Close

더 나은 인시던트 관리를 위한 길은 여기에서 시작됩니다

인시던트 대응 수명 주기 알아보기

보안 및 인시던트 관리 전문가와 오랜 시간 함께하다 보면 패턴을 알 수 있습니다. 이 업계에서 가장 똑똑한 전문가는 직선이 아니라 주기를 기준으로 생각합니다.

왜 그럴까요? 이것은 무엇을 의미할까요? 모든 인시던트와 서비스 중단은 시작과 끝이 있는 분리된 이벤트가 아니라는 의미입니다(그렇게 보일 수도 있지만). 인시던트는 학습의 기회입니다.

서비스가 다시 “작동”한다고 해서 팀의 작업이 끝난 것은 아닙니다. 인시던트 발생 후 활동을 통해 향후 로드맵에 대한 계획을 세우고, 앞으로의 인시던트에 대비하는 방식을 변경하며, 향후 더 많은 인시던트를 예방할 수 있는 새로운 빌드 요소를 찾아야 합니다. 끝없는 개선의 주기와도 같습니다. 어떤 관점을 받아들이느냐에 따라 다양한 단계에 대해 고려할 수 있는 몇 가지 방법이 있습니다.

인시던트 대응 수명 주기란 무엇입니까?

인시던트 대응은 사이버 공격, 보안 침해 및 서버 가동 중지 시간과 같은 IT 위협에 대응하는 조직의 프로세스입니다.

인시던트 대응 수명 주기는 서비스 중단 또는 보안 위협을 식별하고 이에 대응하기 위한 조직의 단계별 프레임워크입니다.

Atlassian의 인시던트 대응 수명 주기

Atlassian의 인시던트 대응 수명 주기 차트

1. 인시던트 감지

인시던트 감지는 일반적으로 모니터링 및 알림 도구로 시작합니다. 때로는 고객이나 팀원으로부터 인시던트에 대해 먼저 알게 되기도 합니다.

인시던트 알림은 다양한 출처에서 발생할 수 있으므로 여러 알림 및 보고 도구를 통합하는 솔루션을 보유하면 일관성 없이 복잡한 대응 대신 응집력 있는 협업 대응이 가능할 수 있습니다. Jira Service Management와 같은 솔루션을 사용하면 팀이 모든 모니터링, 로깅 및 CI/CD 도구에서 알림을 사용자 지정하고 필터링하여 알림 피로를 방지하는 동시에 팀이 인시던트에 신속하게 협력할 수 있습니다.

2. 팀 커뮤니케이션 채널 설정

첫 번째 중요한 단계는 인시던트 팀의 커뮤니케이션 채널을 설정하는 것입니다. 이 시점의 목표는 전용 Slack 채널 및 화상 회의 브리지와 같은 잘 알려진 장소에서 팀 커뮤니케이션에 집중하는 것입니다.

Jira Service Management 내에서 인시던트 대응을 조정하는 것은 원활한 프로세스일 수 있습니다. 팀은 Slack 및 화상 회의와 같이 팀에 가장 적합한 방식으로 커뮤니케이션할 수 있을 뿐만 아니라 자동화 및 사용자 지정을 통해 고객과 더 쉽게 커뮤니케이션할 수 있습니다. 4단계에서 외부 커뮤니케이션에 대해 살펴보겠습니다.

3. 영향 평가 및 심각도 수준 적용

이제 팀이 연락할 대상과 고객 및 이해 관계자와 커뮤니케이션할 내용을 결정할 수 있도록 인시던트의 영향을 평가할 차례입니다. 심각도 수준을 할당하면 인시던트의 영향을 파악할 수 있을 뿐만 아니라 해결 계획 및 외부 커뮤니케이션의 토대가 마련됩니다. Jira Service Management에서 인시던트를 에스컬레이션하고 심각도를 할당하면 자동화된 작업과 대응자를 위한 알림이 트리거되어 해결 진행률을 파악할 수 있습니다.

4. 고객과의 커뮤니케이션

목표는 가능한 한 빨리 내부 및 외부의 이해 관계자와 커뮤니케이션하는 것입니다. 신속하고 정확한 커뮤니케이션은 고객을 비롯한 조직 내 나머지 직원들과의 신뢰를 구축하는 데 도움이 됩니다. 앞서 언급했듯이 커뮤니케이션 방식을 사용자 지정하는 기능은 팀이 원하는 방식으로 작업할 수 있도록 권한을 부여하여 더 빠른 문제 해결을 유도합니다. 커뮤니케이션을 사용자 지정하는 기능을 통해 팀은 언제 어떤 메시지를 전달할지 제어할 수 있습니다. 또한 티켓 내에서 고객에게 직접 보내는 자동 회신을 통해 인시던트 발생 시 팀의 시간을 절약할 수 있습니다.

5. 적절한 대응자에게 에스컬레이션

초기 대응자는 종종 Jira Service Management의 알림 기능을 통해 다른 팀원을 호출하여 인시던트에 참여시켜야 합니다. 관련 티켓을 그룹화하고 티켓에서 직접 관련 대응자를 태그하여 대응자를 인시던트 티켓에 참여시키세요. 이렇게 하면 알림이 조정되고 모두가 전체적인 컨텍스트를 파악할 수 있습니다.

6. 인시던트 대응 역할 위임

추가 팀원이 대응 팀에 참여하면 인시던트 관리자는 그들에게 역할을 위임합니다. 명확한 역할과 책임을 설명하는 적절한 인시던트 대응 플레이북을 미리 개발하면 이러한 상황에서 큰 도움이 됩니다. 인시던트 대응 팀의 각 팀원은 자신의 역할을 잘 알고 있으며 인시던트 발생 시 맡은 역할을 알고 있습니다.

