CISO의 58%가 랜섬웨어 대가 지불 의향 — 원격 엔드포인트가 공격 주도

CISO의 58%가 랜섬웨어 대가 지불 의향 — 원격 엔드포인트가 공격 주도

Absolute Security의 새 보고서가 보안 전문가들이 수년간 주목해 온 문제에 정확한 수치를 제시했습니다. 분산 인력 환경에서 랜섬웨어 원격 엔드포인트 VPN 보호는 더 이상 선택 사항이 아닙니다. 연구에 따르면 최고정보보안책임자(CISO)의 58%가 공격을 종료하기 위해 랜섬을 지불하는 것을 고려하겠다고 밝혔으며, 운영 중단이 주된 요인으로 꼽혔습니다. 더욱 주목할 만한 점은 설문에 참여한 기업의 57%가 랜섬웨어 공격이 원격 또는 하이브리드 엔드포인트 기기에서 시작되었다고 응답했다는 것입니다. 이 두 수치를 종합하면 기업 보안이 어디서 실패하고 있는지, 그리고 그 실패가 얼마나 큰 비용을 초래하는지가 명확히 드러납니다.

원격 및 하이브리드 엔드포인트가 랜섬웨어의 주요 침투 경로가 된 이유

분산 근무로의 전환은 많은 조직이 완전히 파악하지 못했고, 보안은 더더욱 확보하지 못한 광범위한 공격 표면을 만들어 냈습니다. 원격 엔드포인트, 즉 가정 네트워크에서 접속하는 직원 노트북, 공용 Wi-Fi를 사용하는 계약자 기기, 사무실과 원격 환경을 오가는 하이브리드 근무자의 기기는 기업 보안팀의 직접적인 가시성 밖에 놓이는 경우가 많습니다. 이러한 기기들은 오래된 소프트웨어를 실행하거나, 취약한 인증 방식을 사용하거나, 잘못 구성된 터널을 통해 기업 시스템에 접속할 수 있습니다.

공격자들은 이를 간파했습니다. 원격 데스크톱 프로토콜(RDP)과 VPN 자격 증명은 랜섬웨어 캠페인에서 가장 흔히 악용되는 초기 침투 벡터이며, 엔드포인트 기기는 흔히 가장 먼저 무너지는 지점입니다. 단 하나의 원격 기기가 침해되면 공격자는 이를 발판 삼아 네트워크 전반으로 횡적 이동을 시작하고, 대부분의 조직이 침입을 탐지하기도 전에 권한을 상승시켜 랜섬웨어 페이로드를 배포합니다. Absolute Security의 조사 결과, 공격의 57%가 원격 또는 하이브리드 엔드포인트에서 비롯되었다는 사실은 이것이 드문 위험이 아님을 확인해 줍니다. 이것이 바로 지배적인 공격 패턴입니다.

이 패턴의 결과는 개별 조직을 넘어 훨씬 광범위하게 미칩니다. 네덜란드 환자 데이터를 노출시킨 ChipSoft 랜섬웨어 공격은 공격자가 엔드포인트에서 대규모 민감 정보를 보유한 시스템으로 성공적으로 침투했을 때 어떤 일이 벌어지는지 잘 보여줍니다. 의료, 금융, 핵심 인프라 분야는 인력이 더욱 분산될수록 복합적인 위험에 직면합니다.

CISO의 58%가 랜섬을 지불하려는 이유, 그리고 이것이 대비 수준에 대해 시사하는 바

랜섬 지불 의향은 흔히 도덕적 또는 법적 문제로 다뤄지지만, Absolute Security의 데이터는 이를 운영 차원의 문제로 재정의합니다. CISO의 58%가 지불을 고려하겠다고 말할 때, 그것은 범죄 행위를 옹호하는 것이 아닙니다. 이는 대규모 공격 이후 발생하는 운영 중단을 심각한 재정적·명성 손실 없이 감당할 만큼 복구 역량이 충분하지 않을 수 있다는 것을 인정하는 것입니다.

이는 대비 부족의 문제입니다. 강력하고 검증된 백업 및 복구 인프라와 탄탄한 사고 대응 계획을 갖춘 조직은 지불이 유일한 선택처럼 느껴지는 상황에 처할 가능성이 훨씬 낮습니다. 설문에 응한 보안 리더 중 절반 이상이 지불을 고려하겠다고 답한 사실은 많은 기업이 여전히 준비가 부족하다는 것을 시사하며, 특히 공격이 전통적인 보안 경계 밖의 엔드포인트에서 시작될 때 더욱 그러합니다.

