전 세계 디지털 공간 구석구석에서 하루에 78조 개의 신호를 수집해 분석하는 기업이 있다. 그렇게 나온 결과를 바탕으로 위협의 트렌드를 파악해 대응하기도 하고, 대응하는 김에 아예 보안 문화 자체를 새롭게 형성하려 하는 기업이다.
[보안뉴스 문가용 기자] ‘가시성’이 보안 업계에서는 늘 화두로 남아 있다. 볼 수 있어야 보호할 수 있다는 의미에서 늘 추구되는 건데, 끊임없이 새로운 장비와 애플리케이션과 데이터가 연결되었다가 사라지는 IT 인프라의 특성상 100%의 가시성을 늘 유지한 채 있기란 어렵기 때문에 앞으로도 꽤 오랜 시간 보안의 숙제로 남아 있을 가능성이 높다. 그러면서 모든 기업과 기관들은 그 100%라는 것에 최대한 가까이 도달하기 위해 여러 방법을 동원할 것이다.
▲마이크로소프트 DART의 디렉터 세이거가 ISEC 2024에서 강연을 하고 있다[사진=보안뉴스]
회사 하나의 가시성을 확보한다는 것도 어려운 일인데, 인터넷 전체 혹은 세계 전체의 사이버 공간을 다 파악한다는 건 얼마나 힘든 일일까? 그런데 이 어려운 일을 어느 정도 해내고 있는 기업이 있다. 수십년 전부터 사실상 세계 모든 나라 모든 지역에 자사 제품을 퍼트리는 데 성공한, 마이크로소프트(MS)다. 아무리 가난한 나라의 시골 마을이라도 윈도가 설치된 장비가 존재하고, 지구 상에 존재하는 거의 모든 기업과 학교에서는 MS의 오피스 제품군이 사용되고 있기 때문이다.
“MS는 전 세계적으로 수십억 명의 고객을 보유하고 있는 회사라는 특징을 가지고 있습니다. 그렇기 때문에 전 세계 디지털 생태계 전반을 파악할 수 있으며, 상상도 못한 곳에서까지 보안 관련 데이터를 받아 분석할 수 있습니다. 작년 한 해 동안 저희는 하루 평균 78조 개의 신호들을 받았습니다. 그 전 해에는 65조 개였는데 증가한 것이죠. 이런 방대한 데이터를 매일 확보하여 분석하다 보면 세계적인 사이버 위협의 흐름을 그 누구보다 정확히 파악할 수 있습니다.” 지난 17일 ISEC 2024의 키노트 연설자로 나선 MS 다트(DART) 사이버 보안 부문 디렉터인 폴 세이거(Paul Saigar)의 설명이다.
전 세계 들여다보니, 디도스와 비밀번호 문제 심각
다트는 ‘탐지와 대응 팀’이라는 의미다. Detect And Response Team의 첫 글자만 따서 만든 단어다. 전 지구 단위의 가시성을 확보하고 있는 MS가 운영하는 탐지 대응 팀인 다트는 다음과 같은 흐름을 파악할 수 있었다고 새이거는 강연자들에게 알렸다.
1) 지난 한 해 동안 1초에 평균 7천 번의 비밀번호 관련 공격이 발생했다.
2) 기업 이메일 침해(BEC) 공격은 지난 한 해 매일 평균 15만 6천 번 시도됐다.
3) 지난 한 해 하루 평균 1천 7백 번의 디도스 공격이 시도됐다.
그러면서 그는 디도스 공격의 증가세가 심상치 않다고 경고했다. “디도스 대행 플랫폼이 매년 빠르게 증가하고 있습니다. 지난 한 해에만 20% 이상의 증가가 있었습니다. 이 때문에 어느 기업 어느 기관이나 지속적인 트래픽 모니터링과 디도스 방지 대책을 마련해야 하는 상황입니다. 저희는 현재 14개의 디도스 대행 플랫폼을 지속적으로 관찰하고 있습니다. 이곳에서 일어나는 여러 가지 활동들을 통해 디도스 공격이 누구를 향할지 선제적으로 파악해 방어하려 하고 있습니다.”
