최신 공격 표면 분석

대부분의 조직에서 전자 메일은 일상적인 비즈니스 운영의 핵심입니다. 안타깝게도 전자 메일은 주요 위협 벡터로 남아 있습니다. 2022년 35%의 랜섬웨어 인시던트가 전자 메일 사용과 관련됐습니다.⁴ 공격자는 그 어느 때보다 전자 메일 공격을 많이 수행하고 있습니다. 2022년 피싱 공격 비율은 2021년 대비 61% 증가했습니다.^.5

또한 공격자는 이제 적법한 리소스를 활용하여 피싱 공격을 수행합니다. 따라서 사용자는 실제 전자 메일과 악성 전자 메일을 구분하기가 더 어려워지며, 위협이 침투할 가능성도 높아집니다. 이러한 트렌드의 예시 중 하나는 동의 피싱 공격입니다. 위협 행위자가 적법한 클라우드 서비스 공급자를 남용하여 사용자가 기밀 데이터 액세스 권한을 허용하도록 속입니다.

전자 메일 신호를 보다 폭넓은 인시던트로 연결하여 공격을 시각화하는 능력이 없으면 전자 메일을 통해 권한을 획득한 위협 행위자를 탐지하는 데 오랜 시간이 걸립니다. 그리고 탐지했을 때는 이미 손해를 방지하기에 너무 늦었을 것입니다. 공격자가 조직의 비공개 데이터에 액세스하기까지 걸리는 시간의 중앙값은 단 72분입니다.⁶ 이는 엔터프라이즈 차원에서 심각한 손실로 이어질 수 있습니다. 2021년 비즈니스 전자 메일 침해로 인한 조정된 추정 손실액은 24억 달러(USD)입니다.⁷

오늘날의 클라우드 기반 세계에서는 액세스를 보호하는 것이 갈수록 중요해지고 있습니다. 그 결과 조직 전반에 걸친 ID(사용자 계정 권한, 워크로드 ID, 잠재적 취약성 등)에 대한 깊은 이해가 중요합니다. 공격의 빈도와 창의성이 증가하고 있기 때문에 더욱 그렇습니다.

암호 공격의 수는 2022년 초당 약 921건으로 증가했습니다. 2021년보다 74% 증가한 수치입니다.⁸ 또한 Microsoft는 위협 행위자가 악의적 중간자 피싱 공격, 토큰 남용 등의 기법을 활용하여 보다 창의적으로 다단계 인증(MFA)을 우회하고 조직 데이터에 액세스하는 것을 확인했습니다. 피싱 키트로 인해 위협 행위자가 더 쉽게 로그인 정보를 훔칠 수 있게 됐습니다. Microsoft의 디지털 범죄 부서는 지난해 피싱 키트의 정교함이 증가하고 진입 장벽은 낮아지는 것을 관찰했습니다. 한 판매자는 피싱 키트를 하루 6달러(USD)의 저가에 판매하기도 했습니다.⁹

ID 공격 표면 관리는 단지 사용자 계정을 보호하는 데서 끝나지 않습니다. 클라우드 액세스와 워크로드 ID 전반을 아우릅니다. 침해된 로그인 정보는 위협 행위자가 조직의 클라우드 인프라를 파괴하는 데 사용할 강력한 도구가 될 수 있습니다.

오늘날 하이브리드 환경에서는 디바이스 수가 크게 증가하면서 엔드포인트 보호가 갈수록 어려워지고 있습니다. 변하지 않은 것은 엔드포인트(특히 관리되지 않는 디바이스) 보호가 강력한 보안 태세에 대단히 중요하다는 것입니다. 단 한 번의 침해만으로도 위협 행위자가 조직에 들어올 수 있기 대문입니다.

