Microsoft 디지털 방어 보고서 2022
수 없이 많은 일상적 보안 신호에서 얻을 수 있는 인사이트
고유한 이점
올해로 3년차를 맞이한 Microsoft 디지털 방어 보고서(구 Microsoft 보안 인텔리전스 보고서, 총 22개)의 목표는 발전하는 디지털 위협 지형을 사이버 범죄, 국가 단위 위협, 디바이스 & 인프라, 사이버 영향력 공작 등 4개 영역에서 조명하는 동시에 사이버 복원력을 강화하기 위한 인사이트와 참고 자료를 제공하는 것입니다.
Microsoft는 전 세계 수십억 고객에게 서비스를 제공하면서 폭넓고 다양한 조직 및 소비자로부터 보안 데이터를 수집했습니다. 이 보고서는 클라우드, 엔드포인트, 인텔리전트 에지 등 Microsoft 전반에서 발생한 신호 인텔리전스의 폭과 깊이를 바탕으로 합니다. 이 고유한 이점은 공격자의 다음 행보를 예측하는 데 도움이 되는 지표 등 위협 지형 및 사이버 보안 현황에 대한 고충실도 그림을 제공합니다. Microsoft는 고객의 사이버 복원력과 에코시스템의 보호를 강화하려면 투명성과 정보 공유가 필수적이라고 여깁니다.
이 개괄적인 보고서에서는 사이버 범죄의 현황, 사물 인터넷(IoT) 디바이스가 인기 표적이 되어가는 방식, 새로운 국가 단위 전술 및 사이버 용병의 부상, 사이버 영향력 작전, 그리고 무엇보다 이 시기에 복원력을 유지하는 방법에 대해 알아봅니다.
- 디지털 위협 및 범죄 사이버 활동을 이해하고 보호하기 위해 초당 43조 개의 신호가 정교한 데이터 분석 및 AI 알고리즘을 사용하여 합성됩니다.
- 77개 국가의 엔지니어, 연구원, 데이터 과학자, 사이버 보안 전문가, 위협 헌터, 지정학 분석가, 투자가, 최전방 대응자 8,500명.
- 고객의 사이버 복원력을 개선하는 보안 에코시스템의 파트너 15,000명 이상.
무작위 공격과 사이버 범죄가 급격히 늘어나면서 사이버 범죄가 계속 증가하고 있습니다. 러시아의 우크라이나 침략 도중 물리적 전쟁을 지원하기 위해 사용된 사이버 공격 방법과 범죄 인프라가 발전하면서 디지털 지형에서 이전보다 훨씬 다양한 위협이 관찰되고 있습니다.
범죄자들이 강화된 사이버 범죄 에코시스템을 활용하여 중요 인프라, 모든 규모의 비즈니스, 중앙 정부 및 지방 정부를 겨냥하면서 모든 사람에게 더 큰 위협을 가하고 있습니다. 랜섬웨어 공격의 범위가 더욱 대담해짐에 따라 그 효과의 범위도 더 넓어졌습니다. 이러한 위협에 대한 지속적이면서 성공적인 활동을 위해서는 정부 전체가 민간 부문과 긴밀하게 협력하여 전략을 수행해야 합니다.
Microsoft는 자사의 대응 및 복구 참여를 분석하면서 영향을 받은 조직에서 약한 ID 제어, 비효율적인 보안 운영, 불완전한 데이터 보호 전략을 계속 발견했습니다.
올해에는 무차별 피싱과 자격 증명 탈취가 크게 증가했으며, 이를 통해 획득한 정보가 판매되고 랜섬웨어, 데이터 반출 및 갈취, 비즈니스 전자 메일 침해 등의 공격에 사용됩니다.
성장하고 발전하는 서비스형 사이버 범죄(CaaS)는 전 세계 고객에게 위협이 됩니다. Microsoft DCU(디지털 범죄 전담반)은 CaaS 에코시스템이 지속적으로 성장하고 BEC(비즈니스 전자 메일 침해), 인간이 운영하는 랜섬웨어 등 사이버 범죄를 촉진하는 온라인 서비스의 수가 증가하는 것을 관찰했습니다. 갈수록 많은 CaaS 판매자들이 침해된 자격 증명을 판매하고자 하며, 탐지를 피하는 기능이 개선된 CaaS 서비스 및 제품도 증가하는 것이 확인됩니다.
공격자는 이러한 기술을 구현하고 운영 인프라를 호스팅하는 새로운 방법을 찾아내고 있습니다. 여기에는 비즈니스를 침해하여 피싱 캠페인을 호스팅하게 하거나, 맬웨어를 심거나, 해당 비즈니스의 연산력을 사용하여 암호화폐를 채굴하는 등의 수법이 포함됩니다. 사물 인터넷(IoT) 디바이스는 광범위한 봇넷을 사용하는 사이버 범죄자들에게 갈수록 더 많은 인기를 끌고 있는 표적입니다. 라우터가 패치되지 않고 인터넷에 직접 노출된 상태로 방치되면 위협 행위자들이 이를 악용하여 네트워크 액세스를 획득하고, 악성 공격을 실행하고, 자신들의 공작을 지원할 수도 있습니다.
