사이버보안 전문가들에게는 어려운 시기다. 악성코드의 주요 시간 지표인 ‘체류 시간(dwell time)’과 ‘공격 소요 시간(time to exploit, TTE)’이 급격히 짧아지고 있어, 방어자들이 위협을 찾아내고 무력화하기가 더 어려워지고 있다.
체류 시간과 공격 소요 시간이란?
두 지표는 어느 정도 관련이 있다. 먼저 악성코드 체류 시간이란 악성코드가 네트워크에 침입한 후 탐지되지 않고 남아있는 시간을 의미한다. 체류 시간 감소는 기업의 탐지 능력과 방어 태세가 개선되었음을 나타내지만, 역설적으로 공격자들이 침입 흔적을 더 교묘하게 숨기고 코드를 위장하기 위해 ‘LoTL(living off the land)’ 같은 기법에 익숙해지고 있다는 의미이기도 하다. 바라쿠다(Barracuda)의 토니 버지스에 따르면 체류 시간이 종료되는 경우는 크게 3가지다. 피해자가 침입을 발견하고 차단하는 경우, 공격자가 표적 데이터를 훔치는 경우, 공격자가 랜섬웨어 공격과 같은 페이로드를 작동시켜 자신의 존재를 드러내는 경우다.
다른 지표인 TTE는 취약점이 발견된 후 공격자가 실제로 공격을 시작하기까지 걸리는 시간으로, 공격자가 알려진 취약점을 얼마나 빨리 악용할 수 있는지를 보여준다. 기업이 취약점 경고에 신속하고 포괄적으로 대응하기 위해 패치 관리 역량을 강화해야 한다는 의미이기도 하다. 구글 맨디언트(Mandiant) 그룹 분석가들은 2018년 평균 TTE가 약 63일이었으나, 2023년에는 5일로 감소했다고 설명했다.
분석가들은 “코드 실행이나 권한 확대에 접근할 수 있는 취약점의 패치 주기가 길게 유지되는 한 위협 행위자들이 계속해서 취약점을 식별하고 악용할 것”이라고 말했다.
공격 소요 시간(TTE)의 변화
공격자들이 랜섬웨어 활동에서 몸값을 요구하기보다 먼저 데이터를 탈취하는 방향으로 전환하면서, 공격이 이뤄지는 시간 간격이 빠르게 줄어들고 있다.
헌트리스(Huntress) 사이버 보고서에 따르면 TTE(또는 TTR(time-to-ransom))가 일부 랜섬웨어 그룹에서 몇 시간 수준으로 줄어들고 있다. 공격자 그룹 대다수의 TTE는 44시간 미만이었으며, 일부는 4시간 내에 코드를 악용했다. 전체적으로 연구된 모든 랜섬웨어 활동의 평균 TTE는 약 17시간이었다.
TTE는 공격자 그룹의 선호 방식에 따라 달라지는 것으로 나타났다. 라드웨어(Radware)의 연구진은 “일부 그룹은 ‘빠른 침입 후 탈출’ 기법을 선호하는 반면, 다른 그룹은 ‘느리고 조용한’ 침입을 우선시한다”라고 말했다. 라드웨어 2025년 위협 보고서에 따르면, 특히 후자는 지난 한 해 동안 DDoS 공격에서 약 38% 증가한 것으로 나타났다. 연구진은 “매우 느린 트래픽의 작은 스트림을 전송하기 때문에 탐지 및 방어가 어렵다”라고 설명했다.
팔로알토 네트웍스(Palo Alto Networks)의 최근 유닛42(Unit42) 사고 보고서에서도 위협 시간 간격이 줄어들고 있는 것으로 조사됐다. 보고서는 데이터 도난의 약 4분의 1이 악성코드가 네트워크에 처음 진입한 시점부터 5시간 이내에 발생한다고 밝혔다. 이는 2021년보다 3배 빠른 속도다. 팔로알토 네트웍스는 공격자들이 AI 도구를 사용하게 되면 시간을 더 단축할 것으로 예측했다. 하지만 현재 기업이 사용하는 탐지 도구가 다양하기 때문에 정보 공유가 부족하고 보고 체계가 분산돼 악성코드를 신속히 포착하기 어려운 상황이라고 덧붙였다.
