주식회사 휘강건설

[데이터넷] 사이버 공격이 갈수록 지능화되고 자동화되면서 기업의 보안 대응 방식에도 근본적인 변화가 요구되고 있다. 공격 실행 속도는 빨라지는 반면, 조직이 침해 사실을 인지하는 데 걸리는 시간은 여전히 길어 보안 대응의 구조적 한계가 드러나고 있다는 분석이다.

SANS 인스티튜트의 2017년 연례 보고서에서는 보안 침해 사고를 인지하는 데 걸리는 시간은 평균 24시간으로 조사됐다. 그런데 보안 규정 준수 자동화 기업 시큐어프레임의 2025년 보고서에서는 데이터 유출 인지에 평균 181일이 소요되며, 이후 피해 확산을 차단하는 데 추가로 약 60일이 필요한 것으로 나타났다. 2017년보다 2025년 피해 인지 및 대응 시간이 더 오래걸린다는 사실은 공격이 그만큼 지능화되었다는 뜻이기도 하지만 지금까지의 방어 체계가 효과적이지 못하다는 것을 의미한다.

윤덕상 굿모닝아이텍 전무는 “SIEM 기반 보안 관제의 한계와 공격자와 방어자 간 비대칭적인 수명주기, 그리고 제로데이 취약점 증가 등 다양한 요인으로 보안 탐지 효과가 저하되고 있다”며 “특히 제로데이 취약점의 급증은 현실적인 보안 위협으로 부상하고 있다”며 “의심스러운 활동을 탐지하는 데 초점을 맞춘 기존 보안 대응 방식만으로는 한계가 있다. 공격을 인지하기 이전 단계에서 감염 여부를 확인하고, 손상 범위를 파악하며, 공격자의 내부 잔류 시간(Dwell Time)을 줄여야 한다”고 강조했다.

AI와 제로데이 취약점, 공격 속도 가속

윤 전무는 ‘차세대 보안 비전 2026’ 행사에서 ‘제로데이 공격도 감내(Tolerance) 가능한 제로 트러스트 인프라 구축 전략’을 주제로 최근 사이버 공격 동향을 설명했다. 공격자가 AI를 활용하면서 공격 준비와 실행 속도가 빨라졌으며, 취약점 탐지, 익스플로잇 코드 생성, 공격 자동화 등에 AI를 활용해 공격 효율성이 크게 높아졌다. 또한 제로데이 취약점과 익스플로잇이 사이버 범죄 시장에서 고가에 거래되며 국가 지원 공격 그룹이나 랜섬웨어 조직의 주요 공격 수단으로 활용되고 있다.

윤 전무는 “기업·기관의 디지털 혁신으로 진행하면서 AI, 클라우드, IoT 사용이 확대됐으며, 소프트웨어 공급망이 복잡해지는 등 공격 표면도 확장되고 있다. 이러한 상황에서 AI를 무기화하는 공격자의 행위를 인지한 후 대응하는 것은 너무 늦다. 침해가 일어나기 전 차단할 수 있는 새로운 보안 체계가 필요하다”고 강조했다.

윤 전무는 ‘회고적 사냥(Retro Hunt)’을 새로운 대안으로 제안했다. 이는 회고적 사냥은 업데이트된 위협 탐지 로직을 활용해 과거에 수집된 데이터를 다시 분석함으로써 이전에는 발견하지 못했던 침해 활동을 찾아내는 기술이다. 특히 수개월 이상 장기간 진행된 공격이나 여러 환경에 걸쳐 진행되는 은밀한 공격 캠페인을 탐지하는 데 중요한 역할을 한다.

윤 전무는 “보안 시스템을 최신 상태로 업데이트하는 것만으로는 충분하지 않다. 과거 데이터를 지속적으로 재분석해 이전에 발견되지 않았던 위협을 찾아내는 과정이 필요하다. 과거가 보안 사각지대가 되지 않도록 하는 회고적 사냥과 최신 위협 대응 체계가 함께 작동할 때 위협 탐지 역량을 크게 높일 수 있다”고 역설했다.

네트워크 기반 회고적 위협 탐지 기술로 은밀한 침해 예방

굿모닝아이텍이 국내에 공급하는 엑사비스(Exavis)의 ‘넷아르고스(NetArgos)’는 네트워크 기반 회고적 사냥 기능을 제공하는 솔루션이다. 네트워크 세션 초기 패킷인 ‘First-N 패킷’을 저장해 장기간 네트워크 트래픽을 보관한다. 전체 트래픽의 약 2% 수준의 초기 패킷만 저장하면서도 장기간 네트워크 행위를 추적할 수 있도록 설계됐다.

위협 인텔리전스나 침해지표(IoC)가 업데이트될 때마다 과거에 저장된 네트워크 트래픽을 자동으로 재검사해 이전에 탐지되지 않았던 공격 활동을 식별한다. 이 과정에서 제로데이 공격과 관련된 행위를 자동으로 분석하고 보고서를 생성하며, 기존 보안 장비와 연동해 대응 정책을 적용할 수 있도록 지원한다.

윤 전무는 “First-N 패킷을 활용하면 장기간 네트워크 트래픽을 효율적으로 저장하면서도 위협 행위를 추적할 수 있다”며 “위협 인텔리전스 업데이트 시 자동으로 과거 트래픽을 재분석해 제로데이 공격 흔적을 발견할 수 있다”고 설명했다.

마이크로세그멘테이션으로 피해 확산 차단

굿모닝아이텍은 제로데이 공격 발생 시 피해 범위를 최소화하기 위한 기술로 마이크로세그멘테이션도 강조했다. 굿모닝아이텍은 아카마이의 최고 등급 엘리트 파트너사로, ‘아카마이 가디코어 세그멘테이션(AGS)’을 국내 고객에게 제안하고 있다.

AGS는 소프트웨어 기반 마이크로세그멘테이션 솔루션으로, 기존 네트워크 구조를 크게 변경하지 않고도 세밀한 접근 제어 정책을 적용할 수 있다. 조직 내 모든 자산을 가시화하고 시스템 간 통신 관계를 식별해 필요한 연결만 허용하는 정책을 적용한다. 이를 통해 공격 표면을 줄이고 내부 네트워크에서의 공격 확산을 차단할 수 있다. 또한 레이블 기반 정책 관리 기능을 통해 다양한 인프라 환경에 동일한 보안 정책을 적용할 수 있으며, 기존 방화벽 중심 아키텍처를 제로 트러스트 구조로 단계적으로 전환할 수 있다.

윤 전무는 “마이크로세그멘테이션은 필수적인 통신만 허용하는 정책을 통해 공격 표면을 줄이고 내부 보안을 강화하는 핵심 기술”이라며 “국내 금융권을 비롯한 여러 산업군에서 성공적인 구축 사례가 나오면서 관심이 높아지고 있다”고 말했다.

“과거·현재·미래 위협 모두 대응해야”

윤 전무는 “사이버 공격 환경에서 방어자의 구조적 불리함을 극복하기 위해서는 보안 전략의 근본적인 변화가 필요하다. 공격자는 단 한 번만 성공하면 되지만 방어자는 모든 순간 방어에 성공해야 한다”며 “이러한 불균형을 줄이기 위해서는 과거와 현재, 미래에 악용될 수 있는 취약점을 모두 고려한 보안 전략이 필요하다”고 덧붙였다.

출처 : 데이터넷(https://www.datanet.co.kr)