2024-03-28 18:00 (목)
“아태지역 기업들, 침해사실 발견하기까지 평균 520일 걸려”
상태바
“아태지역 기업들, 침해사실 발견하기까지 평균 520일 걸려”
  • 길민권 기자
  • 승인 2016.09.09 08:51
이 기사를 공유합니다

파이어아이, 맨디언트 M-트렌트 보고서 아태지역판 최초 발간

“파이어아이의 고가 장비와 컨설팅이 한국 시장에 통할까. 4년반전 시작은 회의적이었지만 이제는 한국 APT 시장에서 가장 큰 시장점유율을 차지하고 있다. 즉 장비의 성능과 가치를 인정받고 있다는 것이다. 고객에게 확실하게 가치만 줄 수 있다면 비용은 크게 신경쓰지 않는 환경이 조성됐고 시장 환경을 변화시켜 왔다고 생각한다. 특히 맨디언트 컨설팅은 국내 보안컨설팅과 큰 비용차이가 난다. 그럼에도 불구하고 시장성을 확인하고 있고 컨설팅 요청도 지속적으로 들어오고 있다. 비용이 문제가 아니라 얼마나 확실한 가치를 제공하느냐가 관건이 된 것이다.” –전수홍 파이어아이 지사장-

파이어아이(지사장 전수홍)는 8일 맨디언트에서 연례로 발간하는 M-트렌트 보고서의 아태지역판 최초 발간과 관련 기자간담회를 열고 다음과 같은 내용을 발표했다.

◇아태지역에서 발생한 대부분의 침해사고는 대중에게 알려지지 않는다. 미국과 같이 사이버 보안 시장이 성숙한 국가들과 달리, 아태지역 대부분의 정부 및 사이버 보안 산업을 관장하는 조직들은 침해사고를 의무적으로 공개하도록 하는 법안을 갖추고 있지 않다. 따라서 아태지역 내 발생한 대부분의 침해사고는 언론에 많이 등장하지 않았다.

◇아태지역 조직들은 침해사고를 발견하고 대응할 준비가 되어있지 않다. 아태지역의 조직들은 기본적인 침해사고 대응 프로세스 및 계획, 위협 정보, 기술, 전문성이 부족해 공격으로부터 네트워크를 효과적으로 방어하지 못하는 경우가 많았다.

◇아태지역 조직들은 공격자가 시스템에 침입했다는 사실을 알아내기까지 평균 520일 즉 17개월 걸렸다. 이는 146일이 소요된 글로벌 평균의 세 배가 넘는 기간이며, EMEA(유럽, 중동, 아프리카)의 평균인 469일과 비교해볼 때도 오랜 기간이다. 실제로 17개월은 공격자가 시스템에 침입 한 후 초기 목적을 달성하기 충분한 시간이다.

일례로 맨디언트 레드팀은 목표 시스템에 최초 접근한 후 평균 3일 내에 도메인 관리자 인증정보에 접근할 수 있으며, 일단 도메인 관리자 인증정보가 유출되면 공격자가 원하는 정보를 포착, 접근, 유출하게 되는 것은 시간 문제이다. 따라서 침해 사실을 인지하는데 17개월이 소요된다는 것은 아직까지 아태지역 내 조직들이 사이버 침해를 방어하는데 심각한 어려움이 있다는 것을 의미한다.

◇맨디언트를 고용하기 전, 일부 고객사들은 자체적으로 혹은 외부업체를 고용해 포렌식 조사를 실시했지만 공격자를 시스템에서 완전히 제거하는데 실패했다. 몇몇 조직들은 맨디언트를 고용하기 전 일부 장비를 분석 한 후 이를 바탕으로 조사를 확대해가는 기존의 조사방법을 고수했으며, 이로 인해 침해의 전체적인 규모를 파악하는데 어려움을 겪었다. 또한, 침해 경험이 부족한 리더에 의해 조사가 이루어지는 경우가 많아 공격자를 특정하기 위해 필수적인 포렌식 증거를 훼손하며 상황을 더욱 악화시켰다. 맨디언트는 기업 규모의 침해사고를 정확하게 파악하고 신속하게 대응하기 위해 시스템 전수조사를 권장하고 있다. 한편 중요 시스템만 우선적으로 먼저 컨설팅하는 서비스도 마련중이다.