지난 한 해 동안 민간인이 사회적, 정치적 목적을 달성하기 위해 사이버 공격을 수행하는 핵티비즘이 부상했습니다. 러시아와 우크라이나 전쟁의 일환으로 수천 명의 개인이 동원되어 공격을 수행했습니다. 이 추세가 계속될지는 지켜봐야 하지만, 기술 업계는 이 새로운 위협에 대한 포괄적인 대응책을 마련하기 위해 협력해야 합니다.
디지털 변환의 가속화는 중요 인프라 및 사이버-물리 시스템에 대한 사이버 보안 위험을 높였습니다. 조직들이 발전하는 컴퓨팅 능력을 활용하고 기업들이 디지털화를 이루면서 디지털 세계의 공격 표면이 기하급수적으로 늘어나고 있습니다.
빠른 IoT 솔루션 채택은 조직의 공격 벡터와 위험 노출을 높였습니다. 서비스형 맬웨어가 민간 인프라 및 기업 네트워크에 대한 대규모 공격으로 이동함에 따라 이러한 마이그레이션은 대부분의 조직이 대응할 수 있는 능력을 앞질렀습니다.
기존 IT 장비부터 운영 기술(OT) 컨트롤러, 단순 IoT 센서에 이르기까지 조직의 모든 부분에서 디바이스를 악용하는 위협이 증가하는 것이 관찰됐습니다. 전력망에 대한 공격, OT 운영을 방해하는 랜섬웨어 공격, 지속성 증가를 위한 IoT 라우터 활용 등을 활용했습니다. 그와 동시에 펌웨어(디바이스의 하드웨어 또는 회로판에 내장된 소프트웨어)의 취약성을 겨냥하여 치명적인 공격을 수행하는 사례가 늘고 있습니다.
이러한 위협에 대응하기 위해 전 세계 정부는 중요 인프라에 대한 사이버 보안 위험을 관리할 정책을 개발하고 있습니다. IoT 및 OT 디바이스 보안 개선을 위한 정책을 제정하는 곳도 많습니다. 전 세계적으로 확산되는 정책 이니셔티브는 사이버 보안을 강화할 막대한 기회를 제공하지만, 그와 동시에 에코시스템 전반의 이해 관계자에게 과제도 제시합니다. 여러 지역, 부문, 기술, 운영 위험 관리 영역에서 정책 활동이 동시에 추진됨에 따라 중복되거나 일관되지 않는 범위, 요건, 요건의 복잡성이 생길 수 있습니다. 공공 및 민간 부문 조직은 이 기회를 놓치지 말고 일관성을 위한 추가적인 참여와 노력을 통해 사이버 보안을 강화해야 합니다.
- 응답자 68%는 IoT/OT 채택이 전략적 디지털 변환에 중요하다고 믿습니다
- 60%는 IoT/OT 보안이 인프라에서 가장 덜 보호되는 측면이라고 인식합니다
지난해 국가 단위 사이버 위협 그룹이 소프트웨어 공급망 악용에서 IT 서비스 공급망 악용으로 넘어가면서 정부, 정책, 필수 인프라 부문의 다운스트림 고객에 도달하기 위해 클라우드 솔루션과 관리형 서비스 공급자를 겨냥했습니다.
조직이 사이버 보안 태세를 강화함에 따라 국가 단위 행위자들은 공격을 수행하고 탐지를 피하기 위해 고유한 새 전술을 추진하여 이에 대응했습니다. 제로 데이 취약성의 식별 및 악용이 이러한 활동의 핵심 전술입니다. 지난해 공개적으로 드러난 제로 데이 취약성의 수는 사상 최고 수준이었던 그 이전 해와 동등합니다. 많은 조직은 취약성 관리가 네트워크 보안에 포함되어 있다면 자신들이 제로 데이 악용의 피해자가 되지 않을 것이라고 생각합니다. 그러나 악용의 상업화로 인해 피해 속도가 훨씬 빨라지고 있습니다. 제로 데이 악용은 종종 다른 행위자에 의해 발견되며 단기간에 광범위하게 재사용되므로 패치되지 않은 시스템이 위험에 처합니다.
