Skyhigh SecurityVerizon의 2024년 데이터 유출 조사 보고서에서 얻은 시사점

로드먼 라메자니안 - 글로벌 클라우드 위협 책임자, Skyhigh Security

2024년 5월 21일 4 분 읽기

다시 그 시간이 돌아왔습니다! 끊임없이 변화하는 위협 환경, 가장 중요한 공격 벡터 및 표적 산업에 대한 주요 하이라이트와 귀중한 인사이트를 제공하는 Verizon의 호평을 받은 데이터 유출 조사 보고서 (DBIR)의 최신 버전이 발표되었습니다. 정보 보안 업계의 연례 성적표라고 생각하시면 됩니다.

2024년판은 17번째로 발간되는 보고서로, 진화하는 사이버 위협 환경에 대한 인식과 함께 시작됩니다. 특히 지난 한 해는 사이버 범죄가 특히 활발했던 한 해였습니다. Verizon은 30,458건의 실제 보안 사고를 분석했으며, 이 중 10,626건이 데이터 유출로 확인되어 94개국에서 사상 최대 규모의 피해자가 발생했습니다.

이 최신 Verizon DBIR 보고서를 아직 읽어보지 못했다면, 몇 가지 주요 내용과 흥미로운 인사이트를 확인해보세요:

• Verizon은 '인적 요소'에 대한 분류를 수정했습니다:
• 이전에는 피싱, 비즈니스 이메일 유출, 내부자 위협 등 사람이 관련된 모든 활동을 인적 요소에 포함했습니다.
• 이제 Verizon은 특히 악의적이지 않은 인적 요소에 집중합니다.
• 인적 요소와 관련된 사고에는 더 이상 의도적인 악의적 활동이 아니라 개인이 소셜 엔지니어링 공격의 희생양이 되거나 실수를 저지르는 상황이 포함됩니다.
• 또한 Verizon은 "랜섬웨어"에 대한 분류를 조정했습니다:
• 이제 Verizon은 랜섬웨어에만 집중하는 대신 유사한 '강탈' 공격을 하는 랜섬웨어를 그룹화합니다.
• 가장 큰 차이점은 랜섬웨어 공격에서는 가해자가 피해자의 데이터를 암호화하고 몸값을 요구하는 반면, 갈취 공격에서는 데이터를 훔쳐서 돈을 지불하지 않으면 공개하겠다고 협박한다는 점입니다.
• 랜섬웨어 사고는 소폭 감소한 반면, 갈취 공격은 급격히 증가했습니다. 이러한 유사성으로 인해 Verizon은 이제 이 두 가지를 같은 범주에 분류합니다.
• 제너레이티브 AI는 눈에 띄게 부재합니다.
• Verizon은 사이버 보안 커뮤니티에서 제너레이티브 AI를 둘러싼 소문과 위협 행위자들의 사용 가능성에 대해 잘 알려져 있지만, 현재 이 기술이 중요한 방식으로 사용되고 있다는 증거는 없다고 지적합니다.
• 이는 잠재적인 공격 측면 최적화로 인한 사고 대응에 임박한 돌파구나 주목할 만한 영향이 없음을 시사합니다. Verizon은 상당한 변화가 없는 한 생성형 AI를 심각한 위협으로 간주하지 않습니다.
• 침해의 32%는 랜섬웨어 또는 갈취 수법과 관련이 있습니다.
• 랜섬웨어 사고는 2022년에 급증한 후 평준화되어 소폭 감소한 반면, 갈취 공격은 급격히 증가하여 이러한 유형의 공격이 전반적으로 크게 증가했습니다.
• 랜섬웨어와 갈취는 92%의 산업에서 상위 3대 위협 행위 중 하나이며 금전적 동기가 있는 사고의 62%에 연루되어 있습니다.
• 침해 사고의 68%는 악의적이지 않은 사람의 행동과 관련이 있습니다.
• 예를 들어 직원들이 소셜 엔지니어링 공격이나 IT 구성 오류에 속아 넘어가는 경우가 있습니다.
• 이는 작년의 74%에서 소폭 감소한 수치입니다. 하지만 작년 데이터에서 악의적인 사고를 제외하면 이 비율도 68% 정도였을 것이라는 점에 유의해야 합니다. 따라서 인적 요소를 노리는 공격의 비율은 꾸준히 높은 수준을 유지하고 있습니다.
• 사용자가 피싱 이메일에 속는 데 걸리는 시간의 중앙값은 60초 미만입니다.
• 처음 이메일을 받은 후 사용자가 요청된 데이터를 입력하는 데 걸리는 시간은 평균 28초에 불과합니다.
• 지난 10년간 전체 침해 사고의 31%에서 도난된 인증정보가 관련되어 있었습니다. 올해는 침해 사고의 38%에서 발견되었습니다.

기본 웹 애플리케이션 공격은 소셜 엔지니어링 및 오류 기반 공격에 비해 감소했지만, 여전히 공격의 77%에서 도난된 인증정보가 사용되고 있습니다.