조직이 BYOD(Bring Your Own Device) 정책을 받아들이면서 관리되지 않는 디바이스가 늘어나고 있습니다. 그에 따라 엔드포인트 공격 표면이 더 커지고 더 많이 노출됩니다. 평균적으로 엔터프라이즈에서 3500개의 연결된 디바이스가 엔드포인트 감지 및 응답 에이전트의 보호를 받지 않고 있습니다.¹¹

관리되지 않는 디바이스(“섀도 IT” 환경의 일부)는 보안 팀의 보호를 받는 데 필요한 가시성이 부족하기 때문에 위협 행위자들이 특히 선호하는 표적입니다. Microsoft는 관리되지 않는 디바이스에서 사용자가 영향을 받을 확률이 71% 더 높다는 사실을 밝혀냈습니다.¹² 이러한 사용자는 회사 네트워크에 연결되어 있으므로 관리되지 않는 디바이스는 공격자가 서버와 기타 인프라에 보다 폭넓은 공격을 수행할 기회도 제공합니다.

관리되지 않는 서버는 엔드포인트 공격을 위한 잠재적 벡터이기도 합니다. 2021년 Microsoft Security는 위협 행위자가 패치되지 않은 서버를 이용하여 디렉터리를 탐색하고 계정 로그인 정보 액세스를 제공하는 암호 폴더를 발견한 공격을 관찰했습니다.

엔드포인트 공격 벡터 가운데 많이 간과되는 것은 IoT(사물인터넷)입니다. 여기에는 크고 작은 수십억 개의 장치가 포함됩니다. IoT 보안은 라우터, 프린터, 카메라, 기타 유사 디바이스 등 네트워크에 연결되어 데이터를 교환하는 물리적 디바이스를 아우릅니다. 또한 제조 생산 라인의 스마트 장비와 같은 운영 디바이스 및 센서(운영 기술, OT)도 포함할 수 있습니다.

IoT 디바이스의 수가 늘어남에 따라 취약성도 증가합니다. IDC는 2025년까지 엔터프라이즈 및 소비자 환경에 410억 개의 IoT 디바이스가 있을 것이라고 전망했습니다.¹⁵ 많은 조직이 라우터 및 네트워크를 강화하여 위협 행위자의 침투를 방지하고 있기 때문에 IoT 디바이스는 점점 더 쉽고 매력적인 목표물이 되어 가고 있습니다. Microsoft는 위협 행위자가 취약성을 악용하여 IoT 디바이스를 프록시로 만들고 노출된 디바이스를 네트워크 침투의 거점으로 활용하는 사례를 자주 확인했습니다. 위협 행위자는 IoT 디바이스에 대한 액세스를 획득하면 다른 보호되지 않은 자산에 대한 네트워크 트래픽을 모니터링하거나, 측면 이동을 통해 대상 인프라의 다른 부분으로 침투하거나, 정찰을 수행하여 민감한 장비 및 디바이스에 대한 대규모 공격을 계획할 수 있습니다. 한 연구에 따르면 보안 담당자 35%는 지난 2년 동안 IoT 디바이스가 조직을 대상으로 한 폭넓은 공격에 활용됐다고 응답했습니다.¹⁶

안타깝게도 IoT는 가시성의 측면에서 종종 조직의 블랙박스이며, 다수가 적절한 IoT 보호 조치를 취하지 않고 있습니다. 보안 담당자의 60%는 IoT 및 OT 보안을 자사 IT 및 OT 인프라 가운데 보호가 크게 부족한 영역으로 꼽았습니다.¹⁷

오늘날 조직의 외부 공격 표면은 여러 클라우드와 복잡한 디지털 공급망, 대규모 제삼자 에코시스템을 망라해 걸쳐 있습니다. 인터넷은 이제 네트워크의 일부입니다. 그 무한에 가까운 규모에도 불구하고 보안 팀은 인터넷 전반에서 마치 모든 것이 방화벽으로 막혀 있는 것과 같은 수준으로 조직을 방어해야 합니다. 갈수록 많은 조직이  제로 트러스트 원칙을 채택함에 따라 내부 및 외부 공격 표면을 보호하는 것이 인터넷 규모의 과제가 되었습니다.

