파이어아이, 맨디언트 M-트렌트 보고서 아태지역판 최초 발간

- 아태지역 조직이 침해 사실을 발견하기 까지 걸리는 시간은 520일…글로벌 평균의 세 배 이상

2016년 09월 08일 - 지능형 사이버 공격 방어 기술의 선도업체인 파이어아이(지사장 전수홍, www.fireeye.kr)가 맨디언트에서 연례로 발간하는 M-트렌트 보고서의 아태지역판을 최초로 발간했다. 해당 보고서는 지난 해 맨디언트가 아태지역에서 실시한 침해조사를 기반으로 얻은 통계 자료와 인사이트를 담고 있을 뿐 아니라, 사이버 위협 그룹들이 아태지역 조직들의 비즈니스를 방해하고, 민감 데이터를 유출시키기 사용했던 전략과 최근 사이버 공격 트렌드에 대해 상세히 다루고 있다. 맨디언트는 지난 2014년 파이어아이가 인수한 포렌식 전문 기업으로 사이버 침해 탐지 및 대응 분야에서 선도적인 보안 업체이다.

2016 맨디언트 M-트렌드 보고서 아태지역판의 주요 내용은 다음과 같다.

  • 아태지역에서 발생한 대부분의 침해사고는 대중에게 알려지지 않는다. 미국과 같이 사이버 보안 시장이 성숙한 국가들과 달리, 아태지역 대부분의 정부 및 사이버 보안 산업을 관장하는 조직들은 침해사고를 의무적으로 공개하도록 하는 법안을 갖추고 있지 않다. 따라서 아태지역 내 발생한 대부분의 침해사고는 언론에 많이 등장하지 않았다.
  • 아태지역 조직들은 침해사고를 발견하고 대응할 준비가 되어있지 않다. 아태지역의 조직들은 기본적인 침해사고 대응 프로세스 및 계획, 위협 정보, 기술, 전문성이 부족해 공격으로부터 네트워크를 효과적으로 방어하지 못하는 경우가 많았다.
  • 아태지역 조직들은 공격자가 시스템에 침입했다는 사실을 알아내기까지 평균 520일 즉 17개월 걸렸다. 이는 146일이 소요된 글로벌 평균의 세 배가 넘는 기간이며, EMEA(유럽, 중동, 아프리카)의 평균인 469일과 비교해볼 때도 오랜 기간이다. 실제로 17개월은 공격자가 시스템에 침입 한 후 초기 목적을 달성하기 충분한 시간이다. 일례로 맨디언트 레드팀은 목표 시스템에 최초 접근한 후 평균 3일 내에 도메인 관리자 인증정보에 접근할 수 있으며, 일단 도메인 관리자 인증정보가 유출되면 공격자가 원하는 정보를 포착, 접근, 유출하게 되는 것은 시간 문제이다. 따라서 침해 사실을 인지하는데 17개월이 소요된다는 것은 아직까지 아태지역 내 조직들이 사이버 침해를 방어하는데 심각한 어려움이 있다는 것을 의미한다.

[그래프1] 지역별 침해 사실을 인지하는데 소요된 일수(평균)

  • 맨디언트를 고용하기 전, 일부 고객사들은 자체적으로 혹은 외부업체를 고용해 포렌식 조사를 실시했지만 공격자를 시스템에서 완전히 제거하는데 실패했다. 몇몇 조직들은 맨디언트를 고용하기 전 일부 장비를 분석 한 후 이를 바탕으로 조사를 확대해가는 기존의 조사방법을 고수했으며, 이로 인해 침해의 전체적인 규모를 파악하는데 어려움을 겪었다. 또한, 침해 경험이 부족한 리더에 의해 조사가 이루어지는 경우가 많아 공격자를 특정하기 위해 필수적인 포렌식 증거를 훼손하며 상황을 더욱 악화시켰다. 맨디언트는 기업 규모의 침해사고를 정확하게 파악하고 신속하게 대응하기 위해 시스템 전수조사를 권장하고 있다.

파이어아이 맨디언트 컨설팅 APJ 부사장 롭 반데 엥드(Rob van der Ende) “사실 아태지역 조직들이 사이버 침해 탐지 및 대응을 위한 보안역량을 갖추지 않은 것은 놀랄 일이 아니다. 앞으로 아태지역의 정부 기관들은 적극적으로 이 문제를 해결하기 위해 노력해야 할 것”이라며 “사이버 공격을 빠르게 탐지하고 대응하기 위해서 조직들은 기술, 위협 인텔리전스 그리고 전문가를 확보하고 이를 적절히 조화시킬 수 있어야 한다. 흔히 모래사장에서 바늘을 찾는 것에 비유되는 침해조사에 있어서 공격자의 바늘 찾는데 계속해서 실패하고 있는 기존의 방법을 고수하는 대신 최신의 침해 대응 기술을 도입하는 것이 효과적일 것”이라고 말했다.

