Trace Id is missing

외부 공격 표면의 구조

다운로드
공유
외부 표면 공격의 구조 이해

조직이 모니터링해야 하는 5가지 요소

조직들이 클라우드로 이동하고 분산형 작업으로 전환함에 따라 사이버 보안 세계는 점점 더 복잡해지고 있습니다. 오늘날 외부 공격 표면은 여러 클라우드와 복잡한 디지털 공급망, 대규모 제3자 에코시스템을 망라해 걸쳐 있습니다. 결과적으로 현재 일반적인 글로벌 보안 문제의 규모는 포괄적인 보안의 인식을 근본적으로 변화시켰습니다.

이제 인터넷은 네트워크의 일부가 되었습니다. 그 무한에 가까운 규모에도 불구하고 보안 팀은 인터넷 전반에서 마치 모든 것이 방화벽으로 막혀 있는 것과 같은 수준으로 조직을 방어해야 합니다. 갈수록 많은 조직이  제로 트러스트 원칙을 채택함에 따라 내부 및 외부 표면을 보호하는 것이 인터넷 규모의 과제가 되었습니다. 따라서 조직이 공격 표면의 전체 범위를 이해하는 것이 점점 더 중요해지고 있습니다.

Microsoft는 조직이 전체 디지털 엔터프라이즈의 보안을 평가할 수 있도록 지원하기 위해 2021년에  Risk IQ를 인수했습니다.  RiskIQ 인터넷 인텔리전스 그래프를 통해 조직은 공격 표면을 구성하는 구성 요소, 연결, 서비스, IP 연결 디바이스, 인프라 전반에서 위협을 발견하고 조사하여 탄력적이고 확장성 있는 방어를 구축할 수 있습니다.

보안 팀의 경우 방어해야 할 대상의 깊이와 폭이 어려워 보일 수 있습니다. 그러나 조직의 공격 표면의 범위를 관점에 두는 한 가지 방법은 공격자의 관점에서 인터넷을 생각하는 것입니다. 이 기사에서는 효과적인 외부 공격 표면 관리의 과제를 더 잘 구성하는 데 도움이 되는 5가지 영역을 중점적으로 설명합니다.

글로벌 공격 표면은 인터넷과 함께 성장합니다.

또한 글로벌 공격 표면은 매일 성장하고 있습니다. 2020년에는 인터넷의 데이터 양이 40제타바이트, 즉 40조 기가바이트에 달했습니다.1 RiskIQ는 매분마다 117,298개의 호스트와 613개의 도메인2 이 글로벌 공격 표면의 복잡한 구조를 구성하는 서로 엮어진 수많은 스레드에 추가된다는 사실을 발견했습니다. 이들 각각에는 기본 운영 체제, 프레임워크, 제3자 애플리케이션, 플러그 인, 추적 코드와 같은 요소 집합이 포함되어 있습니다. 이러한 너트와 볼트가 포함된 이러한 빠르게 확산되는 각 사이트로 인해 글로벌 공격 표면의 범위가 기하급수적으로 증가합니다.

인터넷과 함께 성장하는 글로벌 공격 표면

  • 매분 생성되는 호스트
  • 매분 생성되는 도메인
  • 매분 발생하는 새로운 375개의 위협2

합법적인 조직과 위협 행위자 모두 이러한 성장에 기여하고 있으며 이는 사이버 위협이 인터넷의 나머지 부분과 함께 규모가 커진다는 것을 의미합니다. 정교한 APT(지속적인 지능형 위협)과 사소한 사이버 범죄는 데이터, 브랜드, 지적 재산, 시스템, 사람을 표적으로 삼아 기업의 안전을 위협합니다.

2021년 1분기에 CISCO는 611,877개의 고유 피싱 사이트를 감지했으며,3 이 중 32개의 도메인 침해 이벤트와, 분당 총 375개의 새로운 위협이 나타났습니다.2 이러한 위협은 악성 자산을 보유하고 있는 조직의 직원과 고객을 표적으로 삼아 악성 링크를 클릭하고 중요한 데이터를 피싱하도록 유도하며, 이 모든 것은 브랜드 신뢰와 소비자 신뢰를 약화시킬 수 있습니다.