글로벌 공격 표면은 인터넷과 함께 성장하며 매일 확장되고 있습니다. Microsoft는 피싱 공격 등 다양한 위협 유형에 걸쳐 이러한 증가의 증거를 확인했습니다. 2021년 Microsoft 디지털 범죄 부서는 96,000개 이상의 고유한 피싱 URL과 7,700개 이상의 피싱 키트를 제거하도록 지시했으며, 이로 인해 도난당한 고객 자격 증명을 수집하는 데 사용된 2,200개 이상의 악성 전자 메일 계정이 식별 및 폐쇄되었습니다.²⁴

외부 공격 표면은 조직 자체의 자산보다 훨씬 넓습니다. 이는 종종 공급자, 파트너, 회사 네트워크 또는 자산과 연결되고 관리되지 않는 직원 개인 디바이스, 새로 인수한 조직 등을 포함합니다. 그러므로 잠재적 위협을 완화하기 위해 외부 연결 및 노출을 의식하는 것이 중요합니다. 2020년 Ponemon 보고서에 따르면 조직의 53%는 지난 2년 동안 타사에 의해 유발된 최소 1건의 데이터 침해를 경험했으며, 복구 비용으로 평균 750만 달러(USD)가 소비되었습니다.²⁵

사이버 공격의 기반이 되는 인프라가 증가함에 따라 위협 인프라에 대한 가시성과 인터넷에 노출된 자산의 목록을 확보하는 것이 그 어느 때보다 시급해졌습니다. Microsoft는 조직이 자사 외부 노출의 범위를 이해하는 데 어려움을 겪고 있으며, 그 결과 상당한 사각 지대가 발생한다는 사실을 밝혀냈습니다. 이러한 사각 지대는 치명적인 결과로 이어질 수 있습니다. 2021년 61%의 비즈니스가 비즈니스 운영의 부분적 중단으로 이어진 랜섬웨어 공격을 경험했습니다.²⁶

Microsoft는 종종 고객에게 보안 태세를 평가할 때 조직의 안팎을 뒤집어서 보라고 말합니다. VAPT(Vulnerability Assessment and Penetration Testing)에 그치지 않고 외부 공격 표면에 대한 심층적 가시성을 확보하여 자사 환경 및 확장된 에코시스템 전체에 걸친 취약성을 식별하는 것이 중요합니다. 여러분이 공격자가 되어 침투하려고 한다면 무엇을 악용하시겠습니까? 조직의 외부 공격 표면 전체를 이해하는 것이 조직 보호의 토대입니다.

Microsoft의 지원 방식

오늘날 위협 지형은 끊임없이 변화하고 있으며 조직은 변화를 따라잡을 수 있는 보안 전략을 필요로 합니다. 증가한 조직 복잡성 및 노출과 위협의 양, 사이버 범죄 경제의 낮은 진입 장벽으로 인해 각 공격 표면 내부와 여러 공격 표면 사이의 빈틈을 빠짐 없이 메우는 것이 시급한 과제가 되었습니다.

보안 팀은 계속 진화하는 오늘날의 수많은 위협을 차단하기 위해 강력한 위협 인텔리전스를 필요로 합니다. 올바른 위협 인텔리전스는 여러 장소의 신호와 연결되어 현재 공격 행동 및 트렌드에 시기 적절하고 연관성 있는 맥락을 제공합니다. 이를 통해 보안 팀은 성공적으로 취약성을 식별하고, 경고의 우선 순위를 정하고, 공격을 차단할 수 있습니다. 침해가 발생하는 경우 위협 인텔리전스는 추가적인 피해를 막고 방어를 강화하여 비슷한 공격이 다시 발생하지 않게 만드는 데 중요합니다. 한 마디로 조직은 위협 인텔리전스를 많이 활용할수록 더 안전하고 성공적입니다.

매일 65조 건의 신호를 분석하는 Microsoft는 발전하는 위협 지형에 대한 독보적 뷰를 보유하고 있습니다. Microsoft Security 솔루션에 내장된 위협 인텔리전스는 이러한 신호를 여러 공격 표현에서 실시간으로 연결함으로써 성장하는 랜섬웨어 및 위협 환경에 대한 인사이트를 제공하므로 더 많은 공격을 보고 차단할 수 있습니다. 그리고  Microsoft Security Copilot 등 고급 AI 기능을 통해 위협보다 더 빠르게 발전하면서 조직을 기계와 같은 속도로 보호할 수 있습니다. 이를 통해 보안 팀은 복잡한 것을 간소화하고, 다른 곳에서 놓치는 것을 잡아내고, 모든 것을 보호할 수 있습니다.