버라이즌이 '2024 데이터 침해 조사 조사 보고서(2024 Data Breach Investigations Report)'를 발행했다. 올해로 17번째 발행되는 이번 보고서에 따르면, 사이버 범죄자는 새롭고 혁신적인 공격 방법과 이미 성공한 방법의 변형을 함께 사용하고 있는 것으로 나타났다.

ⓒ Getty Images Bank

<이미지를 클릭하시면 크게 보실 수 있습니다>

버라이즌 보고서는 94개국에서 발생한 보안 사고 3만 건 이상을 분석했으며, 이 중 데이터가 유출된 사례는 1만 건이 넘는 것으로 확인돼 사상 최고치를 기록했다. 버라이즌 비즈니스(Verizon Business)의 지역 부사장 롭 르 부스크는 CSO에 "위협 환경이 계속 확대됨에 따라 데이터 침해 양도 전반적으로 증가하고 있다"라고 말했다.

보고서에 따르면, 오류와 오용(일반적으로 직원의 정직한 실수)을 제외했을 때 데이터 침해로 이어지는 가장 흔한 3가지 경로는 ▲웹 애플리케이션 인증 정보의 무단 사용 ▲이메일 피싱 ▲웹 애플리케이션의 취약점 악용으로 나타났다.

버라이즌 보고서는 모든 규모와 유형의 조직에 영향을 미치는 글로벌 사이버 범죄의 복잡하고 변화하는 환경과 기업이 경계를 강화해야 할 영역을 보여준다. 또한 인식 개선 교육이 긍정적인 결과를 보이고 있음을 알 수 있다. 보고서에서 강조하는 핵심은 다음과 같다.

1. 무브잇 취약점으로 인한 침해 사고 급증

올해 가장 주목할 만한 사실은 취약점을 악용한 공격이 거의 3배(180% 증가) 증가했다는 점이다. 2023년은 무브잇(MOVEit) 제로데이 취약점과 기타 유사한 취약점이 대량으로 악용된 해였으므로 예상할 수 있는 결과다. 취약점 악용 공격은 주로 랜섬웨어 및 기타 갈취 관련 위협 행위자들이 활용했으며, 주요 진입 지점은 웹 애플리케이션이었다고 보고서는 지적했다.

또한 데이터 분석 결과, 많은 기업에 취약점이 상당수 존재하며, 공격자들의 취약점 악용 속도는 기업의 취약점 패치 속도보다 더 빠른 것으로 나타났다. 기업이 취약점 절반을 수정하는 데 약 55일이 걸리는 반면, 위협 행위자가 동일한 취약점을 대규모로 스캔하는 일은 5일 이내에 이루어지고 있다고 버라이즌은 밝혔다.

따라서 사이버보안 태세를 점검할 때 강력하고 성숙한 취약점 관리 및 패치 프로그램을 갖추고 있다는 사실에 안주하는 것은 위험할 수 있다. 르 부스크는 "앞으로는 이런 계획을 다시 정리하고 전략을 재검토하며 패치의 위험 수준과 중요성을 높이기 위해 예산을 늘려야 한다"라고 조언했다.

2. 랜섬웨어 및 갈취 공격, 지속적 증가

랜섬웨어 또는 갈취와 관련한 공격은 2023년 한 해 동안 크게 증가해 전체 데이터 유출 사고의 32%를 차지했다. 여러 산업에 걸쳐 랜섬웨어 공격이 널리 퍼지면서 92%의 산업에서 가장 큰 위협이 되었으며, 평균 공격 비용도 증가하는 추세임을 확인했다.

르 부스크는 "범죄자들이 같은 노력으로 더 많은 수익을 얻고 있는 것에서 랜섬웨어 공격이 정교해지고 성숙해지고 있음을 알 수 있다"라고 말했다. 또한 사이버 범죄자에게 랜섬웨어는 일종의 비즈니스이며, 금전적 동기를 가진 위협 행위자는 항상 최고의 투자 수익을 제공하는 공격 기술을 활용한다는 사이버보안의 불변의 진리를 나타낸다.

3. 인적 요소는 여전히 문제

전년도와 거의 동일한 약 68%의 데이터 유출 사고가 악의적이지 않은 인적 요소와 관련돼 있으며, 이는 보안 체인에서 사람이 여전히 취약한 고리임을 보여준다. 보안 인식 개선할 여지가 여전히 많다는 것을 의미한다. 르 부스크는 "기업과 업계 차원에서 더 많은 교육과 훈련을 제공하고 인식을 더 견고히 구축할수록 모두에게 더 나은 결과를 가져올 수 있다"라고 말했다.

4. 오류로 인한 침해 급증

오류와 관련한 침해 사고가 증가하고 있다. 버라이즌 보고서 집필팀은 2023년에는 전체 사고의 1/3가량이 오류와 관련 있다고 분석했다. 오류에는 구성 오류, 악성 링크 클릭, 암호화되지 않은 데이터/정보 외부 전송 등을 통해 잘못된 사람에게 데이터가 넘어가는 것이 포함된다.

다만 보고서는 새로운 데이터 유출 통지 의무가 이런 수치를 높이는 이유가 될 수 있다고 언급했다. 통지 의무에 따라 일부 기업이 사고를 알려야 한다는 점을 고려하면 지금까지 미디어나 기존의 사고 대응 중심 데이터에서 알 수 있었던 것보다 오류로 인한 데이터 침해가 그동안 더 흔하게 발생했음을 시사한다는 설명이다.

기업은 보안 거버넌스 절차를 더욱 강력하게 준수하고 피할 수 있는 실수를 최대한 제거할 수 있는 기회로 삼을 수 있다. 르 부스크는 "데이터 거버넌스에 대한 강력한 정책과 프레임워크를 확보하면 이런 오류가 발생할 기회를 줄일 수 있다"라고 설명했다.

5. 보안 교육, 피싱 식별에 도움 된다

2023년 데이터에 따르면, 시뮬레이션 참여에서 피싱을 정확하게 식별한 사람은 20%였고 피싱 이메일을 클릭했다고 보고한 사람은 11%였다. 보고서 집필팀은 지난 몇 년 동안 시뮬레이션 참여에서 피싱을 보고하는 사용자 비율이 계속 증가하는 추세라며, 이는 피싱 식별에 도움이 되는 사내 교육 및 인식 개선 훈련이 지속해서 효과를 거두고 있다는 긍정적인 신호라고 분석했다.

하지만 사람이 피싱 이메일에 속는 평균 시간은 60초 미만으로, 받은 교육을 적용할 수 있는 시간이 짧다. 르 부르케는 "실시간 대응이 중요하기 때문에 계속해서 인식을 개선해야 할 필요가 있다"라고 강조했다.
editor@itworld.co.kr

Rosalyn Page editor@itworld.co.kr
저작권자 한국IDG & ITWorld, 무단 전재 및 재배포 금지