있습니다. 어떤 정직한 제공업체도 무중단 또는 해킹이 불가능한 네트워크를 약속할 수는 없지만, 계획을 세우면 보통 대응 시간은 개선되고 실수는 줄어듭니다.
또한 비즈니스 측면과 법적 측면도 있습니다. 업종과 주(州)에 따라 개인정보, 결제 데이터, 건강 정보, 계약, 고객 고지에 관한 규정이 있을 수 있습니다. 예를 들어 HIPAA는 Health Insurance Portability and Accountability Act(건강보험 양도·책임에 관한 법)를 뜻하며, 특정 건강 관련 정보에 적용됩니다. PCI는 보통 Payment Card Industry Data Security Standard(결제 카드 산업 데이터 보안 표준)를 의미하며, 카드 결제를 처리하는 비즈니스에 영향을 줍니다. 요구사항은 업종과 주에 따라 달라서, 적절한 계획은 귀사의 상황에 따라 결정됩니다.
회사 규모가 작더라도 고객, 임대인, 은행, 보험사, 더 큰 규모의 고객사가 귀사의 보안 프로세스에 대해 물을 수 있습니다. 사고 대응 계획을 갖추면 귀사가 운영을 진지하게 관리하고 있다는 점을 보여줍니다.
좋은 계획의 모습
유용한 사고 대응 계획은 명확하고 최신이며 실제로 사용할 수 있어야 합니다. 관련된 사람들, 연락 방법, 무엇이 사고에 해당하는지, 처음에 무엇을 할지, 그리고 외부 도움을 언제 불러야 하는지를 정합니다. 기술 문구만이 아니라 일상적인 언어로 작성되어야 합니다.
좋은 계획은 보통 준비, 탐지(detection), 억제(containment), 조사(investigation), 복구(recovery), 검토(review)를 다룹니다. 준비는 업데이트된 연락처, 백업 위치, 보험 정보, 긴급 조치를 승인할 의사결정자를 포함한 기본적인 준비 상태를 의미합니다. 탐지는 직원들이 수상한 이메일, 이상한 팝업, 누락된 파일, 비정상적인 계정 활동을 어떻게 보고하는지를 의미합니다.
억제는 피해를 제한하는 것입니다. 예를 들어 장치를 Wi‑Fi에서 분리하거나, 사용자 계정을 잠그거나, 시스템을 격리하는 것을 포함할 수 있습니다. 조사는 무엇이 일어났고 무엇이 영향을 받았는지 파악하는 것입니다. 복구는 시스템을 안전하게 복원하고 사람들이 다시 일할 수 있도록 하는 것입니다. 검토는 이번 사건을 통해 배워서 같은 문제가 다시 발생할 가능성을 줄이는 것을 의미합니다.
MSP(관리형 서비스 제공업체)를 함께 이용한다면, 그 제공업체가 이러한 단계의 문서화를 도와줄 수 있습니다. 일부 비즈니스는 SLA(service level agreement, 서비스 수준 계약)도 요구하는데, 이는 지원 범위와 대응 기대치를 설명합니다. 제공업체 옵션에 대해 더 알아보려면 당사의 서비스 페이지를 확인하세요.
계획 안에 무엇이 들어가야 하나요
정확한 형식은 달라질 수 있지만, 대부분의 소규모 비즈니스는 핵심 내용을 한곳에 담아두면 됩니다. 이렇게 하면 스트레스가 큰 상황에서도 계획을 더 쉽게 사용할 수 있습니다.
내부 담당자(책임자), 사무 담당자(오피스 매니저), 필요하다면 법무 또는 컴플라이언스 연락처, 사이버 보험(cyber insurance) 연락처 정보, 그리고 외부 기술 파트너가 있다면 그 정보도 나열해야 합니다. 또한 귀사가 겪을 수 있는 가장 흔한 사고 유형을 정의해야 합니다. 예를 들어 계정 탈취, 악성코드, 분실된 기기, 벤더 이메일 사기(vendor email fraud), 클라우드 앱 잠금(lockout) 등이 있습니다.
실용적인 계획은 또한 중요한 시스템이 어디에 있는지, 어떤 비즈니스 기능이 가장 중요한지, 그리고 어떤 백업 옵션이 있는지 기록해 둡니다. 백업에 대해 논의한다면 3-2-1 백업이라는 용어를 들을 수 있습니다. 이는 데이터 3개 사본을 2종류의 서로 다른 저장 방식에 보관하고, 그중 1개 사본을 오프사이트 또는 오프라인에 보관한다는 뜻입니다. 복구를 보장하진 않지만, 흔히 쓰는 계획 접근 방식입니다.
또한 MFA(다중 인증, multi-factor authentication), EDR(엔드포인트 탐지 및 대응, endpoint detection and response), RMM(원격 모니터링 및 관리, remote monitoring and management), endpoint(노트북이나 데스크톱 같은 장치), 패치(patching, 소프트웨어 업데이트와 수정 적용), vCIO(가상 CIO, virtual Chief Information Officer), SOC 2(서비스 조직이 보안과 관련 통제를 처리하는 방식에 대한 일반적인 프레임워크) 같은 용어도 보게 될 수 있습니다. 모든 소규모 비즈니스가 모든 도구를 필요로 하지는 않지만, 계획은 실제로 사용 중인 도구와 벤더를 반영해야 합니다.
