지난 5년 동안 85% 조직은, 적어도 한 번의 랜섬웨어 공격을 경험한 것으로 나타났고, 이중 74%는 여러 번의 사고를 경험한 것으로 조사됐다.

지난 10일, 엑스트라홉(지사장 김훈철 https://www.extrahop.com)은 IT 의사 결정권자(ITDM)가 자사의 보안 역량과 진화하는 랜섬웨어 공격에 대응하고 있는 현실간의 불일치 정도를 분석한 ‘엑스트라홉 사이버 신뢰 지수 2022(ExtraHop Cyber Confidence Index 2022)’(표지, 사진)를 발표, 이같이 전했다. 

보고서에 따르면, IT 조직의 보안 대응이 빠르게 진화하는 랜섬웨어 공격에 적절하게 대응하지 못하고 있는 것으로 나타났다.

엑스트라홉이 후원해 웨이크필드 리서치(Wakefield Research)에서 실시한 이번 설문 조사에 따르면, IT의사결정권자의 77%가 사이버 보안 위협을 예방하거나 완화할 수 있는 회사의 보안 역량을 매우 또는 완전히 신뢰하고 있는 것으로 나타났다.

▲ (출처 : 엑스트라홉 제공)

반면, 이같은 자신감에도 불구하고 64%는 사이버 보안 사고의 절반 또는 그 이상이 안전하지 않고 사용되지 않는 프로토콜의 광범위한 사용과 관리되지 않는 기기의 증가 등 구시대적인 IT 보안 환경을 개선하지 못한 결과라고 인정했다.

지난 5년 동안 85%가 적어도 한 번의 랜섬웨어 공격을 경험했으며, 74%는 여러 번의 사고를 경험했다고 응답했다.

이같은 강력한 보안 환경을 구축하고 있다는 자신감은 랜섬웨어 공격의 빈도에 비춰 볼 때 훨씬 더 위험하다.

‘엑스트라홉 사이버 신뢰 지수 2022’ 보고서의 주요 내용은 ▲랜섬웨어 공격에 몸값 지불 ▲막대한 비즈니스 피해 발생 ▲보안 통찰력 확보 위해 관계자간 긴밀한 협력 필요 ▲랜섬웨어 공격에 취약한 오래된 프로토콜을 사용하는 재택근무 환경 ▲조직은 사이버 공격을 당했을 때 투명한 정보 공개를 원하지 않아 ▲치명적인 취약점에 대한 느린 대응 시간 등이다.

◆랜섬웨어 공격에 몸값 지불 = 랜섬웨어의 비용은 높아 응답자의 72%가 몸값을 지불한 적이 있다고 응답했으며, 랜섬웨어 공격을 당한 기업 중 42%는 요구된 몸값을 모두 지불했다고 답했다.

◆막대한 비즈니스 피해 발생 = 랜섬웨어 공격은 조직 전체에 영향을 미친다.

응답자 중 51%는 IT 인프라에 대한 공격으로 인한 비즈니스 다운타임, 44%는 의료기기, 공장 자동화 시스템 등의 OT 인프라에 대한 공격으로 인한 비즈니스 다운타임, 46%는 사용자를 대상으로 한 공격으로 인한 최종 사용자 다운타임이 발생했다고 응답했다.

◆보안 통찰력 확보 위해 관계자간 긴밀한 협력 필요 = 랜섬웨어 대응 시에 가장 큰 문제가 무엇인지에 대한 질문에 43%가 네트워크, 보안 및 클라우드 운영 팀 간의 협력 부족을 언급했다.

또한 40%는 투자 부족을, 39%는 직원에게 관련 교육을 위해 오랜 시간 소요, 35%는 부적절하거나 중복되는 보안 솔루션을 언급했다.

◆랜섬웨어 공격에 취약한 오래된 프로토콜을 사용하는 재택근무(WFH: 워킹프롬홈) 환경 = 재택 근무로 전환했음에도 불구하고 응답자의 69%는 보다 안전한 HTTPS 연결 대신 암호화되지 않은 HTTP 연결을 통해 민감한 데이터를 전송하고 있는 것으로 나타났다.

또 다른 68%는 전 세계적으로 10억 달러(한화 약 1조 2370억원) 이상의 피해를 입힌 워너크라이(WannaCry) 및 낫페트야(NotPetya)와 같은 주요 랜섬웨어 공격 시에 악용되는 구식 프로토콜인 SMBv1을 여전히 실행하고 있는 것으로 조사됐다.

◆조직은 사이버 공격을 당했을 때 투명한 정보 공개를 원하지 않아 = 응답자의 2/3(66%)가 공격 당했다는 사실을 공개하는 것이 좋다는 데는 동의했지만, 실제로는 39%만이 공격이 실제로 발생했을 때 정보를 공개할 의향이 있다고 말했다.

◆치명적인 취약점에 대한 느린 대응 시간 = 패치를 설치하거나 취약한 솔루션을 종료하여 심각한 취약점에 대응해야 하는 상황일 때 대응 시간은 빠르지 않았다.

대부분의 공격을 막을 수 있을 시간인 하루 이내에 대응하는 비율은 26%였으며, 39%는 1~3일, 24%는 최대 일주일, 8%는 1개월 이내에 대응했다.

제프 코스트로우(Jeff Costlow) 엑스트라홉 CISO는 “이번 연구에서 정교한 공격 환경의 현실과 많은 비즈니스 리더가 공격 관리 능력에 대해 갖고 있는 과신 사이의 불일치를 확인할 수 있다”며 “철벽 수비수에게는 클라우드, 온프레미스 및 원격 환경 전반에서 공격자의 활동을 추적하여 비즈니스를 손상시키기 전에 공격을 식별하고 차단할 수 있는 툴이 필요하다”라고 밝혔다.

이 연구는 기업이 클라우드 기술과 원격 인력을 통해 계속 혁신하고 있음에도 불구하고 IT 인프라가 구식 프로토콜을 기반으로 하고 있어, 공격자가 네트워크에 침투해 랜섬웨어 공격을 가할 수 있는 지속적인 기회를 제공하고 있음을 보여준다고 엑스트라홉은 설명했다.

조직이 네트워크 가시성과 통찰력을 확보하지 못하면 지속적인 랜섬웨어 공격을 예방하는데 장애물이 될 수 있다.

이같은 과제를 해결하기 위해 조직은 모든 기기에서 네트워크 통신을 캡처하고, 행동 분석(behavioral analytics) 및 AI(인공지능)과 같은 기술을 사용하여 진행 중인 랜섬웨어 공격을 알리는 행동을 감지할 수 있어야 한다.

엑스트라홉의 NDR(Network Detection and Response: 네트워크 탐지 및 대응) 솔루션 ‘리빌엑스-Reveal x) 360’은 분산된 업무 및 운영 환경뿐만 아니라, 멀티-클라우드 및 하이브리드 워크로드 전반에 대해 온디멘드 통합 가시성을 제공, 랜섬웨어 공격자의 측면 이동과 기타 침해 후 활동(Post-Compromise)을 탐지, 실제 피해를 입기 전에 중지할 수 있다.

<김동기 기자>kdk@bikorea.net