Verizon의 2020년 데이터 침해 조사 보고서에 대한 CISO의 빠른 가이드

Verizon은 데이터 침해 관련 정보를 종합하여 CISO와 CIO에게 귀중한 인사이트를 제공하는 데이터 침해 조사 보고서를 13년째 매년 발표해 왔습니다. 사이버 보안 회사, 법 집행 기관, ISAC, CERT, 컨설팅 업체 및 정부 기관 등 81개 조직에서 수집한 데이터로 작성된 올해의 보고서에는 157,525건의 보고된 인시던트와 108,069건의 침해 사례가 수록되어 있습니다. 유용한 내용으로 가득한 총 119페이지의 보고서입니다. 여기에서는 가장 중요한 내용을 자세히 설명하고 보안 운영에 도움이 되는 주요 권장 사항을 제시하겠습니다.

사이버 공격의 배후 조종자는 대개 누구일까요?

약 30%의 비중을 차지하며 심지어 증가 추세인 내부자 공격도 확실히 문제지만, 현재로서는 조직의 외부 공격자에 의한 위협이 가장 많습니다. 전년도 데이터에 따르면 침해의 70%가 외부 공격자로부터 발생했습니다. 복수의 관계자가 연루된 경우는 단 1%에 불과했으며, 파트너 측의 행동이 관련된 경우도 역시 1%뿐이었습니다. 보고서에서는 다음과 같이 기술합니다.

“조직 보안의 가장 큰 위협은 내부자라는 것이 보편적인 여론이지만 우리는 이 주장에 오류가 있다고 생각한다.”

그러나 특정 출처에서 발생하는 위협의 수와 그 위협으로 인한 위험의 크기를 동일시하는 실수를 저질러서는 안 됩니다. 인시던트의 속성에 따라서는 한 건의 내부자 공격이 외부 공격의 10배에 달하는 피해를 일으킬 수 있습니다. 보안 팀은 모든 출처의 공격에 계속 주의를 기울여야 하지만, 데이터에 의하면 외부의 위협 행위자는 그저 인사차 방문하는 것이 아니라 귀사의 방어선을 무너뜨릴 기회를 호시탐탐 노리고 있음이 분명합니다.

그러나 기업에서 고용한 직원도 아닌 이 모든 “외부 행위자”는 과연 누구일까요? 약 55%는 “조직 범죄”로 분류되었는데, 연구 용어로 이는 “조폭이 아니라 프로세스에 따르는 범죄자”를 의미합니다. 더 알기 쉽게 설명하자면, 명확하게 관찰 가능한 목표와 방법론을 가진 범죄자의 공격이라고 할 수 있습니다. “목표”에 대해서는 다음 섹션에서 설명하겠습니다. 국가 간 공격의 행위자는 여기서 말하는 “범죄자”에서 제외되며, 기회주의적 공격, 핵티비스트 및 동기가 불분명한 공격은 “프로세스”에서 제외됩니다.

위협 행위자가 원하는 것은 무엇일까요?

6,400만 달러의 피해가 발생한 만큼, 이 질문의 정답은 “돈”이라고 추측하는 것이 아마 맞을 것입니다. 압도적인 다수의 사례가 이를 증명합니다. 보고서에 따르면 침해 사고의 86%는 금전적 동기에서 발생했습니다. 보안 업계에서는 아무도 놀라지 않겠지만, 국가 수준의 고급 해커나 APT에 대한 뉴스를 계속 접하던 조직 구성원들은 이 이야기에 놀랄지도 모릅니다.

