Home > 전체기사
공격자들의 체류 시간은 줄어들지만, 하이브리드 환경은 계속 위험
| 입력 : 2022-04-20 16:15
좋은 소식이다. 탐지 기술이 점점 좋아지고 있어 공격자들이 네트워크에 숨어 있을 수 있는 시간이 계속 줄어들고 있다. 하지만 클라우드와 온프레미스를 아우르는 하이브리드 환경에는 실수로 만들어진 구멍들이 여전히 너무 많다.
[보안뉴스 문가용 기자] 공격자들이 들키지 않고 피해자의 네트워크에 머무는 시간이 4년 연속 줄어들고 있다. 2020년는 평균 24일이었는데 2021년에는 21일로 기록된 것이다. 이와 관련된 상세 보고서를 보안 업체 맨디언트(Mandiant)가 발표했다.
[이미지 = utoimage]
맨디언트는 기업들이 위험한 공격을 빨리 탐지하고 있다며 “랜섬웨어를 탐지하는 데 걸리는 시간은 평균 5일”이라고 밝혔다. 랜섬웨어 외의 위협들은 2021년 한 해 동안 평균 36일을 들키지 않고 네트워크 내에 숨어 있을 수 있었는데, 2020년의 평균 수치는 45일이었다.
맨디언트의 수석 국장인 스티븐 스톤(Steven Stone)은 “탐지 부분에서 나아지고 있는 이유는 보다 많은 기업들이 사이버 보안 업체와 협력 체계를 꾸리고 있기 때문”이라고 보고 있다. “또 미국에서는 정부 기관들이 사이버 공격을 당하고 있는 사기업들에 그러한 사실을 적극 고지하는 편입니다. 이 역시 탐지 시간을 줄이는 데 크게 도움이 됩니다.”
10년 전과 비교하면 기업들의 탐지 실력은 가히 일취월장 했다고 해도 될 수준이다. 2011년 탐지에 걸리는 평균 시간은 무려 418일이었다. 2021년에는 이것이 21일로 줄었으니 10년 만에 무려 20배 이상 좋아진 것이라고 볼 수 있다.
지역별로 봤을 때 아태 지역의 기업들을 침투한 공격자들의 ‘체류 시간’은 2020년 76일에서 2021년 21일로 크게 줄었고, 유럽 기업들의 경우에는 66일에서 48일로 줄었다. 북미 지역 기업들의 경우 2020년이나 2021년이나 모두 17일로 조사됐다.
공격자들이 좋아하는 코발트 스트라이크
공격자들이 가장 즐겨 사용하는 해킹 도구는 코발트 스트라이크(Cobalt Strike)의 비컨(Beacon)이라는 백도어인 것으로 조사됐다. 탐지된 모든 멀웨어 패밀리의 28%를 차지했다. 코발트 스트라이크는 원래 모의 해킹에 사용되는 합법적 도구인데, 공격자들 사이에서 인기가 매우 높다. 그 외에 자주 발견되는 해킹 도구들에는 선버스트(Sunburst)와 메타스플로잇(Metasploit), 시스템BC(SystemBC) 등이 있었다.
최초 침투를 위해 공격자들이 가장 많이 사용하는 기법은 크게 두 가지로, 취약점 익스플로잇과 공급망 공격이었다. 이 두 가지가 모든 최초 침투 기법의 54%를 차지한 것으로 나타났다. 2020년만 하더라도 30% 미만을 차지하던 전략이었다. 맨디언트의 서비스 관리 부문 부회장인 유르겐 쿠셔(Jurgen Kutscher)는 “침투 전략의 변화에 대해서는 모든 기업들이 알고 있을 필요가 있다”고 강조한다.
“취약점 익스플로잇이 계속해서 주요 전략으로 남아 있다는 건, 기업들이 취약점을 찾아내 패치하는 걸 주요 방어 전략으로 삼아야 한다는 뜻이 되겠죠. 또한 소프트웨어 공급망 관리나 오픈소스 관리 역시 요 근래 반드시 필요한 보안 전략이고요. 이렇듯 통계로 나오는 결과에 따라 보안 전략을 수정함으로써 효율적으로 사이버 공격에 대비할 수 있게 됩니다.”
액티브 디렉토리, 공격자들의 주요 표적
또 하나 눈에 띄는 트렌드가 있다면, 공격자들이 하이브리드 액티브 디렉토리를 자주 공격하고 있다는 것이다. 사용자들이 설정 오류를 자주 내기 때문이라고 맨디언트는 설명한다. “하이브리드 액티브 디렉토리는 온프레미스 액티브 디렉토리와 클라우드 액티브 디렉토리 모두를 아우르는 서비스입니다. 이 때문에 두 요소 사이에 ‘싱크’가 맞아야 하는데, 이 부분에서 설정 실수가 이따금씩 나타난다는 것이 쿠셔의 설명이다.
맨디언트의 글로벌 레드 팀 총괄인 에반 페나(Evan Pena)는 “기업들은 하이브리드 액티브 디렉토리 서버들을 가장 민감한 자산으로 취급할 필요가 있다”고 강조한다. “정말 꼭 필요한 경우에만 높은 권한을 갖춘 워크스테이션을 통해서만 접근 가능하도록 만들어야 합니다. 일반 업무 망에서는 분리시켜놓고 말이죠. 그러고도 지속적인 모니터링을 해야 합니다. 익스플로잇을 최대한 어렵게 만들어야 한다는 뜻입니다.”
다행인 점은 하이브리드 액티브 디렉토리 서버를 안전하게 보호하는 것이 그리 어렵지는 않다는 것이다. “주기적인 취약점 및 설정 오류 점검, 하이브리드 액티브 디렉토리 생태계의 공격 유행 파악과 그에 맞는 방어 조치 수립, 애플리케이션 화이트리스팅, 매크로 비활성화 등입니다. 주기적인 취약점 평가로 구멍을 막고, 사용 가능한 애플리케이션을 지정하고, 매크로를 사용하지 못하도록 막기만 해도 위험이 크게 줄어듭니다.” 페나의 설명이다.
“클라우드와 온프레미스 모두를 아우르는 하이브리드 구조는 현대 기업 환경에서 굉장히 흔한 것이 되었고, 양쪽을 이어주는 것이다 보니 권한도 높은 경우가 많죠. 그러니 공격자들이 자주 공략하는 포인트가 되고 있는 것이고요. 그런 상황을 이해하면서 액티브 디렉토리 보호 전략을 구성하고 실행에 옮길 필요가 있습니다.”
3줄 요약
1. 사이버 공격자들이 몰래 숨어 있는 기간은 계속해서 줄어들고 있음.
2. 공격자들은 취약점을 익스플로잇 하거나 공급망 공격이라는 전략을 선호함.
3. 하이브리드 액티브 디렉토리가 잦은 공격에 노출되고 있는 상황임.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
