- 매달 새롭게 식별되는 노출의 50%는 클라우드의 역동적인 특성에서 기인

 

 

 

팔로알토 네트웍스는 <2023 유닛42 공격 표면 위협 리포트(2023 Unit 42 Attack Surface Threat Report)> 통해 클라우드 환경의 역동적인 특성과 공격 해위자들이 새로운 취약점을 악용하는 속도가 대조적인 추세라고 밝혔다.

 

보고서에 따르면 사이버 범죄자들은 새로운 취약점이 공개된 후 수 시간 이내에 이를 악용하고 있으며, 기업에서는 속도와 규모 측면에서 공격자의 자동화 기법에 대응할 수 있는 공격 표면 관리 역량을 확보하는데 어려움을 겪고 있는 것으로 나타났다.

 

팔로알토 네트웍스의 위협 연구소인 유닛42는 2022년과 2023년에 자사의 공격 표면 관리 솔루션인 코어텍스 익스펜스(Cortex Xpanse)를 통해 수집한 페타바이트급의 인터넷 데이터를 분석했다. 보고서에는 전 세계 공격 표면이 어떻게 변화하고 있는지에 대한 총체적인 통계와 더불어 산업에 영향을 미칠 수 있는 관련성이 높은 특정 위험에 대한 분석 내용이 담겨 있다.

 

■ 주요 공격 표면을 차지하는 클라우드

- 보안 노출 표면 비율을 분석하면 온프레미스는 19%인데 반해 클라우드가 80%로 대부분을 차지한다.

- 클라우드 기반 IT 인프라는 항상 유동적인 상태로, 모든 산업에서 매달 20% 이상 변화하고 있다.

- 매달 발생하는 고위험 클라우드 호스팅 노출의 약 50%는 클라우드 호스팅의 새로운 서비스가 개시되거나 오래된 서비스가 교체되는 등의 지속적인 변화로 인해 발생했다.

- 공개적으로 액세스 가능한 소프트웨어 개발 인프라 노출의 75% 이상이 클라우드에서 발견되어 공격자들에게 매력적인 표적이 되고 있다.

 

■ 기계의 속도로 움직이는 공격자

- 오늘날의 공격자들은 몇 분 이내에 전체 IPv4 주소 공간에서 취약한 대상을 스캔할 수 있는 능력을 갖추고 있다.

- 30개의 공통 취약점 및 노출(CVE) 분석 결과 이 중 3개는 공개 후 단 몇 시간 내에 악용 사례가 나타났고, 63%는 공개 후 12주 이내에 악용됐다.

- 유닛42에서 분석한 15개의 원격 코드 실행(RCE) 취약점 중 20%는 공개 후 수 시간 내에 랜섬웨어 그룹의 표적이 되었고, 40%는 공개 후 8주 이내에 악용됐다.

 

■ 폭넓게 분포된 원격 액세스 노출

- 분석 대상 조직의 85% 이상이 한 달 중 최소 25% 동안 원격 데스크톱 프로토콜(RDP)을 통해 인터넷에 접속하는 추이를 보이며 랜섬웨어 공격이나 무단 로그인 시도에 노출된 것으로 나타났다.

- 유닛 42가 조사한 9개 산업 중 8개 산업은 한 달 이내 최소 25% 동안 무차별 대입 공격에 취약한 인터넷 접속 가능형 RDP를 사용한 것으로 분석됐다.

- 금융 서비스 및 주 또는 지방 정부 기관의 절반은 한 달 내내 RDP에 노출됐다.

 

■ 중요 산업에서의 위험 노출

- 금융 기관은 파일 공유 서비스에 가장 자주 노출되었는데(38%). 이러한 조직의 개인 및 금융 데이터 관리자가 보안 침해 대상이 되면, 상당한 금전적 손실, 신원 도용, 사기, 고객 신뢰 상실로 이어져 돌이킬 수 없는 결과를 초래할 수 있다.

- 국가 정부의 경우, 안전하지 않은 파일 공유 및 데이터베이스는 가장 중요한 공격 표면 위험 중 하나이며, 일반적인 국가 정부 조직에서 전체 노출의 46% 이상을 차지했다.

- 의료 기관의 경우, 공개적으로 노출된 개발 환경의 56%가 구성 오류 및 취약점에 노출되어 공격자가 네트워크에 침입할 수 있는 기회를 제공하고 있다.

- 유틸리티 및 에너지의 경우, 인터넷에 액세스할 수 있는 IT 인프라 제어판이 2개 중 1개 꼴로 조사됐다.

- 제조업은 IT, 보안, 네트워킹 인프라가 가장 많이 노출(48%)되는 산업으로, 이는 심각한 운영 중단을 초래하여 생산 및 매출 손실로 이어질 수 있다.

 

보안 운영 팀에서는 평균 응답 시간(MTTR) 지표가 유의미한 값을 나타내기 전에 모든 자산을 정확하게 식별하고 이러한 자산에 대한 노출 표면을 확보할 수 있어야 한다. 업계를 선도하는 팔로알토 네트웍스의 코어텍스 익스펜스(Cortex Xpanse)와 같은 공격 표면 관리(ASM) 솔루션은 보안팀에서 전 세계 인터넷에 연결된 자산과 잠재적인 구성 오류를 완전하고 정확하게 파악하여 공격 표면의 위험을 지속적으로 발견, 평가, 완화할 수 있도록 지원한다.

 

‘코어텍스 익스펜스’는 에이전트가 필요 없는 자동화된 솔루션으로, IT 직원이 인지하지 못하거나 모니터링하지 않는 자산을 정기적으로 탐색한다. 매일 인터넷에 연결된 자산에 대해 5,000억 건 이상의 스캔을 수행하여 연결된 모든 시스템과 노출된 서비스에서 알려지지 않은 위험을 적극적으로 발견하고, 학습하여, 대응할 수 있도록 지원한다. 노출 표면을 파악하는 동시에 자동으로 문제를 해결할 수 있는 우수한 제품 중 하나인 코어텍스 익스펜스는 또한 실제 환경의 인텔리전스 및 AI 지원 워크플로우를 활용하여 조직이 공격 표면 위험의 우선순위를 보다 정확하게 이해하고 해결할 수 있도록 지원하는 새로운 기능을 제공한다.

 

팔로알토 네트웍스의 매트 크래닝(Matt Kraning) 코어텍스 총괄 CTO는 “대부분의 조직은 다양한 IT 자산과 소유자에 대한 완전한 가시성이 부족하기 때문에 공격 표면 관리 문제를 가지고 있으며, 심지어 이를 인지하지 못하는 경우도 허다하다”고 지적하고, “알려지지 않은 위험의 가장 큰 원인 중 하나는 원격 액세스 서비스 노출이며, 실제로 인터넷에서 발견된 문제 5건 중 1건이 여기에 해당된다. 모든 구성 변경, 새로운 클라우드 인스턴스 또는 새로 공개된 취약점은 공격자와의 새로운 경쟁을 의미하므로 지속적으로 경계를 늦추지 않는 것이 중요하다"고 밝혔다.

 

#팔로알토#유닛42#코어텍스#익스펜스#