파운드리의 2024년 보안 우선순위 연구에 따르면 보안 책임자의 3분의 1이 지난 12개월 동안 발생한 데이터 보안 사고의 원인을 파악하지 못한 것으로 나타났다. 또한 기업의 4분의 3이 보안 기술 스택을 이해하기가 점점 더 복잡해지고 있다고 응답했다. 침해 사고 이후 운영 개선 과정에서 보안팀이 직면한 과제를 보여주는 주요 통계다.
보안 침해 사고의 원인 파악이 어려워지는 데에는 복합적인 요인이 있다.
먼저 침해 발생 여부를 파악하는 일 자체가 여전히 시급한 과제다. IBM 보고서에 따르면 기업이 침해 사고를 파악하기까지는 평균 207일이 걸린다. 또한 침해 사고를 해결하는 데 추가로 70일이 소요된다. 결과적으로 초기 침해 이후 최소 9개월이 지나야 근본 원인 분석이 가능하다는 의미다. 조직이 원인을 정확히 파악하고 보안 사고로부터 교훈을 얻기가 매우 어려운 실정이다.
또한 공격자들이 탐지를 피하는 데 점점 더 능숙해지고 있다는 점도 보안 사고의 원인 파악을 늦추는 요소다.
소세이프(SoSafe)의 CSO 앤드류 로즈는 “오늘날의 공격은 주로 AI에 기반해 은밀히 진행된다. 초기 단계에서 침해를 감지하기가 매우 어렵다. 또한 많은 조직에 재정 문제와 숙련된 사이버보안 전문가 부족이 겹쳐 위협을 신속히 식별, 조사, 추적할 자원이 부족한 상황이다”라고 진단했다.
이런 문제는 보안을 고려하지 않고 설계된 원격 근무 환경과 IoT 기기로 인해 더 심화되고 있다. 이는 공격자가 쉽게 악용할 수 있는 보안 취약점을 남긴다. 현업 보안 전문가들이 언급한 침해 탐지의 주요 과제는 다음과 같다.
탐지 및 모니터링 시스템 부재
침해 사고의 근본 원인을 찾으려면 강력한 모니터링과 포렌식 역량이 필요하다. 이를 위해 보안 운영을 외부에 맡기는 경우가 늘고 있다. 이 경우 보안 업체의 비즈니스 이해 부족이 문제가 될 수 있다.
노비4(KnowBe4)의 CISO 브라이언 잭은 조사한 침해 사고에서 특정 패턴이 반복적으로 나타난다고 언급했다. 그는 “보안 운영 센터(SOC) 기능을 대부분 외부 업체에 위탁한 뒤, 업체가 의심스러운 이벤트를 고객에게 알리지 않아 침해 사고가 오랫동안 발견되지 않은 사례를 여러 번 목격했다”라고 말했다.
그는 “서드파티 SOC는 종종 기술력이 아니라 이해도가 부족해 조사가 필요한 경고 알림을 판단하지 못할 수 있다. SOC가 제대로 작동하려면 기업의 비즈니스 특성, 주요 담당자 현황, 진행 중인 조직 변화 등을 잘 이해하고 있어야 한다”라고 설명했다.
부실한 사고 대응 계획
사고 대응 계획을 미리 수립해 두면 침해 사고가 발생했을 때 효과적으로 원인을 조사하고 파악할 수 있다.
데이지 코퍼레이트 서비스(Daisy Corporate Services)의 보안 전략 컨설턴트 폴 맥래치는 “사이버 침해는 ‘만약’이 아니라 ‘언제’의 문제다. 조직은 미리 사고 대응 계획을 수립하고 대비해야 한다”라고 말했다.
사이버 사고 대응의 핵심은 조직 내 보안 이벤트와 사고를 신속하게 감지하고 그 범위와 영향을 정확히 파악한 뒤, 효과적인 대응과 복구 조치를 취하는 것이다. 또한 대응 계획에는 사후 분석과 교훈 도출까지 포함돼야 한다. 그래야 침해 사고의 근본 원인을 정확히 파악하고 같은 실수를 반복하지 않을 수 있다.
사고 원인 파악과 향후 문제 예방이 중요한 이유는 제대로 된 교훈을 얻지 못하면 또다시 같은 문제가 반복될 수 있기 때문이다.
맥래치는 “계획이 부실하거나 절차를 제대로 따르지 않으면 문제가 발생한다. 많은 조직이 시스템 복구에만 급급해 사고 대응 계획의 마지막 단계를 건너뛴다”라고 지적했다. 그는 “이로 인해 침해 사고의 근본 원인을 제대로 분석하지 못하거나, 심지어 중요한 증거가 실수로 훼손될 수 있다”라고 말했다.
