• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

공격자와 방어자 모두에게 가장 중요한 자원, 시간 2017.06.05

탐지와 사건 대응에 걸리는 시간 줄이면 최대 70% 피해 감소
사업 방해 공격은 장기화 되면 피해 극심...정보 유출은 순간적 피해 엄청나

[보안뉴스 문가용 기자] 공격자의 침해 시기와 피해자의 탐지 시기의 중앙값은 38일이다. 38일 정도 공격자가 피해자의 시스템 안에 머무른다는 뜻인데, 이 기간 동안 공격자들은 자기가 원하는 바를 충분히 이룰 수 있다. 사건 대응이 빠르면 빠를수록 이 기간이 줄어들고, 업체들은 피해를 70%까지 줄일 수 있다고 한다.

[이미지 = iclickart]


보안 전문업체인 맥아피(McAfee)가 리서치 전문업체인 애버딘 그룹(Aberdeen Group)과 함께 연구를 실시해 발간한 보고서 ‘사이버 보안 : 방어자에겐 시간과의 싸움(Cyber Security : For Defernders, It’s About Time)’에 따르면 – 제목부터 - 사이버 범죄로부터 피해를 최소화하기 위해선 ‘시간’이라는 요소에 집중해야 한다고 한다. 보고서를 작성하기 위해 연구원들은 2014~2016년 동안 발생한 침해 사고 1300건을 분석했다.

특히 이번 연구에서 집중한 것은 업체들의 사건 대응 시간이었다. 정보 유출이 성공적으로 발생한 경우, 절반의 업체들이 ‘탐지’에 걸리는 시간은 5~6주나 그 미만인 것으로 밝혀졌다. 나머지 절반의 경우, 길게는 4년까지도 걸렸다. 복구가 아니라 탐지에만 말이다. “절반은 38일 이내에 뭔가 조치를 취했다는 건데, 이는 상당히 긍정적인 결과입니다.” 맥아피의 마케팅 책임자인 바바라 케이(Barbara Kay)의 설명이다. “물론 더 발전해갈 여지도 있지만, 지금 그 상태로도 그리 나쁜 게 아니라고 보입니다.”

하지만 “4년까지 침해 사실을 탐지하지도 못했다는 건 심각한 보안 문제이기도 하지만, 그만큼 물밑에서 장기적으로 일어나는 일들이 존재한다는 뜻도 됩니다. 가능한 오래 머무르며 기업을 갉아먹겠다는 의도를 가진 누군가가 있다는 것입니다.” 케이는 “오래 머무르는 데에 성공한 범죄 단체일수록 실력이 좋은 자들”이라고 설명한다. “또한 그만큼 집요하다는 뜻도 되기 때문에, 기업에 대한 복수심이나 안 좋은 감정이 꽤나 높이 쌓여 있다고 볼 수 있죠.”

애버딘 그룹의 부회장인 데렉 브링크(Derek Brink)는 “현대 사회에서 발견되는 취약점과 익스플로잇의 양을 봤을 때, 데이터 보호를 목적으로 하는 사람들은 ‘시간’을 최대한 아낄 수 있는 전략을 짜는 것이 중요하다는 결론은 너무나 당연하다”고 추가로 설명한다. “그런데 공격자가 누구인지, 어떤 경로로 들어왔는지, 책임을 누가 져야 하는지 등 부가적인 것에 더 신경들을 쓰는 게 보통이죠.”

이번 연구에서 맥아피와 애버딘은 ‘사이버 공격의 유형’과 ‘데이터의 유형’에 따라 다르긴 하지만 탐지와 사건 대응 시간을 줄여줌으로써 피해를 70%까지 줄일 수 있다는 것을 발견했다. 연구원들이 이번 조사를 위해 나눈 사이버 공격의 유형은 크게 두 개로 1) 사업 운영 방해와 2) 정보 유출이다.

사업 운영 방해를 위한 공격의 경우 직접적인 공격 목표는 네트워크와 네트워크에 기반을 둔 서비스들이다. 이 유형의 공격이 ‘침입 당시’의 순간 피해량은 그리 크지 않은데, 공격 시간이 길어지면 길어질수록 기하급수적으로 늘어난다. 즉, 탐지와 사건 대응 시간을 줄이면 줄일수록 피해가 더 많이 줄어든다는 것이다.

정보 유출 공격의 경우 최초 공격이 일어난 순간의 피해량이 가장 크다. 하지만 시간이 지날수록 빠르게 줄어든다. 즉 침투에 성공한 공격자들이 빠르게 하고 싶은 일을 하고 빠져나가는 패턴을 보인다는 것이다. 이 경우 탐지와 복구 시간을 줄이는 게 그다지 큰 도움이 되지 못해, 약 30%의 피해 감소 효과를 기대할 수 있다.

그렇다면 현재 기업들이 이 시간들을 줄여나가는 데에 방해가 되는 요소는 무엇일까? 공개되는 취약점의 수가 지나치게 많다는 것이다. “더 정확히 말하자면, 특정 취약점이 공개되는 시점에는 이미 다양한 버전의 익스플로잇이 등장한 때입니다. 80%의 경우가 그래요. 그런데 같은 취약점이 패치되는 경우는 70%에 불과합니다. 그나마 이 패치라는 것도 완전하지 않을 때가 많고요.”

패치를 만들고 적용하는 데에도 돈과 시간이 필요한데, 취약점과 익스플로잇이 이렇게나 전방위적으로 다량으로 등장하면 기업이 쫓아갈 수 없는 게 당연하다. “패치로만 모든 걸 대응할 수 있으리라고 기대할 수 없습니다. 패치가 다 안 될 때도 대비한 방어 전략이 필요합니다. 그리고 그 전략의 초점은 시간을 최소화하는 것이어야 하고요. 공격이 이뤄지느냐 안 이뤄지느냐는 더 이상 보안의 중심 주제가 아니에요. ‘시간’이 공격자와 우리 사이의 공통 현안입니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>