제품 보안 인시던트 대응팀(PSIRT)이란 무엇일까요?

제품 보안 인시던트 대응팀(PSIRT)은 기업의 제품 또는 서비스와 관련된 보안 인시던트를 처리하고 대응하는 기업 내 그룹입니다. PSIRT의 주요 목적은 기업의 제품 및 서비스 보안에 영향을 미칠 수 있는 취약점이나 위협을 식별하고, 평가하고, 우선순위를 지정하고, 대응하는 것입니다.

컴퓨터 보안 인시던트 대응팀(CSIRT)은 정보 보안 부서의 오랜 핵심 조직입니다. CSIRT는 기업의 여러 영역을 담당하는 전문가들로 구성된 팀으로, 데이터 유출과 같은 보안 인시던트에 대응합니다. 최근 몇 년 동안 기술 제품 제조업체들은 자사 제품의 취약점에 대응하는 제품 보안 인시던트 대응팀(PSIRT)이라는 CSIRT의 자체 내부 버전을 개발했습니다. PSIRT는 기술 기업들이 자사 제품이 고객의 보안 인시던트에 종종 관여한다는 점을 인식하고 이러한 인시던트를 방지하거나 영향을 최소화하기 위해 노력함에 따라 등장하게 되었습니다.

PSIRT는 일반적으로 회사 제품의 보안 취약점을 식별, 평가, 해결하는 데 중점을 두는 직원 그룹으로, 계약업체 및 컨설턴트로 보강되는 경우도 있습니다. 예를 들어, 서버 소프트웨어 제조업체의 PSIRT는 해커가 서버를 장악하기 위해 악용할 수 있는 코드가 펌웨어에 포함되어 있음을 발견할 수 있습니다. 이 취약점을 해결하기 위해 PSIRT는 취약점을 분석하고 해당 코드에 대한 안전한 대체 코드를 찾아 엔지니어링 팀에 제공합니다.

조직적인 측면에서 PSIRT는 일반적으로 회사의 보안 엔지니어링 조직 내에 위치합니다. 이러한 접근 방식을 통해 PSIRT의 기능이 회사의 SDL(Secure Development Lifecycle)에 기여하도록 보장합니다. PSIRT는 제품에 보안을 내재화하기 위한 목적으로 요구사항 수집 및 리스크 모델링에도 참여할 수 있습니다.

비즈니스 리더와 제품 관리자는 다양한 이유로 PSIRT를 중요하게 생각합니다. 효과적인 PSIRT는 최소한 제품 품질을 개선하고 보안 패치 업데이트 횟수를 줄이는 데 도움이 됩니다. 이러한 결과는 비용을 절감할 뿐만 아니라 제품 보안에 소홀하다는 인상을 피함으로써 브랜드에도 도움이 됩니다.

더 중요한 문제는 개별 기술 제품이 고객의 주요 리스크 노출원이 될 수 있다는 인식이 높아지고 있다는 것입니다. 예를 들어, IoT 디바이스 제조업체는 자체 디바이스가 고객의 데이터 유출의 원인이 되는 것을 원하지 않을 것입니다. 이러한 종류의 인시던트는 특히 디바이스 제조업체가 대비하지 못한 상태에서 유출이 발생한 후 솔루션을 찾기 위해 우왕좌왕한다면, 난처한 상황이 발생하고 비용도 많이 들 수 있습니다. 디바이스 제조업체에 PSIRT가 있다면 리스크를 완전히 피하거나 적어도 문제에 즉각적이고 효과적으로 대응할 준비가 되어 있을 수 있습니다.

이름에서 알 수 있듯이 PSIRT는 팀이므로 가장 중요한 구성요소는 사람입니다. PSIRT 팀원들은 사이버 보안의 다양한 측면에 대한 지식과 경험이 있어야 합니다. 애플리케이션 보안 전문가도 있을 수 있습니다. 오픈 소스 보안 등에 대한 경험이 있는 사람도 있을 수 있습니다. 대기업의 경우 PSIRT는 상근 전담 팀일 수 있습니다. 소규모 기업에서는 PSIRT가 정규직 직원으로 구성된 소규모 핵심 팀으로 운영될 수 있으며, 필요에 따라 인시던트 대응 또는 취약점 분석을 지원할 수 있는 기업 내 다른 부서 소속의 인력으로 보강될 수 있습니다.

