Cloud CISO Perspectives: 지난 1년은 사이버 보안의 미래에 대해 무엇을 말해주는가?
Phil Venables
VP, TI Security & CISO, Google Cloud
Kevin Mandia
strategic advisor, Google Cloud
Hear monthly from our Cloud CISO in your inbox
Get the latest on security from Cloud CISO Phil Venables.
Subscribe* 본 아티클의 원문은 2024년 5월 31일 Google Cloud 블로그(영문)에 게재되었습니다.
2024년 5월 두 번째 Cloud CISO Perspectives 뉴스레터입니다. 이번 업데이트에서는 Mandiant CEO인 Kevin Mandia가 이달 초 RSA 컨퍼런스에서 있었던 기조 연설의 주요 내용을 공유합니다.
모든 클라우드 CISO 관점과 마찬가지로 이 뉴스레터의 내용은 Google Cloud 블로그에 게시됩니다. 웹사이트에서 이 글을 읽고 계시고 이메일 버전을 받아보고 싶으시면 여기에서 구독하실 수 있습니다.
--Phil Venables, VP, TI Security and CISO, Google Cloud
지난 1년은 사이버 보안의 미래에 대해 무엇을 말해주는가?
Kevin Mandia, strategic advisor, Google Cloud
지난 한 해 동안 사이버 범죄 증가도 증가했고, 사이버 보안 강화를 위한 노력도 지속되었습니다. 범죄 행위에 대한 처벌이 약해지고 있어, 공격을 감행하는 데 대한 부담이 줄어들고 있고, 새로운 공격 방법을 끊임없이 개발되고 있어, 방어하는 측에서는 따라잡기가 점점 어려워 지고 있습니다. 따라서 기업의 최고 의사 결정 주최인 이사회가 사이버 보안의 중요성을 인식하고, 적극적인 대응 방안을 모색하고, 민간 기업과 공공 기관이 사이버 위협에 효과적으로 대응하기 위해 정보 공유 및 협력을 강화하고 있습니다.
이러한 동향은 28개국에 기반을 둔 900여 명의 보안 컨설턴트와 400여 명의 위협 인텔리전스 분석가들의 조사 결과를 바탕으로 도출되었습니다. 이들은 65개국에서 1,170건 이상의 침입 조사에 참여하고 719개의 새로운 위협 그룹을 추적했습니다.
자세한 내용은 아래 링크에서 전체 기조 연설을 시청하거나, 아래에 요약된 주요 내용을 확인할 수 있습니다.
Engaging on a geopolitical level
When we look at the few risks or repercussions to the threat actors, I think every modern nation understands there is going to be spying, that you probably can't prevent espionage, and it's hard to come up with rules for espionage. The facts underscore the challenge here: After a sharp decline in payments to ransomware attackers in 2022, they collected a record-high $1.1 billion in 2023; that sum doesn’t include cumulative and often high-cost negative impacts from cybersecurity incidents.
The damages from this trend go up and to the right. So what do we do about it?
There are a lot of folks who say we have to do better defense. We all want to do better defense. We also have to look at tracking cryptocurrency, to follow the money — literally — even though that’s currently easier to say than to do. The third thing we have to do is modernize some of the treaties we have. We need to have attribution and impose risk.
그 어느 때보다 빠르게 공격을 감지하고 있으며, 더 많은 조직이 자체 시스템에서 공격자를 발견하고 있습니다.
저는 사법 기관, 정보 기관, 민간 부문의 모든 분들께 귀속 방식(attribution)에 대한 재고를 할 것을 권고합니. 전 세계 각국 정부 관계자는 범죄 행위자들의 안전한 피난처와 안전한 은신처가 무엇인지 살펴봐야 합니다. 위험 부담이나 비용을 더 부과할 수 있도록 해당 국가들과의 조약을 현대화할 수 있는 지에 대한 문제에 대해 생각해야 할 때라고 생각합니다. 전 세계적으로 많은 태스크포스와 많은 그룹이 이 문제를 해결하기 위해 노력하고 있다는 것을 알고 있으며, 우리 모두 이와 관련하여 진전이 있기를 기대합니다.
사이버 공격이 진화하고 있지만, 방어자도 앞서 나가고 있습니다.
작년에는 공격 기법에 대한 진화된 내용은 다음과 같이 요약했습니다.
- 2023년에는 97개의 제로데이 취약점이 발견되었으며, 이는 Mandiant와 Google이 발견한 것의 약 3분의 1에 해당하고, 연간 10~15개의 제로데이 취약점이 발견되었던 과거 평균보다 높은 수치입니다.