원격 인력으로 인한 취약점 증가

인터넷에 노출된 자산의 급속한 성장으로 인해 일반 조직에 영향을 미치는 위협과 취약성의 범위가 극적으로 확대되었습니다. COVID-19의 출현으로 거의 모든 조직이 매우 유연한 원격 인력과 비즈니스 모델을 수용하기 위해 디지털 공간을 확장하면서 디지털 성장이 다시 한 번 가속화되었습니다. 그 결과 공격자는 이제 훨씬 더 많은 액세스 지점을 조사하거나 악용할 수 있게 되었습니다.

RDP(원격 데스크톱 프로토콜) 및 VPN(가상 사설망)과 같은 원격 액세스 기술의 사용은 각각 41% 및 33%4급증했으며 전 세계 대부분이 재택 근무 정책을 채택했습니다. 글로벌 원격 데스크톱 소프트웨어 시장 규모는 2019년 15억 3천만 달러에서 2027년에는 46억 9천만 달러에 달할 것입니다.5

원격 액세스 소프트웨어 및 디바이스의 수십 가지 새로운 취약성이 공격자에게 이전에는 없었던 발판을 제공했습니다. RiskIQ는 가장 널리 사용되는 원격 액세스 및 주변 디바이스의 많은 취약한 인스턴스를 찾아냈으며 취약성의 증가 속도는 느려지지 않았습니다. 2021년에는 전체적으로 18,378건의 취약점이 보고되었습니다.6

새로운 취약성 환경

  • RDP 사용 증가
  • VPN 사용 증가
  • 2021년에 보고된 취약점

여러 위협 그룹에 의해 오케스트레이션되고 디지털 엔터프라이즈에 맞게 맞춤화된 글로벌 규모의 공격이 증가함에 따라 보안 팀은 디지털 공급망의 관계 내에서 자체적으로, 제3자, 파트너, 통제되거나 통제되지 않는 앱, 서비스의 취약성을 완화해야 합니다.

디지털 공급망, M&A, 섀도 IT가 숨겨진 공격 표면을 만듭니다.

대부분의 사이버 공격은 네트워크에서 수 마일 떨어진 곳에서 발생합니다. 웹 애플리케이션은 해킹 관련 침해에 가장 일반적으로 악용되는 벡터 범주를 구성했습니다. 불행하게도 대부분의 조직에서는 인터넷 자산과 해당 자산이 글로벌 공격 표면에 어떻게 연결되는지에 대한 전체적인 관점이 부족합니다. 이러한 가시성 부족의 세 가지 주요 요인은 섀도 IT, M&A(인수 합병), 디지털 공급망입니다.

위험한 상태 종속성

  • 분당 만료된 서비스2
  • 거래 중 사이버 보안 실사 포함7
  • 제3자에 의한 데이터 유출을 한 번 이상 경험한 조직의 비율8

섀도 IT

 

IT가 비즈니스 요구 사항을 따라갈 수 없는 경우 비즈니스는 새로운 웹 자산을 개발하고 배포하는 데 필요한 지원을 다른 곳에서 찾습니다. 보안 팀은 이러한 섀도 IT 활동과 관련하여 알지 못하는 경우가 많으며 결과적으로 생성된 자산을 보안 프로그램 범위 내로 가져올 수 없습니다. 관리되지 않고 고아가 된 자산은 시간이 지남에 따라 조직의 공격 표면에서 골칫거리가 될 수 있습니다.

방화벽 외부의 디지털 자산의 급속한 확산은 이제 일반적인 추세입니다. 새로운 RiskIQ 고객은 일반적으로 생각했던 것보다 약 30% 더 많은 자산을 찾고 있으며 RiskIQ는 1분마다 15개의 만료된 서비스(하위 도메인 탈취에 취약함)와 143개의 열린 포트를 감지합니다.2

인수 합병

 

M&A, 전략적 파트너십, 아웃소싱과 같은 일상적인 운영과 중요한 비즈니스 이니셔티브는 외부 공격 표면을 만들고 확장합니다. 오늘날 전 세계적 거래의 10% 미만에 사이버 보안 실사가 포함됩니다.

