피해 줄이는 건 결국 시간 싸움...하지만 탐지와 복구 모두 느려
[보안뉴스 문가용] 누가 당하고, 몇 백만 건의 정보가 유출되었고, 피해액은 얼마로 예상되며, 후속 소송이 다시 시작되었다... 일반적인 보안사고의 뻔한 시나리오다. 공격자가 누군가로 추정이나 되면 다행이다. 그 공격이 발견되는 데에 시간이 얼마나 걸렸고, 공격자들은 얼마나 네트워크에 머물러서 스파이 행위를 했으며, 복구에 얼마큼의 시간이 걸리는지 한 사건이 총정리 되는 경우는 거의 없다. 정리를 마치기 전에 이미 다른 사건이 또 터지고 있기 때문이기도 하고, 시작과 끝이 깔끔하게 딱 떨어지는 경우가 드물기 때문이다.
그래서 ‘사고가 많이 일어난다더라’, ‘보안 문제가 심각하더라’, ‘우리 개인정보는 이미 공공재’라는 모호한 말들로 인한 필요 없는 공포감이나 때 이른 해이를 방지하기 위해 여러 사건들의 평균 통계 수치를 살펴보는 것이 중요하다. 그래서 몇 가지 보안 사고에 대한 통계 수치를 몇 가지 정리해보았다.
1. 146일
파이어아이 맨디언트(FireEye Mandiant)의 조사에 의하면 공격자가 피해자의 컴퓨터 환경에 머무르는 평균 기간은 146일이라고 한다. 매우 길게 보이기도 하지만 2015년의 200일에 비하면 상당히 낮아진 수치다. 한편 포네몬(Ponemon)에서 조사한 수치는 201일로 146일보다 조금 길다.
2. 56일
재미있는 건 공격을 어떤 식으로 발견해냈느냐에 따라 공격자가 머무르는 날수가 들쭉날쭉해진다는 사실이다. 역시 맨디언트의 보고서에서 나온 내용으로, 피해 조직이 내부적인 조사로 인해 직접 공격을 발견한 경우 공격자가 머무르는 평균 기간은 56일로 대폭 줄어든다. 외부 업체가 발견한 경우 평균 기간은 320일로 크게 늘어난다. 아직 이런 현상에 대한 이유가 밝혀지지는 않았다. 다만 그만큼 ‘스스로를 보호할 수 있는 역량’이 중요하다는 점이 드러났다고 볼 수 있다.
3. 1백만 달러
매우 당연하지만, 유출사고를 늦게 파악하고 유출 자체를 막는 데 시간이 지체되면 될수록 피해 금액이 늘어난다. 여기까지는 누구나 아는 사실이다. 포네몬이 여기에 숫자를 더했다. 100일 안에 유출을 탐지한 경우, 그렇지 않은 경우보다 평균 1백만 달러의 손해를 막을 수 있다고 분석한 것. 100일에 100만달러 이득이라면 꽤나 괜찮지 않은가.
4. 98.6%
빨리 빨리 일을 처리하면 당연히 좋겠지만 현실은 그렇지 않다. 솔직히 대다수 조직들이 공격을 탐지하는 데에 꽤나 긴 기간이 걸린다. 속도전에서 해커들이 일방적으로 유린하고 있는 형국이다. 버라이즌의 조사에 의하면 98.6%의 경우 침투부터 유출까지 걸리는 시간은 많아야 수일이다.
5. 70일
탐지 후 유출을 완전히 막는 데 걸리는 평균 일수다. 공격을 탐지한 건 단지 첫 걸음일 뿐이다. 그 공격에 대해서 조치를 취하는 게 그 다음인데, 포네몬에 의하면 보통 한 기업이 그 조치를 완전히 취하는 데에 70일이 걸린다고 한다. 첫 걸음과 두 번째 걸음 모두 빠르다고 말하기 힘든 수준이다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용] 누가 당하고, 몇 백만 건의 정보가 유출되었고, 피해액은 얼마로 예상되며, 후속 소송이 다시 시작되었다... 일반적인 보안사고의 뻔한 시나리오다. 공격자가 누군가로 추정이나 되면 다행이다. 그 공격이 발견되는 데에 시간이 얼마나 걸렸고, 공격자들은 얼마나 네트워크에 머물러서 스파이 행위를 했으며, 복구에 얼마큼의 시간이 걸리는지 한 사건이 총정리 되는 경우는 거의 없다. 정리를 마치기 전에 이미 다른 사건이 또 터지고 있기 때문이기도 하고, 시작과 끝이 깔끔하게 딱 떨어지는 경우가 드물기 때문이다.
그래서 ‘사고가 많이 일어난다더라’, ‘보안 문제가 심각하더라’, ‘우리 개인정보는 이미 공공재’라는 모호한 말들로 인한 필요 없는 공포감이나 때 이른 해이를 방지하기 위해 여러 사건들의 평균 통계 수치를 살펴보는 것이 중요하다. 그래서 몇 가지 보안 사고에 대한 통계 수치를 몇 가지 정리해보았다.
1. 146일
파이어아이 맨디언트(FireEye Mandiant)의 조사에 의하면 공격자가 피해자의 컴퓨터 환경에 머무르는 평균 기간은 146일이라고 한다. 매우 길게 보이기도 하지만 2015년의 200일에 비하면 상당히 낮아진 수치다. 한편 포네몬(Ponemon)에서 조사한 수치는 201일로 146일보다 조금 길다.
2. 56일
재미있는 건 공격을 어떤 식으로 발견해냈느냐에 따라 공격자가 머무르는 날수가 들쭉날쭉해진다는 사실이다. 역시 맨디언트의 보고서에서 나온 내용으로, 피해 조직이 내부적인 조사로 인해 직접 공격을 발견한 경우 공격자가 머무르는 평균 기간은 56일로 대폭 줄어든다. 외부 업체가 발견한 경우 평균 기간은 320일로 크게 늘어난다. 아직 이런 현상에 대한 이유가 밝혀지지는 않았다. 다만 그만큼 ‘스스로를 보호할 수 있는 역량’이 중요하다는 점이 드러났다고 볼 수 있다.
3. 1백만 달러
매우 당연하지만, 유출사고를 늦게 파악하고 유출 자체를 막는 데 시간이 지체되면 될수록 피해 금액이 늘어난다. 여기까지는 누구나 아는 사실이다. 포네몬이 여기에 숫자를 더했다. 100일 안에 유출을 탐지한 경우, 그렇지 않은 경우보다 평균 1백만 달러의 손해를 막을 수 있다고 분석한 것. 100일에 100만달러 이득이라면 꽤나 괜찮지 않은가.
4. 98.6%
빨리 빨리 일을 처리하면 당연히 좋겠지만 현실은 그렇지 않다. 솔직히 대다수 조직들이 공격을 탐지하는 데에 꽤나 긴 기간이 걸린다. 속도전에서 해커들이 일방적으로 유린하고 있는 형국이다. 버라이즌의 조사에 의하면 98.6%의 경우 침투부터 유출까지 걸리는 시간은 많아야 수일이다.
5. 70일
탐지 후 유출을 완전히 막는 데 걸리는 평균 일수다. 공격을 탐지한 건 단지 첫 걸음일 뿐이다. 그 공격에 대해서 조치를 취하는 게 그 다음인데, 포네몬에 의하면 보통 한 기업이 그 조치를 완전히 취하는 데에 70일이 걸린다고 한다. 첫 걸음과 두 번째 걸음 모두 빠르다고 말하기 힘든 수준이다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