다트가 중요하게 생각하고 주목하는 건 아이덴티티(신원)과 관련된 공격이다. 누군가의 신원을 도용하여 행하는 공격을 말하는데, 새이거에 의하면 “모든 아이덴티티 공격의 99%가 비밀번호와 관련이 있는 공격”이라고 한다. 즉 현재로서는 비밀번호 공격이 곧 아이덴티티 공격이라는 의미가 된다. “비밀번호를 온갖 플랫폼에 살포하여 로그인하는 비밀번호 스프레이 공격이라든지, 풀릴 때까지 암호를 대입하는 무작위 대입 공격이라든지, 디폴트 비밀번호나 사용자들이 가장 많이 사용하는 비밀번호를 알아내 대입하는 공격 등이 바로 비밀번호 관련 공격이라고 할 수 있습니다.”
하지만 MS는 물론 여러 빅테크들을 필두로 ‘비밀번호를 대체하자’는 운동이 이어지고 있고, 생체 인증 등을 활용한 새로운 로그인 기술들이 빠르게 퍼지고 있다. MS는 이런 차세대 인증 기술들이 완전하진 않지만 확실한 효과를 보인다고 강조한다. “특히 다중인증 시스템이 비밀번호 관련 공격들을 어렵게 만들고 있습니다. 신원을 노리는 공격이 99% 비밀번호와 관련이 있는 지금과 같은 상황에서 다중인증처럼 공격자들을 곤란하게 만드는 게 없습니다. 비밀번호를 애써 풀었는데, 그 다음 단계로 생체 정보나 두 번째 비밀번호를 다시 대입해야 하니까요.”
MS 다트가 파악한 바, 공격자들은 가만히 있지 않는다. 비밀번호를 공략하는 게 점점 어려워지고 있으니 이들은 다른 방법들을 동원하기 시작했다. “크게 세 가지 전략이 나타나고 있습니다. 비밀번호가 아니라 인프라 그 자체를 공격하는 것이 첫 번째이고, 인증 시스템을 아예 거치지 않아도 되도록 우회하는 방법을 구현하는 게 두 번째, 애플리케이션의 취약점을 익스플로잇 하는 게 세 번째입니다. 또한 ‘중간 공격자(adversary-in-the-middle, AiTM) 피싱 공격’과 ‘토큰 탈취’도 점점 인기가 높아지고 있습니다. AiTM 피싱 공격의 경우 지난 한 해 만에 146% 증가했습니다.”
이런 분석이 어떻게 가능한가?
하루 78조 개의 신호가 들어오고 분석된다는 게 말하는 것처럼 쉬운 일은 아닐 텐데, MS는 이를 어떻게 해내고 있을까? 디도스 증가나 비밀번호 공격의 위협이라는 위의 결론이 정확하다고 믿을 수 있으려면 MS가 78조라는 천문학적 숫자를 매일 어떻게 소화하는지를 알아야 한다. “MS는 보안 분야의 엔지니어만 3만 4천 명 넘게 보유하고 있습니다. 인공지능과 자동화를 기반으로 한 보안 도구들에 대한 투자도 아끼지 않아 엔지니어들이 최대한 효율적으로 작업을 할 수 있도록 하지요. MS 자체 기술력이 이러한 노력을 뒷받침해주고 있습니다. 당연하지만 외부 전문가와 유관 기관들과의 강력한 파트너십도 큰 도움이 됩니다.”
그 누구보다 많은 데이터를 분석해 확보한 가시성을 가지고 정확하게 분석해 빠르게 대응하는 게 MS 다트의 힘이자 주무기라고 할 수 있다고 그는 강조했다. 일반적으로 통계 자료의 신뢰성을 높이는 것 중 하나는 표본의 수다. 150명을 대상으로 한 여론조사와 150만 명을 대상으로 한 여론조사 결과가 주는 신뢰감은 다르다. MS 다트가 “이게 요즘의 사이버 보안(혹은 사이버 위협) 트렌드”라고 했을 때 무게감이 실릴 수밖에 없는 건, 지구 모든 곳에 MS 윈도나 오피스나 애저가 있기 때문이고, 분석되는 표본의 수가 남다르기 때문이다. 게다가 3만 명이 넘는 전문 엔지니어와 MS의 인공지능 기술이 합쳐졌다는 것도 신뢰도를 높인다.
그렇기에 MS 다트가 탐지를 빠르고 정확히 한다고 자랑할 때에는 그 말에 상식적으로 고개를 끄덕일 수 있다. 하지만 탐지 후에는 어떨까? 대응력도 강력할 수 있을까? 결과부터 말하자면 대응이라는 측면에 있어서는 ‘매일 78조 개의 신호를 분석하는 MS’만큼 큰 인상을 남기지는 않는다. 보안 사건의 대응이라는 게, 그 누가 하더라도 특별하고 ‘익사이팅’하기 힘들다는 특성을 가지고 있기 때문이다. “위협 요소를 빠르게 파악해 격리시키고, 그 위협 요소의 침투 경로를 파악해 보완하고, 손상 입은 것들을 복구합니다. 사건마다 세부적인 내용이 달라지긴 하지만 그런 큰 틀에서 대응이 진행됩니다.”
