좋은 소식이다. 탐지 기술이 점점 좋아지고 있어 공격자들이 네트워크에 숨어 있을 수 있는 시간이 계속 줄어들고 있다. 하지만 클라우드와 온프레미스를 아우르는 하이브리드 환경에는 실수로 만들어진 구멍들이 여전히 너무 많다.

공격자들이 들키지 않고 피해자의 네트워크에 머무는 시간이 4년 연속 줄어들고 있다. 2020년는 평균 24일이었는데 2021년에는 21일로 기록된 것이다. 이와 관련된 상세 보고서를 보안 업체 맨디언트(Mandiant)가 발표했다.
 

[이미지 = utoimage]

맨디언트는 기업들이 위험한 공격을 빨리 탐지하고 있다며 “랜섬웨어를 탐지하는 데 걸리는 시간은 평균 5일”이라고 밝혔다. 랜섬웨어 외의 위협들은 2021년 한 해 동안 평균 36일을 들키지 않고 네트워크 내에 숨어 있을 수 있었는데, 2020년의 평균 수치는 45일이었다.

맨디언트의 수석 국장인 스티븐 스톤(Steven Stone)은 “탐지 부분에서 나아지고 있는 이유는 보다 많은 기업들이 사이버 보안 업체와 협력 체계를 꾸리고 있기 때문”이라고 보고 있다. “또 미국에서는 정부 기관들이 사이버 공격을 당하고 있는 사기업들에 그러한 사실을 적극 고지하는 편입니다. 이 역시 탐지 시간을 줄이는 데 크게 도움이 됩니다.”

10년 전과 비교하면 기업들의 탐지 실력은 가히 일취월장 했다고 해도 될 수준이다. 2011년 탐지에 걸리는 평균 시간은 무려 418일이었다. 2021년에는 이것이 21일로 줄었으니 10년 만에 무려 20배 이상 좋아진 것이라고 볼 수 있다.

지역별로 봤을 때 아태 지역의 기업들을 침투한 공격자들의 ‘체류 시간’은 2020년 76일에서 2021년 21일로 크게 줄었고, 유럽 기업들의 경우에는 66일에서 48일로 줄었다. 북미 지역 기업들의 경우 2020년이나 2021년이나 모두 17일로 조사됐다.

공격자들이 좋아하는 코발트 스트라이크

공격자들이 가장 즐겨 사용하는 해킹 도구는 코발트 스트라이크(Cobalt Strike)의 비컨(Beacon)이라는 백도어인 것으로 조사됐다. 탐지된 모든 멀웨어 패밀리의 28%를 차지했다. 코발트 스트라이크는 원래 모의 해킹에 사용되는 합법적 도구인데, 공격자들 사이에서 인기가 매우 높다. 그 외에 자주 발견되는 해킹 도구들에는 선버스트(Sunburst)와 메타스플로잇(Metasploit), 시스템BC(SystemBC) 등이 있었다.

최초 침투를 위해 공격자들이 가장 많이 사용하는 기법은 크게 두 가지로, 취약점 익스플로잇과 공급망 공격이었다. 이 두 가지가 모든 최초 침투 기법의 54%를 차지한 것으로 나타났다. 2020년만 하더라도 30% 미만을 차지하던 전략이었다. 맨디언트의 서비스 관리 부문 부회장인 유르겐 쿠셔(Jurgen Kutscher)는 “침투 전략의 변화에 대해서는 모든 기업들이 알고 있을 필요가 있다”고 강조한다.

“취약점 익스플로잇이 계속해서 주요 전략으로 남아 있다는 건, 기업들이 취약점을 찾아내 패치하는 걸 주요 방어 전략으로 삼아야 한다는 뜻이 되겠죠. 또한 소프트웨어 공급망 관리나 오픈소스 관리 역시 요 근래 반드시 필요한 보안 전략이고요. 이렇듯 통계로 나오는 결과에 따라 보안 전략을 수정함으로써 효율적으로 사이버 공격에 대비할 수 있게 됩니다.”  [기사 더보기]

[출처 : 보안뉴스(www.boannews.com)]

[기자 : 문가용 기자(globoan@boannews.com)]