윤리적 해커(Ethical Hacker)를 대상으로 한 최신 설문조사 결과는 가장 일반적인 초기 액세스 수단이 무엇인지 그리고 엔드투엔드 공격이 어떻게 발생하는지 등 다양한 인사이트를 제공한다.
산스 인스티튜트(SANS Institute)와 보안 회사 비숍 폭스(Bishop Fox)의 최신 보고서(2022 SANS Survey Report: Inside the Minds & Methods of Modern Adversaries)에 따르면 윤리적 해커의 약 40%가 (자신이) 테스트한 대부분의 환경에 침입할 수 있다고 밝혔다. 약 60%는 취약점만 파악하면 5시간 안에 침투할 수 있다고 말했다.
이번 설문조사는 정보 보안 분야에서 다양한 수준의 경력과 전문성을 갖추고 있는 300명 이상의 윤리적 해커를 대상으로 실시됐다. 보고서에 의하면 정찰, 악용, 권한 상승, 데이터 유출 등 공격 체인의 각 단계당 평균 ‘5시간’을 필요로 했으며, 엔드투엔드 공격에는 24시간 미만이 소요되는 것으로 조사됐다.
특히 윤리적 해커가 침투 테스트를 하거나 레드팀(모의 적군)으로 참여할 때 사용할 수 있는 기술이 제한돼 있다는 점을 고려한다면 기업들이 평균 탐지 시간과 평균 격리 시간을 개선해야 할 필요가 있다고 보고서는 전했다.
해커는 단 ‘몇 시간’ 만에 공격 가능한 취약점을 찾는다
특정 환경의 취약점을 파악하는 데 필요한 시간을 묻는 질문에 전체 응답자의 57%가 ‘10시간 이하’라고 말했다. 16%는 ‘6~10시간’, 25%는 ‘3~5시간’, 11%는 ‘1~2시간’, 5%가 ‘1시간 미만’이라고 답했다.
28%는 ‘모른다’라고 전했다(그 이유는 다양했으며, 10시간 이상 걸린다는 의미는 아니었다). 이는 많은 윤리적 해커가 (중요한 지표가 아니거나 시간에 민감한 사안이 아니라는 점에서) 경계 탐색 및 조사에 소요되는 시간을 추적하지 않기 때문일 수 있다. 아울러 (테스트한) 환경의 규모부터 자산 수, 익숙함 등 많은 요인도 영향을 미칠 수 있다고 보고서는 덧붙였다.
한편 해커 가운데 3분의 2 이상은 내부 보안팀에서 일했거나 현재 일하고 있다고 답했으며, 절반은 공격적인 보안 업체의 컨설턴트로 근무했다고 말했다. 전체 응답자의 약 90%는 정보 보안 자격증이 있었고, 주요 전문 분야로는 네트워크 보안, 내부 침투 테스트, 애플리케이션 보안, 레드팀 구성, 클라우드 보안 등이 있었다. 코드 레벨 보안, IoT 보안, 모바일 보안은 덜 보편적이었다(30% 이하).
산스의 디지털 포렌식 및 사고 대응 부문 강사 매트 브로밀리는 “조사 결과 애플리케이션 보안, 네트워크 보안, 내부 침투 테스트 경험이 있는 응답자의 대다수가 5시간 안에 익스플로잇 가능한 취약점을 찾을 수 있다고 밝혔다”라고 전했다.
약 58%는 발견한 취약점을 익스플로잇하는 데 ‘5시간 이하’가 필요하다고 답했으며, 25%는 ‘1~2시간’, 7%는 ‘1시간 미만’이라고 말했다. 취약점을 유발하는 요소로는 ▲ 서드파티 연결, ▲ 급격한 애플리케이션 개발 및 배포, ▲ 클라우드 인프라 도입, ▲ 재택근무, ▲ 인수합병 순으로 꼽혔다.
가장 많이 접하는 취약점 유형으로는 ‘잘못된 구성’이 1위를 차지했으며, ‘취약한 소프트웨어’, ‘노출된 웹 서비스’, ‘민감한 정보 노출’, ‘인증 또는 액세스 관리 문제’가 그 뒤를 이었다.
브로밀리는 “또한 클라우드 보안 경험이 있는 응답자에게 부적절하게 구성되거나 안전하지 않은 클라우드/IaaS 자산을 얼마나 자주 맞닥뜨리는지 질문했다. ‘대부분(half the time)’, ‘대개(more often than not)’이라는 응답이 다수였다. 잘못 구성된 퍼블릭 클라우드 또는 IaaS 자산을 거의 보지 못하거나(4.6%) 반대로 항상 보고 있다(8%)는 응답은 소수에 불과했다. 이는 기업들이 (공격자에게 악용될 수 있는) 취약점, 불안정성, 부적절한 구성을 노출하는 애플리케이션을 개발하고 배포한다는 유감스러운 사실을 뒷받침한다”라고 설명했다.
권한 상승 및 내부망 이동도 빠르게 이뤄진다
보고서에 의하면 ‘5시간 이하’는 공격의 모든 단계에 만연한 것처럼 보인다. 실제로 전체 응답자의 36%는 초기 침투 후 3~5시간 안에 권한을 상승하고 환경 안에서 측면 이동할 수 있다고 밝혔으며, 20%는 2시간 안에 할 수 있다고 추정했다. 데이터 수집 및 유출도 마찬가지였다. 전체 응답자의 22%는 3~5시간, 24%는 1~2시간, 16%는 1시간 미만이 소요될 것이라고 말했다.
“(이를 통해) 공격자가 일반적으로 5시간 안에 해킹을 할 수 있다는 사실을 알 수 있다. 내부망 이동이든, 권한 상승이든, 데이터 유출이든 보안팀은 사전에 식별하고 가능한 한 신속하게 대응할 역량을 갖춰야 한다”라고 브로밀리는 언급했다.
아울러 엔드투엔드 공격을 완료하는 데 필요한 평균 시간을 묻는 질문에 대부분의 응답자(57%)는 ‘24시간 미만’이라고 밝혔으며, 23%는 모르겠다고 말했다.
적절한 감지 및 대응 방법이 필요하다
보안팀에게 좋은 소식이 있다면, 초기 공격 벡터를 차단한 방어책을 우회하는 새 공격 방법으로 전환해 성공적이었다고 답한 비율이 38%에 그쳤다는 점이다. 이는 적절한 탐지 및 대응 방법을 갖추면 침투 시도를 차단하는 데 도움이 된다는 의미다. 해커는 (공격에) 성공하지 못하는 경우 저항이 적은 경로를 선택하고, 더 쉬운 표적으로 이동하기 때문에 더욱더 그렇다.
또 전체 응답자의 59%는 침투 시 오픈소스 도구를 활용한다고 말했으며, 14%는 퍼블릭 익스플로잇 팩을 사용한다고 답했다. 6%만이 프라이빗 익스플로잇을 쓰며, 7%는 직접 작성한 사용자 정의 도구를 활용한다고 전했다. 다시 말해, 보안팀은 알려진 퍼블릭 도구 및 익스플로잇을 방어하는 데 집중하여 많은 가치를 얻을 수 있다.
하지만 안타깝게도, 전체 응답자의 4분의 3은 공격을 차단하는 데 효과적인 탐지 및 대응 역량을 갖춘 기업이 소수 또는 일부에 불과하다고 밝혔다. 약 50%는 기업들이 클라우드 및 애플리케이션 관련 공격을 탐지하고 방지하는 역량이 보통 또는 매우 낮다고 지적했다. dl-ciokorea@foundryco.com
