지난해에는 중국의 타이푼(Typhoon) 위협 그룹 등 국가 배후 공격이 여러 산업에 걸쳐 주목을 받으며 사이버보안 분야의 주요 이슈로 떠올랐다. 그러나 2025년 상반기 들어 공개된 고위험 공격 대부분은 사이버 범죄 조직의 소행으로 드러났다.
금전적 이득을 노린 공격이 증가하고 있으며, 올해는 유통, 산업 제어 시스템, 금융 기관, 헬스케어 분야가 특히 큰 피해를 입은 대표적인 업종으로 꼽힌다.
최근 랜섬웨어 공격이 급증하면서, 사전에 철저히 대비한 보안팀조차도 공격이 심각한 피해로 이어지기 전에 이를 탐지하고 추적해 차단하는 데 어려움을 겪고 있다. 사고 이후의 복구 작업은 물론, 사건이 마무리된 후 교훈을 대응 계획에 반영하는 능력도 한계에 부딪히고 있다.
이에 따라 전문가들은 과거의 사이버 방어 수칙만으로는 더 이상 유효하지 않다고 보고 있으며, 현대의 침입자에 대응하기 위한 보다 정교하고 실효성 있는 보안 체계를 CISO가 구축해야 한다는 압박이 더욱 커지고 있다.
옥타(Okta) 동부 미주 지역 최고보안책임자(CSO) 매트 임믈러는 CSO와의 인터뷰에서 “공격자는 더 빠르고 더 똑똑해졌으며, AI 기반 자동화 도구를 사용하고 있다. 더 이상 구식 도구를 쓰지 않는다”라고 “일반적인 비밀번호, 경계형 방화벽 같은 고정된 방어 수단은 전통적인 보안 방식이지만, 현대적 공격 기법 앞에서는 효과가 현저히 떨어진다”라고 조언했다.
금전적 이득을 노린 공격이 증가하고 있으며, 올해는 유통, 산업 제어 시스템, 금융 기관, 헬스케어 분야가 특히 큰 피해를 입은 대표적인 업종으로 꼽힌다.
최근 랜섬웨어 공격이 급증하면서, 사전에 철저히 대비한 보안팀조차도 공격이 심각한 피해로 이어지기 전에 이를 탐지하고 추적해 차단하는 데 어려움을 겪고 있다. 사고 이후의 복구 작업은 물론, 사건이 마무리된 후 교훈을 대응 계획에 반영하는 능력도 한계에 부딪히고 있다.
이에 따라 전문가들은 과거의 사이버 방어 수칙만으로는 더 이상 유효하지 않다고 보고 있으며, 현대의 침입자에 대응하기 위한 보다 정교하고 실효성 있는 보안 체계를 CISO가 구축해야 한다는 압박이 더욱 커지고 있다.
옥타(Okta) 동부 미주 지역 최고보안책임자(CSO) 매트 임믈러는 CSO와의 인터뷰에서 “공격자는 더 빠르고 더 똑똑해졌으며, AI 기반 자동화 도구를 사용하고 있다. 더 이상 구식 도구를 쓰지 않는다”고 말했다. 그는 “일반적인 비밀번호, 경계형 방화벽 같은 고정된 방어 수단은 전통적인 보안 방식이지만, 현대적 공격 기법 앞에서는 효과가 현저히 떨어진다”라고 덧붙였다.
위협 행위자 차단, 정밀 대응과 사전 계획이 핵심
공격 속도가 갈수록 빨라지면서, 조직이 위협 행위자가 네트워크 내에 자리를 잡고 수평 확산되기 전에 이를 탐지할 수 있는 능력에 대한 압박이 커지고 있다.
크라우드스트라이크(CrowdStrike) 글로벌 전문 서비스 최고책임자 톰 에더리지는 “대다수 CISO에게 ‘48분 이내에 위협을 탐지할 수 있는가’라고 묻는다면 쉽게 답하지 못할 것”이라며 “기록상 가장 빠른 침입 확산 시간은 단 51초였다. 이런 수치가 매일 밤 잠을 설치게 한다”고 밝혔다.
위협 행위자가 문제를 일으키는 속도가 갈수록 빨라지는 만큼, CISO는 조직 전체 환경에 대한 명확한 가시성을 확보해야 한다. 에더리지는 “많은 조직은 보안팀이 자사 플랫폼에 표시되는 경보에 따라 대응하도록 구성돼 있다”라며 “하지만 해당 플랫폼에 경보가 나타나지 않으면, 위협 행위자가 제로데이 취약점을 악용하고 있다는 사실을 인지하지 못할 수 있다”라고 설명했다.