다만 MS 다트의 경우 사건 대응이라는 게 거기서 끝나지 않는다. 되도록이면 고객 IT 인프라까지 현대화시켜 후속 공격이 더 어려워지도록 하려 한다는 게 새이거의 설명이다. “특히 보안이라는 측면에 있어서 인프라의 현대화를 꾀합니다. 비밀번호만으로 로그인을 하던 방식을 다중인증 체제로 바꾸고, 제로트러스트(Zero Trust)라는 개념을 도입하여 공격자의 영향력이 빠르게 퍼지지 못하도록 막는 것을 말합니다. 최소한의 권한만을 꼭 필요할 때만 제공할 수 있도록 하고, 데이터 침해 사고가 이미 일어났다는 생각으로 인프라를 점검하거나 모니터링 하도록 하며, 현대화 된 보안 도구들을 제안하기도 합니다. 패치 관리 방식도 바꾸고, 데이터를 다루는 마음가짐 자체를 변화시키려 하기도 합니다.”
즉 다트는 ‘피해 복구’를 넘어 ‘보안 문화의 뿌리 내리기’까지를 ‘대응┖이라고 여기고 있다고 볼 수 있다. “보안의 역할은 위험이나 피해를 예방하는 것이기도 하지만, 똑같은 공격을 두 번 당하지 않는 것, 그러므로 피해를 최소화 하는 것이기도 합니다. 그러려면 조직의 보안 문화 자체가 달라져야 한다는 걸 알고 있고, 그 부분에까지 도우려 하는 게 MS 다트의 미션입니다. 그 누구보다 넓고 깊은 가시성을 확보한 다트이기에 피해와 예방에서도 최선의 결과를 낼 수 있고, 대응을 보다 깊이 있게 진행하는 것을 기본으로 삼고 있기에 미래의 피해 역시 최소화 할 수 있습니다. 저희만 할 수 있다기보다, 모든 사람의 보안 개념 자체가 넓고 깊어지기를 바랍니다.”
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] ‘가시성’이 보안 업계에서는 늘 화두로 남아 있다. 볼 수 있어야 보호할 수 있다는 의미에서 늘 추구되는 건데, 끊임없이 새로운 장비와 애플리케이션과 데이터가 연결되었다가 사라지는 IT 인프라의 특성상 100%의 가시성을 늘 유지한 채 있기란 어렵기 때문에 앞으로도 꽤 오랜 시간 보안의 숙제로 남아 있을 가능성이 높다. 그러면서 모든 기업과 기관들은 그 100%라는 것에 최대한 가까이 도달하기 위해 여러 방법을 동원할 것이다.
▲마이크로소프트 DART의 디렉터 세이거가 ISEC 2024에서 강연을 하고 있다[사진=보안뉴스]
회사 하나의 가시성을 확보한다는 것도 어려운 일인데, 인터넷 전체 혹은 세계 전체의 사이버 공간을 다 파악한다는 건 얼마나 힘든 일일까? 그런데 이 어려운 일을 어느 정도 해내고 있는 기업이 있다. 수십년 전부터 사실상 세계 모든 나라 모든 지역에 자사 제품을 퍼트리는 데 성공한, 마이크로소프트(MS)다. 아무리 가난한 나라의 시골 마을이라도 윈도가 설치된 장비가 존재하고, 지구 상에 존재하는 거의 모든 기업과 학교에서는 MS의 오피스 제품군이 사용되고 있기 때문이다.
“MS는 전 세계적으로 수십억 명의 고객을 보유하고 있는 회사라는 특징을 가지고 있습니다. 그렇기 때문에 전 세계 디지털 생태계 전반을 파악할 수 있으며, 상상도 못한 곳에서까지 보안 관련 데이터를 받아 분석할 수 있습니다. 작년 한 해 동안 저희는 하루 평균 78조 개의 신호들을 받았습니다. 그 전 해에는 65조 개였는데 증가한 것이죠. 이런 방대한 데이터를 매일 확보하여 분석하다 보면 세계적인 사이버 위협의 흐름을 그 누구보다 정확히 파악할 수 있습니다.” 지난 17일 ISEC 2024의 키노트 연설자로 나선 MS 다트(DART) 사이버 보안 부문 디렉터인 폴 세이거(Paul Saigar)의 설명이다.
