소포스 (www.sophos.com, LSE: SOPH, 한국지사장 배수한)는 <엔드포인트 보안의 7가지 불편한 진실>이라는 제목의 보고서를 통해 전세계 IT 관리자 3100명 대상 설문조사 결과를 발표했다.

조사 결과에 따르면 IT 관리자들이 사이버 공격을 잡아낼 가능성이 가장 높은 곳은 소속 기관의 서버와 네트워크인 것으로 확인됐다. 실제로 IT 관리자들은 지난해 가장 심각한 사이버공격을 자사 서버에서 발견했다는 응답이 37%, 네트워크에서 발견했다는 응답자가 37%였고, 엔드포인트와 모바일에서 발견된 경우는 불과 17% 및 10% 정도였다.

소포스의 수석 연구원 체스터 위스니에우스키(Chester Wisniewski)는 “서버에는 재무 정보는 물론, 인적자산, 부동자산 정보 등 기타 민감한 데이터가 저장돼 있고, 기관들의 데이터 침해 보고를 의무화한 GDPR(EU의 일반개인정보보호법) 같은 엄격한 규제 때문에, 서버 보안 유지가 그 어느 때보다 중요해졌다. 그러므로 IT 관리자들이 기업에 중요한 서버를 보호하고 공격자의 네트워크 침입을 처음부터 예방하는 일에 집중하는 건 당연한 일이다. 그 때문에 이 두 영역 서버와 네트워크에서 사이버범죄가 더 많이 감지되고 있는 것이다”라고 말하고, “그러나, 대부분의 사이버공격이 엔드포인트에서 시작되고 있기 때문에 IT 관리자들은 더 이상 엔드포인트를 방관해서는 안 된다. 그럼에도 불구하고 사이버 위협이 시스템에 언제, 어떻게 침투했는지 확인하지 못하는 IT 관리자들이 생각보다 많다”라고 지적했다.

또한, 지난 해 한두 건 이상의 사이버공격을 받은 경험이 있는 IT 관리자 중 20%가 공격자의 침입 경로를 정확히 파악하지 못했고, 17%가 공격을 감지하기 전까지 이들이 얼마나 오랫동안 시스템에 침투해 있었는지 모르고 있는 것으로 드러났다. 이런 가시성 부재의 문제를 개선하기 위해 IT 관리자들은 위협의 시작점과 네트워크를 따라 내부망을 이동하는 공격자의 공격경로를 감지할 수 있는 기술, 즉 엔드포인트 위협 탐지·대응 솔루션(EDR)이 필요하다.

위스니에우스키 연구원은 “IT 관리자들이 공격 시작점이나 이동 경로를 모른다면, 위험을 최소화하거나 추가 침투를 막기 위해 공격 체인을 끊는 것은 불가능하다”라고 말했다. 덧붙여, “EDR은 IT 관리자들이 보안 성숙도모델(Security maturity model)에 기반하여 위험을 찾아내고 처리절차를 만드는데 도움이 되며, IT 관리자들이 위험 감지에 더 집중한다면 EDR은 더 빨리 찾아주고, 막아주고, 치료해줄 수 있다. IT부서가 EDR을 포함한 보안 기반 시스템을 구축하였다면 EDR은 중요한 위협 정보를 알려주는 핵심 역량을 제공한다”고 강조했다.

보고서에 따르면, 매달 한두 건 이상의 잠재적 보안 사건을 조사하는 기관들이 조사에 들이는 시간은 평균적으로 1년에 48일, 즉 한 달에 4일이다. 그런 점에서 IT 관리자들이 보안 경보의 포착·대응까지의 시간을 줄이기 위해 EDR 솔루션에서 바라는 3대 기능으로는, 의심스러운 활동의 포착(27%), 경보 관리(18%) 그리고 의심스러운 활동들에 대한 위험순위 설정(13%)을 꼽았다.

“대부분의 스프레이-프레이 방식의 사이버 공격은 엔드포인트에서 위험 경보도 필요없이 몇 초 안에 막을 수 있다. 하지만 샘샘(SamSam)과 같은 표적화 랜섬웨어 사용자를 포함한 집요한 공격자들은 원격접속 시스템(RDP, VNC, VPN 등)에서 허술하거나 짐작 가능한 암호를 찾아낼 때까지 기다린다. 그렇게 해서 일단 시스템에 침투하면 거점을 확보한 뒤 공격을 개시할 때까지 조용히 움직인다”라면서, “IT 관리자들이 EDR을 사용해 심층적인 방어 능력을 갖추게 되면, 보다 신속한 조사를 진행할 수 있고 거기서 얻은 위협 정보를 서버나 네트워크 전체에 걸쳐 동일한 감염 징후를 찾아내는데 활용할 수도 있다. 사이버 범죄자들은 일단 한 가지 공격 방법이 성공하면, 동일한 방법을 반복하는 경향이 있기 때문에, 공격 패턴을 찾아내 봉쇄하는 것은 IT 관리자들이 잠재적인 사고 위험을 조사하는 데 드는 시간을 줄이는데 도움이 될 것”이라고 위스니에우스키는 말했다.

응답자의 57%가 앞으로 12개월 내에 EDR 솔루션을 사용할 계획이라고 말했다. EDR은 또한 IT 기술 격차를 해소하는 데도 도움이 된다. IT 관리자들의 80%가 좀 더 유능한 IT 팀을 원한다고 답했다. 보다 자세한 내용은 아래 링크에서 <엔드포인트 보안의 7가지 불편한 진실> pdf 파일로 확인할 수 있다.

http://www.sophos.com/truths

이번 조사는 2018년 12월과 2019년 1월, 독립 마켓 리서치 전문가로 활동하고 있는 밴슨 본(Vanson Bourne)이 수행했다. 미국, 캐나다, 멕시코, 콜롬비아, 브라질, 영국, 프랑스, 독일, 호주, 일본, 인도, 남아공 등 6개 대륙의 12개 국가에서 IT 정책결정자 3100명을 인터뷰하는 방식으로 진행됐으며, 응답자들은 100명에서 5000명 사이의 직원을 둔 기업에서 근무하고 있다.