
ZDNET을 팔로우하세요: 우리를 선호 소스로 추가하세요 Google에서.
ZDNET의 주요 시사점
- 기업 네트워크에 대한 공격이 점점 더 빈번해지고 있습니다.
- 사이버범죄자들은 AI를 사용하고 있지만 인간은 여전히 가장 약한 고리로 남아 있습니다.
- 공격으로부터 방어하려면 네트워크의 구조적 변경이 필요합니다.
현대 사이버 전쟁의 역설은 다음과 같습니다. 공격자는 기계를 제어하는 인간보다 훨씬 빠르게 작업할 수 있는 기계를 점점 더 많이 사용하고 있습니다. 이에 대응하여 표적은 침입자를 탐지하고 격퇴하기 위해 점점 더 자동화된 시스템으로 전환하고 있습니다.
그러나 이 기계 대 기계 전투에서 인간은 각 전투의 중심으로 남아 있고, 단순한 필멸자인 우리는 계속해서 약점이 됩니다. 이는 현재 Google Cloud에 속해 있는 미국 사이버 보안 회사인 Mandiant가 실시한 올해 기업 보안 환경 조사의 결론입니다. Mandiant는 주요 글로벌 보안 위반을 조사하고 사이버 위협으로부터 조직을 보호하는 방법에 대해 조언하는 전문 업체입니다.
또한: 버그가 출시되기 전에 중지하기: 예방적 보안으로의 전환
현대 기업 네트워크는 널리 분산되어 있으며 SaaS(Software-as-a-Service)를 통해 파트너에게 작업을 전달할 수 있습니다. Mandiant에 따르면 공격자들은 “분업” 모델을 사용하여 동일한 작업을 수행하고 있습니다. 한 그룹은 악성 광고나 가짜 브라우저 업데이트와 같은 영향이 적은 기술을 사용하여 네트워크에 액세스한 다음 손상된 대상을 보조 그룹에 넘겨 직접 액세스할 수 있도록 합니다.
그리고 이 모든 일은 놀라운 속도로 일어납니다. Mandiant는 2022년에 이 “인계 시간”이 8시간 이상이었다고 보고했습니다. 2025년에는 자동화 덕분에 이러한 핸드오프가 평균 22초 만에 이루어졌습니다. 마찬가지로, 제로데이 익스플로잇으로 시스템을 손상시킬 수 있는 기간도 급격하게 줄어들고 있으며, 벤더가 패치를 발표할 시간을 갖기 전 취약점을 익스플로잇하는 평균 시간이 7일로 단축되었습니다.
공격자 식별
Mandiant에 따르면 손상된 기업 네트워크에서 “직접 키보드 작업”을 수행하는 대부분의 공격자는 전술과 속도가 뚜렷하게 다른 두 그룹으로 나눌 수 있습니다. 사이버 범죄자는 랜섬웨어와 같은 도구를 사용하여 금전적 이익을 추구하는 반면, 간첩 그룹은 장기적이고 은밀한 액세스를 최적화합니다.
스펙트럼의 한쪽 끝에서는 즉각적인 영향과 고의적인 복구 거부에 최적화된 사이버 범죄 그룹이 있습니다. 다른 한편으로는 극도의 지속성을 위해 최적화된 정교한 사이버 스파이 그룹과 내부자 위협으로, 모니터링되지 않는 엣지 장치와 기본 네트워크 기능을 활용하여 탐지를 회피합니다.
이러한 “체류 시간”, 즉 침입에서 탐지까지의 시간은 평균 14일이지만 사이버 스파이 사건은 평균 체류 시간이 122일로 훨씬 더 오래 지속될 수 있습니다.
또한: 패치 런닝머신: 기존 애플리케이션 보안이 더 이상 충분하지 않은 이유
Mandiant는 표적이 되고 있는 16개 이상의 산업 분야를 확인했으며, 그중 하이테크 부문(17%)과 금융 부문(14.6%)이 목록의 최상위에 올랐습니다.
침입이 발생하는 곳
놀랄 일은 아닙니다. 감지된 침입의 거의 1/3이 악용으로 인해 발생합니다. 두 번째로 가장 일반적으로 관찰되는 벡터는 “MFA(다단계 인증)를 우회하고 SaaS(Software-as-a-Service) 환경에 대한 초기 액세스를 얻기 위해” IT 헬프 데스크를 대상으로 하는 그룹이 있는 “고도의 대화형 음성 기반 사회 공학”입니다.
