'51초' 만에 탈탈 털어가는 사이버 공격…보안 골든 타임도 이제 '초 단위'

공격자가 초기 침투 후 수평이동을 하기까지 걸린 시간(Breakout time)이 평균 48분으로 2024년 조사 62분에서 14분이나 줄어들었다. 가장 짧은 브레이크아웃 타임은 51초였다.

공격자는 정상적인 계정과 도구, 시스템을 이용해 보안 탐지를 우회하면서 성공적으로 침해한다. 특히 유효한 자격증명을 이용하는 공격이 전체 탐지된 공격의 절반에 이르렀다.

가트너(Gartner)는 AI 에이전트가 자동화된 범죄 활동을 통해 2027년까지 사용자 계정 탈취(ATO) 시간을 50% 줄일 것이라고 전망했다. 이에 따라 기업과 개인의 보안 대응이 더욱 시급해질 것으로 보인다.

제레미 드호인(Jeremy D'Hoinne) 가트너 부사장(VP) 애널리스트는 “계정 탈취는 여전히 해커들의 주요 공격 수단”이라며, “데이터 유출, 피싱, 사회 공학, 멀웨어 등을 통해 비밀번호를 수집한 해커들은 사용자가 여러 사이트에서 동일한 비밀번호를 사용하는 경향을 악용해 자동화된 봇을 이용해 로그인 시도를 한다"고 말했다.

이젠 기존 보안 솔루션으로는 막을 수 없다. 보안 솔루션의 변화가 필요한 요인은 다음과 같다.

1. 경계보안에서 제로트러스트 보안으로 보안모델의 변화

2. 공격 표면으로 보안 취약점을 약용한 공격

3. 보안 위험의 최소화하기 위한 위험 분산 필요

4. 중앙집중식에서 벗어나 탈중앙화 필요

5. 단일지점 공격으로 보안 솔루션 무력화

현재의 보안 체계로는 정보자산을 충분히 지킬 수 없다는 거, 보안 전문가라면 다 알고 있다.

주요 인프라 공격의 85%가 "패치, 2차 인증(추가 인증), 최소 권한 원칙" 등 기본적인 수준의 보안을 지키지 않아서 발생한 것으로 나타났다.

랜섬웨어를 포함한 침해 사고의 80~90%가 원격 접속과 관련된 문제다.

보안 솔루션 중 도입해야 할 1순위가 우회 및 원격접속을 차단할 수 있는 2차 인증 솔루션이다.

 

 

기본 보안 정책만 지켜도 대부분의 공격은 막을 수 있다.

또한, "망분리"는 새로울 것도, 특별할 것도 없는 보안 전략이자 개념이다.

"망분리" 했다고 해커들의 침투를 100% 막을 수 없다는 걸 인정해야만 하는 때가 도래했습니다. 이 시대에는 피해를 줄이는 게 보안의 가장 큰 임무였다.

이게 어디까지 갔냐면, "사이버 공격자들이 이미 네트워크에 들어와 있는 걸 상정하고 보안 전략을 마련해야 한다"가 보안의 명제가 되었다.

외부의 해커 또는 내부 사용자가 불법적으로 정보자산에 접근하는 상황을 제한하고, 보안의 위험을 분산함으로써 피해를 최소화해야 한다.

최근 들어, 중앙 집중식 관리 서버의 운영체제(OS) 및 관리자 계정이 해킹되어, 관리 서버를 장악하고 정보를 유출하여 도용 및 악용하거나, 악성코드 삽입, 정보를 삭제한 후 관리 서버를 무력화시켜 서비스를 불능 상태로 만드는 "단일 지점 공격"의 침해사고가 발생하여 기업에 많은 피해를 주고 있다.

다계층 인증 체계(Multi-layer authentication system)은 중앙집중식에서 벗어나 탈중앙화로 PC, 서버, 네트워크, 애플리케이션 등 컴포넌트 하나하나(레이어별)를 "단일 지점 공격"에서 시스템을 보호하는 인증 체계를 적용하여 시스템을 보호하는 방식으로, 단일 지점 공격에 취약점을 줄여 준다. 

 

 

시스템과 인프라는 자꾸만 새 것으로 바뀌는데 왜 예전 것들을 부여잡고 있는지 각자가 스스로를 검토해야 할 때다.

"아무 것도 신뢰하지 않는다" = "아무도 믿지 마라" = "계속 검증하라"