현재 최초 탐지에 걸리는 평균 시간은 101일
1시간 내 대응할 수 있는 기업은 1/3도 되지 않아

[보안뉴스 문가용 기자] 지난 7년 동안 사이버 보안 업계는 해커들의 공격 행위를 파악하는 시간을 줄이는 데 집중해왔다. 그리고 실제로 네 배나 줄이는 데 성공했다. 그러나 아직도 부족하다. 특히 최초 공격이 발생한 시점과 최초 발견 시점 사이의 시간은 충분히 단축되지 못했다. 그 증거가 계속해서 발생하고 있는 데이터 유출 사고들이다.


최근 보안 산업 내에서 데이터 유출 사고와 관련된 다양한 보고서들이 나오기 시작했다. 수치들이 조금씩 다르긴 하지만 큰 맥락에서는 같은 결론이다. 사건을 탐지하는 속도가 지금보다 훨씬 빨라야 한다는 것이다. 진정한 차이를 만들고 싶다면 지금보다 적어도 100배는 빨라야 한다는 보고서도 있었다.

먼저 들여다보고 싶은 보고서는 파이어아이(FireEye)가 발행한 2018 M-Trends다. 이 보고서에 의하면 공격자들의 ‘체류 시간(dwell time)’은 평균 101일이었다고 한다. 최초의 공격이 발생하고서 이를 발견할 때까지 평균 101일이 걸린다는 것이다. 작년에 비해서도 이틀이나 올라간 수치다. 그러나 크게 보면 그리 나쁜 성적은 아니다. 2011년에는 평균 체류 시간이 416시간이었던 것이다.

긍정적인 부분은 하나 더 있다. 내부에서 자체적으로 사고를 탐지 및 발견한 것이 전체 사고의 62%를 차지한다는 것이다. 서드파티나 외부자가 발견했던 것보다 내부에서의 발견이 더 많다는 건, 조직들의 보안 능력이 강화되었다는 뜻이라고 파이어아이는 해석한다.

그렇지만 전체 전황은 암울하기만 하다. 어제 버라이즌이 발표한 데이터 유출 수사 보고서(DBIR)에 의하면 공격자들이 표적을 정해 침해에 성공한 이후부터 데이터가 실제적으로 유출되기 시작할 때까지 걸리는 시간은, 피해 기업이 공격이 일어나고 있음을 발견할 때까지 걸리는 시간에 비해 터무니없이 짧기 때문이다.

DBIR의 한 부분을 인용하면 다음과 같다. “침해와 유출까지의 시간은 계속해서 짧아지고 있습니다. 물론 공격자들이 최초 공격 이전에 첩보를 수집하고 여러 준비를 하는 데 걸리는 시간까지 정확히 파악하기는 힘듭니다. 하지만 최초의 공격 행위로부터 피해자의 자산에 실제적인 피해가 발생하기까지 걸리는 시간은 수초 내지 수분 단위로 측정됩니다.”

탐지에 걸리는 평균 시간이 일(day) 단위로 계산되는데, 피해가 발생하기까지는 수초에서 수분으로 충분하다고 하니 ‘더 짧아져야 한다’는 채찍질 같은 보고서의 결론들이 이해가 간다. DBIR에 의하면 침해 사고의 87%가 불과 수분 만에 발생했다고 하고, 이 중 비슷한 수준으로 빠르게 탐지해낸 경우는 3%에 불과하다고 한다.

IT 및 보안 책임자들 대부분은 이처럼 커다란 ‘괴리’에 대해 인지하고 있다. 어제 보안 업체 로그리듬(LogRhythm)이 발표한 보고서에 의하면 IT 관련 책임자들 사이에서 보안과 관련된 자신감이 크게 결여되어 있다고 한다. 특히 유출 사고를 현재 시스템을 가지고 막을 수 있다고 생각하는 이들은 절반도 되지 않았다(40%).

정말 큰 문제는 탐지는 보안 사고 대처의 첫 번째 단계일뿐이라는 것이다. 발견에 걸리는 시간도 중요하지만, 실제 대응에 걸리는 시간도 중요하다. 로그리듬의 보고서에 의하면 탐지 후 1시간 이내에 공격 확산을 막을 수 있는 기업은 1/3도 되지 않는 것으로 나타났다. 포네몬(Ponemon)이 올해 초 실시한 연구 결과도 비슷하다. 해당 보고서에 의하면 사건에 대응하고 해결하는 데 걸리는 평균 시간은 해가 갈수록 늘어나고 있다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>