PSIRT 관리자는 PSIRT의 성공에 매우 중요한 사람입니다. 이들은 유능한 관리자일 뿐만 아니라 PSIRT가 업무를 수행할 수 있도록 하는 정책, 프로세스, 절차를 수립하는 데 능숙해야 합니다. 이들은 훌륭한 커뮤니케이터가 되어야 하며, 제품 보안을 둘러싼 복잡한 조직 역학 관계를 능숙하게 처리해야 합니다.

더불어 PSIRT 팀은 법률 및 컴플라이언스 부서와 같은 다른 부서들과도 연결됩니다. 예를 들어 항공 전자 기기 제조업체는 자사 제품의 취약점 공개와 관련된 FAA 규정의 적용을 받습니다. PSIRT는 이러한 컴플라이언스 영역에서 핵심적인 역할을 할 것입니다. PSIRT는 예를 들어 보안 문제에 대한 정보 공개 또는 클라이언트 회사의 보안 인시던트에 대한 진술과 관련해 PR 팀과 협력하는 등 회사의 커뮤니케이션 그룹 내 연락 담당자를 두게 됩니다.

잘 운영되는 PSIRT는 확립된 정책과 절차에 따라 작동합니다. CSIRT와 마찬가지로 PSIRT는 항상 보안 환경에서 취약점을 재현하려고 시도합니다. 그런 다음 PSIRT는 취약점의 심각성과 제품에 미치는 영향을 추정해 경영진에게 정보를 제공할 수 있습니다. 경영진이 취약점을 공개하기로 결정하면 PSIRT는 발표 프로세스에서 관련 이해관계자와 협력합니다.

그런 다음 팀은 취약점을 방어하는 방법을 결정하고 문제 해결 프로세스를 시작합니다. 여기에는 시장에서 제품을 담당하는 제품 관리 팀과 협력해 문제 해결 계획을 수립하는 작업이 포함됩니다.

기업이 써드파티로부터 취약점에 대해 알게 되는 경우도 있습니다. 이러한 상황이 발생하면 PSIRT는 취약점을 평가하고 대응 방법을 제안해야 합니다. 예를 들어, 디바이스가 특정 버전의 Linux 운영 체제를 사용하고 있고 버그 헌팅 팀이 해당 버전의 Linux에서 악용을 발견한 경우 PSIRT는 악용을 처리하고 고객과 통신하기 위한 계획을 수립해야 합니다.

CSIRT와 PSIRT는 구조와 운영 프로세스가 유사하지만 각각의 주안점은 완전히 다릅니다. CSIRT의 임무는 회사의 보안을 유지하고 악의적인 공격자로부터 네트워크, 애플리케이션, 데이터를 보호하기 위해 노력하는 것입니다. 반면 PSIRT는 회사의 제품을 안전하게 유지하는 데 중점을 두고 있습니다.

효과적인 PSIRT를 구축하기 위한 모범 사례는 기술 기업 전반에 걸쳐 등장하고 있습니다. 일부는 인력 및 조직 구조와 관련이 있습니다. 예를 들어, PSIRT의 인력을 독립적인 팀으로 구성하지 않고 품질 보증(QA), 보안 운영, 소프트웨어 개발 등 다양한 그룹에 구성원을 배치해 팀을 구축하는 것이 모범적인 관행일 수 있습니다.

PSIRT는 업무를 수행하기 위해 적절한 예산과 적절한 툴이 필요합니다. PSIRT가 다른 사람들이 모두 사용하는 기술로도 충분히 관리할 수 있을 것이라고 가정하는 것은 좋은 생각이 아닙니다. 예를 들어, PSIRT는 격리된 테스트 환경을 만들기 위해 IT 리소스가 필요합니다. 대부분의 경우 이를 위해 전문 장비를 조달해야 합니다.

이해관계자 교육은 PSIRT의 모범 사례이기도 합니다. 모든 직원과 관리자가 제품 보안을 직관적으로 파악할 수 있는 것은 아닙니다. 최고의 성과는 사람들이 지식을 갖추고 PSIRT의 사명에 ‘동참’하는 것에서 비롯됩니다. 교육 워크숍은 PSIRT의 정책 및 프로세스를 문서화하는 또 다른 모범 사례의 자연스러운 결과입니다.