금전적 보상에 초점을 맞추면 또 한 가지 흥미로운 데이터 포인트가 이해됩니다. 이 공격자들의 공격은 대부분 2~3단계 이하로 이루어집니다. 이보다 복잡하다면 이미 포기한 공격이거나 더 끈질긴 공격자의 공격일 것입니다. 이렇게 설명할 수 있습니다. 금전적 보상을 노리는 사이버 범죄자는 공격을 최대한 자동화할 것입니다. 어려운 목표에 시간과 노력을 투자하는 것보다는 손쉬운 결과를 노리는 것이 항상 더 유리하기 때문입니다. 단순한 ROI 계산으로도 자동화된 타겟 설정과 익스플로잇 도구를 이용해서 적절한 속도와 규모로 공격해야 한다는 결론이 나옵니다. 방어자를 위한 교훈은 간단합니다. 본부를 엄호하면서 공격자를 힘들게 만들면 대부분 다른 목표로 옮겨갈 것입니다.

공격자들이 정말로 원하는 최종 목표는 돈이겠지만, 이들은 종종 훨씬 더 많은 피해를 남기고 떠납니다. 특히 58%의 공격에서 개인 정보가 손상되었고, 37%에서는 사용자 자격 증명이 사용되거나 도난당했습니다. 실제로 아래에서 보듯이 사용자 자격 증명은 위협 행위자가 노리는 주요 품목입니다. 또한 보안 침해를 당한 조직이 더 가치 있는 다른 목표로 가는 관문으로 이용될 수도 있습니다. 보안이 취약한 서버라면 다른 사람에 대한 DDoS 공격을 시도하는 공격자가 봇넷에 포함된 슬레이브로만 이용하려 할 수 있습니다. 한편 여러분은 아마도 더 매력적인 피해자의 공급망에 속해 있거나, 손상된 MSP로서 공격에 이용될 것입니다. 이때 위협 행위자가 노리는 진정한 목표는 귀사가 아니라 여러분의 고객입니다.

해커는 방어막을 어떻게 뚫을까요?

이와 관련된 데이터는 엄청나게 많습니다. 공격자가 네트워크로 침투하는 주된 수단은 도난, 피싱 또는 무차별 암호 대입 공격 등이며, 일단 내부로 들어간 뒤에는 지속적으로 공격하거나 판매하기 위해 자격 증명을 추가로 확보하는 것이 주요 목표 중 하나입니다. 해킹과 관련된 침해 사건의 80% 이상이 일종의 무차별 암호 대입 또는 분실되거나 도난당한 사용자 자격 증명을 사용하여 이루어졌으며, 이는 놀라운 일이 아닙니다. 사용자 이름/암호 조합의 목록(종종 다른 침해 사건에서 유출된 목록)을 여러 계정에 반복해서 입력하는 크리덴셜 스터핑이 하루에도 수천만 번 발생한다고 합니다.

이는 많은 조직에서 상당량의 서비스와 데이터를 맬웨어를 투입하기가 더 어려운 클라우드로 이전했다는 사실과 밀접한 관련이 있습니다. 이에 따라 공격자는 훨씬 간단하고 확장 가능한 해결 방법을 선택합니다. 즉, 데이터 덤프에서 훔치거나 얻은 자격 증명을 사용하여 서비스에 로그인 요청 공격을 퍼붓는 것입니다. 더 적극적인 랜섬웨어 공격에서는 데이터가 암호화되기 전에 유출되므로, 이 데이터를 판매하거나 심지어 동일한 공격자가 재사용하여 나중에 동일한 조직의 계정으로 돌아갈 “길을 마련”할 가능성이 매우 높습니다. 보고서 작성자들은 다음과 같이 말합니다.

“꽤 일정한 속도로 움직이는 평범한 프로세스의 모양새를 하고 있습니다. 유출시키고, 사전에 추가하고, 계속해서 인터넷 무차별 암호 대입을 시도합니다. 세탁하고, 반복합니다.”

공격자들이 손상과 지속적 공격을 위해 자격 증명을 도용하는 데 철저히 집중하는 만큼, 조직은 이를 보호하는 데 더욱 집중해야 합니다.

