[보안뉴스 문가용 기자] 공격자들이 새로운 취약점을 익스플로잇 하는 데에는 보통 수일에서 수주 정도 걸린다. 그런데 방어자들이 새로운 취약점 소식을 접하고 연구하고 필요한 대책을 마련하는 데에는 평균 96일이나 걸린다고 한다. 이런 내용을 담은 보고서 ‘사이버 워크포스 벤치마크 2022’가 이머시브랩스(Immersive Labs)에 의해 발표됐다.
[이미지 = utoimage]
보고서에 의하면 사이버 보안 전문가들 대부분 매체에 언급된 취약점들에 훨씬 많은 시간과 노력을 투자하는 경향을 가지고 있다고 한다. 별다른 주목을 받지 못한 취약점들은 보안 전문가들도 무시하는 게 대부분이며, 대응 방식 역시 산업별로 천차만별의 모습을 보여준다는 것도 언급됐다. 예를 들어 교통이나 사회 기반 시설 관련 산업의 보안 전문가들은 레저, 엔터테인먼트, 도소매 업체의 담당자들보다 두 배 이상 느리게 새로운 보안 기술을 습득한다고 조사됐다.
이는 바람직한 것과 거리가 먼 숫자들이다. 미국 사이버 보안 담당 기관인 CISA는 모든 취약점들에 대한 패치가 15일 이내에 적용되어아 한다고 권고하고 있는데, 이 정도 속도는 맞춰주어야 취약점이 실제로 익스플로잇 될 확률이 유의미하게 줄어들기 때문이다. 이머시브랩스의 연구 책임자 케빈 브린(Kevin Breen)은 “업계나 정부나 패치에 걸리는 시간을 줄이기 위해 여러 가지 방안을 내고 있지만 현실은 아직 느리기만 하다”고 말한다.
사이버 보안 위협과 훈련
이머시브랩스는 이번 연구와 조사를 위해 약 2100개의 조직을 분석했다고 한다. 그 결과 새로운 위협에 대해 인지하고 대처하는 데 걸리는 시간은 레저와 엔터테인먼트 산업이 평균 65일로 가장 빨랐고, 교통 분야가 145일로 가장 느린 것으로 나타났다. 전자상거래 등 사업이 태생적으로 디지털 기술을 기반으로 하고 있을 경우도 비교적 대처가 빠른 편으로 조사됐다.
기업들이 집중하는 사이버 보안 훈련 분야가 무엇인지 조사했을 때 주로 초기의 공격 실행 단계인 것으로 나타났다. 데이터 수집과 침투 단계에 많은 훈련의 노력이 할애되고 었었던 것이다. 브린은 “그럴 수밖에 없다”는 의견이다. “초기 단계에 공격자를 잡아낼수록 피해가 줄어들거든요. 초기에 사건을 막아내고 싶은 게 사람의 자연스러운 심리이죠. 그래서 공격을 중단시키는 것을 훈련하지, 실제 상황에서 어떻게 대처해야 하는지를 가르쳐주지 않는 편입니다.”
취약점 대처에 걸리는 시간을 줄이는 데에 있어 매체의 역할이 상당히 크다는 것도 발견됐다. 예를 들어 대서특필 되었던 로그4j 취약점의 경우 대처법을 학습하는 데 걸린 시간은 평균 5일에 불과했다. 그 외에도 매체에 많이 등장하는 취약점일수록 보안 담당자들의 대처가 빨라지는 것으로 나타났다.
보안 교육과 훈련에 있어서 산업별로 다양한 방법이 동원된다는 사실도 이번 조사를 통해 드러났다. 연간 가장 많은 ‘위기 사태 대응 훈련’을 실시하는 분야는 기술(9회), 금융(7회), 정부(6회) 분야의 조직들이었다. 반면 교육 분야의 조직들은 연간 2회에 그쳤다. 하지만 교육 분야 조직이라고 해도 한 번에 많은 사람들이 참여하는 교육 프로그램을 진행할 경우(한 회당 21명 이상) 평균보다 2~3배 더 많은 수를 기록하기도 했다.
랜섬웨어 시나리오
훈련에 있어서 전반적으로 가장 높은 점수를 기록한 곳은 제조업이었다. 그리고 가장 낮은 곳은 의료 분야였다. 전자는 85%, 후자는 18%였다. “보안을 ‘체크리스트 방식’으로 해결하려는 산업들이 여전히 존재합니다. 법이 정하는 최소한의 기준만 억지로 맞추는 것이죠. 최소한의 참여자들만 동원해 최소한의 훈련만 합니다. 1년에 한 번 보안 훈련을 하면 많이 하는 곳들입니다.”
어떤 산업에서 가상의 보안 훈련을 하더라도 사람들이 가장 두려워하고 대처에 자신 없어 하는 위협은 랜섬웨어인 것으로 나타났다. 83%의 조직들이 산업 불문 랜섬웨어 공격자들에게 돈을 주지 않을 것이라고 답을 한 가운데, 교육 분야에서는 지불할 가능성이 25%인 것으로 기록됐고 사회 기반 시설의 경우 0%인 것으로 나타났다.
브린은 “사이버 보안 사고를 가장한 실제 훈련을 최대한 자주 하는 것이 좋다”고 권고한다. “그리고 다양한 분야의 사람들을 참여시켜야 합니다. 맨날 하던 사람만 해서는 소용이 없습니다. 인사부에서 일어날 수 있는 일, 총무부에서 일어날 수 있는 일, 연구 개발 팀에서 일어날 수 있는 일을 해당 부서만이 아니라 다른 사람들도 알게 해 줘야 보안 훈련의 성과가 나타날 확률이 높습니다. 괜히 보안이 조직 전체의 책임이라는 말이 나오는 게 아니거든요.”
3줄 요약
1. 보안 취약점 나오면 공격자는 수일~수주 안에 활용, 방어자는 90일 넘게 방치.
2. 레저, 엔터테인먼트, 상거래 쪽은 비교적 빠르게 대처, 교통과 기반 시설 분야는 제일 느림.
3. 랜섬웨어 대응에 대한 자신감이 가장 낮은 게 현 상황.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>