또 맨디언트는 고객 당 평균 21,583개의 시스템을 조사했고, 그 중 침해된 시스템은 겨우 78개였다 (약 0.4%). 침해사고의 시점을 조사할 때 조사원들은 사실 상 모래사장에서 바늘을 찾고 있는 셈이다. 또한, 대다수의 침해된 시스템에 그 어떤 악성코드도 깔려있지 않았는데, 이점은 백신 및 엔드포인드 보호 솔루션이 최근의 침해사고에 있어서 무력하다는 것을 보여준다.

한편 평균적으로 한 침해사고 당 인증된 사용자 계정 10개와 인증된 관리자 계정 3개가 침해되었음을 발견했다. 특정 공격 동안 어떤 침해된 인증정보가 사용되었는지 확인하는 것은 침해사고의 전체 규모를 이해하는 데 매우 중요하다.

아태지역에 대한 모든 조사에서 고객 당 평균 3.7GB의 데이터가 유출됐다. 그러나 이는 아태지역의 긴 공격 지속 시간(520일)과 로그 파일 롤오버 시간(사이즈 제약으로 인해 보안 로그 파일이 정기적으로 덮어쓰기 되는 프로세스)으로 인해 침해 조사원들은 증거를 충분히 확보할 수 없었으며 손실된 데이터의 총 규모를 파악하는 것을 어렵게 만들었다. 이는 피해조직 당 평균 3.7GB 데이터 유출이라는 수치는 낙관적인 수치일 수 있으며 실제 상황은 훨씬 더 나쁠 수 있다는 점을 시사한다.

윤삼수 전무는 “사실 아태지역 조직들이 사이버 침해 탐지 및 대응을 위한 보안역량을 갖추지 않은 것은 놀랄 일이 아니다. 앞으로 아태지역의 정부 기관들은 적극적으로 이 문제를 해결하기 위해 노력해야 할 것”이라며 “사이버 공격을 빠르게 탐지하고 대응하기 위해서 조직들은 기술, 위협 인텔리전스 그리고 전문가를 확보하고 이를 적절히 조화시킬 수 있어야 한다. 흔히 모래사장에서 바늘을 찾는 것에 비유되는 침해조사에 있어서 공격자의 바늘 찾는데 계속해서 실패하고 있는 기존의 방법을 고수하는 대신 최신의 침해 대응 기술을 도입하는 것이 효과적일 것”이라고 말했다.

한편 윤 전무는 맨디언트 전문 컨설턴트로 자격을 부여 받고 국내 컨설팅에 주력하고 있다. 맨디언트 전문 컨설턴트는 아태지역에 25명 정도에 불과하다.

파이어아이 코리아 전수홍 지사장은 “맨디언트는 풍부한 침해 조사 경험과 전문 인력을 바탕으로 글로벌 시장에서 침해사고 조사 및 대응에 있어 독보적인 서비스를 제공하고 있다. 올 하반기부터는 국내 시장에서도 본격적으로 맨디언트 서비스를 만나볼 수 있을 예정”이라며 “침해 조사 경험이 풍부한 국내 보안 인력을 맨디언트 사업부에 충원하며 이제부터 한국어 지원을 비롯한 국내 서비스가 더욱 원활해졌다. 앞으로 국내 기업들이 맨디언트 서비스를 통해 보다 체계적으로 보안 위협에 대응하고, 피해를 최소화할 수 있도록 최선을 다해 지원할 것이다”라고 말했다.

해당 보고서는 지난 해 맨디언트가 아태지역에서 실시한 침해조사를 기반으로 얻은 통계 자료와 인사이트를 담고 있을 뿐 아니라, 사이버 위협 그룹들이 아태지역 조직들의 비즈니스를 방해하고, 민감 데이터를 유출시키기 사용했던 전략과 최근 사이버 공격 트렌드에 대해 상세히 다루고 있다. 맨디언트는 지난 2014년 파이어아이가 인수한 포렌식 전문 기업으로 사이버 침해 탐지 및 대응 분야 전문 보안 업체다.

이번 맨디언트 M-트렌트 보고서 아태지역판은 데일리시큐 자료실에서도 다운로드 가능하다.

★정보보안 & IT 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★