해킹 침입으로 이어지는 보안 사고의 발생은 오늘날 어떤 기업에게도 가장 큰 악몽 중 하나입니다. 즉각적인 비즈니스 영향 외에도 수개월 또는 수년 동안 지속될 수 있는 법적 및 평판상의 영향이 있습니다. 브라질에서 일반 데이터 보호법(LGPD)은 이러한 사고 발생 후 기업이 따라야 하는 일련의 요건을 규정하고 있습니다.
최근 리우그란데두술 연합회(Federasul)의 보고서에 따르면, 브라질 기업의 40% 이상이 이미 어떤 형태의 사이버 공격을 받은 적이 있습니다. 그러나 이러한 많은 기업들은 여전히 LGPD가 정한 법적 요구 사항을 충족하는 데 어려움을 겪고 있습니다. 국가 데이터 보호 기관(ANPD)의 자료에 따르면 침해된 기업의 약 30%만이 공식적으로 사건 발생을 신고했다고 합니다. 이 불일치는 인식 부족, 준수 프로세스의 복잡성, 그리고 회사 평판에 미칠 부정적 영향에 대한 두려움 등 다양한 요인에 기인할 수 있습니다.
사건 다음 날: 첫걸음
해커 침입이 확인된 후 첫 번째 조치는 사고를 차단하여 확산을 방지하는 것입니다. 이에는 영향을 받은 시스템을 격리하고, 무단 액세스를 차단하며, 피해 통제 조치를 시행하는 것이 포함됩니다.
병행하여, 정보 보안 전문가, IT 전문가, 변호사 및 커뮤니케이션 컨설턴트로 구성된 사고 대응 팀을 구성하는 것이 중요합니다. 이 팀은 주로 다음 날의 비즈니스 지속과 관련된 결정을 내리는 책임이 있습니다.
LGPD 준수 측면에서 사고 대응 과정에서 수행된 모든 조치를 문서화해야 합니다. 이 문서는 회사가 법적 요구 사항에 따라 행동했음을 증명하는 증거로 사용될 수 있으며, ANPD의 감사 또는 조사 시 활용될 수 있습니다.
초기 며칠 동안 대응팀은 침입의 원인, 해커가 사용한 방법, 그리고 침해 범위를 파악하기 위해 상세한 포렌식 분석을 수행해야 합니다. 이 과정은 공격의 기술적 측면을 이해하는 것뿐만 아니라, 관련 당국과 보험사에 사고를 신고하는 데 필요한 증거를 수집하는 데에도 매우 중요합니다. 회사가 사이버 보험에 가입한 경우를 위해서도 마찬가지입니다.
여기 매우 중요한 측면이 있습니다: 포렌식 분석은 공격자가 여전히 회사 네트워크 내에 있는지 여부를 판단하는 데에도 사용됩니다. 이는 불행히도 매우 흔한 상황이며, 특히 사고 후 범죄자가 훔친 데이터를 공개함으로써 회사가 금전적 협박을 받고 있는 경우 더욱 그렇습니다.
또한, LGPD의 제48조는 데이터 책임자가 보안 사고 발생에 대해 데이터 주체와 국가 데이터 보호 기관(ANPD)에 통지할 것을 요구합니다. 이 통지는 ANPD의 특정 규정에 따라 합리적인 기간 내에 이루어져야 하며, 영향을 받은 데이터의 성격, 관련된 정보주체, 데이터 보호를 위해 사용된 기술적 및 보안 조치, 사고와 관련된 위험, 그리고 손실의 영향을 되돌리거나 완화하기 위해 이미 취해졌거나 취할 조치에 대한 정보를 포함해야 합니다.
이 법적 요구 사항에 따라 초기 분석 후에 LGPD에서 언급한 모든 정보를 포함하는 상세 보고서를 준비하는 것이 필수적입니다. 이것은, 포렌식 분석이 범죄자들이 주장하는 범위 내에서 데이터 추출 및 도난 여부를 판단하는 데에도 도움이 됩니다.
이 보고서는 ANPD에 제출되기 전에 준수 전문가와 회사 변호사들이 검토해야 합니다. 법률은 또한 회사가 영향을 받는 데이터 소유자에게 명확하고 투명하게 소통하도록 규정하고 있으며, 발생한 사건, 취한 조치 및 개인 데이터 보호를 위한 다음 단계를 설명하도록 하고 있습니다.
투명성과 효과적인 의사소통은, 말할 것도 없이, 보안 사고 관리의 기본적인 기둥입니다. 경영진은 내부 및 외부 팀과 지속적인 소통을 유지하여 모든 관련자가 조치의 진행 상황과 다음 단계에 대해 정보를 얻도록 해야 합니다.
안전 정책 평가가 필요한 조치입니다
이해관계자와의 소통과 병행하여, 회사는 보안 정책과 관행의 평가 및 검토 과정을 시작해야 합니다. 이에는 모든 보안 통제, 접근 권한, 고급 액세스 자격 증명의 재평가와 향후 사고를 방지하기 위한 추가 조치의 구현이 포함됩니다.
시스템 및 프로세스의 검토와 분석과 병행하여, 회사는 또한 시스템 복구와 운영 복원에 집중해야 합니다. 이것은 영향을 받은 모든 시스템의 정리, 보안 패치 적용, 백업 복원 및 접근 통제 재검증을 포함합니다. 시스템을 다시 가동하기 전에 완전히 안전한지 확인하는 것이 필수적입니다.
시스템이 다시 작동하게 되면, 교훈과 개선이 필요한 영역을 파악하기 위해 사고 후 검토를 수행해야 합니다. 이 검토는 관련 모든 부분을 포함해야 하며, 사고의 원인, 취한 조치, 영향 및 향후 회사의 보안 태세를 개선하기 위한 권장 사항을 강조하는 최종 보고서를 작성하는 것을 목표로 합니다.
기술적 및 조직적 조치 외에도 보안 사고 관리는 거버넌스와 보안 문화에 대한 적극적인 접근 방식을 필요로 합니다. 이는 사이버 보안 개선을 위한 지속적인 프로그램의 구현과 안전과 프라이버시를 중시하는 기업 문화의 촉진을 포함합니다.
보안 사고에 대한 대응은 LGPD의 요구에 부합하는 조정되고 잘 계획된 일련의 조치를 필요로 합니다. 초기 격리와 이해관계자와의 소통부터 시스템 복구 및 사고 후 검토까지, 각 단계는 부정적 영향을 최소화하고 법적 준수를 보장하는 데 필수적입니다. 그 이상으로, 결함을 정면으로 보고 수정하는 것이 필요하며, 무엇보다도 사고는 회사의 사이버 보안 전략을 새로운 수준으로 끌어올려야 합니다.