피해야 할 흔한 실수
가장 흔한 실수 중 하나는 계획을 너무 포괄적으로(제대로 맞지 않게) 만드는 것입니다. 템플릿은 시작점으로는 괜찮지만, 실제 시스템, 실제 직원, 실제 벤더에 맞아야 합니다. 계획에 ‘2년 전에 퇴사한 사람에게 전화하라’고 적혀 있다면 거의 도움이 되지 않습니다.
또 다른 실수는 기술에만 집중하는 것입니다. 사고는 사람과 운영에도 영향을 줍니다. 계획에는 누가 직원에게 설명하는지, 누가 고객과 대화하는지, 누가 긴급 지출을 승인하는지, 그리고 핵심 시스템을 사용할 수 없을 때 팀이 계속 일할 방법이 무엇인지 포함되어야 합니다.
또 계획을 한 번 쓰고 절대 테스트하지 않는 것도 실수입니다. 회의에서 샘플 상황을 놓고 함께 이야기해보는 간단한 테이블탑(tabletop) 훈련은 빠진 단계나 혼란스러운 역할을 드러내는 데 도움이 됩니다. 드라마틱할 필요는 없습니다. 필요한 것은 솔직한 연습입니다.
마지막으로 백업, 사이버 보험, 소프트웨어 벤더가 자동으로 모든 문제를 해결해 줄 것이라고 가정하지 마세요. 그것들은 대응의 일부가 될 수는 있지만, 그 자체만으로는 완전한 계획이 되지 않습니다.
아직 계획이 없다면 어떻게 시작하나요
작게 시작하세요. 프로젝트를 맡을 한 사람을 정합니다. 귀사의 가장 중요한 시스템, 주요 비즈니스 리스크, 내부 및 외부 연락처, 그리고 의심스러운 일이 발생했을 때 팀이 취해야 할 첫 5가지 행동을 적어두세요. 그다음 실제로 관련될 사람들과 함께 검토합니다.
이미 기술 제공업체와 함께 일하고 있다면, 그들이 고객이 사고 대응 계획을 만들거나 검토하는 데 도움을 주는지 물어보세요. 아직 제공업체가 없다면 NodeBridge IT이 귀사가 대화를 나눌 독립적인 관리형 IT 제공업체를 찾는 데 도움을 줄 수 있습니다. 저희는 무료 매칭 서비스입니다. 저희는 귀사의 시스템을 관리하거나, 모니터링하거나, 보안 처리하거나, 수리하거나, 접근하지 않습니다.
저희에게 연락하시면, 매칭을 도와드리기 위해 비즈니스 및 연락처 정보를 수집할 뿐입니다. 옵션을 살펴보고 싶다면 매칭을 요청하세요. 아직 비교하며 알아보는 중이라면, 더 쉬운 언어의 답변도 둘러볼 수 있습니다.
정직한 안내
NodeBridge IT는 무료 매칭 서비스이며 제공업체가 아닙니다. 아래 정보는 일반적이고 교육 목적입니다. 계약 전 어떤 제공업체와도 범위, SLA, 가격을 서면으로 확인해 주세요. 누구도 가동시간, 보안, 복구를 보장할 수는 없습니다.
사고 대응 계획은 사이버 또는 IT 문제가 발생했을 때 귀사가 무엇을 할지에 대한 간단한 서면 안내서로, 사람들이 추측하지 않고 다음 단계가 무엇인지 알 수 있게 해줍니다.
자주 묻는 질문
사고 대응 계획은 대기업만을 위한 건가요?
아니요. 소규모 비즈니스는 인원이 적고 여유 시간이 적다 보니 사고를 더 크게 체감하는 경우가 많습니다. 간단한 계획만으로도 큰 차이를 만들 수 있습니다.
이게 재난 복구 계획(disaster recovery plan)과 같은 건가요?
정확히는 다릅니다. 사고 대응은 보안 또는 IT 사고가 발생했을 때 무엇을 하는지에 관한 것입니다. 재난 복구는 큰 장애나 데이터 손실 이후 시스템과 데이터를 복원하는 데 더 초점이 맞춰져 있습니다. 많은 비즈니스는 둘 다 필요합니다.
사고 대응 계획은 얼마나 길어야 하나요?
많은 소규모 비즈니스의 경우 짧을수록 좋습니다. 계획이 명확하고 최신이며 사용하기 쉬우면 몇 페이지면 충분할 수 있습니다.
계획을 만드는 데 누가 도움을 줘야 하나요?
보통 소유자(owner), 사무 담당자(오피스 매니저), 운영 리드(operations lead), 그리고 이용 중인 외부 기술 제공업체입니다. 올바른 그룹은 귀사의 규모, 업종, 그리고 어떤 컴플라이언스 필요가 있는지에 따라 달라집니다.
계획을 만들기 전에 특별한 보안 도구가 필요하나요?
아니요. 도구는 도움이 될 수 있지만, 첫 단계는 역할, 연락처, 우선순위, 기본적인 조치를 정하는 것입니다. 계획은 현재 귀사에 맞아야 하며, 그 다음 시간이 지나면서 개선하면 됩니다.
NodeBridge IT이 우리 대신 계획을 작성해 줄 수 있나요?
아니요. NodeBridge IT은 IT 제공업체나 보안 전문 회사가 아닙니다. 저희는 일반 교육과, 도움을 줄 수 있는 독립적인 관리형 IT 제공업체에 대한 무료 매칭을 제공합니다.