IBM의 사이버 위협 인텔리전스 보고서에 따르면 대다수의 공격은 피싱(39%), 공개 애플리케이션 악용(26%), 원격 서비스 악용(12%)을 통해 이뤄지는 것으로 나타났다. 이와 같은 공격은 금전 갈취(21%), 데이터 도난(19%), 인증정보 탈취(11%), 데이터 유출(11%), 브랜드 평판 손상(9%)으로 이어졌다. 이는 결과적으로 40% 이상의 공격이 데이터와 직접적으로 관련돼 있다고 볼 수 있으며, 실제는 보고서에서 제시한 것보다 훨씬 많을 것이다.
가장 많은 공격을 받은 산업은 제조업(25%), 금융 서비스 및 보험(19%), 전문 및 소비자 서비스업(15%)으로 나타났다. 소비자들의 민감한 개인식별정보(PII)는 공격자들이 수익을 내기 위한 주요 표적이다. 제조업에서 프로세스, 공급망 중단은 막대한 금전적 손실을 초래하기 때문에 데이터 유출은 심각한 위협이다. 그래서, 오늘날 사이버 보안, 특히 데이터 보호는 기업 경영진과 정부관계자들의 최우선 순위 업무로 급부상하고 있다.
공격자는 공격을 위해 타깃의 시스템이나 리소스에 접근한다. 가장 일반적인 접근 방식은 이메일을 이용한 피싱 기법이다. 피싱 기법에는 사용자가 무심코 열어보는 멀웨어 첨부파일(25%)이나 외부 멀웨어 서비스에 대한 링크(14%)가 있다.
그 다음으로 자주 사용되는 접근 방식은 공개 애플리케이션 악용이다. 웹 애플리케이션은 유용한 정보에 편하게 접근할 수 있다는 장점을 갖고 있지만, 모바일 뱅킹, 의료 기록, 기업 정보 등과 같은 민감한 정보도 포함된다. 기업과 정책 담당자들은 데이터나 서비스에 대한 접근 편리성, 민감성, 접근 경로의 규모, 수에 대한 적절한 균형을 유지해야 한다. 공개 애플리케이션 악용은 소프트웨어 버그나 잘못된 설정으로 인해 발생할 수 있다. 실수로 인터넷에 노출된 데이터베이스와 네트워크 서비스도 여기에 포함된다.
공격자는 최초 침입 후 얻은 권한을 통해 더 많은 접근 권한을 얻거나 범행을 자행할 수 있다. 일반적으로는 백도어, 랜섬웨어와 같은 멀웨어 설치(38%), 서버와 원격 툴 접근(10%), 비즈니스 이메일 침해(6%) 등이 발생한다. 랜섬웨어 공격은 개인이나 기업의 데이터에만 국한되지 않고 인증, 권한 부여, 가상 컴퓨팅, 스토리지와 네트워킹을 포함한 기업의 네트워크 서비스 중단을 목적으로 하기도 한다. 랜섬웨어 배포에는 2019년에는 평균 2개월이 걸렸지만, 2021년에는 단 4일로 줄어들 정도로, 공격 과정 뿐만 아니라 취약점을 이용한 대량의 민감한 데이터 수집이 그 어느때보다 빨라지고 있다.
데이터 유출 사고로 유출되는 가장 일반적인 정보는 개인식별정보(PII)이다. 개인식별정보에는 이름, 주소, 주민등록번호, 운전면허증, 여권, 의료 데이터, 신용카드와 비밀번호가 포함되는데, 이러한 정보는 다크웹이나 기타 포럼에서 판매되는 경우가 많다. 따라서 개인식별정보의 저장과 취급에 대한 엄격한 규제가 요구된다.
데이터 유출은 기업이 규정과 정책에 명시된 가이드라인을 준수하지 않아서 발생하기도 하지만 대부분은 공격자가 몰래 사용자 계정이나 서비스에 대한 접근 권한을 얻어 발생한다. 이 경우 공격자는 비정상적인 행동을 통해 탐지되거나 개인 또는 기업에게 금전을 요구하면서 알 수 있다.
하지만 접근 방식이 증가하고 조직 구조가 복잡해지면서 이상 징후 탐지는 점점 더 어려워지고 있다. 이로 인해 행동 모델은 대량의 데이터 내에서 복잡한 패턴을 탐지하는 머신 러닝, AI 모델에 더욱 의존하게 될 것이다. 복잡한 네트워크와 시스템에 대한 조직적인 공격은 장기간에 걸쳐 이뤄질 수 있다. 이상 징후를 탐지하기 위해서는 실시간 데이터를 수집, 필터링, 라우팅해야 한다.
접근 경로의 수와 데이터와 관련 서비스의 가치가 증가함에 따라 사이버 공격의 규모도 증가하고 있다. 이러한 공격을 방어하지 못하면 복구 작업에 많은 비용이 드는 것은 물론, 중요한 업무가 중단되고 브랜드 평판이 손상되며, 업계 감독기관 등으로부터 벌금이 부과되는 등의 결과를 초래할 수 있다.
기업은 데이터 서비스에 대한 접근을 적시에 제공하는 동시에 위협에 대한 방어를 제공하는 두 마리 토끼를 모두 잡아야 한다. 더불어, 정상 사용자의 계정이 침해당했는지 알 수 있는 이상 징후 탐지도 놓칠 수 없다. 데이터와 시스템에 대한 접근을 제한하고 시스템에 대한 접근 시도를 기록해두는 것이 점차 중요한 역할을 하게 될 것이다. 지속적으로 진화하는 머신 러닝 모델과 AI를 통해 거의 실시간으로 이를 수행할 수 있는 능력은 향후 기업을 보호하기 위한 기본 역량이 될 것이다.
김호중 클라우데라코리아 전무 hokim@cloudera.com
