[잇츠맨 리뷰] 침해 현장의 데이터가 보내는 경고

가장 흥미로웠던 잇츠맨 웨비나를 심도있게 리뷰합니다.

2025. 7. 4.

[잇츠맨 리뷰] 침해 현장의 데이터가 보내는 경고

웹에서 보기

잇츠맨 웨비나

👉 수요레터 구독하기

침해 현장의 데이터가 보내는 경고

“요즘처럼 보안이 핫했던 적이 있었나 싶어요”

하루가 멀다하고 보안 사고들이 쏟아지고 있습니다. 단순한 시스템 장애를 넘어 침해 사고가 기업 전체의 사업 지속성을 위협하는 상황이 된 것 같아요. SKT 사태도 그랬고, 최근 Yes24 이슈도 그렇습니다. 그래서 보안은 단순히 기술의 영역을 넘어 이제 기업 비즈니스의 핵심 전략으로 인식되고 있습니다.

이런 보안의 흐름에 맞춰 지난 잇츠맨 웨비나에서는 Google Cloud Security의 홍성대 매니저와 함께 Mandiant의 ‘M-Trends 2025’ 보고서를 중심으로, 지금 사이버 위협의 본질이 어떻게 바뀌고 있는지, 보안팀은 어떤 체계와 시각을 가져야 하는지를 중심으로 아주 흥미로운 시간을 가졌습니다. 전세계 침해사고 대응의 최전선에서 활동하고 있는 Mandiant 팀의 실제 데이터를 기반으로 한 최신의 트렌트 보고서 속에 숨어있는 진짜 의미를 오늘 잇츠맨 리뷰를 통해 정리해 보겠습니다.

숫자로 보는 글로벌 위협 인텔리전스

올해로 16번째를 맞은 M-Trends 보고서는, 전 세계에서 연간 약 1,300건의 침해사고를 직접 조사한 내용을 바탕으로 작성됩니다. 이번 보고서에서 특히 주목해야 할 수치들을 먼저 정리해 볼까요?

이 보고서에서 가장 먼저 주목할 부분은 Dwell Time, 즉 공격자의 평균 상주시간입니다. 2011년 416일에 달했던 이 수치는 현재 11일로 줄어들었지만, 여전히 공격자는 열흘 넘게 내부에서 활동하고 있는 셈입니다.

“Dwell Time이라는 건 결국 공격자가 공격 목적을 이루기 위해 시스템 안에 머무른 시간이에요. 그 시간이 길수록 우리는 탐지를 못했다는 뜻이죠.”

또한 침해 사실의 57%는 내부 시스템이 아닌 외부 알림을 통해 인지된 것으로 나타났습니다. 이는 여전히 많은 조직이 침해 사실을 사후에야 알게 된다는 점을 시사하고 있죠. 내부 방어 전략이 고도화되고 있음에도 불구하고 사이버 공격이 더욱 지능화되고 있고 탐지하기 어려워지고 있다는 반증이기도 합니다. 여기에는 랜섬웨어의 적극적인 공격이 늘어난 것도 하나의 이유로 설명될 수도 있습니다.

주목해야할 숫자 중 하나는 공격자의 55%가 금적적인 목적으로 공격을 한다는 내용입니다. 사이버 공격이 이제 더 이상 재미나 자기과시의 형태가 아니라 철저히 비즈니스으로 성장하고 확대되고 있다는 걸 의미합니다. 해킹이 엄청난 산업이 되어가고 있습니다.

공격타깃은 금융, 그리고..

“공격자들이 가장 많이 표적하는 산업은 금융입니다.”

지난 해 가장 많이 공격을 받은 산업군은 금융(17.4%)이었습니다. 공격자들의 목표가 금전적인 것임을 명백히 보여주는 수치라고 보여집니다. 그 다음으로 많은 공격 대상은 Business and Professional Service 부분이었는데, 기업들이 많이 사용하고 있는 서비스 플랫폼 업체들이 여기 부분이죠. ServiceNow나 Salesforce 같은 서비스 플랫폼을 뚫을 수 있다면 이 서비스를 사용하고 있는 수많은 고객 기업들에게 손쉽게 접근할 수 있다는 점이 공격 대상으로 이들이 주요한 산업군으로 떠오르는 이유일 겁니다. 물론 쉽지 않겠지만 말이죠.