노비4의 잭도 장기적 관점에서 철저한 분석이 중요하다는 데 동의했다. 그는 “가능한 한 많은 자산에 대한 로그 가시성을 확보하는 것이 좋다. 로그를 장기간 보관하는 데는 비용이 많이 들 수 있지만, 주요 침해 사고를 조기에 발견하고 철저히 조사하기 위해 반드시 필요하다”라고 조언했다.
예산 제약
보안 예산이 빠듯한 상황에서 많은 기업이 침해 사고 원인을 추적하는 데 필요한 자원에 투자하지 못하고 있다.
체크포인트 소프트웨어(Check Point Software)의 공공부문 책임자 그레임 스튜어트는 “제한된 인재와 절차상 문제로 침해 탐지가 더 어려워지고 있다. 예산과 인재가 부족한 상황에서는 시스템을 다시 온라인 상태로 만드는 작업이 최우선이 된다. 결국 화재를 진압하고 뒤처리를 하느라 원인 파악은 맨 마지막으로 미뤄진다”라고 말했다.
제한된 예산은 인재 부족, 원인 분석 역량 제한, 미흡한 포렌식 기능 등의 문제도 초래하고 있다.
온시큐리티의 공동 설립자이자 CEO인 사이버 보안 전문가 코너 오닐은 특히 중소기업이 문제를 신속히 식별하는 데 어려움을 겪는다고 언급했다. 오닐은 “중소기업은 대기업보다 사이버 공격에 더 취약하다. 제한된 예산, 자체 보안 기능의 부재, 데이터 침해를 처리하고 예방할 훈련된 인재 부족 때문이다. 이런 요소는 데이터 침해를 식별하는 데 중요하지만 중소기업에서 모두 갖추기가 어려운 실정이다”라고 말했다.
정교해지고 은밀해지는 공격
래피드7(Rapid7)의 수석 과학자 라지 사마니는 공격이 더 정교해지면서 문제의 원인 파악이 어려워진다고 언급했다. 그는 “많은 위협 그룹이 흔적을 감추려고 하기에 조사가 까다롭다. 하지만 이는 침해 원인을 파악하기 어려운 여러 이유 중 하나일 뿐이다”라고 말했다.
사마니는 “기술이 조사에 유용하기는 하지만, 현실에서는 과거 사고를 철저히 분석할 시간적 여유가 없다. 새로운 보안 위협에 대응해야 하거나 시스템을 빨리 복구해야 한다는 압박 때문에 과거 사고의 상세 분석은 뒷전으로 밀리는 경우가 많다”라고 설명했다.
많은 침해 사고가 발생 후 오랜 시간이 지나서야 발견된다. 이런 지연은 근본 원인 파악을 어렵게 하는 요소다. 시간이 지날수록 데이터가 수정, 덮어쓰기, 삭제되면서 컴퓨터 포렌식 능력이 저하되고, 결과적으로 공격자에게 유리해진다.
스펙트럼 서치의 CTO 피터 우드는 “해커는 항상 일반 네트워크 트래픽에 섞일 새로운 방법을 찾는다. 최고의 탐지 시스템조차도 위협과 끝없는 ‘두더지 잡기’ 게임을 해야 한다. 시스템이 의심스러운 활동을 감지하더라도 정확한 시작점을 파악하는 문제는 완전히 다른 영역이다”라고 말했다.
이머시브랩스의 기술 제품 관리 이사인 데이비드 스펜서는 공격자들이 탐지를 회피하고 시스템을 횡적으로 이동하며 일반 네트워크 활동에 섞여들기 위해 합법적인 사용자 자격 증명을 도용하는 경우가 증가하고 있다고 언급했다.
스펜서는 “대부분의 공격이 일반 텍스트 파일, 비밀번호 관리자, 메모리 덤프에서 자격 증명을 탈취하는 방식으로 이뤄지기 때문에 공격자와 피해자를 구분하기가 거의 불가능하다. 모래 사장에서 바늘 찾기 같다”라고 설명했다.
지나치게 복잡하고 단절된 보안 스택
보안 기술 스택의 복잡성 증가도 점점 더 문제가 되고 있다.
미국 법률회사 바게스서머셋(Varghese Summersett)의 설립자이자 대표 파트너인 벤슨 바게스는 “많은 기업이 서로 통합되지 않은 여러 시스템, 애플리케이션, 도구를 사용한다”라고 언급했다. 마치 전체 조각이 없는 상태에서 퍼즐을 맞추는 것처럼, 시스템이 서로 통합되지 않으면 침해 발생 위치를 파악하기 어렵다고 그는 설명했다.