실사 프로세스 중에 조직이 잠재적인 사이버 위험을 완전히 파악하지 못하는 데에는 몇 가지 일반적인 이유가 있습니다. 첫 번째는 조직이 획득하고 있는 회사의 디지털 입지의 규모입니다. 대규모 조직이 수천, 심지어 수만 개의 활성 웹 사이트와 기타 공개적으로 노출되는 자산을 보유하는 것은 드문 일이 아닙니다. 인수 대상 회사의 IT 및 보안 팀에는 웹사이트의 자산 등록이 있지만, 이는 거의 항상 존재하는 자산의 부분 보기에 불과합니다. 조직의 IT 활동이 분산될수록 격차는 더욱 커집니다.

공급망

 

기업은 현대 공급망을 형성하는 디지털 제휴에 점점 더 의존하고 있습니다. 이러한 종속성은 21세기 운영에 필수적이지만, 제3자 관계의 어수선하고 계층적이며 매우 복잡한 웹을 만들기도 하며, 이들 중 상당수는 사전 예방적으로 보호하고 방어하기 위한 보안 및 위험 팀의 범위를 벗어납니다. 결과적으로 위험을 알리는 취약한 디지털 자산을 신속하게 식별하는 것은 큰 과제입니다.

이러한 종속성에 대한 이해와 가시성이 부족하여 제3자 공격은 위협 행위자에게 가장 빈번하고 효과적인 벡터 중 하나가 되었습니다. 이제 상당한 양의 공격이 디지털 공급망을 통해 발생합니다. 현재 IT 전문가의 70%는 제3자, 제4자, 제5자를 포함할 수 있는 외부 엔터티에 대한 종속성이 중간에서 높은 수준에 이른다고 밝혔습니다.9 동시에, 조직의 53%는 제3자에 의해 발생한 데이터 침해를 적어도 한 번 이상 경험했습니다.10

대규모 공급망 공격이 점점 더 일반화되고 있는 반면, 조직에서는 매일 소규모 공격을 처리하고 있습니다. Magecart와 같은 디지털 신용 카드 스키밍 악성 소프트웨어는 타사 전자상거래 플러그 인에 영향을 미칩니다. 2022년 2월 RiskIQ는 Magecart 디지털 신용 카드 스키밍 악성 소프트웨어의 영향을 받은 도메인을 300개 이상 감지했습니다.11

평균 소비자의 라이프스타일이 모바일 중심으로 되어감에 따라 기업은 매년 모바일에 더 많은 투자를 하고 있습니다. 이제 미국인들은 라이브 TV를 시청하는 것보다 모바일에서 더 많은 시간을 보내고 있으며, 사회적 거리두기로 인해 쇼핑, 교육 등의 더 많은 실질적 요구 사항이 모바일로 이동하게 되었습니다. App Annie는 2021년 모바일 지출이 1,700억 달러(USD)의 엄청난 규모로 증가했으며, 이는 전년 대비 19%의 성장세를 기록했음을 보여 줍니다.12

모바일의 이러한 수요는 모바일 앱의 대규모 확산을 가져옵니다. 2020년 사용자는 2,180억 개의 앱을 다운로드했습니다. 한편 RiskIQ는 2020년에 사용할 수 있는 모바일 앱의 전반적인 성장률이 33% 증가했으며, 매분 23개의 입이 등장하고 있다고 밝혔습니다.2

공격 표면이 증가하고 있는 App Store

  • 모바일 앱의 성장
  • 매분 등장하는 모바일 앱
  • 5분마다 차단된 앱2

조직의 경우 이러한 앱은 비즈니스 성과를 창출합니다. 그러나 양날의 검이 될 수 있습니다. 앱 환경은 방화벽 너머에 존재하는 기업의 전체 공격 표면에서 중요한 부분을 차지하며, 보안 팀은 종종 심각한 가시성 부족으로 어려움을 겪습니다. 위협 행위자들은 이러한 근시안 이용하여 잘 알려진 브랜드를 흉내 내거나 사칭하는 "사기 앱"을 제작하고 고객을 속여 다운로드하도록 했습니다. 의심하지 않는 사용자가 이러한 악성 앱을 다운로드하면 위협 행위자는 중요한 정보를 피싱하거나 디바이스에 악성 소프트웨어를 업로드하여 원하는 대로 할 수 있습니다. RiskIQ는 5분마다 악성 모바일 앱을 차단 목록에 추가합니다.