잇스플로잇을 활용하다

공격자들이 가장 자주 활용한 침투 방식은 익스플로잇, 즉 취약점을 악용한 형태였습니다. 특히 제로데이 기반의 취약점 악용이 두드러졌습니다. 전세계적으로는 거의 33%가 익스플로잇을 통해 침해가 이루어졌다고 합니다.특히 아시아·태평양 지역(JAPAC)에서 이 같은 익스플로잇 공격이 상대적으로 높게 발생했는데요. 이는 팬데믹 이후 재택근무 환경이 보편화되면서 공격 표면이 급격히 확장된 영향으로 분석됩니다.

또한, 사용자 자격증명(Credentials)의 재사용도 여전히 주요한 위협 수단으로 남아 있습니다. A사이트에서 유출된 계정 정보가 B사이트 침투에 활용되는 방식이 반복되고 있으며, 기본 보안 수칙인 비밀번호 분리 정책조차 지켜지지 않는 경우가 많다는 점에서 문제의 본질은 ‘사람’과 ‘운영 정책’에 있는지도 모릅니다. 아주 단순한 보안 정책이 실제 업무 환경에서 지켜지기 참 어렵다는 생각이 들었습니다.

공격자는 이미 침투해 있다

다시 Dwell Time 얘기를 더 깊이 해볼까요?

공격자들이 실제로 얼마나 오랫동안 내부에 머무르는지를 나타내는 Dwell Time은 보안 대응 수준을 보여주는 가장 직관적인 지표 중 하나입니다. 앞서 얘기한 것처럼, Dwell Time은 사이버 방어 체계가 고도화되면서 이전보다 확실한 개선을 보이고 있습니다. 2011년에는 무려 Dwell Time이 416일 이었다고 하니, 해커가 그냥 시스템에서 활개쳤다고 해도 무방하겠죠.

아무튼 Dwell Time의 개선에도 불구하고 보고서에 따르면 여전히 약 40%의 공격은 최소 3일에서 최대 6개월 이상 내부에 잠복해 있었습니다. 따라서 이는 단순한 위협 탐지를 넘어, 지속적인 로그 수집 및 실시간 분석 체계가 필요하다는 사실을 보여준다고 할 수 있죠.

“우리가 탐지를 제대로 하려면 최소 6개월 정도의 로그는 라이브로 분석 가능해야 합니다.”

보안팀은 이제 이벤트가 발생한 이후에만 대응하는 방식에서 벗어나, 평상시부터 내부 시스템의 상태를 끊임없이 감시하고 조사하는 위협 헌팅 체계를 마련해야 하지 않을까요?

공격자의 의도를 잘 모른다

공격그룹들의 특징들을 한번 살펴볼까요?

2024년 한해동안 완전히 새롭게 추적되고 관찰된 위협그룹이 총 233개가 확인이 되었습니다. 위협그룹들의 55%는 돈이 목적이었구요. 하지만 여기서 주목할 부분은 Unknown, 즉 공격자들의 의도를 알 수 없는 경우가 무려 35%나 된다는 점입니다. 공격자가 스스로의 공격 목적을 밝히지 않았기 때문에 어떤 잠재적인 위협으로 확대되고 영향을 미칠지 알 수 없다는 점에서 굉장히 심각한 부분이라고 볼 수 있습니다. 앞서 얘기한 위협 탐지와 Dwell Time 개선을 위한 분석 체계가 제대로 동작되어야 하는 중요한 이유가 바로 이 점 때문이기도 합니다.

리눅스, 더 이상 안전지대가 아니다

멀웨어 부분을 한번 살펴보면, 공격자는 보통 윈도우 사용자 계정을 통해 초기 침투를 시작한 뒤, 실제 서비스가 돌아가는 리눅스 시스템으로 이동하는 경향을 보입니다. 문제는 리눅스가 성능과 레이턴시 문제로 인해 보안 정책이 보수적으로 적용된다는 점입니다. 이로 인해 보안 사각지대가 형성되고, 결과적으로 서비스 인프라가 직접 공격당하는 결과로 이어집니다.

“반드시 꼭 리눅스 시스템에 대한 보안 정책을 수립해야 합니다”

리눅스 기반 시스템에 대한 방어 체계를 구축하고, 보안 패치와 위협 탐지 정책을 윈도우만큼 민첩하게 적용할 수 있는 방안을 조직 차원에서 고민해야 한다고 홍성대 매니저는 강조합니다.