소셜 엔지니어링은 여전히 새로운 자격 증명을 도용하고, 거점을 확보하고, 기업의 자금을 갈취하는 주된 방법으로 남아 있습니다. 피싱 공격의 약 96%는 악성 이메일이나 악성 스팸을 통해 진행되었습니다. 공격자들이 선택한 파일 형식은 Office 문서와 Windows 앱이 압도적으로 많았습니다. 이보다 사용 빈도가 낮았던 기타 파일 형식에는 셸 스크립트, 아카이브, Java, Flash, PDF, DLL, 그리고 Linux, Android 및 macOS 애플리케이션이 있습니다.

공격자가 가장 많이 활용하는 자산은 무엇일까요?

온프레미스 자산에 대한 공격이 여전히 침해의 약 70%로 위협 환경의 절대 다수를 차지하고 있지만, 전년도 침해 사건의 약 24%는 클라우드 자산과 관련이 있었습니다. 여기에서 이메일 또는 웹 애플리케이션 서버를 이용한 침해는 73%였고, 그중 77%에서 자격 증명 도용이 발생했습니다. 조직이 이제 중요한 정보를 클라우드 인프라 및 애플리케이션에 저장한다는 사실을 공격자들이 알고 있으며, 정보를 얻고 수익을 창출하기 위해 공격자들이 이러한 추세에 맞춰 수법을 바꾸고 있는 것이 분명합니다.

다른 어떤 자산(사용자 소셜 엔지니어링 포함)보다 웹 애플리케이션 서버가 공격 대상이 되고 있습니다. 앞서 언급했듯이 이러한 공격에서는 일반적으로 도난당한 자격 증명을 사용하거나 패치되지 않은 취약성을 악용합니다.

보안 팀은 바로 이 데이터 포인트에 주의를 기울여야 합니다. 보고된 모든 취약성 중 발견 후 3개월 이내에 실제로 패치되는 것은 약 절반에 불과하기 때문입니다. 여기에는 두 가지 약점이 있습니다. 첫째, 공격자는 종종 패치 주기보다 한걸음 앞서 빠르게 움직이며, Shodan과 같은 서비스를 사용하여 전체 네트워크에서 취약한 디바이스를 스캔합니다. 간과할 가능성이 더 높은 두 번째 약점은 취약성 발견 후 3개월 안에 패치하지 않는 IT 팀은 영원히 패치하지 않을 가능성이 높다는 점입니다. 공격자들이 특히 주목하는 취약성에는 SQL, PHP 및 주로 소매업을 대상으로 하는 로컬 파일 삽입과 관련된 취약성이 포함됩니다.

부실한 보안 관행이 기업의 몰락으로 이어질까요?

인간은 잘못을 저지르기 마련이라는 말이 있습니다만, 조직은 프로세스를 따르는 사람들이 모여 있는 곳이며 기업(기업 내부의 개인)은 더 나은 프로세스를 구현하고 감독함으로써 인적 오류를 통제할 수 있습니다. 특히 스토리지를 잘못 구성하는 인적 오류로 인한 침해 보고 사례가 늘고 있습니다. 데이터에 따르면, 확인된 침해 사례의 22%에서 오류가 중요한 원인으로 작용했습니다. 이는 동일한 데이터 세트에 대해 소셜 엔지니어링 전술을 사용한 공격의 비율과 같습니다.

좋은 소식은 잘못 구성된 스토리지로 인한 침해의 일부, 아마도 상당수가 위협 행위자에 의해 발견되는 것이 아니라 보안 연구원에 의해 보고된다는 것입니다. 나쁜 소식은 그러한 보고서가 뉴스 헤드라인을 장식하는 경향이 있으며, 정량화하기는 어렵지만 평판 저하는 악의적인 행위자에 의한 데이터 도용만큼이나 비용이 많이 들 수 있다는 것입니다.

공격자는 어떤 종류의 맬웨어를 선호할까요?

확인된 침해의 약 17%는 일종의 맬웨어와 관련이 있습니다. 27%는 구체적으로 랜섬웨어로 인한 사건이었는데, 작년 한 해 동안 언론에 보고된 유명 사건의 수를 감안할 때 놀라운 일은 아닙니다.

