보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

사이버 보안의 핵심, 공격자와 공격 전술에 대한 ‘인사이트’

입력 : 2023-03-26 20:42
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
전 세계 직원 1,000명 이상 대기업에서 공격 분석 없이 사이버보안 의사 결정 이뤄져
보안팀은 ‘공격자의 구체적인 정보 필요’, 고위 경영진은 사이버위협 ‘과소평가’
맨디언트, ‘위협 인텔리전스에 대한 글로벌 관점’ 보고서 발표


[보안뉴스 김영명 기자] 산업군을 막론하고 전 세계에서 직원 1,000명 이상을 가진 대기업에서도 보안팀들은 기업의 보안을 강력하게 유지하기 위해 상급자에게 보안의 필요성을 강조하고 있다. 하지만 이들 대부분은 의사소통에 대해 상당한 부담감을 느끼고 있으며, 심지어 어려워하고 있다는 것으로 분석됐다.

▲위협 인텔리전스에 대한 전 세계 보안 팀의 의사 결정 통계[자료=맨디언트]


맨디언트가 최근 발표한 ‘위협 인텔리전스에 대한 글로벌 관점’ 보고서에 따르면, 기업의 보안 담당자는 공격자에 대한 더욱 구체적인 정보의 필요성을 분명하게 인식하지만, 경영진은 어느 공격자가 왜 우리 기업에 사이버 공격을 하는지 완전하지 이해하지 못한 채 보안에 대한 의사 결정을 내리고 있다고 분석했다. 이번 조사 결과는 전 세계 1,000명 이상의 직원을 보유한 기업에서 보안 결정을 내리는 1,350명의 비즈니스 및 IT 리더를 대상으로 진행한 광범위한 인터뷰 결과를 바탕으로 했다. 응답자는 3개 대륙 13개국에 위치한 금융 서비스, 의료, 정부기관을 비롯한 18개 부문에 종사하고 있다.

이와 같은 보안 담당자와 기업 경영진의 ‘보안 위협’을 바라보는 관점의 차이는 가시성의 격차로 이어지며, 보안 방어 체계가 의도한 목표를 달성하지 못할 수 있는 것으로 분석됐다.

분석에 따르면, △기업에서 사용 중인 위협 인텔리전스의 품질에 만족한다는 응답자 비율은 96%였지만, △보안 기업 전체에 위협 인텔리전스를 효과적으로 적용하는 것이 가장 큰 과제 중 하나라고 언급한 응답자 비율은 47%에 그쳤다.

또한, △고위 경영진이 기업에 대한 사이버 위협을 과소평가한다고 생각하는 응답자 비율은 67%였으며, 이에 따라 △대부분 공격자에 대한 정보 없이 의사 결정을 내린다고 답한 응답자 비율도 79%였다. 반면에 보안 의사결정권자는 어떤 사이버 공격자가 기업을 표적으로 삼을 수 있는지 이해하는 것이 중요하다고 생각하는 응답자 비율은 96%에 달했다.

사이버 공격자에 대한 정보 획득, 응답자 96%가 ‘중요하다’
수많은 기업에서 각자 보안팀을 꾸려 대응하고 있지만, 사이버 공격에 대처하는 보안 담당자의 자신감, 공격자와 공격 전술, 기술 및 절차(TTP)에 대한 포괄적인 정보 없이 의사결정을 내리는 경향 사이에 전 세계적으로 큰 격차가 있었다. 또한, 보안 의사 결정권자의 96%는 기업을 표적으로 삼을 수 있는 사이버 공격자를 파악하는 것이 중요하다고 인식하고 있다.

▲보안 의사 결정권자로서 기업을 공격하려는 사이버 공격자를 파악하는 것이 중요하다고 생각하는 이유[자료=맨디언트]


‘보안 의사 결정권자로서 기업을 표적으로 삼고 있는 사이버 공격자의 파악이 왜 중요한가?’라는 질문에서 △56%는 ‘공격에 보다 적절히 대비하기 위해’ △55%는 ‘기업을 위협에서 보다 적절히 보호하기 위해’ △55%는 ‘사전 예방적 보안 전환을 위해’라고 답했다.

보안팀은 사이버 공격자에 대한 정보 획득의 중요성에 대해 거의 보편적으로 공감하고 있었다. 응답자의 96%는 위협 인텔리전스의 품질에 만족한다고 언급했지만, 79%는 고위 경영진이 기업을 표적으로 삼을 수 있는 공격자에 대한 인사이트 없이 사이버 공격에 대한 대부분의 의사 결정을 내린다고 말했다. 응답자의 35%는 조직이 다양한 위협 그룹과 TTP(Tactic, Technique, Procedure)에 대해 종합적으로 이해하고 있다고 답했다.

