아태지역 조직, 사이버침해 인지하는데 520일 소요
한국을 포함한 아시아태평양지역 조직에서 사이버 침해사고를 인지하는데 평균 520일(17개월)이 걸리는 것으로 나타났다. 146일이 소요된 글로벌 평균 대비 3배가 넘는 기간이다.
파이어아이코리아(대표 전수홍)은 8일 파이어아이 사이버침해 탐지·대응 조직인 맨디언트에서 매년 발간하는 ‘엠트렌드(M-Trends)’ 아시아태평양지역판을 발표했다.
침해사고를 인지하는데 걸리는 17개월의 기간은 공격자가 시스템에 침입한 뒤 초기 목적을 달성하기에 충분한 시간이다. 아태지역 내 조직들이 사이버 침해를 방어하는데 심각한 어려움이 있다는 것을 의미한다.
맨디언트 레드팀은 목표 시스템에 최초 접근한 후 평균 3일 내에 도메인 관리자 인증정보에 접근할 수 있다고 설명했다. 일단 도메인 관리자 인증정보가 유출되면 공격자가 원하는 정보를 포착, 접근, 유출하게 되는 것은 시간문제다.
사실 우리나라는 더 심각한 수준이다. 윤삼수 파이어아이코리아 맨디언트 컨설팅 담당 전무는 “한국에서 침해사고를 인지하는데 걸리는 시간은 평균 1035일로 분석된다. 일본은 950일”이라며 “국내는 모수가 적긴 하지만 크게 어긋나는 결과는 아닐 것”이라고 말했다.
유럽·중동·아프리카(EMEA)의 평균은 469일이다. 미국 내에서 침해사고를 가장 빠르게 발견한 기간은 56일이었다.
윤 전무는 “아태지역 대상 공격이 늘어나고 있지만 많은 조직들이 침해사고에 대응할 준비와 역량이 충분히 준비돼 있지 상황”이라며 “미국에서는 법적책임으로 인해 침해사고가 발생하면 이를 자발적으로 고시하고 적극 알리면서 협조를 구한다. 하지만 아태지역 기업들은 대부분의 침해사고가 알려지지도 않는다”고 설명했다.
보고서에 따르면, 미국과 같이 사이버 보안 시장이 성숙한 국가들과 달리 아태지역에서는 대부분 침해사고를 의무적으로 공개하도록 하는 법안을 갖추고 있지 않다. 아태지역 내 발생한 대부분의 침해사고는 언론에 많이 등장하지 않았다.
많은 아태지역 조직들은 침해사고 대응 프로세스와 계획, 위협 정보와 기술 전문성이 부족해 사이버공격으로부터 네트워크를 효과적으로 방어하지 못하고 있다.
몇몇 조직들은 맨디언트를 고용하기 전 일부 장비를 분석한 후에 이를 바탕으로 조사를 확대하는 기존 조사방법을 고수했다. 이로 인해 침해의 전체 규모를 파악하는데 어려움을 겪었다.
또한 침해 경험이 부족한 리더에 의해 조사가 이뤄지는 경우도 많았다. 공격자를 특정하기 위해 필수적인 포렌식 증거를 훼손하며 상황을 더욱 악화시켰다. 맨디언트는 기업의 침해사고를 정확하게 파악하고 신속하게 대응하기 위해 시스템 전수조사를 권고한다.
윤 전무는 “침해사고를 정확하게 파악하려면 동시에 전체 시스템을 조사할 수 있는 메커니즘이 필요하다”며 “침해사고 조사에 필요한 보안장비 로그를 잘 확보해야 한다”고 강조했다.
맨디언트는 고객 당 평균 2만1583개의 시스템을 조사했다. 그 중 침해된 시스템은 78개(약 0.4%)에 불과했다. 침해사고 시점을 조사할 때 조사원들은 사실상 모래사장에서 바늘을 찾고 있는 셈이다.
침해된 시스템 대다수는 악성코드가 전혀 발견되지 않았다. 백신과 엔드포인드 보호 솔루션이 침해사고에 있어서 무력하다는 것을 보여준다고 맨디언트는 지적했다.
맨디언트는 한 침해사고당 평균 인증된 사용자 계정 10개와 인증된 관리자 계정 3개가 침해됐다는 것을 발견했다.
또한 고객당 평균 3.7GB 데이터가 유출됐다. 아태지역의 긴 공격 지속시간(520일), 그리고 로그 파일 롤오버 시간(사이즈 제약으로 보안 로그 파일이 정기적으로 덮어쓰기 되는 프로세스)으로 인해 침해 조사원들은 증거를 충분히 확보할 수 없어 손실된 데이터의 총 규모를 파악하는 것이 어려웠다. 데이터 유출 규모가 커질 수도 있다는 의미다.
윤 전무는 “보안 향상을 위해서는 시그니처 기반 탐지보다는 행위 분석 탐지 방식을 활용할 것을 권장한다”며 “위기관리팀을 구성 등 조직역량을 강화하고, 필요할 경우 침해사고 대응 전문가의 도움을 구해야 한다”고 제안했다.
파이어아이코리아는 작년 말부터 침해조사 서비스를 주축으로 한 맨디언트 컨설팅 서비스를 국내에서 시작했다.
글. 바이라인네트워크
<이유지 기자>yjlee@byline.network