전 세계 들여다보니, 디도스와 비밀번호 문제 심각
다트는 ‘탐지와 대응 팀’이라는 의미다. Detect And Response Team의 첫 글자만 따서 만든 단어다. 전 지구 단위의 가시성을 확보하고 있는 MS가 운영하는 탐지 대응 팀인 다트는 다음과 같은 흐름을 파악할 수 있었다고 새이거는 강연자들에게 알렸다.
1) 지난 한 해 동안 1초에 평균 7천 번의 비밀번호 관련 공격이 발생했다.
2) 기업 이메일 침해(BEC) 공격은 지난 한 해 매일 평균 15만 6천 번 시도됐다.
3) 지난 한 해 하루 평균 1천 7백 번의 디도스 공격이 시도됐다.
그러면서 그는 디도스 공격의 증가세가 심상치 않다고 경고했다. “디도스 대행 플랫폼이 매년 빠르게 증가하고 있습니다. 지난 한 해에만 20% 이상의 증가가 있었습니다. 이 때문에 어느 기업 어느 기관이나 지속적인 트래픽 모니터링과 디도스 방지 대책을 마련해야 하는 상황입니다. 저희는 현재 14개의 디도스 대행 플랫폼을 지속적으로 관찰하고 있습니다. 이곳에서 일어나는 여러 가지 활동들을 통해 디도스 공격이 누구를 향할지 선제적으로 파악해 방어하려 하고 있습니다.”
다트가 중요하게 생각하고 주목하는 건 아이덴티티(신원)과 관련된 공격이다. 누군가의 신원을 도용하여 행하는 공격을 말하는데, 새이거에 의하면 “모든 아이덴티티 공격의 99%가 비밀번호와 관련이 있는 공격”이라고 한다. 즉 현재로서는 비밀번호 공격이 곧 아이덴티티 공격이라는 의미가 된다. “비밀번호를 온갖 플랫폼에 살포하여 로그인하는 비밀번호 스프레이 공격이라든지, 풀릴 때까지 암호를 대입하는 무작위 대입 공격이라든지, 디폴트 비밀번호나 사용자들이 가장 많이 사용하는 비밀번호를 알아내 대입하는 공격 등이 바로 비밀번호 관련 공격이라고 할 수 있습니다.”
하지만 MS는 물론 여러 빅테크들을 필두로 ‘비밀번호를 대체하자’는 운동이 이어지고 있고, 생체 인증 등을 활용한 새로운 로그인 기술들이 빠르게 퍼지고 있다. MS는 이런 차세대 인증 기술들이 완전하진 않지만 확실한 효과를 보인다고 강조한다. “특히 다중인증 시스템이 비밀번호 관련 공격들을 어렵게 만들고 있습니다. 신원을 노리는 공격이 99% 비밀번호와 관련이 있는 지금과 같은 상황에서 다중인증처럼 공격자들을 곤란하게 만드는 게 없습니다. 비밀번호를 애써 풀었는데, 그 다음 단계로 생체 정보나 두 번째 비밀번호를 다시 대입해야 하니까요.”
MS 다트가 파악한 바, 공격자들은 가만히 있지 않는다. 비밀번호를 공략하는 게 점점 어려워지고 있으니 이들은 다른 방법들을 동원하기 시작했다. “크게 세 가지 전략이 나타나고 있습니다. 비밀번호가 아니라 인프라 그 자체를 공격하는 것이 첫 번째이고, 인증 시스템을 아예 거치지 않아도 되도록 우회하는 방법을 구현하는 게 두 번째, 애플리케이션의 취약점을 익스플로잇 하는 게 세 번째입니다. 또한 ‘중간 공격자(adversary-in-the-middle, AiTM) 피싱 공격’과 ‘토큰 탈취’도 점점 인기가 높아지고 있습니다. AiTM 피싱 공격의 경우 지난 한 해 만에 146% 증가했습니다.”
이런 분석이 어떻게 가능한가?