- 이러한 97개의 제로데이 취약점은 2018년 7개의 공급업체에서 증가한 31개의 공급업체에서 발생했습니다. 공격받는 공급업체의 수가 급격히 증가한 것은 사이버 침입이 효과를 거두고 있기 때문입니다.
- 초기 침입의 38%가 익스플로잇을 통해 발생했으며, 이는 최근 추세를 이어가는 것이지만 1998년부터 2019년까지 20년 동안 스피어피싱이 주를 이루던 것과는 다른 양상입니다. (상위 3개 익스플로잇에 대한 자세한 내용은 연례 M-Trends 보고서를 참조하십시오.)
- 스피어피싱은 여전히 주요 위협이며, 압축된 아카이브 파일, Office 문서, 이메일 본문 및 첨부 파일의 하이퍼링크를 중심으로 진화했습니다.
- 또한, 중국 Nexus 스파이 활동이 12개의 제로데이 취약점을 사용하여 개선되었으며, 에지 장치를 대상으로 맞춤형 악성코드 패키지 및 Living-off-the-Land 기술을 사용하는 것을 확인했습니다.
- 위협 행위자들은 푸시 알림 및 일회용 비밀번호를 악용하여 다단계 인증을 우회하는 모습을 보였습니다.
- They also have better OPSEC and evasion, using 또한, Living-off-the-Land 기술을 사용하고 맞춤형 악성코드를 개발하며 소비자 및 로컬 인프라를 대상으로 하는 등 더 나은 OPSEC(Operational Security) 및 회피 기술을 갖추고 있습니다.
이 모든 것이 좋은 현상은 아니지만, 방어자들도 진화하고 있습니다. 우리는 그 어느 때보다 빠르게 공격을 감지하고 있으며, 더 많은 조직이 자체 시스템에서 공격자를 발견하고 있습니다.
- 2011년부터 저희는 모든 대응 사례에 대해 공격자의 전 세계적인 평균 체류 시간을 기록하기 시작했습니다. 당시 체류 시간은 416일이었습니다. 2022년에는 16일로 감소했고, 작년에는 10일로 더 줄었습니다.
- 20년 전 처음 침해 사고 대응을 시작했을 때 거의 모든 침해 알림은 제3자로부터 왔습니다. 현재는 54%로 감소했는데, 이는 매우 긍정적인 변화라고 생각합니다. 제3자에 의해 탐지되는 것보다 자체적으로 사고를 탐지하는 것이 더 좋습니다. 왜냐하면 이 경우, 비밀리에 그리고 자체적인 방식으로 처리할 수 있기 때문입니다.
The big unknown factor right now is the impact of AI. While we expect attackers to benefit from it, it has the potential to tip the scales in favor of defenders. Importantly, there’s more to the defender’s side of the equation.
현재 가장 큰 미지수는 인공지능(AI)의 영향입니다. 공격자들이 AI를 활용하여 이득을 얻을 것으로 예상되지만, AI는 방어자에게 유리하게 작용할 잠재력도 가지고 있습니다. 중요한 것은 방어자 측면에서 더 많은 요소가 있다는 것입니다.
계속 진화하는 랜섬웨어
최근 랜섬웨어에서 보여지는 변화는 대부분 랜섬웨어 공격과 이를 조종하는 위협 행위자에 대한 방어자들의 대응 능력 향상에 기인합니다. 모든 회사는 랜섬웨어에 대해 알고 있으며, 대부분은 중요한 자산 식별, 자산 백업, 백업 보안, 공격 표면 축소를 위한 ID 접근 권한 축소, 최악의 시나리오 가상 훈련 등을 통해 랜섬웨어 공격에 대비하고 있습니다.
하지만 위협 행위자들 또한 그들의 전술, 기술, 절차를 적응시켜 왔습니다. 그들은 데이터를 언론인과 공유하고, 임원진을 타겟팅하며, 고통의 수준을 극도로 높이는 방식으로 더 큰 피해를 야기하고 있습니다. 아직 이러한 기술을 채택하지 않은 다른 위협 행위자들에게 정보를 제공할 수 있으므로 너무 많은 예시를 들고 싶지는 않지만, 랜섬웨어 공격을 받았을 때 갈취를 당할 가능성이 더 높아졌다는 것은 놀라운 일입니다. 이제는 랜섬웨어 공격자로부터 연락 및 기타 활동을 받을 것으로 예상할 수 있습니다.
새롭게 부상하는 국가 데이터 법, 개인 정보 보호법, 사이버 보안 표준, 법률 및 규정 등으로 인해 이사회는 참여를 유지해야 하는 동기를 부여받고 있습니다.
