[샌프란시스코=데일리시큐] “기본에 충실해야 한다. 우리의 비즈니스와 시스템에 대해 공격자보다 더 정확하게 알고 있어야 하고 모든 시스템에 가시성을 확보하고 있어야 한다. 그래야 침해사고를 더 빠르게 탐지할 수 있다. 특히 제로 트러스트 모델을 적용하고 투팩터인증 적용은 무엇보다 중요하다. 신원증명 시스템이 침해를 당하는 것은 치명적이기 때문이다. 그리고 다른 조직의 보안운영팀과 커뮤니케이션 시스템을 구축하고 적극적으로 참여해야 한다.”

샌프란시스코에서 열린 RSAC 2023에서 맨디언트 CEO 캐빈 맨디아는 ‘사이버 시큐리티의 현재’를 주제로 기조연설를 진행했다. 

그는 “지난 2022년 한 해 동안 맨디언트는 1천건이 넘는 침해사고를 조사하고 대응한 것을 리포트로 발간했다. 드웰 타임(Dwell Time)은 침해사고인지 시간을 말한다. 10년 전 400일에서 올해는 16일로 조사됐다. 공격 기술이 둔화되거나 적었다기 보다는 보안의 성숙도가 상당히 많이 올라왔다고 볼 수 있다”며 “특히 랜섬웨어의 경우는 9일만에 인지할 수 있고 랜섬웨어가 없는 경우는 17일만에 위협을 탐지할 수 있는 수준에 이르렀다”고 말했다. 

또 그는 “공격의 인지비율이 자체 활동보다는 외부를 통해 인지된 것을 알 수 있다. 즉 자체적으로 공격 인지를 한 경우보다는 많은 경우가 다크웹 등 해커들의 포럼을 통해 데이터 유출 및 공격성공을 알게 된다”고 설명했다. 

제로데이와 관련된 침해사고의 경우, 공격 방법으로는 익스플로잇이 가장 높았고 다음이 스피어피싱, 계정남용 순이었다. 유럽의 경우는 스피어피싱 사고가 가장 많았고 아시아는 계정오남용을 통한 최초 침해사고 발생 비율이 높은 것으로 조사됐다. 

사용된 취약점은 로그4j 취약점과 관련된 익스플로잇이 가장 많았고 F5, 브이엠웨어 등의 솔루션 취약점 사용이 뒤를 이었다. 

그는 “그전에는 제로데이 공격이 실제로 공격에 많은 비중을 차지하지는 않았지만, 중국이 2022년 다수의 VPN, 방화벽 등 네트워크 취약점을 공개하고 익스플로잇이 많아져서 55건의 제로데이 취약점을 활용한 공격이 증가한 것을 알 수 있다”고 전했다. 

그렇다면 어떻게 공격에 대비해야 할까. 그는 “우리는 공격자보다 우리 비즈니스와 시스템에 대해 더 잘 알고 있고 제로 트러스트 구현 등으로 기본적으로 해오던 보안 점검과 보안의 역할을 충실히 하면서 발전시켜 나가야 한다. 보안팀만의 활동이 아닌 개발자, 클라우드 운영자 등 다양한 조직원이 보안활동에 적극 참여해야 한다”고 강조했다. 

특히 그는 “CISO는 급변하는 기술환경에서 인공지능, 머신러닝, 양자컴퓨팅, 공급망, 클라우드 등 다양한 기술에 대한 보안 요구 사항을 해결해야 하는 상황에 직면해 있다”며 “일관성 있는 위험관리 프레임워크 운영, 지속적인 점검과 확인, 임직원 보안교육과 훈련, 다른 조직과 소통 등을 통해 위협 상황이 발생할 경우 효율적 대응으로 피해 규모를 최소화해야 한다”고 조언했다.  

★정보보안 대표 미디어 데일리시큐!