바게스는 “고객 중에 구식이거나 서로 통신이 안 되는 여러 보안 솔루션을 혼용하는 경우가 있었다. 모니터링 시스템이 보안 인프라와 제대로 연계되지 않아 침해 사고가 수개월 동안 발견되지 않았다”라며 “사고 여부를 파악했을 때는 이미 흔적이 사라진 후였다”라고 말했다.
또한 많은 기업이 포괄적인 로깅 기능이 부족한 구식 시스템에 의존하는 기술 부채를 안고 있어 사고를 상세히 추적하고 분석하는 데 어려움을 겪는다.
로그포인트(Logpoint)의 수석 보안 연구원 케넷 하프쇠는 “주요 문제는 탐지와 모니터링인데, 이는 점점 더 복잡해지는 보안 기술 스택으로 인해 악화되고 있다. 도구 간 통합이 제대로 이뤄지지 않으면 중요한 침해 지표를 놓치거나 늦게 발견할 수 있다. 보안팀은 방대한 양의 데이터에 압도되어 오탐 속에서 실제 위협 신호를 놓치기 쉽다”라고 설명했다.
런던 메트로폴리탄대학교의 수석 애플리케이션 분석가 벤 자렛은 “보안 정보 및 이벤트 관리(SIEM) 시스템과 확장 탐지 및 대응(XDR) 플랫폼이 도움이 될 수 있지만, 효과적으로 작동하려면 적절한 조정, 정기적인 업데이트, 숙련된 관리가 필요하다”라고 조언했다.
트렌드마이크로(Trend Micro)의 보안 운영 및 위협 인텔리전스 책임자 루이스 듀크는 보안 기술 스택의 통합이 유용할 수 있다고 언급했다. 그는 “통합 및 연계된 도구를 활용하면 조사에 필요한 실제 맥락을 제공해 운영 부담을 줄인다. 이를 통해 조직은 준비 태세를 강화할 수 있다. 이것이 바로 업계가 더 빠르고 효과적으로 사고에 대응하게 하는 플랫폼 기반 보안 전략으로 전환하는 이유다. 기술 스택을 운영하는 데 필요한 비용과 기술 측면에서도 분명한 이점이 있다”라고 말했다.
경고 피로
보안 모니터링 시스템은 매일 수백만 건의 경고를 생성한다. 이로 인해 SOC가 악의적인 행위를 식별하기가 더 까다로워지고 있다.
많은 보안 시스템이 생성하는 대량의 오탐 경고로 인해 실제 위협 신호를 찾기가 매우 힘든 상황이다. 로그포인트의 하프쇠는 “보안 분석가들이 경고의 홍수에 시달리고 있다. 이런 상황에서 실제 위협을 분리하고 근본 원인을 파악하기란 쉽지 않다”라고 말했다.
이 문제를 궁극적으로 해결하려면 탐지 도구의 통합 수준을 높이고, 경고의 우선순위를 보다 효과적으로 설정하며 모든 자산을 종합적으로 파악할 수 있는 체계를 전략적으로 구축해야 한다.
보안 전략을 저해하는 기업 문화
일부 조직에서는 사이버 보안을 기업 문화의 핵심 요소로 충분히 인식하지 못한다. 이는 보안 사고의 근본 원인을 파악하기 까다롭게 만드는 요인이다.
런던 메트로폴리탄 대학교의 자렛은 “많은 기업이 보안의 중요성을 인식하고는 있지만, 선제적인 보안 의식을 조성하기보다는 최소한의 기준을 맞추기 위한 사이버 보안 도구에 투자하고 규제 준수에 집중하고 있다”라고 말했다.
옥타(Okta)의 EMEA(유럽/중동/아프리카) 지역 CSO인 스티븐 맥더미드는 보안 리더가 개방적이고 대응력 높은 기업 보안 문화를 조성하는 데 앞장서야 한다고 조언했다.
그는 “보안 리더는 구성원들이 위협 요소와 잠재적 리스크를 적극적으로 보고하도록 독려해야 한다. 직원들이 문제 제기를 꺼리거나 혼자서 해결하려고 하면 대응이 늦어질 수 있다”라고 말했다.
실천 계획
기업은 사이버보안 대책, 직원 교육, 사고 대응 계획, 탐지 및 포렌식 역량에 투자해 회복 탄력성을 제고할 수 있다.
온시큐리티의 오닐은 “취약점 스캐너와 침투 테스트 같은 도구를 활용한 데이터 침해 예방에 집중해 문제가 발생하기 전에 취약점과 잠재적 사고 가능성을 식별해야 한다”라고 조언했다.
dl-ciokorea@foundryco.com
Read More from This Article: ‘파악하기 어려워지는 보안 침해 원인’··· 현직 전문가가 밝힌 이유 7가지
Source: News