하루 78조 개의 신호가 들어오고 분석된다는 게 말하는 것처럼 쉬운 일은 아닐 텐데, MS는 이를 어떻게 해내고 있을까? 디도스 증가나 비밀번호 공격의 위협이라는 위의 결론이 정확하다고 믿을 수 있으려면 MS가 78조라는 천문학적 숫자를 매일 어떻게 소화하는지를 알아야 한다. “MS는 보안 분야의 엔지니어만 3만 4천 명 넘게 보유하고 있습니다. 인공지능과 자동화를 기반으로 한 보안 도구들에 대한 투자도 아끼지 않아 엔지니어들이 최대한 효율적으로 작업을 할 수 있도록 하지요. MS 자체 기술력이 이러한 노력을 뒷받침해주고 있습니다. 당연하지만 외부 전문가와 유관 기관들과의 강력한 파트너십도 큰 도움이 됩니다.”
그 누구보다 많은 데이터를 분석해 확보한 가시성을 가지고 정확하게 분석해 빠르게 대응하는 게 MS 다트의 힘이자 주무기라고 할 수 있다고 그는 강조했다. 일반적으로 통계 자료의 신뢰성을 높이는 것 중 하나는 표본의 수다. 150명을 대상으로 한 여론조사와 150만 명을 대상으로 한 여론조사 결과가 주는 신뢰감은 다르다. MS 다트가 “이게 요즘의 사이버 보안(혹은 사이버 위협) 트렌드”라고 했을 때 무게감이 실릴 수밖에 없는 건, 지구 모든 곳에 MS 윈도나 오피스나 애저가 있기 때문이고, 분석되는 표본의 수가 남다르기 때문이다. 게다가 3만 명이 넘는 전문 엔지니어와 MS의 인공지능 기술이 합쳐졌다는 것도 신뢰도를 높인다.
그렇기에 MS 다트가 탐지를 빠르고 정확히 한다고 자랑할 때에는 그 말에 상식적으로 고개를 끄덕일 수 있다. 하지만 탐지 후에는 어떨까? 대응력도 강력할 수 있을까? 결과부터 말하자면 대응이라는 측면에 있어서는 ‘매일 78조 개의 신호를 분석하는 MS’만큼 큰 인상을 남기지는 않는다. 보안 사건의 대응이라는 게, 그 누가 하더라도 특별하고 ‘익사이팅’하기 힘들다는 특성을 가지고 있기 때문이다. “위협 요소를 빠르게 파악해 격리시키고, 그 위협 요소의 침투 경로를 파악해 보완하고, 손상 입은 것들을 복구합니다. 사건마다 세부적인 내용이 달라지긴 하지만 그런 큰 틀에서 대응이 진행됩니다.”
다만 MS 다트의 경우 사건 대응이라는 게 거기서 끝나지 않는다. 되도록이면 고객 IT 인프라까지 현대화시켜 후속 공격이 더 어려워지도록 하려 한다는 게 새이거의 설명이다. “특히 보안이라는 측면에 있어서 인프라의 현대화를 꾀합니다. 비밀번호만으로 로그인을 하던 방식을 다중인증 체제로 바꾸고, 제로트러스트(Zero Trust)라는 개념을 도입하여 공격자의 영향력이 빠르게 퍼지지 못하도록 막는 것을 말합니다. 최소한의 권한만을 꼭 필요할 때만 제공할 수 있도록 하고, 데이터 침해 사고가 이미 일어났다는 생각으로 인프라를 점검하거나 모니터링 하도록 하며, 현대화 된 보안 도구들을 제안하기도 합니다. 패치 관리 방식도 바꾸고, 데이터를 다루는 마음가짐 자체를 변화시키려 하기도 합니다.”
즉 다트는 ‘피해 복구’를 넘어 ‘보안 문화의 뿌리 내리기’까지를 ‘대응┖이라고 여기고 있다고 볼 수 있다. “보안의 역할은 위험이나 피해를 예방하는 것이기도 하지만, 똑같은 공격을 두 번 당하지 않는 것, 그러므로 피해를 최소화 하는 것이기도 합니다. 그러려면 조직의 보안 문화 자체가 달라져야 한다는 걸 알고 있고, 그 부분에까지 도우려 하는 게 MS 다트의 미션입니다. 그 누구보다 넓고 깊은 가시성을 확보한 다트이기에 피해와 예방에서도 최선의 결과를 낼 수 있고, 대응을 보다 깊이 있게 진행하는 것을 기본으로 삼고 있기에 미래의 피해 역시 최소화 할 수 있습니다. 저희만 할 수 있다기보다, 모든 사람의 보안 개념 자체가 넓고 깊어지기를 바랍니다.”
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