또한 침입자를 더 효과적으로 식별하기 위한 방법 중 하나는 보다 정교한 행위 추적 시스템을 구축하는 것이다. 요즘 공격자들은 대부분 합법적인 사용자 계정을 악용하기 때문에, 이에 대한 대응이 필요하다는 것이다. 옥타의 임믈러는 “신원은 조직의 모든 시스템으로 들어오는 ‘정문’이며, 내부 침입을 막고 침입자가 네트워크 내에서 무슨 활동을 하는지 파악하는 것이 핵심”이라고 강조했다.
에더리지는 “요즘은 ‘위협 행위자는 더 이상 해킹하지 않는다. 로그인한다’는 말을 한다”며 “이들이 특권 계정을 획득한 순간부터 공격 속도는 더 빨라진다. 신원과 클라우드에 대한 이해는 위협 행위자들이 집중적으로 공략하는 또 다른 핵심 영역으로, 클라우드 환경은 가시성과 통제력이 취약하다는 점을 공격자들이 잘 알고 있다”라고 말했다.
이에 따라 보안팀은 이상행위 탐지 기법을 적극적으로 도입하고 강조해야 하며, 겉보기에는 정상적으로 로그인한 사용자라 하더라도 위협 행위자가 은밀히 활동하고 있는지를 신속히 파악할 수 있어야 한다. 이상행위는 사용자의 일상적인 활동에서 벗어난 모든 행위를 의미하며, 이를 탐지하려면 조직 내 다양한 사용자 유형에 대한 기준 프로파일을 사전에 수립해야 한다.
임믈러는 “모든 사용자에 대해 개별 프로파일을 만드는 건 쉽지 않지만, 부서나 직무 단위로 프로파일을 만드는 것은 충분히 가능하다”라며 “예컨대 회계 부서 직원이 평소에 접근하지 않는 IT 자원에 접근하려 한다면 이는 비정상적인 행위로 볼 수 있다”라고 설명했다.
시스코 탈로스(Cisco Talos) 침해 대응 그룹의 선임 매니저 피에르 카디외는 “이처럼 사용자 그룹 단위 프로파일을 개발하면 위협 행위자가 접근하려는 시스템을 차단할 수 있는 ‘격리 지점’을 설정하는 데 도움이 된다”고 밝혔다. 그는 “CISO는 이러한 행위 프로파일과 네트워크 분할 전략이 함께 작동하도록 설계해야 한다”라고 조언했다.
카디외는 “침해나 사고가 발생했을 때, 특정 네트워크나 세그먼트를 중심으로 ‘방어막을 내린다’는 개념처럼, 건물 단위, 캠퍼스 단위, 지역 단위 등으로 네트워크를 격리할 수 있어야 한다”라며 “위협의 종류에 따라 적절하게 대응할 수 있는 유연한 격리 체계를 갖춰야 한다”라고 설명했다.
미래 위협 대응의 핵심 ‘사고 분석’
위협 활동의 속도가 갈수록 빨라지면서, 침해 사고가 발생한 후 이를 철저히 분석해 향후 대응 전략을 정밀하게 개선하는 작업의 중요성도 더욱 커지고 있다. 이때 핵심은 신뢰할 수 있는 로그 기록 체계를 갖추는 것이다.
임믈러는 “모든 핵심 시스템에 보안 정보 및 이벤트 관리(SIEM) 시스템을 제대로 구축해두는 것이 중요하다”라며 “공격자를 식별하고 차단한 후에는 그들이 손댄 모든 시스템을 로그를 통해 하나하나 추적해야 한다”리고 설명했다.
카디외는 “랜섬웨어와 같은 위협은 지금 이 순간에도 공격이 진행 중인 상태일 수 있다”라며 “이때는 침입 지점이나 루트 원인 분석이 무엇보다 중요하기 때문에, 로그를 얼마나 오래 보관하고 있는지가 관건”이라고 말했다.
이후 CISO는 위협 행위자의 최신 특성과 산업 내 동향을 지속적으로 파악하며 대응 전략을 진화시켜야 한다. 임믈러는 “최신 기술을 끊임없이 살펴보고 따라가는 것이 중요하다”며 “작년에 효과적이었던 기술이나 20년간 잘 써온 보안 체계라고 해도, 지금의 변화하는 위협 환경에선 더 이상 통하지 않을 수 있다”라고 밝혔다.
dl-ciokorea@foundryco.com
Read More from This Article: ‘해킹’ 시대는 끝났다…‘로그인’으로 침투하는 공격자에 CISO 대응 전략 수정 시급
Source: News