높아지고 있는 이사회의 참여
이사회는 그 어느 때보다 사이버 보안에 더욱 적극적으로 참여하고 있습니다. 이러한 현상에는 몇 가지 이유가 있지만, 무엇보다도 이사회는 뉴스 헤드라인을 읽고 있으며, 현재 사이버 보안 관련 헤드라인이 많이 나오고 있습니다. 또한, 미국 증권거래위원회(SEC)가 4,500개 이상의 모든 상장 기업에게 사이버 위험 관리 및 사이버 거버넌스에 대한 연례 보고 요건을 의무화하면서 이사회의 관심을 끌었습니다.
이사회는 기업에 대한 감독을 제공하는 역할을 하며, 우리는 이러한 감독이 의무화되고 있음을 목격하고 있습니다. 새롭게 등장하는 국가 데이터 법, 개인 정보 보호법, 사이버 보안 표준, 법률 및 규정 등으로 인해 이사회는 사이버 보안에 참여하고 지속적인 관심을 기울여야 하는 동기를 부여받고 있습니다.
증가하고 있는 민간 기업과 정부 기관의 협력
지난 한 해는 1993년 사이버 보안 분야에서 일을 시작한 이후 공공 및 민간 부문의 정보 공유를 통해 방어가 가장 가속화된 해였습니다. '안전 설계(secure by design)'에 대한 강조와 같은 몇 가지 예시가 있지만, 미국 국토안보부 사이버 안전 검토 위원회(CSRB)의 2023년 침해 사고 보고서의 영향에 대해 이야기해야 합니다. CSRB는 모든 클라우드 서비스 제공업체와 미국 정부에 25개의 권고 사항을 제시했는데, 그중 세 가지 권고 사항이 특히 두드러집니다.
- 피해자에게 통지: 침해 가능성이 있다고 판단될 경우 피해자에게 알려야 합니다.
- 로그 및 감사: 네트워크의 보안 이벤트를 찾고 더 잘 이해할 수 있도록 로그를 기록하고 감사해야 합니다.
- 투명성: 클라우드 서비스 제공업체는 플랫폼의 취약점을 정부 기관을 포함한 고객에게 알리고, 구현 중인 보안 관행에 대해 알려 고객이 가용성뿐만 아니라 보안을 기반으로 선택할 수 있도록 해야 합니다.
오늘날 CISO의 관점에서 볼 때, 이러한 다섯 가지 트렌드는 CISO 책임, SEC 지침 및 준수, 위협 환경, 공급망 보안, 사고 대비 및 복원력, 안전 설계, AI 등 CISO가 끊임없이 직면하게 될 주제로 나타납니다. 따라서, CISO로서 이러한 것들을 고민하고 있다면, 수천 명의 다른 CISO들과 같은 생각을 하고 있는 것입니다.
You can watch my full keynote here. To learn more, you can contact Google Cloud’s Office of the CISO and come meet us at our security leader events.
전체 기조 연설은 여기에서 시청하실 수 있고 더 자세한 내용은 Google Cloud CISO 사무실에 문의하거나 저희 보안 행사에서 만나보실 수 있습니다.
Google Cloud 보안 관련 최신 소식
- 피싱 테스트를 소방 훈련 점검으로 대체할 때: 피싱 및 소셜 엔지니어링 공격은 계속될 것이며, 이에 대한 대응을 개선하고 직원 보안을 강화하는 한 가지 방법은 소방 안전 훈련에 사용되는 계획 및 실행 기법을 채택하는 것입니다. 더 자세한 내용은 여기를 참조하세요.
- 최근 고객에게 영향을 미친 사고에 대한 세부 정보 공유: Google Cloud는 호주 고객의 Google Cloud VMware Engine 사용에 영향을 미친 사고에 대한 세부 정보를 공유합니다. 무슨 일이 일어났는지, 그리고 이런 일이 다시 발생하지 않도록 어떻게 예방하고 있는지 알아보세요. 더 자세한 내용은 여기를 참조하세요.
- Assured Workloads에서 FedRAMP High 승인 서비스 추가: 고급 기술을 통해 연방 기관을 지원하려는 Google Cloud의 노력은 100개 이상의 새로운 FedRAMP High 승인 클라우드 서비스 추가를 통해 중요한 이정표에 도달했습니다. 더 자세한 내용은 여기를 참조하세요.