기업 내 사이버 보안 의사 결정권자의 67%는 고위 경영진이 여전히 기업에 가해지는 사이버 위협을 과소평가하고 있다고 믿고 있으며, 68%는 위협 환경에 대한 기업의 이해도를 높여야 한다는 데 동의했다.

이러한 우려에도 불구하고 의사 결정권자들 사이에서는 기업이 보안 위협을 억제할 수 있다는 데 대한 자신감이 높았다. 95%에 달하는 보안 실무자는 매우 효과적인 수준의 사이버 보안 프로그램을 보유 및 운영하고 있음을 고위 경영진에게 증명할 수 있다고 답했다.

▲국가 차원의 공격이 발생할 경우, 방어가 어려울 것 같다고 생각하는 국가[자료=맨디언트]


또한, 대부분의 보안 의사 결정권자는 기업이 금전 탈취 의도가 있는 공격자(91%) 또는 핵티비스트 공격자(89%), 국가 차원의 공격자(83%)로 인해 발생하는 심각한 사이버 보안 공격으로부터 스스로를 방어할 준비가 되어 있다고 확신하고 있었다.

특히, 국가 차원의 공격이 발생할 경우, 전 세계에서 주요 위협국으로 주목 받는 러시아와 중국, 북한, 이란 중 기업에서 완벽하게 방어할 수 없을 것이라고 생각하는 국가를 물었을 때(중복 응답) △러시아 57% △중국 53% △북한 52% △이란 44% 등으로 나타났다.

또한, 기업에서 위협 환경에 대한 이해를 개선해야 하는 것이 필요하다는 질문을 던졌다. 이에 대해서 △금융 서비스 보안 담당자는 79% △의료 분야 보안 담당자는 65% △정부·공공기관 담당자는 56%가 동의하는 것으로 조사됐다.

이번 조사에서 공격자에 대한 정보 부족의 심각성도 드러났다. 이는 보안 의사 결정권자와 기업 경영진 사이에 의사소통이 원활하게 이뤄지지 않아 발생했다. 응답자들은 이사회, 최고 경영진, 기타 고위 이해관계자 등 보안팀 이외 기업 내 주요 결정권자들과 함께 하는 사이버 보안 관련 논의는 평균 4~5주에 1회였다. 특히, 기업 투자자들과의 논의 빈도는 기업 내 주요 결정권자와의 논의보다 더 낮은 평균 7주당 1회꼴에 그쳤다.

보안 위협 인텔리전스, 최신 자료 기반해 빠른 전략 변환 필요
위협 인텔리전스의 중요성은 모두 잘 이해하고 있다. 대다수의 응답자가 중요하다고 생각하는 식별 대상은 △공격자 85% △공격자가 사용하는 도구 및 기술 88% △공격자의 공격 동기 87% 등으로 나타났다. 하지만, 상세한 위협 인텔리전스의 중요성에 대해 공감하고 있으면서도 보안팀은 이를 따르지 않는 것으로 확인됐다. 응답자의 34%만이 사이버 보안 방어 및 운영을 테스트할 때 항상 잠재적인 공격의 출처를 고려한다고 말했다.

보안팀은 또한 위협을 식별하고 조치를 취하는 데 필요한 시간을 할애하지 않는다. 응답자의 79%는 기업이 사이버 보안 내에서 중요한 동향을 식별하는 데 더 많은 시간과 에너지를 집중해야 한다고 답했다. 하지만, 98%에 달하는 거의 모든 응답자는 최신 위협 인텔리전스에 기반해 보다 빠르게 사이버 보안 전략을 바꿔 나가야 한다고 말했다.

실행 가능한 위협 인텔리전스를 더욱 많이 확보하기 위해 보안팀은 매일 방대한 양의 데이터를 처리해야 한다. 응답자의 84%는 직면한 경고 및 데이터의 수로 인해 위협이나 사고를 놓치지는 않을까 우려하고 있다. 끊임없이 밀려 들어오는 정보의 과부하는 직원의 복지에 영향을 미치고 있으며, 보안팀의 69% 이상은 업무 부담이 과하다는 것을 인식하고 있었다.

▲직면한 경고 및 데이터의 양으로 인해 조직에서 실제 위협 및 사고를 놓칠 수 있다는 우려 수준[자료=맨디언트]


특히, 북미 지역 보안 담당자는 위협 인텔리전스와 관련된 데이터 및 경고의 양 때문에 번아웃 될 위험이 가장 높은 것으로 나타났다. 또한, 정부·공공기관, 의료, 금융 서비스, 제조, 리테일 및 숙박업 등 5개 산업군에서 정부 응답자들이 가장 업무 부담이 과하다고 느끼고 있었다.

