49%의 랜섬웨어 피해자가 공격을 감지하기 전에 데이터를 잃는다

랜섬웨어는 언제나 고통스러운 문제였지만, 새 보고서는 탐지 실패가 얼마나 심각한 수준인지 드러낸다. 랜섬웨어 피해자의 거의 절반이 공격자가 네트워크 내에 침입했다는 사실을 깨닫기도 전에 데이터를 도난당했다. 이 수치는 전년의 31%에서 급격히 상승한 것으로, 해커들이 더욱 대담해지고 있을 뿐 아니라 훨씬 더 인내심 있고 은밀하게 움직이고 있음을 보여준다.

침투부터 탐지까지의 평균 체류 시간은 이제 약 2.5주에 달한다. 이는 공격자가 조용히 시스템을 파악하고, 가장 가치 있는 파일을 식별해 밖으로 빼내는 17일 이상의 시간을 의미하며, 그 사이에 단 한 번의 경고도 울리지 않는다.

진짜 위협은 유출이지, 단순한 암호화가 아니다

대부분의 사람들은 랜섬웨어를 극적인 사건으로 떠올린다. 파일이 잠기고, 몸값 요구 쪽지가 나타나고, 운영이 멈추는 이미지다. 이 그림은 점점 시대에 뒤처지고 있다. 현대의 랜섬웨어 그룹은 2단계 전략으로 전환했다. 먼저 데이터를 훔친다. 그런 다음 암호화를 배포할 때가 되면 피해자에게 두 가지 별개의 위협을 가한다. 접근 권한을 되찾기 위해 대가를 지불하고, 훔친 데이터가 공개되는 것을 막기 위해 다시 한 번 돈을 내라는 것이다.

이중 갈취라고 불리는 이 접근 방식은 모든 계산을 완전히 바꿔 놓는다. 암호화된 파일을 빠르게 복구할 수 있는 견고한 백업 시스템을 갖춘 조직조차도 민감한 고객 기록, 재무 문서 또는 지식재산권의 노출에 직면하게 된다. 이 시점에서 암호화는 거의 부차적인 문제가 된다.

연중 절반 이상의 사례에서 데이터 탈취가 갈취 활동의 일관된 특징으로 나타나고 있다는 사실은 이것이 일시적인 유행이 아님을 확인해 준다. 이제는 기본 플레이북이 됐다.

탐지가 점점 뒤처지는 이유

침입과 탐지 사이의 격차가 커지는 것은 몇 가지 문제들이 겹쳐진 결과다.

첫째, 공격자들은 대상 환경에 이미 존재하는 합법적인 도구를 점점 더 많이 사용한다. 보안 소프트웨어는 낯선 멀웨어 시그니처를 탐지하도록 설계되어 있지만, 공격자가 내장 시스템 유틸리티를 사용해 파일을 이동할 경우 그 행동은 정상적인 관리자 행동과 구별이 불가능해 보이는 경우가 많다.

둘째, 많은 조직이 여전히 경계 방어에 크게 의존한다. 방화벽과 암호화된 터널은 전송 중인 데이터를 보호하지만, 공격자가 유효한 자격 증명을 확보하거나 네트워크 내부에 거점을 마련한 후에는 경계 도구가 래터럴 무브먼트에 대한 가시성을 거의 제공하지 못한다.

셋째, 보안 운영 센터에서 경보 피로는 실제적이고 잘 입증된 문제다. 탐지 시스템이 하루에 수천 개의 정확도가 낮은 경보를 생성하면 진짜 침입 신호는 파묻혀 버린다. 공격자들은 이를 알고 있으며, 자신들의 활동을 소음이 심한 기간에 맞춰 수행한다.

이것이 VPN을 포함한 단일 도구에 의존하는 것이 잘못된 안전감을 심어주는 이유이기도 하다. VPN은 기기와 인터넷 사이의 트래픽을 암호화하여 전송 중인 데이터를 보호하고 IP 주소를 가린다. 하지만 VPN은 이미 손상된 기계에서 실행 중인 멀웨어를 탐지하거나 차단하지 못하며, 자격 증명이 탈취된 이후 공격자의 행동에 대한 가시성도 전혀 제공하지 않는다. 호주의 youX 데이터 유출 사건은 핀테크 기업에서 공격자가 민감한 신원 데이터에 접근해 표면적인 방어 수단을 우회하고 현실 세계에 연쇄적인 결과를 초래한 정교한 침입 사례를 잘 보여준다.