민간 부문 공격 행위자, 즉 사이버 용병 산업이 성장하고 있습니다. 이들은 네트워크, 컴퓨터, 휴대폰, 인터넷 연결 디바이스에 침투하기 위한 도구, 기술, 서비스를 개발하고 클라이언트(대체로 정부)에 판매합니다. 국가 단위 행위자를 위한 자산인 이들 집단은 종종 반체제 인사, 인권 운동가, 언론인, 시민 사회 운동가, 기타 민간인을 위험에 빠뜨립니다. 이 사이버 용병은 많은 국가들이 자체적으로는 개발하지 않는 고급 ‘서비스형 감시’ 역량을 제공합니다.
민주주의가 번영하려면 신뢰할 수 있는 정보가 필요합니다. Microsoft의 핵심 중점 영역은 국가 단위로 개발 및 지속되는 영향력 공작입니다. 이러한 캠페인은 신뢰를 무너뜨리고 양극화를 심화시키며 민주적 절차를 위협합니다.
특히 Microsoft는 특정 권위주의 정권들이 상호 이익을 위해 정보 에코시스템을 오염시키는 것을 목격했습니다. 대표적인 예시가 코로나19 바이러스의 기원을 숨기기 위한 캠페인입니다. 팬데믹이 시작된 이후 러시아, 이란, 중국의 코로나19 프로파간다는 이러한 중심 주제를 증폭하기 위해 적용 범위를 넓혔습니다.
2019년 이후 딥페이크 확산율 전년 대비 900% 증가
또한 우리는 AI 지원 미디어 제작 및 조작의 황금기를 맞이할 것으로 예상됩니다. 이러한 시대는 고도로 사실적인 합성 이미지, 비디오, 오디오, 텍스트를 인공적으로 생성하기 위한 도구 및 서비스의 확산과 특정 대상 그룹에게 최적화된 콘텐츠를 빠르게 퍼뜨리는 능력을 바탕으로 합니다. 더 장기적이고 교묘한 위협은, 우리가 보고 듣는 것을 더 이상 신뢰할 수 없게 되었을 때 무엇이 진실인지를 파악하기 어렵게 된다는 것입니다.
빠르게 변화하는 정보 에코시스템의 성질과 국가 단위 영향력 공작(민주주의 선거에 개입하는 기존 사이버 공격 포함)이 결합되면서 사회 전체적인 접근법이 필요해졌습니다. 투명성을 높이고 이러한 영향력 캠페인을 폭로하고 방해하기 위해서는 정부, 민간 부문, 시민 사회 전반의 협력과 정보 공유가 강화되어야 합니다.
디지털 에코시스템의 높아지는 위협 수준에 대응해야 한다는 시급성에 대한 인식이 높아지고 있습니다. 위협 행위자의 지정학적 동기는 국가가 정부를 불안정하게 만들고 글로벌 무역에 영향을 미치기 위해 공격적 사이버 공작을 더 많이 활용한다는 사실을 입증했습니다. 이러한 위협이 증가하고 발전함에 따라 조직 패브릭 내에 사이버 복원력을 구축하는 것이 중요합니다.
앞에서 살펴본 바와 같이, 많은 사이버 공격은 기본적인 보안 예방 조치를 따르지 않았기 때문에 성공합니다. 모든 조직이 채택해야 하는 최소 표준은 다음과 같습니다.
사이버 복원력 종 모양 곡선: 기본적인 보안 예방 조치만으로도 모든 공격의 98%에 대응할 수 있습니다. 이 이미지에 대해 2022 Microsoft 디지털 방어 보고서 109쪽에서 더 자세히 알아보세요.
- 명시적으로 확인: 리소스에 대한 액세스를 허용하기 전에 사용자와 디바이스가 정상적인 상태인지 확인합니다.
- 최소 권한 액세스 사용: 리소스에 액세스하는 데 필요한 권한만 허용하고 그 이상의 권한은 허용하지 않아야 합니다.
- 위반 가정하기: 시스템 방어가 침해되었고 시스템이 손상되었을 수 있다고 가정합니다. 즉, 가능한 공격이 있는지 환경을 지속적으로 모니터링합니다.
최신 맬웨어 방지 사용
공격을 탐지하고 자동으로 차단하도록 돕는 소프트웨어를 구현하고 보안 운영에 대한 인사이트를 제공합니다. 위협 탐지 시스템의 인사이트를 모니터링하는 것은 시기적절하게 위협에 대응하는 기능에 필수적입니다.
최신 상태 유지
많은 조직은 주로 패치되지 않고 오래된 시스템 때문에 공격의 희생자가 되곤 합니다. 펌웨어, 운영 체제, 애플리케이션을 비롯한 모든 시스템이 최신 상태인지 확인합니다.
데이터 보호
중요한 데이터와 해당 데이터의 위치 및 적절한 시스템이 구현되어 있는지 여부를 아는 것은 적절한 보호 기능을 구현하는 데 매우 중요합니다.
출처: Microsoft 디지털 방어 보고서, 2022년 11월