또한 정찰, 사회 공학, 맬웨어 개발을 위한 인공 지능 도구의 채택이 증가하는 것도 놀라운 일이 아닙니다. 그들은 네트워크에 접근한 후 “공격자들이 AI를 무기화하고 있습니다. QUIETVAULT 자격 증명 도용자는 사전 정의된 프롬프트를 실행하여 구성 파일을 검색하고 GitHub 및 NPM 토큰을 수집하기 위해 AI(명령줄) 도구가 대상 컴퓨터에 있는지 확인하는 것이 관찰되었습니다.”라고 보고했습니다.
또한: 이 4가지 중요한 AI 취약점은 방어자가 대응할 수 있는 것보다 더 빠르게 악용되고 있습니다.
그러나 AI는 여전히 부차적인 역할을 하고 있습니다. 보고서는 “이러한 급속한 기술 발전에도 불구하고 우리는 2025년을 침해가 AI의 직접적인 결과인 해로 간주하지 않습니다. 최전선에서 볼 때 성공적인 침입의 대다수는 여전히 근본적인 인간 및 시스템의 실패에서 비롯됩니다”라고 지적합니다.
악당들이 더 빠르게 움직이며 물건을 부수고 있습니다.
기술 업계 전체는 Mark Zuckerberg가 Facebook 엔지니어에게 남긴 악명 높은 명령인 “빠르게 움직여서 문제를 해결하라”는 교훈을 배웠습니다. 이는 랜섬웨어 공격이 백업 도구를 지원하는 가상 인프라를 표적으로 삼을 때 더욱 효과적이라는 사실을 발견한 사이버 범죄자의 경우에도 마찬가지입니다.
랜섬웨어 그룹은 더 이상 단순히 데이터를 암호화하는 것이 아닙니다. 그들은 회복 능력을 적극적으로 파괴하고 있습니다. … 클라우드 스토리지에서 백업 개체를 적극적으로 삭제합니다. … 가상화 스토리지 계층을 직접 대상으로 삼거나 하이퍼바이저 데이터 저장소를 암호화함으로써 연결된 모든 가상 머신을 동시에 작동 불가능하게 만들 수 있습니다.
또한: 보안 리더 2명 중 1명은 아직 AI 공격에 대비하지 못했다고 말합니다. 지금 취해야 할 4가지 조치
좋은 소식은 목표도 점점 더 똑똑해지고 있다는 것입니다. “조직은 내부 가시성을 개선하고 있습니다. 2025년 전체 조사에서 조직이 내부적으로 악의적인 활동의 증거를 처음 발견한 시간은 52%였으며 이는 2024년의 43%에서 증가한 것입니다.” 침입 증거를 빨리 발견할수록 복구 프로세스를 더 빨리 시작할 수 있습니다.
반격하는 방법
공격자가 점점 더 정교해지고 집요해짐에 따라 IT 작업자도 공격 능력을 강화해야 합니다. Mandiant의 조언에는 최신 공격 벡터를 인식하는 방법, 즉 음성 기반 도구 및 메시징 앱을 사용한 사회 공학 공격 인식과 승인되지 않은 MFA 재설정 요청에 대한 직원 및 헬프 데스크 직원을 위한 고급 교육이 포함됩니다.
다음은 네트워크 인프라 변경과 관련된 5가지 다른 방어 전략입니다.
- 가상화 및 관리 플랫폼을 가장 엄격한 액세스 제한이 있는 Tier-0 자산으로 취급하십시오.
- 복구 기능의 파괴에 대응하려면 기업 Active Directory 도메인에서 백업 환경을 분리하고 변경 불가능한 스토리지를 활용하십시오.
- 전체 에코시스템에 고급 위협 탐지를 배포하고 로그 보존 정책을 표준 90일 이상으로 확장합니다.
- SaaS 통합을 정기적으로 감사하고 중앙 ID 공급자(IdP)를 통해 모든 SaaS 애플리케이션을 라우팅합니다.
- 비정상적인 활동과 설정된 기준에서 벗어난 편차를 표시하는 행동 기반 탐지 모델을 구현합니다.
또한: 클라우드 공격은 점점 더 빨라지고 치명적입니다. 최선의 방어 계획은 다음과 같습니다.
결론적으로 Mandiant의 연구원들은 “신원이 새로운 경계”라고 지적합니다. 단순히 비밀번호를 교체하고 MFA를 시행하는 것만으로는 더 이상 충분하지 않습니다. 특히 제3자 공급업체를 통해 신원 통제를 강화하고 지속적인 신원 확인으로 전환하는 데 중점을 두는 것이 중요합니다.
자세한 정보 확인