SentinelLabs에서는 오래 전부터 주의를 기울여 왔지만, 최근 들어 랜섬웨어 전술이 진화하여 강탈의 요소를 포함하게 되었습니다. 랜섬웨어 갱단은 데이터가 암호화되기 전에 유출시킨 다음, 비용을 지불하지 않으면 중요한 고객 데이터를 퍼뜨리겠다고 피해자를 협박합니다. 이러한 추세는 Verizon의 데이터 수집 마감 이후에 본격적으로 시작되었으므로 내년 보고서에서는 이 추세가 더욱 분명하게 드러날 것입니다. 그러나 2020년 보고서에 기입된 가장 최근 날짜인 2019년 10월 이전 상반기에도 랜섬웨어가 증가 중이었던 것은 분명합니다. 랜섬웨어에 대한 설명은 다음과 같습니다.

“…세 번째로 일반적인 맬웨어 침해 유형이자 두 번째로 일반적인 맬웨어 인시던트 유형입니다.”

보고서에 등장한 다양한 부문 중 교육 및 공공 부문은 일 년 내내 랜섬웨어 공격자의 집중적인 표적이 되었습니다.

대부분의 위협 행위자들이 자격 증명 도용을 가장 선호한다는 데이터를 입증하듯, 가장 일반적인 종류의 맬웨어는 암호 덤퍼였습니다. 그리고 다운로더(예: EmotetTrickBot)와 트로이 목마가 그 뒤를 이었습니다. 트로이 목마는 주로 백도어 및 C2 기능을 통한 장기적 지속 공격을 추구하는 지능적인 공격자들이 사용하는 도구입니다. 흥미롭게도 크립토재킹 맬웨어는 2017년, 특히 2018년에 인기가 치솟았다가 급격히 감소했습니다.

SentinelOne 권장 사항

119페이지의 이 보고서에는 여기에서 다루는 것보다 훨씬 더 세부적인 내용이 담겨 있지만, 이 글을 통해 보고서의 주요 내용을 명확하게 그려 보실 수 있기를 바랍니다. 이 섹션에서는 전체 보고서와 SentinelOne의 자체 원격 분석에 대한 이해를 바탕으로 몇 가지 권장 사항을 소개하겠습니다.

APT(Advanced Persistent Threat)와 달리, 대부분의 공격자는 고도로 복잡한 다단계 공격을 하지 않습니다. 즉, 위협 라이프사이클의 모든 단계가 아닌 특정 단계(일명 ‘킬체인’)에서 공격을 포착하면 침해를 피할 가능성이 크게 높아집니다. 또한 공격을 포착하는 시점이 빠를수록 공격자를 빈손으로 몰아내서 다른 먹잇감을 찾아 떠나게 만들 가능성도 높아집니다. 최근 MITRE ATT&CK 평가 결과에서 입증되었듯이, SentinelOne은 모든 단계에서 공격을 막아내는 데 탁월하지만 공격자가 거점을 마련하기 전에 차단하는 것이 가장 큰 강점입니다. SentinelOne이 확실히 제안하는 첫 번째 권장 사항은 신뢰할 수 있고 입증된 차세대 AI 플랫폼을 마련하여 엔드포인트를 보호하라는 것입니다.

위에서 살펴본 것처럼 공격자는 일을 쉽게 하기 위해 자동화된 공격을 사용합니다. 필요 없는 포트를 열어 두지 말고 노출된 포트 수를 줄여 공격하기 어렵게 만드세요. 필수 서비스만 인터넷에 액세스하도록 허용하고, 그러한 서비스에 액세스할 수 있는 사용자를 제한하세요. SSH 및 텔넷(각각 기본 포트 22 및 23)은 악의적인 연결 시도의 주요 대상입니다. SSH와 텔넷이 정말로 필요한 사용자는 누구인지 필요 인원을 파악하고 나머지 사용자는 모두 제한하세요.