이러한 사기 앱은 공식 스토어에 드물게 나타나며 심지어 주요 앱 스토어의 강력한 방어 체계를 무너뜨리기도 합니다. 그러나 평판이 좋지 않은 수백 개의 앱 스토어는 평판이 좋은 스토어의 상대적인 안전성을 벗어난 어두운 모바일 지하 세계를 나타냅니다. 이러한 스토어의 앱은 공식 앱 스토어보다 규제가 훨씬 덜하며, 일부에서는 악성 앱이 넘쳐나 안전한 앱보다 더 많게 됩니다.

글로벌 공격 표면은 조직의 공격 표면의 일부이기도 합니다.

오늘날의 글로벌 인터넷 공격 표면은 우리 모두가 속해 있는 역동적이고 포괄적이며 완전히 얽힌 생태계로 극적으로 변모했습니다. 인터넷에 접속하면 해를 끼치려는 사람들을 포함한 다른 모든 사람과 상호 연결되어 있습니다. 이러한 이유로 위협 인프라를 추적하는 것은 자체 인프라를 추적하는 것만큼이나 중요합니다.

글로벌 공격 표면은 조직의 공격 표면의 일부입니다.

  • 매일 감지되는 새로운 악성 소프트웨어2
  • 악성 소프트웨어 변종 증가13
  • 49분마다 운영되는 Cobalt Strike 서버2

다양한 위협 그룹은 인프라(IP, 도메인, 인증서)를 재활용하고 공유하며 악성 소프트웨어, 피싱 키트, C2 구성 요소와 같은 오픈 소스 상용 도구를 사용하여 고유한 요구 사항에 맞게 속성을 쉽게 파악하고 조정하고 개선합니다.

매일 560,000개 이상의 새로운 악성 소프트웨어가 탐지되고 있으며, 지하 사이버 범죄 마켓플레이스에 광고된 피싱 키트의 수가 2018년에서 2019년 사이에 두 배로 늘어났습니다. 2020년에는 탐지된 악성 소프트웨어 변종 수가 74% 증가했습니다.14 RiskIQ는 이제 49분마다 Cobalt Strike C2 서버를 탐지합니다.

전통적으로 대부분 조직의 보안 전략은 경계에서 시작하여 보호해야 하는 자산까지 다시 계층화하는 심층 방어 접근 방식이었습니다. 그러나 이 보고서에 제시된 것처럼 이러한 종류의 전략과 공격 표면 사이에는 단절이 있습니다. 오늘날의 디지털 참여 세계에서 사용자는 점점 더 많아지는 노출된 기업 디지털 자산과 많은 악의적인 행위자들과 마찬가지로 경계 밖에 앉아 있습니다. 기업 리소스 전반에 제로 트러스트 원칙을 적용하면 오늘날 인력의 보안을 지원하여 사람, 디바이스, 애플리케이션, 데이터 등을 위치 또는 직면한 위협의 규모에 관계없이 보호할 수 있습니다. Microsoft Security는 조직의 제로 트러스트 성숙도를 평가할 수 있는 일련의 대상 평가 도구를 제공합니다.

관련 기사

분 단위 사이버 위협

사이버 공격 중에는 매초가 중요합니다. 전 세계 사이버 범죄의 규모와 범위를 설명하기 위해 1년간의 사이버 보안 연구를 60초 분량으로 압축했습니다.
자세한 정보

RaaS(서비스형 랜섬웨어)

사이버 범죄의 최신 비즈니스 모델인 사람이 조작하는 공격 방식으로 인해 다양한 능력을 가진 범죄자들이 더 대담해졌습니다.
자세한 정보

IoT의 성장과 위험에 빠진 OT

IoT 순환이 증가함에 따라 잠재적 취약성이 늘어나고 위협 행위자에게 노출되면서 OT가 위험에 처했습니다. 조직을 보호하는 방법을 알아보세요.
자세한 정보