전 세계 거의 대부분의 기업에서 정보 과부하에 따른 업무 부담은 명확한 문제의 하나로 파악됐다. 하지만, 응답자의 47%는 기업 전체에 인텔리전스를 효과적으로 적용하는 것이 위협 인텔리전스를 사용할 때 직면하는 가장 과제 중 하나라고 답했으며, 38%는 이 정보를 가지고 취해할 조치를 파악하는 것도 또 다른 과제가 되고 있다고 덧붙였다.

▲처리해야 하는 데이터 및 경고의 양이 증가함에 따라 IT 보안 직원에게 가중되는 업무 부담[자료=맨디언트]


응답자의 53%는 사이버 보안 분야의 글로벌 인재 부족이 최신 트렌드의 파악과 대응역량에 위협이 된다고 느끼며, 42%는 끊임없이 진화하는 위협의 본질을 파악해야 한다고 꼬집었다.

보안팀은 수집한 위협 인텔리전스를 활용하고 운영하는 데 있어서는 다양한 어려움이 있지만, 다양한 출처에서 끊임없이 인텔리전스를 수집하고 있다. 이번 조사에서 파악한 정보의 출처로는 △ISACs(Information Sharing & Analysis Center, 정보 공유 분석 센터) 56% △내부 팀 54% △인텔리전스 제공자 44% △정부 프로그램·성명 39% △소셜 미디어 37% △미디어 헤드라인 35% 등(이상 중복응답)으로 조사됐다.

보안팀에서 수집한 정보는 해당 팀 내에서만 공유되는 것이 대부분이며, 기업 경영진을 포함한 타 부서에 광범위하게 공유되지는 않는 것으로 파악됐다. 응답자의 61%는 위협 인텔리전스를 IT팀과 공유해 인프라 및 애플리케이션 취약성을 해결하거나, IT 보안 리더와 공유해 보안 작업의 우선순위를 설정한다고 말했다. 그보다 훨씬 적은 38%의 보안 담당자들이 위험 인식을 위해 보안 팀 이외의 다른 일반 직원들과 인텔리전스를 공유하고 있다고 밝혔다.

사이버 위협 인텔리전스의 최대 효과를 내기 위한 노하우는?
사이버 위협 인텔리전스를 효과적으로 운용하고 투자 가치를 극대화하려면 크게 여섯 가지를 수행하는 것이 중요하다.

첫 번째로, ‘신뢰할 수 있고 시의적절하며 실행 가능한지 확인하기 위해 사용하는 데이터 평가’다. 신뢰할 수 있는 위협 인텔리전스의 구축은 보안의 기본이자 필수 요건이다.

두 번째로, ‘조직 및 산업에 특정한 실제 위협 이해’가 필요하다. 보안 담당자는 공격자, 공격 동기, 전술, 기술 및 절차(TTP)에 대해 명확하게 파악해 적절한 방어태세를 갖춰야 한다.

세 번째로, ‘이해관계자와의 소통’이다. 전술적·운영적·전략적인 인텔리전스를 고위 경영진과 이사회 등 적절한 이해관계자 그룹에 꾸준히 제공하고 소통하는 시스템으로 최적의 보안 및 비즈니스 결정을 내릴 수 있도록 해야 한다.

네 번째로, ‘정말 중요한 문제 해결을 위한 리소스 우선순위 설정’이 중요하다. 인텔리전스를 활용해 현재 기업에서 가장 집중적으로 대응해야 할 위협이 무엇인지 파악해야 한다. 취약성과 노출을 평가하고 위험 등급을 부여한 다음, 올바른 순서에 따라 문제를 해결해야 한다.

다섯 번째로, ‘방어 태세 점검’이다. 식별한 공격자의 일반적인 공격 전술에 대한 조직의 대응역량을 사전에 테스트할 필요가 있다. 사전 테스트를 통해 특정 해킹그룹에 대한 보호 상태를 검증하고 시간을 두고 프로그램의 개선과 업데이트를 진행해야 한다.

여섯 번째로, ‘조치 실행’이 필요하다. 기업 내 보안 시스템과 프로세스 전반에서 위협 인텔리전스를 적극적으로 활용해 잠재적인 위협에서 사전에 보호하고 대비하는 것이 최선의 길이다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
공급망 공격
다크웹 기반 랜섬웨어 조직
북한/중국/러시아 등 국가 지원 해킹그룹 활동
스마트폰을 노린 보안 위협
OT 타깃 공격
피싱 공격
기타(댓글로)