클라우드와 랜섬웨어, 가장 위험한 조합

클라우드 환경에서 발생하는 침해 시도의 약 65.6%는 데이터 탈취를 목적으로 이뤄지고 있습니다. 공격자들은 이메일 피싱 등을 통해 SA 키나 IAM 권한을 획득한 뒤, 클라우드 리소스를 타깃으로 공격을 이어갑니다. 특히 클라우드 보안의 핵심은 인증 체계에 있으며, MFA 적용이나 접근 통제 정책 강화는 이제 선택이 아닌 필수가 되었다고 홍매니저는 강조합니다.

랜섬웨어 공격의 경우, 별도 악성 툴 없이 운영체제에 내장된 유틸리티(CMD, PowerShell 등)를 활용하는 방식이 많이 사용되고 있는데, 이러한 방식은 흔히 ’리빙 오프 더 랜드(Living off the Land)’라고 불리며, 탐지가 어렵고 대응이 까다로운 것이 특징입니다.

홍성대 매니저는 이와 관련해 구글 클라우드의 SCCE 솔루션을 소개하며, “에이전트리스 방식으로 데이터 마이닝을 탐지하고, 마이닝 발생 시 인프라 사용 비용까지 보상해주는 구조를 갖추고 있다”고 설명합니다.

보안 운영의 삼위일체

앞서 소개한 사이버 위협들을 효과적으로 대응하기 위해 6가지의 내용을 제안합니다. 간단히 정리하면 아래와 같습니다.

고급 위협 탐지 기술 배포 및 최적화
취약점 정기적 스캔
접근 통제 강화
침해 사고 대응 및 복구 계획 개발 및 정기적 테스트
레드 팀을 활용하여 방어 체계 테스트
지속적인 보안 인식 교육 및 피싱 시뮬레이션 투자

이러한 대응 전략을 위해 사이버 방어 프레밍워크에 기반해서 보안 전략을 세워나가는 것이 필요해 보입니다. 탐지(Detect), 대응(Respond), 위협 헌팅(Hunt) 의 사이클을 통해 각 과정들을 검증(Validate)해 나가고 이런 검증의 방향을 제시하는 인텔리전스(Intelligence)를 통해 지속가능한 보안 전략을 세워나가는 것이 보안의 미션 컨트롤을 완성하는 보안 체계를 실현할 수 있습니다.

홍 매니저는 “이 체계가 실제로 작동하고 있는지를 꾸준히 검증하고, 인텔리전스가 기준점을 제시해주는 구조가 필요하다”고 덧붙였습니다. 또한 모든 탐지와 대응은 실제 비즈니스 연속성을 고려해 구성돼야 하며, 기술 중심이 아닌 운영 중심으로 설계돼야 한다는 점도 강조했습니다.

정리하며 : 침해는 피할 수 없다, 그렇다면?

“한 조직에서 10번 침해사고를 겪으면… 보안팀에서 남아 있긴 어렵죠.”

침해사고는 언제든 발생할 수 있습니다. 그러나 문제는 실제로 많은 보안팀이 사고를 겪어보지 않았기 때문에, 정작 위급한 상황에서 무엇을 해야 할지 모른다는 데 있습니다. 사고 발생 시 연락 체계, 초기 조치, 로그 분석, 외부 기관 대응까지 구체적인 대응 프로세스를 사전에 시뮬레이션하고 준비하는 것이 중요합니다.

“M-Trends 보고서는 결국 우리가 무엇을 보고, 무엇을 준비해야 할지를 알려주는 하나의 나침반이 될 수 있을 겁니다. 공격자는 계속 진화하고 있습니다. 방어도 더 정교해져야 합니다. 이런 대응의 측면에서 저희는 Google Unified Security 라는 통합 보안 전략 솔루션을 통해 전방위적인 보안 태세를 제안해 드리고 있습니다.”

아주 흥미로운 웨비나 였습니다.

침해 사고 데이터에서 얻은 현장의 생생한 인사이트가 넘쳐나고, 대응과 관련된 전략의 청사진을 그려볼 수 있는 시간이었습니다. M-Trends 2025 보고서는 아래에 있는 링크를 통해서 다운받을 수 있구요. 14분으로 요약한 하이라이트도 아주 유용하실 겁니다. Google Unified Security 에 대한 내용도 아래서 간단히 확인할 수 있습니다.

보안의 새로운 스테이지가 펼쳐진 느낌입니다.

촌장이었습니다.

🚀 M-Trends 2025 보고서 다운받기

🚀 M-Trends 2025 하이라이트 영상 보기

🚀 Google Unified Security 하이라이트 영상 보기