한편, 파이어아이 코리아 전수홍 지사장은 “맨디언트는 풍부한 침해 조사 경험과 전문 인력을 바탕으로 글로벌 시장에서 침해사고 조사 및 대응에 있어 독보적인 서비스를 제공하고 있다. 올 하반기부터는 국내 시장에서도 본격적으로 맨디언트 서비스를 만나볼 수 있을 예정”이라며 “침해 조사 경험이 풍부한 국내 보안 인력을 맨디언트 사업부에 충원하며 이제부터 한국어 지원을 비롯한 국내 서비스가 더욱 원활해졌다. 이를 통해 국내 기업들이 보안 위협에 보다 체계적으로 대응하고, 피해를 최소화할 수 있도록 최선을 다해 지원할 것이다”라고 말했다.

                               참고자료

[표1] 2015년 아태지역 침해사고 조사 통계

위 통계에 대해서

  • 맨디언트는 고객 당 평균 21,583개의 시스템을 조사했고, 그 중 침해된 시스템은 겨우 78개였다 (약 0.4%). 침해사고의 시점을 조사할 때 조사원들은 사실 상 모래사장에서 바늘을 찾고 있는 셈이다. 또한, 대다수의 침해된 시스템에 그 어떤 악성코드도 깔려있지 않았는데, 이점은 백신 및 엔드포인드 보호 솔루션이 최근의 침해사고에 있어서 무력하다는 것을 보여준다.
  • 맨디언트는 평균적으로 한 침해사고 당 인증된 사용자 계정 10개와 인증된 관리자 계정 3개가 침해되었음을 발견했다. 특정 공격 동안 어떤 침해된 인증정보가 사용되었는지 확인하는 것은 침해사고의 전체 규모를 이해하는 데 매우 중요하다.
  • 아태지역에 대한 모든 조사에서 고객 당 평균 3.7GB의 데이터가 유출됐다. 그러나 이는 아태지역의 긴 공격 지속 시간(520일)과 로그 파일 롤오버 시간(사이즈 제약으로 인해 보안 로그 파일이 정기적으로 덮어쓰기 되는 프로세스)으로 인해 침해 조사원들은 증거를 충분히 확보할 수 없었으며 손실된 데이터의 총 규모를 파악하는 것을 어렵게 만들었다. 이는 피해조직 당 평균 3.7GB 데이터 유출이라는 수치는 낙관적인 수치일 수 있으며 실제 상황은 훨씬 더 나쁠 수 있다는 점을 시사한다.

 

###

파이어아이에 대하여

파이어아이는 사이버 공격 방어에 특화된 가상 머신(MVX) 기반의 보안 플랫폼을 개발한 보안솔루션 업체로, 지능형 지속위협(APT), 제로데이와 같이 기업과 정부 기관을 대상으로 발생하는 차세대 위협에 대응하는 실시간 위협 탐지 보안 솔루션을 제공하고 있다. 파이어아이의 보안 솔루션은 시그니처 기반의 방화벽, IPS, 안티바이러스 및 웹 게이트웨이가 탐지 할 수 없는 제로데이 공격이나 변종 공격을 행위 기반 분석을 통해 효율적으로 탐지하고 차단한다. 파이어아이의 위협 차단 플랫폼은 위협으로부터의 보호를 위해 시그니처 사용 없이 주요 위협 벡터 및 각기 다른 단계의 공격 실행 주기에 걸친 실시간의 역동적인 위협 방어 솔루션을 제공한다. 파이어아이 플랫폼의 핵심은 사이버 공격을 실시간으로 차단하기 위해 역동적인 위협 인텔리전스에 의해 보완된 가상 실행 엔진이다. 파이어아이의 솔루션은 전세계 67개 국가에 걸쳐 포브스 선정 글로벌 기업 2000개 중 940개 기업을 포함한 5,000개 기업에서 사용 중이다. 보다 자세한 사항은 www.fireeye.kr 에서 확인 할 수 있다.

 

자료 문의

파이어아이 코리아        김세라 이사 / 02-559-0726 / sera.kim@fireeye.com

민커뮤니케이션                    대표메일 / 02-3495-7824 / fireeye@mincomm.com