7. 인시던트 해결

현재 발생했거나 임박한 비즈니스 영향이 종료되면 인시던트가 해결된 것입니다. 해당 시점에 긴급 상황 대응 프로세스가 종료되고 팀은 정리 작업 및 사후 검토 작업으로 전환합니다.

인시던트 관리 솔루션이 강력한 인시던트 타임라인을 유지하는 것이 이상적입니다. Jira Service Management를 사용하면 가능합니다. 대응자는 나중에 중요한 인시던트 데이터에 액세스하여 팀이 향후 유사한 인시던트를 방지하고 근본 원인을 찾을 수 있도록 보고서를 작성할 수 있습니다. 사후 검토는 비슷한 인시던트가 다시 발생하는 경우 리소스 역할을 할 수도 있습니다.

NIST 인시던트 대응 수명 주기

또 다른 업계 표준 인시던트 대응 수명 주기는 국립 표준기술연구소(NIST)에서 제공합니다. NIST는 인시던트 대응과 사이버 보안 같은 토픽에 대한 표준 및 관행을 설정하는 정부 기관입니다.

NIST는 국립 표준기술연구소를 의미합니다. 스스로를 “미국에서 가장 오래된 물리 과학 연구소 중 하나”라고 자부하는 미국 정부 기관입니다. 사이버 보안을 포함한 모든 기술 분야를 다루는 NIST는 인시던트 대응 단계에서 인시던트 대응을 위한 두 가지 업계 표준 중 하나가 되었습니다.

Atlassian과 마찬가지로 NIST도 모든 인시던트를 예방할 수는 없다고 생각합니다. 따라서 인시던트에 대한 준비를 갖추는 것이 가장 좋습니다.

“위험 평가 결과를 기반으로 한 예방 활동은 인시던트 발생 수를 줄일 수 있지만 모든 인시던트를 예방할 수는 없습니다. 따라서 인시던트를 신속하게 감지하고, 손실 및 파괴를 최소화하며, 악용된 취약점을 완화하고, IT 서비스를 복원하기 위한 인시던트 대응 역량이 필요합니다.” — NIST

NIST 인시던트 대응 수명 주기는 인시던트 대응을 준비, 감지 및 분석, 억제, 근절 및 복구, 사후 활동의 4가지 주요 단계로 나눕니다.

1단계: 준비

준비 단계에서는 올바른 도구와 리소스를 설정하고 팀을 교육하는 등 인시던트 대응을 준비하기 위해 조직이 수행하는 작업을 다룹니다. 이 단계는 인시던트 발생을 방지하기 위한 작업이 포함됩니다.

2단계: 감지 및 분석

NIST에 따르면 인시던트를 정확하게 감지하고 평가하는 것은 많은 조직이 인시던트 대응에서 가장 어려움을 느끼는 부분인 경우가 많습니다.

3단계: 억제, 근절, 복구

이 단계에서는 인시던트 영향을 최소화하고 서비스 중단을 완화하는 데 중점을 둡니다.

4단계: 사후 활동

인시던트 이후 학습 및 개선은 인시던트 대응에서 가장 중요한 부분 중 하나이자 가장 자주 간과되는 부분입니다. 이 단계에서는 인시던트 및 인시던트 대응 작업을 분석합니다. 여기서 목표는 인시던트가 다시 발생할 가능성을 제한하고 향후 인시던트 대응 활동을 개선할 방법을 식별하는 것입니다.

최신 DevOps 팀을 위한 인시던트 대응

지난 10년 동안 DevOps 운동은 팀이 소프트웨어를 구축, 배포 및 운영하는 방식을 재구성하는 데 도움이 되었습니다. 이와 함께 팀이 인시던트에 대응하는 방식에도 혁신이 일어났습니다.

인시던트 관리에 대한 DevOps 접근 방식은 효과적인 인시던트 관리 측면에서 기존 단계와 크게 다르지 않습니다. DevOps 인시던트 관리는 대기 중 담당자를 포함하여 처음부터 개발자 팀을 참여시키고 직책이 아닌 전문 지식을 기반으로 작업을 할당하도록 명시적으로 강조합니다.

인시던트 대응 및 지속적 개선

우리는 주기와 직선에 대해 이야기하면서 글을 시작했습니다. 모든 인시던트 관리 접근 방식의 공통점은 선형적이지 않다는 사실을 알 수 있습니다. 각 접근 방식은 동일한 기본 구성 요소, 즉 인시던트를 정의, 감지 및 식별하는 방법, 인시던트에 신속하게 대응하고 조치를 취하여 완화하는 방법, 인시던트를 분석하여 향후 감지 및 대응을 개선하는 방법을 포함합니다. 이미 발생한 인시던트를 위해 인시던트를 분석하는 것은 무의미합니다. 시간을 거슬러 올라가 이미 벌어진 일을 바꿀 수는 없습니다. 향후 감지 및 대응을 개선하기 위해 인시던트에서 배우는 것이 중요합니다. 팀은 꾸준하고 지속적인 학습과 개선을 통해 주기를 마무리할 수 있습니다.

(선형이 아닌) 인시던트 대응 프로세스에는 변동 사항이 많습니다. Jira Service Management와 같은 인시던트 관리 솔루션을 사용하면 통합 협업 및 커뮤니케이션 도구로 각 단계를 손쉽게 추적할 수 있습니다. 인시던트에 신속하게 대응하고 해결할 수 있는 유연성을 통해 알림을 중앙 집중화하고 팀을 통합하세요.

다음 단계
플레이북