이는 또한 운영 중단의 비용이 얼마나 커졌는지를 반영합니다. 공급망, 고객 대면 서비스, 내부 운영 모두 시스템과 데이터에 대한 지속적인 접근에 의존합니다. 랜섬웨어가 해당 시스템을 잠그면 복구에 걸리는 매 시간이 측정 가능한 금전적 가치를 지닙니다. 랜섬 지불 결정을 이끄는 것은 도덕적 유연성이 아니라 바로 이 계산입니다. 그리고 FBI 국장 본인의 이메일 침해 사건이 보여주듯, 어떤 조직이나 개인도 표적 공격으로부터 완전히 자유로울 수 없습니다.

VPN 인프라가 공격 표면과 횡적 이동 위험을 줄이는 방법

잘 구현된 VPN은 만능 해결책이 아니지만, 올바르게 구성될 경우 원격 엔드포인트가 만들어 내는 노출을 크게 줄여 주는 기본 레이어입니다. 암호화된 터널은 보안되지 않은 네트워크에서의 자격 증명 탈취를 방지합니다. VPN 정책을 통해 시행되는 네트워크 세분화는 공격자가 내부로 침입했을 때 이동 가능한 범위를 제한합니다. 그리고 중앙 집중식 인증 요구 사항은 침해된 기기가 네트워크를 조용히 탐색하기 어렵게 만듭니다.

핵심 단어는 "올바르게"입니다. 단일 요소 인증에 의존하거나, 제한된 권한이 아닌 광범위한 네트워크 접근을 허용하거나, 장기간 패치가 적용되지 않은 VPN 구성은 그 자체가 공격 벡터가 될 수 있습니다. VPN 레이어에 적용되는 최소 권한 원칙은 침해된 엔드포인트가 전체 기업 네트워크가 아닌 필요한 특정 리소스에만 접근할 수 있도록 합니다. VPN 접근에 다중 인증(MFA)과 연결 전 엔드포인트 상태 검사를 결합하면 공격자를 늦추고 방어자가 대응할 시간을 벌어 주는 실질적인 장벽이 형성됩니다.

특히 하이브리드 인력의 경우, 업무용으로 사용되는 개인 기기를 포함한 모든 기기 유형에 걸쳐 일관된 VPN 정책 적용이 필수적입니다. Absolute Security 보고서가 묘사하는 공격 표면은 기술적 문제인 동시에 정책 적용의 공백이기도 합니다.

분산된 팀이 지금 당장 엔드포인트를 강화하기 위해 할 수 있는 일

Absolute Security의 조사 결과는 단순한 성찰이 아닌 행동의 계기가 되어야 합니다. 분산된 인력을 보유한 조직은 원격 엔드포인트가 초래하는 위험을 줄이기 위한 구체적인 조치를 취할 수 있습니다.

엔드포인트 인벤토리를 감사하십시오. 파악하지 못한 것은 보호할 수 없습니다. 계약자 및 개인 기기를 포함하여 기업 시스템에 접속하는 모든 기기의 완전하고 최신의 목록이 모든 엔드포인트 보안 전략의 출발점입니다.

모든 VPN 연결에 MFA를 적용하십시오. 이 단일 통제 조치만으로도 자격 증명 기반 공격의 상당 부분을 제거할 수 있습니다. 탈취된 비밀번호만으로는 원격 접근이 불가능해야 합니다.

역할별로 네트워크 접근을 세분화하십시오. 원격 사용자에게 광범위한 네트워크 접근을 허용하는 대신, 각 사용자 또는 기기 유형이 해당 업무와 관련된 시스템에만 접근할 수 있도록 VPN 정책을 구성하십시오. 이렇게 하면 기기가 침해되더라도 횡적 이동이 제한됩니다.

엔드포인트와 VPN 인프라를 일관되게 패치하십시오. 주목받는 많은 랜섬웨어 침입 사례는 이미 패치가 존재하는 알려진 취약점을 악용합니다. 자동화된 패치 관리는 공격자가 이용하는 인적 지연을 제거합니다.

복구 계획을 테스트하십시오. 오늘 당장 랜섬웨어가 가장 중요한 시스템을 공격한다면 복구에 얼마나 걸릴까요? 정기적인 탁상 훈련과 백업 복원 테스트를 실시하는 것이 이 질문에 정직하게 답하고 문제가 발생하기 전에 공백을 메우는 유일한 방법입니다.

Absolute Security 보고서는 현재 기업 보안의 랜섬웨어 대비 수준을 가늠하는 유용한 기준점입니다. 수치는 엄중합니다. 공격의 다수가 원격 엔드포인트에서 시작되고, 보안 리더의 다수가 지불이 불가피할 수 있다고 느낍니다. 그러나 이 수치들은 무엇을 바꾸어야 하는지도 분명히 가리킵니다. 엔드포인트 가시성, 강화된 VPN 정책, 검증된 복구 역량은 특별한 통제 수단이 아닙니다. 이는 모든 분산된 조직이 확인할 수 있어야 할 기본 기준입니다. 현재 설정이 실제로 그 기준을 충족하는지 평가하는 것이 시작점입니다.