안녕하세요. 다온기술입니다.
지난 시간에 이어 RSAC 2024 캐빈멘디아 / 맨디언트 CEO_Google Cloud Security 의 발표세션을 요약하고 소개하는 시간을 가집니다.
케빈 맨디아는 이번 RSAC 발표에서 사이버 보안의 중요성을 일깨우며, 조직 내에서 보다 효과적인 보안 전략을 수립할 수 있는 기반을 제공했습니다. 그의 말처럼, 사이버 보안은 단순한 기술 문제가 아니라 조직 전반의 문화, 정책, 그리고 교육과 관련된 복합적인 문제임을 인식하는 것이 중요하며 이를 통해 각 조직은 보다 안전한 디지털 환경을 조성하고, 다양한 사이버 위협으로부터 자신들을 보호할 수 있을 것 입니다.
자, 이제 캐빈 멘디아의 2023 사이버 위협의 변화와 이에 대한 대응 전략을 자세히 살펴보겠습니다.
제로데이 공격의 증가
최근 1년간의 조사와 레드 팀 운영, 위협 분석을 통해 공격자들의 혁신이 가속화되고 있음을 확인했습니다. 특히, 제로데이 공격에 대한 통계를 보면, 제로데이의 발견이 급증하고 있는데, 이는 공격자들의 기술이 점점 더 정교해지고 있음을 시사합니다. 지난해에는 약 97개의 제로데이가 발견되었으며, 이 중 약 1/3은 맨디언트와 구글이 발견한 것으로 나타났습니다. 전 세계적으로 조사한 사건들을 통해, 공격 표면 관리와 패치 관리의 중요성이 강조되고 있으며, 보안 태세를 강화하고 규칙을 마련하는 것이 필요함을 알 수 있습니다.
Kevin Mandia의 경력 동안 러시아가 제로데이를 이용한 공격에서 1위를 차지했으나, 최근에는 중국이 이 목록에서 두각을 나타내고 있습니다. 특히, 중국 연계된 사이버 스파이 활동이 지난 해 동안 개선된 것으로 나타났습니다. 이러한 활동은 높은 수준의 기술적 전문성을 요구하며, 공격자들이 사용하는 Living off the land 기술은 매우 높은 수준임을 시사합니다.
스피어피싱의 진화 : 이메일 피싱의 감소
스피어피싱을 한번 살펴보면 최근 몇 년간 근본적인 변화를 겪었습니다.
전통적인 이메일 피싱은 더 이상 효과적이지 않습니다. 과거에는 대량의 이메일을 보내어 속일 대상을 찾는 방식이 주류였지만, 이제는 이에 대한 대응책과 인식이 높아졌기 때문입니다. 이로 인해 사이버 범죄자들은 더욱 세밀하고 효과적인 전략을 개발하고 있습니다.
2023년 스피어피싱의 새로운 접근 방식의 등장
지난 몇 년 동안, 스피어피싱 공격에서 사용되는 전달 기법은 다양화되고 발전했습니다. 압축된 아카이브 파일과 오피스 문서를 통한 공격은 이메일의 새로운 형태로 나타났습니다. 또한, 이메일 본문과 첨부 파일에 포함된 하이퍼링크를 통해 악성 코드가 전달될 수 있습니다. 이러한 새로운 전달 방법은 사용자들에게 더욱 미묘한 위협을 제시합니다.
사회 공학 기법: 공격의 접근성 증가
인간 기반의 수단을 이용사회 공학 기법은 스피어피싱의 핵심적인 요소로 자리잡았습니다. 커뮤니케이션 및 메시지 플랫폼, 소셜 미디어, QR 코드, 그리고 SMS 등을 통해 공격자들은 개인 정보를 빼앗거나 사용자들을 속이는데 사용됩니다. 이러한 기술의 발전은 공격의 범위를 확대하고, 사용자들의 주의를 더욱 분산시키는데 기여합니다.
MFA(다중 인증)는 보안을 강화하는 중요한 요소이지만, 공격자들은 이를 무력화하기 위한 새로운 방법을 개발하고 있습니다. 최근에는 푸시 알림, 일회용 비밀번호(OTP)/시간 기반 일회용 비밀번호(TOTP), 그리고 숫자 일치 검증이 포함된 푸시 알림과 같은 방법을 사용하여 MFA 시스템을 우회하려는 사례가 늘고 있습니다. 더 나아가, 인증서 기반 인증(CBA) 및 하드웨어 키와 같은 고급 기술도 사용되고 있습니다. 이러한 새로운 공격 방법에 대비하기 위해서는 보안 업계에서 MFA 시스템을 지속적으로 강화하고 새로운 보안 기술을 도입해야 합니다.
내부자 위협과 스피어 피싱
침해를 가정할 때, 내부자가 네트워크에서 혼란을 야기할 가능성도 고려해야 합니다. 2020년 이후로 1993년부터 1998년까지 주로 사용되었던 스피어 피싱과 인간의 신뢰를 이용한 공격 방식이 다시 활용되고 있습니다. 시대가 변화하며 공격자들은 다양한 통신 채널을 통해 스피어 피싱을 시도하고 있으며, 다단계 인증(MFA)을 우회하기 위한 새로운 방법을 개발하고 있습니다. 이에 대응하기 위해서는 더 강화된 MFA 전략을 개발하고 구현하는 것이 중요합니다. 공격자들은 MFA를 우회하는 여러 방법을 사용하며, 다단계 인증 시스템의 취약점을 악용하고 있습니다. 우리는 푸쉬 알림 피로와 같은 MFA Fatigue Attack과 OTP의 취약점을 극복해야 합니다. 이를 위해 헬프 데스크가 OTP를 잘못 제공하는 문제나 SIM 스와핑 같은 기술적 공격을 방지할 수 있는 더욱 강화된 MFA 솔루션을 구현하는 것이 필요합니다.