기타 관련 모범 사례는 다음과 같습니다.

• 외부 그룹에 보고 - 제품에 영향을 미치는 취약점을 추적하는 외부 기관과 협력합니다. 이는 물건을 깨고 제품에 숨겨진 문제를 찾아내는 것을 좋아하는 사람들을 상대해야 함을 의미할 수 있습니다. 별로 재미있는 일은 아니지만 보안에 영향을 미치는 결함을 찾는 좋은 방법입니다.
• 인텔리전스 공유 자동화 - 취약점을 발견했을 때 회사의 다른 그룹에 자동으로 알림을 제공합니다. 이러한 이해관계자들은 문제 해결 방안 및 기타 유용한 정보를 공유할 수 있습니다.
• 취약점 및 위협 데이터의 퍼블릭 소스에 주의‌ - ‌정보 공유 및 분석 센터(ISAC) 및 GitHub와 같은 리포지토리를 구독합니다.

취약점이 식별되면 PSIRT의 주요 책임은 즉각적인 방어 조치를 취하고 기업이 위협에 효과적으로 대응하도록 하는 것입니다. 이 프로세스에는 취약점에 대한 상세한 분석, 회사 제품에 대한 영향 판단, 문제 해결 조치를 시작하는 것이 포함됩니다.

방어 프로세스는 제품 및 서비스의 보안 취약점을 다루는 모범 사례가 설명된 ISO/IEC 30111과 같은 확립된 보안 표준에 따라 진행됩니다. 이러한 국제 표준은 기업이 취약점 관리에 대한 일관되고 효율적인 접근 방식을 유지하도록 보장해 사이버 범죄자가 악용하기 전에 보안 문제가 해결되도록 보장합니다.

또한 PSIRT는 개발 및 품질 보증과 같은 다른 내부 팀과 긴밀하게 협력해 패치나 수정 사항을 신속하게 개발하고 테스트할 수 있습니다. 취약점을 즉시 완전히 해결할 수 없는 경우, 악용 리스크를 줄이기 위해 임시 방어 전략(예: 보안 설정 변경 또는 업데이트)을 구축합니다.

방어가 완료되면 PSIRT는 일반적으로 공개 취약점 보고서나 권고 사항을 발행해 고객과 파트너에게 보안 문제를 알리고 업데이트 또는 보안 패치를 적용하는 방법에 대한 명확한 지침을 제공합니다. 또한 CERT(Computer Emergency Response Teams)와 같은 외부 기관과 협력해 취약점에 대한 정보를 공유하고 업계 전반에서 포괄적으로 해결되도록 할 수 있습니다.

PSIRT의 효과성을 좌우하는 핵심 구성요소는 취약점을 발견하고 보고하는 보안 연구원 및 써드파티 전문가를 포함한 보안 커뮤니티와 효과적으로 협업할 수 있는 능력입니다. 이러한 협업에는 취약점에 대한 범용 식별자를 제공하고 연구자, 기업, 고객 간의 커뮤니케이션을 간소화하는 데 도움이 되는 공통 보안 취약점 및 노출(CVE) 표준이 사용되는 경우가 많습니다.

보안 연구원은 제품 개발 수명 주기 동안 드러나지 않을 수 있는 보안 취약점을 식별하는 데 필수적인 역할을 합니다. 이러한 취약점은 탐지되지 않으면 악성 해커나 사이버 범죄자가 악용할 수 있습니다. 연구원들은 취약점 보고서를 PSIRT에 제출함으로써 제품 및 서비스의 보안 격차 악용을 방지하는 1차 방어선을 제공합니다.

PSIRT는 이러한 보고서를 용이하게 하기 위해 PGP 키와 같은 보안 채널을 사용해 교환되는 정보의 기밀성을 보장합니다. 그런 다음 PSIRT는 CVSS(Common Vulnerability Scoring System)와 같은 툴을 사용해 제출된 내용을 평가하고 분류해 식별된 취약점의 심각도에 따라 방어 노력의 우선순위를 정합니다. PSIRT는 광범위한 보안 커뮤니티와 개방적이고 안전한 관계를 구축함으로써 멀웨어와 같은 잠재적인 위협 및 보안 문제에 효율적으로 대응하는 능력을 강화할 수 있습니다.