이것이 당신에게 의미하는 것

당신이 개인 전문가이든 조직의 IT 팀 일원이든, 평균 2.5주의 체류 시간은 보안에 대한 사고 방식을 재정립하게 해야 한다.

이제는 더 이상 “어떻게 공격자를 막을 것인가”라는 질문만으로 충분하지 않다. 동등하게 중요한 질문은 “누군가 이미 내부에 있다면 얼마나 빨리 알아챌 수 있고, 그들이 무엇을 찾아낼 것인가”이다.

개인 및 소규모 비즈니스에게 이것이 의미하는 바는 다음과 같다.

  • 자격 증명이 침해될 수 있다고 가정하라. 모든 곳에서 다중 요소 인증을 사용하라. 특히 이메일, 클라우드 스토리지, 원격 접근 도구에 사용해야 한다. 탈취된 자격 증명이 가장 흔한 진입점이다.
  • 접근 가능한 범위를 제한하라. 모든 시스템이나 파일 공유가 모든 기기에서 접근 가능해야 할 필요는 없다. 접근을 제한하면 공격자가 초기 진입 후 도달할 수 있는 범위를 줄일 수 있다.
  • 알려진 위협만이 아니라 이상 징후를 모니터링하라. 평소에는 전혀 건드리지 않는 파일에 사용자 계정이 갑자기 접근하는 등 비정상적인 행동을 표시하는 엔드포인트 탐지 도구가 시그니처 기반 안티바이러스 단독보다 더 가치 있다.
  • 사고 대응 계획을 갖춰라. 확정된 침해 사고 발생 첫 1시간 동안 취해야 할 정확한 단계를 알고 있으면 피해를 크게 제한할 수 있다. 많은 조직이 절실히 필요해서야 비로소 문서화된 프로세스가 전혀 없다는 사실을 깨닫는다.
  • 백업을 분할하라. 주 시스템과 동일한 네트워크에 저장된 백업은 공격자가 체류 기간 동안 암호화하거나 삭제할 수 있다. 오프라인 또는 불변 백업은 별도의 보호 계층을 제공한다.

VPN은 특히 신뢰할 수 없는 네트워크에서 트래픽을 보호하고 수동적 감시로부터 프라이버시를 지키는 데에 진정으로 유용한 도구로 남아 있다. 그러나 그 역할은 완전한 방어 체계가 아닌, 여러 계층 중 하나일 뿐이다.

계층화된 방어 전략 구축

가장 효과적인 보안 태세는 탐지를 예방과 동등한 우선순위로 다룬다. 예방은 결코 완벽하지 않으며, 데이터는 공격자들이 이를 우회하는 데 더 능숙해지고 있음을 확인해 준다. 공격자를 막는 데에만 투자하고 일단 내부로 들어왔을 때 탐지하는 데에는 아무런 투자를 하지 않는 조직과 개인은, 가장 중요한 시기에 사실상 장님이나 마찬가지다.

계층화된 방어란 경계 도구, 엔드포인트 모니터링, 네트워크 트래픽 분석, 엄격한 접근 통제, 사용자 교육을 결합하는 것을 의미한다. 어떤 단일 제품도 모든 간극을 메울 수 없으며, 이것이 바로 보안 업계가 단 하나의 만병통치약 대신 심층 방어를 이야기하는 이유다.

탐지 전 데이터 도난의 급격한 증가는 위협 환경이 성숙했음을 분명히 보여주는 신호다. 공격자들은 그 어느 때보다도 규율과 인내심을 가지고 활동하고 있다. 이에 대응하는 적절한 방식은 그 규율에 맞춰 동등하게 신중하고 계층화된 방어 체계를 구축하는 것이지, 사고가 발생한 후 반응적으로 도구를 사들이는 것이 아니다.

보유하고 있는 민감한 데이터가 무엇인지, 어디에 있는지, 누가 접근할 수 있는지 감사하는 것부터 시작하라. 그 가시성만으로도 이미 대부분의 표적보다 앞서 나가게 될 것이다.