RCE 취약점 20%, 공개 후 수 시간 내 랜섬웨어 유포에 사용
[데이터넷] 외부에 노출된 공격표면 중 80%가 클라우드인 것으로 나타났다. 팔로알토 네트웍스 ‘2023 유닛42 공격 표면 위협 리포트’에 따르면 클라우드 환경의 역동적인 특성으로 인해 공격 행위자들이 새로운 취약점을 악용하는 속도가 매우 높아지고 있으며, 특히 클라우드 공격표면이 크게 늘어 공격에 대응하기가 더 어려워진 것으로 보인다.
이 보고서는 팔로알토 네트웍스 위협 연구소인 유닛42가 2022년부터 2023년 공격 표면 관리 솔루션(ASM) ’코어텍스 익스펜스(Cortex Xpanse)’를 통해 수집한 페타바이트급 인터넷 데이터를 분석한 것이다. 보고서에는 전 세계 공격 표면이 어떻게 변화하고 있는지에 대한 총체적인 통계와 더불어 산업에 영향을 미칠 수 있는 관련성이 높은 특정 위험에 대한 분석 내용이 담겨 있다.
클라우드 공격표면, 서비스 교체로 인해 발생
보고서에 따르면 클라우드 기반 IT 인프라는 항상 유동적인 상태로, 모든 산업에서 매달 20% 이상 변하고 있다. 매달 발생하는 고위험 클라우드 호스팅 노출의 약 50%는 클라우드 호스팅의 새로운 서비스가 개시되거나 오래된 서비스가 교체되는 등의 지속적인 변화로 인해 발생했다.
공개적으로 액세스 가능한 소프트웨어 개발 인프라 노출의 75% 이상이 클라우드에서 발견되어 공격자들에게 매력적인 표적이 되고 있다. 보안 노출 표면 비율은 온프레미스는 19%인데 반해 클라우드가 80%로 대부분을 차지한다.
악용할 수 있는 취약점이 늘면서 공격 속도가 가속화되고 있다. 30개의 공통 취약점과 노출(CVE) 분석 결과, 이 중 3개는 공개 후 단 몇 시간 내에 악용 사례가 나타났고, 63%는 공개 후 12주 이내에 악용됐다.
유닛42에서 분석한 15개의 원격 코드 실행(RCE) 취약점 중 20%는 공개 후 수 시간 내에 랜섬웨어 그룹의 표적이 되었고, 40%는 공개 후 8주 이내에 악용됐다. 공격자들은 몇 분 이내에 전체 IPv4 주소 공간에서 취약한 대상을 스캔할 수 있는 능력을 갖추고 있다.
원격 액세스도 노출 상황도 점점 더 위험도를 높이고 있다. 분석 대상 조직의 85% 이상이 한 달 중 최소 25% 동안 원격 데스크톱 프로토콜(RDP)을 통해 인터넷에 접속하고 있으며, 랜섬웨어 공격이나 무단 로그인 시도에 노출된 것으로 나타났다.
유닛 42가 조사한 9개 산업 중 8개 산업은 한 달 이내 최소 25% 동안 무차별 대입 공격에 취약한 인터넷 접속 가능형 RDP를 사용한 것으로 분석됐다. 금융 서비스와 주 또는 지방 정부 기관의 절반은 한 달 내내 RDP에 노출됐다.
파일공유·노출된 개발환경으로 공격표면 늘어
공격자가 좋아하는 중요 산업에서 노출이 더 빈번하게 발생해 피해 규모를 키우고 있다. 금융권의 경우, 파일 공유 서비스에 가장 자주 노출되었으며(38%), 이러한 조직의 개인·금융 데이터 관리자가 보안 침해 대상이 되면, 상당한 금전적 손실, 신원 도용, 사기, 고객 신뢰 상실로 이어져 돌이킬 수 없는 결과를 초래할 수 있다.
최근 공격이 빈번하게 발생하고 있는 의료 기관의 경우, 공개적으로 노출된 개발 환경의 56%가 구성 오류와 취약점에 노출되어 공격자가 네트워크에 침입할 수 있는 기회를 제공하고 있다. 제조업은 IT, 보안, 네트워킹 인프라가 가장 많이 노출(48%)되는 산업으로, 이는 심각한 운영 중단을 초래하여 생산 및 매출 손실로 이어질 수 있다.
정부기관은 안전하지 않은 파일 공유와 데이터베이스가 가장 중요한 공격 표면 위험으로, 국가 정부 조직에서 전체 노출의 46% 이상을 차지했다. 유틸리티·에너지의 경우, 인터넷에 액세스할 수 있는 IT 인프라 제어판이 2개 중 1개 꼴로 조사됐다.
보고서에서는 “보안 운영 팀은 모든 자산을 정확하게 식별하고 자산에 대한 노출 표면을 확보할 수 있어야 한다. ‘코어텍스 익스펜스’와 ASM 솔루션은 보안팀이 전 세계 인터넷에 연결된 자산과 잠재적인 구성 오류를 완전하고 정확하게 파악하고, 공격 표면의 위험을 지속적으로 발견, 평가, 완화할 수 있도록 지원한다”고 설명했다.
‘코어텍스 익스펜스’는 에이전트가 필요 없는 자동화된 솔루션으로, IT 직원이 인지하지 못하거나 모니터링하지 않는 자산을 정기적으로 탐색한다. 매일 인터넷에 연결된 자산에 대해 5000억 건 이상의 스캔을 수행하여 연결된 모든 시스템과 노출된 서비스에서 알려지지 않은 위험을 적극적으로 발견하고, 학습, 대응할 수 있도록 지원한다.
노출 표면을 파악하는 동시에 자동으로 문제를 해결할 수 있는 우수한 제품 중 하나인 코어텍스 익스펜스는 또한 실제 환경의 인텔리전스 및 AI 지원 워크플로우를 활용하여 조직이 공격 표면 위험의 우선순위를 보다 정확하게 이해하고 해결할 수 있도록 지원하는 새로운 기능을 제공한다.
매트 크래닝(Matt Kraning) 팔로알토 네트웍스 코어텍스 총괄 CTO는 “대부분의 조직은 다양한 IT 자산과 소유자에 대한 완전한 가시성이 부족하기 때문에 공격 표면 관리 문제를 가지고 있으며, 심지어 이를 인지하지 못하는 경우도 허다하다”며 “알려지지 않은 위험의 가장 큰 원인 중 하나는 원격 액세스 서비스 노출이며, 실제로 인터넷에서 발견된 문제 5건 중 1건이 여기에 해당된다. 모든 구성 변경, 새로운 클라우드 인스턴스 또는 새로 공개된 취약점은 공격자와의 새로운 경쟁을 의미하므로 지속적으로 경계를 늦추지 않는 것이 중요하다”고 말했다.