맞춤형 멀웨어와 공격 탐지
공격자들은 감지를 피하기 위해 흔적을 남기지 않는 맞춤형 멀웨어를 사용하며, 특히 네트워크 외부의 기기를 해킹할 때 기존 코드에 파이썬 스크립트를 추가하는 등의 방법으로 방어 시스템을 우회합니다. 이러한 전략은 공격자들이 보다 은밀하게 활동할 수 있게 하며, 각국의 IP 주소를 이용해 현지에서 공격하는 것처럼 위장합니다.
Kevin Mandia는 제로데이 공격과 기타 침해 후 공격자의 활동을 탐지하는 것의 중요성을 강조했습니다. PowerShell의 비정상적 사용, 이상한 HTTP/HTTPS 트래픽, RDP를 통한 Lateral Movement 감지가 중요한 지표입니다. 이는 사이버 보안 운영의 효과를 극대화하기 위해 필수적인 요소로, 공격자들이 사용하는 다양한 기술, 전술 및 절차(TTP)를 이해하고 감지하는 데 필요합니다.
랜섬웨어 대응과 이사회의 역할
우리는 현재 공격의 탐지와 대응 시간이 크게 개선되었으며, 이는 랜섬웨어 공격에 빠르게 반응하는 능력과 직접적으로 연관됩니다. 과거에는 공격을 감지하는 데 평균적으로 416일이 걸렸지만, 이제는 그 시간이 10일로 단축되었습니다. 이는 조직이 자체적으로 사고를 탐지하고 대응할 수 있는 능력이 크게 향상되었음을 의미합니다.
많은 기업들은 랜섬웨어 등의 공격에 대비하여 자산을 식별하고 백업하는 등의 조치를 취하고 있습니다. 랜섬웨어 공격이 발생했을 때 신속하게 복구할 수 있는 준비를 갖추는 것이 중요합니다. 이는 기업의 랜섬웨어 방어 전략을 강화하고, 공격 발생 시 피해를 최소화할 수 있도록 합니다.
조직의 이사회는 사이버 보안에 대한 관심을 더욱 높이고 있으며, 이는 사이버 보안 관련 규제와 법률이 강화됨에 따라 더욱 증가하고 있습니다. 회사의 사이버 리스크 관리와 거버넌스에 대한 이사회의 적극적인 관여는 조직의 보안 수준을 높이는 데 중요한 역할을 합니다.
또한, 공공 및 민간 부문 간의 협력이 강화되어 사이버 보안 분야에서 많은 진전이 있었습니다. 이러한 협력을 통해 사이버 안전성을 높이고, 각종 사이버 위협에 대응하는 효과적인 전략을 개발할 수 있습니다.
이와 같은 종합적인 접근은 조직이 사이버 위협에 보다 효과적으로 대응하고, 안전한 디지털 환경을 유지하는 데 중요한 역할을 합니다.
클라우드 서비스 제공자(CSP)에 대한 권고사항
최근 발표된 사이버 안전 검토 보고서는 클라우드 서비스 제공자(CSP)들에게 중요한 권고사항을 포함하고 있습니다. CSP는 자신들의 보안 상태를 명확하고 투명하게 고객에게 알리는 것이 중요합니다. 또한, 사용자 데이터의 보안 강화와 사고 발생 시 적절한 통보를 할 수 있는 시스템을 갖추는 것이 필요합니다. 이러한 권고사항은 클라우드 서비스의 보안을 강화하고, 모든 사용자에게 더 나은 보안 환경을 제공하려는 목표를 갖고 있습니다.
보안 최고책임자(CISO)의 역할
보안 최고책임자(CISO)들은 다양한 보안 문제에 대해 고민하고 있습니다. 특히, 이들은 조직의 보안 정책과 프로세스를 강화하는 데 중점을 두고, 다양한 보안 위협에 대응하기 위한 전략을 마련하고 있습니다. CISO들은 보안 인프라의 효과적인 관리와 함께, 사이버 공격에 신속하게 대응할 수 있는 시스템을 구축하는 데 주력하고 있습니다.
케빈 맨디아의 이번 발표는 참석자들에게 사이버 보안의 중요성을 일깨우며, 조직 내에서 보다 효과적인 보안 전략을 수립할 수 있는 기반을 제공했습니다. 그의 말처럼, 사이버 보안은 단순한 기술 문제가 아니라 조직 전반의 문화, 정책, 그리고 교육과 관련된 복합적인 문제임을 인식하는 것이 중요합니다.
이를 통해 각 조직은 보다 안전한 디지털 환경을 조성하고, 다양한 사이버 위협으로부터 자신들을 보호할 수 있습니다.
케빈 맨디아의 발표는 사이버 보안의 중요성을 다시 한번 강조하며, 공격자들의 혁신이 가속화되고 있는 상황임을 확인시켰습니다.
보안 업계는 이에 대응하여 MFA 시스템을 강화하고, 새로운 보안 기술을 도입하는 등 대응책을 마련해야 할 것입니다. 또한, 보안 최고책임자(CISO)의 역할도 중요하다는 점을 다시한번 상기시켜주는 유익한 발표 세션이었습니다.
Commentaires