많은 보안 투자를 벌여 충분한 보안체계를 갖춘 기업이더라도 실제 인프라 환경에서 사이버침해 공격이 발생하면 많은 경우 탐지해내지 못하는 것으로 나타났다.

보안업체인 파이어아이가 테스트한 결과, 기업 대상 사이버공격의 절반 이상이 탐지되지 않는 것으로 나타났다.

파이어아이는 10일 맨디언트 보안평가(Mandiant Security Validation, 전 베로딘)팀이 12개월에 걸쳐 수천가지 테스트를 수행해 얻은 결과 등을 담은 ‘맨디언트 보안 효과성 보고서 2020’ 주요내용을 발표했다. 진행한 테스트에서는 네트워크, 이메일, 엔드포인트, 클라우드 솔루션을 포함해 총 123개 업계 최고 보안 기술을 대상으로 11개 분야 엔터프라이즈 환경에서 나타나는 실제 공격 사례, 악성 행위, 공격자가 사용하는 기법과 전술을 살펴봤다.

이번 연구에서 전체 테스트 공격의 절반 이상(53%)은 탐지되지 않고 기업 내 환경에 성공적으로 침투했다. 침투 후 보안 툴에 의해 탐지된 공격은 26%, 완전히 차단된 공격은 33%였다. 경보를 발생시킨 공격은 단 9%에 불과했다.

또한 대규모 기업 환경에서 발생한 보안 문제로 ▲네트워크 트래픽 테스팅 중 기업이 정찰한 활동 가운데 단 4%만 경보 생성 ▲침입과 랜섬웨어 공격 테스트 결과 기업 보안관제시스템 등 제어 수단이 예방·탐지하지 못한 비율이 68%에 달함 ▲보안 정책을 우회하기 위한 회피형 공격 기술 실행시 보안 환경이 공격자의 접근을 막거나 감지하지 못하는 비율 65% ▲보안관제(제어)시스템이 악성 파일의 전송 및 이동을 막거나 감지하지 못하는 비율 48% ▲SIEM에서 명령제어(C&C) 관련 경보를 생성하지 못하는 경우 97% ▲초기 테스트의 67%는 데이터 유출 공격 성공 ▲내부망 내 이동을 시도한 기법과 전술의 54%는 탐지되지 않음 등의 결과를 나타냈다. 이는 공격자들이 정찰부터 내부망 이동까지 기업 내부에 침투해 사이버공격을 수행하기 위한 단계별 대응이 부족하다는 것을 보여준다.

이러한 결과에 대해 파이어아이는 기업이 보안정보이벤트관리(SIEM) 시스템, 보안 오케스트레이션 자동화·대응(SOAR) 솔루션, 기타 보안 분석 플랫폼을 사용하고 있음에도 불구하고 사이버위협에 대한 가시성을 확보하지 못하고 있기 때문이라고 분석했다.

또한 기업 보안 툴이 성능을 발휘하지 못하고 있는 요인으로 디폴트 설정을 기업 환경에 맞게 변경하지 않은 채 그대로 사용하거나 보안 툴 도입 후 맞춤 조정할 수 있는 리소스가 부족한 점 등을 꼽았다. 아울러 SIEM에 보안 이벤트가 제대로 전달되지 않거나 보안 통제 현황을 검증할 수 있는 테스트를 강제할 수 없는 경우, 기업 인프라 변화 가능성도 지목했다.

효과적인 사이버보안을 위한 방안으로는 강력한 방어 태세를 구축해 위험을 사전에 줄이기 위해 보안기능 핵심 구성을 지속적으로 검증하는 자동화 플랫폼을 구축해 보안 검증 자동화 프로세스를 운영해야 한다고 권고했다.

크리스 키(Chris Key) 맨디언트 시큐리티 밸리데이션 시니어 부사장(SVP)은 “모든 기업은 투자한 만큼 그에 맞는 완전한 보안의 효과를 기대하며 사이버공격을 피하려고 한다. 하지만 여러 기업이 그들이 인지하지 못한 채 공격에 노출돼 있었다는 것을 이번 조사를 통해 알 수 있었다”고 말했다.

이어 그는 “전 산업 분야 기업에서는 이번 보고서가 담고 있는 충격적인 사실을 인지하고 적극 대응해야 한다. 이에 대처하는 유일한 방법은 보안 효과성 측정을 자동화해 알려진 위협과 신규 위협에 대한 방어 태세를 지속 검증하는 것”이라고 강조했다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network