무엇을 해야 하나요?

"인간은 가장 약한 고리"라는 말이 딱 들어맞는 말입니다. 엄격한 보안 조치에도 불구하고 인간은 시스템 구성 오류, 취약한 비밀번호, 실수로 악성 링크나 소프트웨어를 사용하는 등의 소셜 엔지니어링과 오류에 여전히 취약합니다. 인지적 편견도 영향을 미쳐 위협 탐지를 과신하고 공격 위험을 과소평가하는 결과를 초래합니다. Verizon의 최근 조사 결과는 이러한 지속적인 취약점을 강조합니다.

제로 트러스트 원칙을 채택하는 것은 모든 사용자와 디바이스를 지속적으로 검증하여 내부 사용자를 본질적으로 신뢰하는 것에 대한 의존도를 낮추므로 인적 오류와 취약성을 해결하는 데 필수적입니다. 엄격한 액세스 제어를 시행하고, 사람의 실수나 악의적인 행동으로 인한 잠재적 피해를 제한하며, 모니터링을 강화하여 의심스러운 활동을 신속하게 감지하고 대응함으로써 사람의 행동과 관련된 위험을 완화할 수 있습니다.

이러한 공격이 인간에게 큰 영향을 미친 것은 말할 필요도 없지만, 해당 기간 동안 가장 큰 피해자는 단연 기업 데이터였습니다. 데이터가 암호화되어 몸값을 요구하는 해커의 손에 넘어가거나, 피싱 공격으로 인해 데이터가 유실되거나, 기존 VPN 기술이 악용되어 도난당한 경우 등, 데이터 손실은 전체 보고서에서 가장 흔한 분모 중 하나였습니다.

이는 보안에 대한 데이터 중심 접근 방식의 중요성을 다시 한 번 일깨워주는 사례입니다. 결국 사이버 보안은 근본적으로 데이터 문제입니다. 피싱 공격의 주요 표적이 되는 이메일, 점점 더 많은 데이터를 보관하는 클라우드 자산, 기업 환경에 흩어져 있는 내부 데이터에 이르기까지 데이터가 어디에 있든 일관되게 식별, 분류, 보호하는 것은 기본입니다.

Verizon의 "한 해를 돌아보며" 스냅샷을 보면, VPN 제품과 관련된 유명한 공격이 여러 번 등장했습니다. Verizon의 말을 인용하자면, "인터넷에서 공격 표면을 추가하는 모든 것이 표적이 될 수 있으며 잠재적으로 외부 위협 행위자의 첫 번째 발판이 될 수 있으므로 발판을 최소화하는 데 초점을 맞춰야 합니다."

이는 업계 및 보안 업계 리더들이 제로 트러스트 원칙을 채택해야 한다는 지속적인 요구를 다시 한 번 강조하는 것입니다. 그 이유는 다음과 같습니다:

1. 가정된 신뢰: VPN은 일단 연결되면 광범위한 네트워크 액세스 권한을 부여하는 반면, 제로 트러스트는 지속적으로 사용자 신원 및 액세스 권한을 확인합니다.
2. 액세스 제어: VPN은 광범위한 액세스를 제공하므로 최소한의 권한을 적용하기 어렵습니다. 제로 트러스트는 특정 리소스에 대한 엄격하고 세분화된 액세스를 보장합니다.
3. 정적 보안: VPN은 정적 경계에 의존하기 때문에 분산된 인력 및 클라우드 서비스에는 효과적이지 않습니다. 제로 트러스트는 위치에 관계없이 각 액세스 요청을 보호합니다.
4. 측면 이동: VPN은 침해 시 측면 이동을 쉽게 허용합니다. 제로 트러스트는 네트워크를 분할하고 지속적으로 확인하여 침해 및 공격자의 이동을 제한합니다.

결론

전 세계 모든 형태와 규모의 조직을 괴롭히는 전 세계적으로 만연한 위협, 위험 및 취약성을 지속적으로 조명하는 Verizon의 연례 데이터 유출 조사 보고서는 언제나 환영받습니다.

조직이 이러한 인사이트에 주의를 기울여 보안 체계를 강화하기를 바라는 마음은 언제나 존재합니다. 그러나 현실은 피싱, 소셜 엔지니어링, 측면 이동 공격과 같은 보다 일반적이고 반복적인 주제가 계속해서 상당히 많은 양으로 나타나고 있다는 것입니다.

앞서 언급했듯이 당사는 데이터가 어디에 사용되든, 어떤 디바이스에서든, 어떤 연결 및 협업 수단을 통해든, 어떤 위치에서든 데이터 보호에 중점을 두어 보안에 대한 데이터 중심 접근 방식을 취할 것을 철저히 권장합니다. 데이터 보호에 우선순위를 두면 궁극적으로 조직이 Verizon의 보고서에서 강조된 많은 위협과 위험을 완화하는 데 도움이 될 것입니다.

블로그로 돌아가기