공격자에게 자격 증명은 무지개가 끝나는 곳에 묻혀 있는 황금 항아리입니다. 모든 Windows 시스템에서 레거시 LM 및 NTLMv1을 업그레이드했는지 확인하고 여기에 나와 있는 Windows 자격 증명 보호를 위한 권장 사항을 구현하세요.

Windows 보안 기본 사항 | 4가지 일반적인 자격 증명 유출 경로 차단
자격 증명 덤핑은 횡적 확산의 서막이며, 잘 알려진 암호 공격 수법 중에도 아직 현장에서 통하는 것이 있습니다. 기본기를 다져 두셨나요?

데이터는 혈액과 같습니다. 데이터에 대한 액세스를 제어하고, 기밀 파일과 중요한 파일의 최신 인벤토리를 유지 관리하고, 무엇보다도 암호화를 사용하세요.

잘 보호되지 않은 서버와 더불어, 공격자가 소셜 엔지니어링 및 피싱 공격을 통해 익스플로잇하려 하는 주요 “자산” 중 하나는 바로 사람입니다. 직원들에게 피싱 공격을 교육하기 위한 사용자 인지 프로그램을 반드시 유지하세요. 직원들이 악성 링크 또는 의도하지 않은 드라이브 바이 다운로드 수법에 걸려들더라도 맬웨어를 잡아 내는 자동화된 엔드포인트 보안 소프트웨어로 지원하세요. 모든 사용자 로그인 계정에 2FA 및 MFA를 적용하여 공격자에 대한 장벽을 높이세요.

의도하지 않은 인적 오류와 잘못된 구성은 침해를 유인하는 백도어가 됩니다. 스토리지 권한을 철저히 검토하세요. 잘못된 구성을 방지하고 식별하기 위한 적절한 검토 프로세스를 구현하는 것도 마찬가지로 중요합니다. 어떤 형태로든 보안 감독이나 검토를 받지 않고 리포지토리를 이용할 수 있는 사람이 몇 명이나 되나요? 그런 사람은 한 명도 없어야 합니다.

마지막으로 여러분이 예전에도 들었고 앞으로도 듣게 될 이야기를 반복하겠습니다. 일찍 패치하고, 자주 패치하세요. 통계상, 취약성 발견 후 3개월 안에 패치하지 않는 것은 조직이 패치 추가를 원하지 않는다는 의미이며 그러한 부실을 공격자에게 들켜서는 안 됩니다.

결론

반복된 내용이지만 다시 강조하겠습니다. 대부분의 위협 행위자는 돈을 쫒습니다. 조직이 온프레미스에서 클라우드로 전환하기 시작했듯이 공격자들도 뒤따라 움직이고 있습니다. 여러 다국적 기업에서 경계 없는 제로 트러스트 네트워크 패러다임을 채택함에 따라, 공격자들은 귀중한 로그인 자격 증명을 얻는 데 혈안이 되어 있습니다. 조직에서는 계속해서 이메일을 사용하고 사람들은 업무 수행을 위해 링크를 클릭해야 하지만, 공격자들 역시 자신의 업무를 수행하기 위해 계속해서 피싱 링크를 보낼 것입니다.

침해 조사에 대한 최신 데이터에는 최근의 조직적 행동 특성이 반영되어 있습니다. 우리가 가면, 그들이 따라옵니다. 침해를 방지하려면 이러한 공생 관계를 인식하고, 위험을 예측하고, 위협 행위자가 감수할 수 있는 수준 이상으로 공격하기 어렵게 만드는 보안 솔루션, 사용자 관행 및 조직 프로세스를 갖춰야 합니다.

SentinelOne이 보안 침해로부터 비즈니스를 보호하는 방법을 알아보려면 지금 문의하시거나 무료 데모를 요청하세요.


Like this article? Follow us on LinkedIn, Twitter, YouTube or Facebook to see the content we post.

Read more about Cyber Security