체류 시간의 변화
TTE뿐만 아니라 체류 시간도 감소하고 있다. 지난해 시큐어웍스(Secureworks)의 보고서에 따르면 일부 랜섬웨어 그룹의 체류 시간은 7시간으로 짧아졌으며, 연구된 전체 침입에서 10분의 1은 초기 접근 권한 획득 후 5시간 이내로 체류 시간을 줄였다.
크라우드스트라이크(CrowdStrike)에 따르면, 공격자가 네트워크 내에서 횡적 이동하는 데 걸리는 시간인 ‘브레이크아웃 타임(breakout time)’이 지난해 평균 48분으로 사상 최저치를 기록했다. 관찰된 가장 빠른 브레이크아웃 타임은 51초였다. 이는 침입이 확산되기 전에 식별하고 중단하기 위해 사이버팀이 더 나은 실시간 위협 탐지와 견고한 ID 및 접근 제어 체계를 구축해야 한다는 의미다. 크라우드스트라이크 연구진은 컬리 스파이더(Curly Spider)라고 불리는 한 악성코드 그룹이 초기 피싱 상호 작용에서 지속적인 네트워크 백도어 구축까지 4분도 채 걸리지 않았다고 언급하면서, “이 악성코드는 피해자가 무슨 일이 일어나고 있는지 깨닫기도 전에 장기 접근 권한을 확보해 단 몇 초 만에 네트워크를 손상시킬 수 있다”라고 말했다.
바라쿠다의 버지스는 공격자들이 이제 더 서두르고 있으며 최대한 빠르게 데이터를 탈취하고 있는 것으로 추측했다. 그는 방어자들이 악성코드 탐지 후 신속하게 대응할 역량을 갖춰야 한다는 의미라면서, 보안 사일로를 허물고 팀 간 협력과 도구 통합을 강화해야 한다는 개념을 다시 한번 강조해야 할 때라고 말했다.
사이버보안 팀의 역할
베라코드(Veracode)는 2025년 소프트웨어 보안 현황 보고서에서 방어자들이 모든 위험을 한 곳에 모으고 조직에 가장 중요한 문제에 집중할 것을 권장했다. 연구진은 “무엇이 악용 및 도달 가능하며, 무엇이 긴급한지 확인할 방법이 필요하다. 이는 우선순위를 정하는 데 도움이 된다”라고 설명했다.
다만 이를 실제로 구현하기는 쉽지 않다. 다른 분석가들은 팀 간 협력을 어렵게 만드는 복잡한 요소에 대해 언급했다. 클라우드 보안 벤더인 탐눈(Tamnoon)은 CNAPP(클라우드 네이티브 응용 프로그램 보호 플랫폼) 도구들이 위협의 심각성을 각기 다르게 분류해 서로 상충하는 경우가 많다고 언급했다. 가령 한 도구는 잠재적 문제를 ‘정보성’으로 분류했지만, 다른 도구에서는 중대한 위협으로 표시한 사례도 있었다. 탐눈 보고서 저자들은 “기업들이 수백, 수천 개의 중대한 경고를 동시에 관리하려 하고 있다. 많은 양의 경고를 관리하다 보면 우선순위를 정하기 어려워지며, 중대한 경고가 몇 달 동안 미해결 상태로 남는 경우가 생긴다”라고 지적했다.
또한 소프트웨어가 복잡해지고 분석가들이 코드를 스캔하고 결함을 찾아 수정하는 데 어려움을 겪고 있다는 점도 해결 시간이 길어지는 원인이다. 베라코드 보고서에 따르면 소프트웨어 결함 수정 시간이 2020년 이후 47% 증가했으며, 심각한 결함이 있는 앱의 비율이 같은 기간 동안 거의 3배 증가했다. 저자들은 “결함을 찾기는 쉽지만, 수정하기는 어렵다”라고 언급했다.
코드 스캔 도구 벤더가 제시하는 한 가지 해결책은 애플리케이션 테스트 및 스캔을 더 자주 수행하고 보안 교육을 더 철저하게 실시하는 것이다. 또 다른 방법은 개발자들이 코드를 개선하고 결함을 발견할 수 있도록 전반적인 보안 부채를 찾아 제거하는 것이다.
보안 기업이 제시한 방법은 대체로 유사하다. 방어자들이 보안 수준을 높이고 신속하게 행동해야 한다는 것이다. 시간이 핵심이다.
[email protected]
Read More from This Article: 빠르게 감소 중인 공격 소요 시간··· 사이버보안 팀의 대처 방법은?
Source: News