보안 솔루션 많아도 지능형 공격 완벽 대응 못해
[데이터넷] 코로나19가 사이버 위협의 수준을 크게 높이고 있다. 코로나19 기간 동안 사이버 공격이 크게 늘어났으며, 특히 코로나19 관련 내용으로 위장한 사회 공학 기법이 성행하고 있다.
SK인포섹 조사에 따르면 코로나19 관련 공격에 사용된 인터넷 프로토콜과 피싱 URL이 올해 1월부터 5월까지 9만여 개 발견됐다. 또한 ‘COVID19’, ‘WHO’, ‘MASK’ 등 코로나19를 연상 케 하는 이메일 공지, 긴급 재난 지원금 지급을 사칭한 스미싱 공격도 다수 발 생했다. 이 기간 동안 SK인포섹 시큐디움 보 안관제센터에서 탐지·대응한 사이버 공격 건수는 전년 동기 대비 19% 증가 했다.
체크포인트가 디멘셔널 리서치와 함께 진행한 ‘코로나 바이러스가 기업 보안에 미치는 영향’ 조사에 따르면 71%의 보안 전문가들은 코로나 바이러스 발병 이후 보안 위협과 공격이 증가 하고 있다고 응답했다. 가장 큰 위협 은 피싱 시도(55%)였으며, 코로나 바이러스에 대한 정보 또는 조언을 제공하는 악성 웹사이트(32%), 악성코드 (28%), 랜섬웨어(19%)의 증가가 그 뒤를 이었다.
“코로나로 보안위협 증가” 71%
공격자는 보안 시스템이 잘 갖춰진 정문이 아니라 보안관리에 취약한 뒷문을 이용하며, 사용자가 직접 문을 열도 록 속이는데 익숙하다. 중요 시스템을 직접 해킹하지 않고 사람을 공격한다. 사용자 PC에 침투해 VPN을 통해 업무 시스템에 접근할 때 침투하는 등의 방법을 사용한다. 실제로 여러 기업이 재택근무중인 직원의 VPN을 통해 랜섬웨어가 침투해 공용 폴더의 데이터를 모두 잃는 사고를 겪기도 했다.
왕정석 스텔라사이버코리아 지사장은 “공격자들은 뚫기 어려운 시스템을 해킹하지 않고, 정상 사용자 권한을 훔치거나 방치된 보안홀을 이용해 침투해 들어간다. 네트워크 경계만을 지켜서는 보안 위협을 탐지할 수 없으며, 내·외부에서 발생하는 모든 이상행위를 모니터링하고 감지해야 한다”고 지적했다.
SIEM·SOAR 사용해도 공격 53% 탐지 못해
진화하는 공격에 대응하기 위해 기업·기관은 많은 보안 시스템을 도입해 운영하고 있다. 그럼에도 불구 하고 피해는 계속된다. 파이어아이 ‘맨디언트 보안 효과성 보고서 2020’에 따르면 공격의 33%를 방어했고, 26%를 탐지했으며, 9%는 경보를 생성했다. 그러나 공격의 53%는 그 어떤 보안 시스템에도 걸리지 않고 통과했다. 파이어아이는 보안 정보 이벤트 관리 (SIEM), 보안 오케스트레이션 자동화 및 대응(SOAR) 을 사용하는 기업도 공격의 절반은 탐지하지 못했다고 설명했다.
이 보고서에서 소개한 공격 탐지 실패 사례를 몇가지 들어보면, 포춘 500대 기업에 속한 한 대기업에서는 프록시 설정 실수로 내부 네트워크를 외부에 연결해 외부에서 통신이 가능한 상태였던 것이 오랫동안 발견되지 못했다.
보안 정책을 우회하기 위한 회피형 공격을 집중 실행 할 때 65%는 탐지하지 못하며, 침해사고를 방지하거나 랜섬웨어를 탐지하지 못하는 확률은 68%, 악성파일을 탐지하지 못하는 비율은 48%에 달했다.
이 테스트에 참여한 기업은 11개 산업군, 9억명 이상 의 소비자를 지원하는 기업이었으며, 이들이 사용한 보안 솔루션은 SIEM을 포함한 123개의 업계 리딩 기술을 가진 것이었다. 기업은 평균 30~50개의 보안툴을 사용하고 있으며, 이 조사에 참여한 기업들은 그보다 많은 보안 보안 솔루션을 사용하고 있었다.
이처럼 보안 솔루션이 많아도 위협을 탐지하지 못하는 이유로 보고서는 ▲SIEM에 보안 이벤트가 제대로 전달되지 않음 ▲보안 툴 도입 후 수정하거나 맞춤 조 정할 수 있는 리소스 부족 ▲아웃오브더 박스로 구성돼 나온 디폴트 설정을 기업 환경에 맞게 변경하지 않은 채 그대로 사용 등의 문제를 들었다.
과도한 보안 이벤트 효과적 처리 방안 시급
분석가가 보안 이벤트를 분석하는데 평균 10~15분 소요된다. 하루 8시간 근무 시간에 분석 할 수 있는 이벤트는 아무리 많아야 50개, 적으면 20개도 되지 않을 수 있다. 관제인력을 무한 채용할 수 있다면 발견된 모든 이벤트를 분석할 수 있지만, 이벤트 분석에 많은 인력을 투입하지 못하는 현실상, 하루에 분석할 수 있는 이벤트는 극히 제한적이다.
이우재 SK인포섹 플랫폼서비스기획팀 전문위원은 “관제인력이 처리해야 할 이벤트의 양이 크게 늘어나고 있는 것을 실제로 경험하고 있다. 너무 많은 이벤트 로 인해 보안 피로도가 증가하는 것도 사실”이라며 “이에 과도하게 발생하는 이벤트를 효과적으로 처리해 보안 인력의 업무를 줄이는 노력이 진행되고 있다”고 말했다.
보안 이벤트는 갈수록 많아질 것이 분명하다. 비즈니스가 성장함에 따라 IT 시스템은 늘어날 것이다. 클 라우드·IoT 도입과 함께 관리해야 하는 IT 자산은 데 이터센터 밖으로도 광범위하게 퍼지게 된다. 분산된 IT 영역만큼 공격면이 넓어지고, 보안정책 관리가 어려워 지면서 보안홀이 늘고 공격 시도도 늘어나게 돼 있다.
기업·기관은 높아지는 보안 리스크를 관리하기 위해 관제조직을 강화하고 있다고 하지만, 충분하다고 볼 수 없다. 비즈니스 성장을 위해 투자하는 예산 중 가장 늦게, 가장 보수적으로 집 행하는 것이 보안 예산인 만큼, 관제조직의 업무는 가중되고 그만큼 위협은 높아진다.
정일옥 이글루시큐리티 관제기술연구팀장은 “발생하는 모든 이벤트를 분석하는 것은 현실적이지 않다. 보호해야 할 자산을 정의하고 발견되는 위협에 대해 어떤 절차에 따라 조치해야 하는지 프로세스를 정의하는 것이 가장 먼저 해야 할 일”이라며 “이러한 기본 조치도 되어 있지 않은 상태에서 무조건 보안 솔루션을 도입해서는 효과적으로 위협에 대응할 수 없다”고 말했다.