- Coalfire, Google Cloud AI 평가: '성숙하고' 거버넌스 및 규정 준수 준비 완료: Google Cloud는 최근 Coalfire에게 현재 프로세스를 검토하고 NIST 및 ISO 목표에 대한 AI 개발의 조정 및 성숙도를 측정하도록 요청했습니다. 그 결과는 다음과 같습니다. 더 자세한 내용은 여기를 참조하세요.
- GKE Security Posture를 사용하여 공급망 보안 강화: 애플리케이션에 대한 내장된 중앙 집중식 가시성을 제공하기 위해 GKE Security Posture 대시보드에 GKE 워크로드에 대한 소프트웨어 공급망 보안 정보를 도입하고 있습니다. 더 자세한 내용은 여기를 참조하세요.
- 서비스 계정 사용 제한: Resource Manager는 IAM 서비스 계정 사용을 제한하는 조직 정책에 사용할 수 있는 제약 조건을 제공합니다. 이러한 제약 조건 중 다수는 서비스 계정 및 기타 리소스를 특정 방식으로 생성하거나 구성할 수 있는지 여부를 결정하며, 이러한 정책은 이제 모든 새 조직 리소스에 적용됩니다. 더 자세한 내용은 여기를 참조하세요.
- 안전한 PQC 마이그레이션을 위한 하이브리드 배포의 중요성: 양자 컴퓨팅 시대의 하이브리드 배포 이점을 살펴보고, 권장 사항의 이유를 자세히 분석하며, 하이브리드 방식 구현 방법에 대한 지침을 제공합니다. 더 자세한 내용은 여기를 참조하세요.
위협 인텔리전스 최신 소식
- Bitbucket의 허점: CI/CD 파이프라인에서 기밀이 유출되는 이유: Mandiant는 최근 Amazon Web Services(AWS) 기밀 유출 사건을 조사하던 중 Atlassian의 코드 저장소 도구인 Bitbucket에서 고객별 기밀 정보가 유출되어 위협 행위자가 AWS에 무단 접근하는 데 사용되었음을 확인했습니다. 더 자세한 내용은 여기를 참조하세요..
- IOC 제거? 중국 연계 스파이 행위자, ORB 네트워크를 사용하여 방어 어렵게 만들어: Mandiant Intelligence는 APT 공격자가 프록시 네트워크를 사용하여 작전을 은폐하고, 탐지를 회피하며, 귀속을 복잡하게 만드는 중국 연계 사이버 스파이 작전의 증가 추세를 추적하고 있습니다. 더 자세한 내용은 여기를 참조하세요.
최신 팟캐스트
- 클라우드 IR(사고 대응) 준비 상태를 측정하고 개선하는 새로운 방법: 사고 대응은 본질적으로 "사후 대응"이지만, 궁극적으로 사고에 대한 대비는 대응 성공 여부를 결정합니다. Alphabet의 사이버 보안 전문가 Angelika Rohrer는 IR 준비 상태 측정을 위한 새로운 프레임워크를 만들었으며, Anton Chuvakin 및 Tim Peacock과 함께 더욱 스마트한 지표를 통해 효과적인 대응 방법을 모색하는 대화를 나눕니다. 더 자세한 내용은 팟캐스트를 들어보세요.
- SAIF 집중 탐구: 5가지 AI 보안 위험 및 SAIF 완화 방안: Google Cloud Next에서 그룹 제품 관리자인 Shan Rao는 클라우드 환경에서 AI를 보호할 때 발생하는 5가지 고유한 문제에 대해 논의했습니다. 그는 Anton 및 Tim과 함께 AI 위험에 대한 SAIF 완화 방안과 AI 보안의 단기적인 미래를 살펴봅니다. 더 자세한 내용은 팟캐스트를 들어보세요.
- Defender’s Advantage - ORB 네트워크 심층 분석: Mandiant Intelligence의 수석 분석가 Michael Raggi가 호스트 Luke McNamara와 함께 "ORB"(Operational Relay Box) 네트워크로 알려진 프록시 네트워크를 사용하는 중국 연계 위협 행위자에 대한 Mandiant의 연구와 이것이 방어자에게 의미하는 바에 대해 논의합니다. 더 자세한 내용은 팟캐스트를 들어보세요.
- Defender’s Advantage - Ivanti Connect Secure 어플라이언스의 제로데이 익스플로잇 조사: Mandiant의 수석 분석가 John Wolfram과 Tyler McLellan이 Luke와 함께 Ivanti 어플라이언스의 제로데이 익스플로잇에 대한 연구 내용을 이야기하고, 올해 중국과 연관된 제로데이 익스플로잇이 엣지 인프라에서 어떻게 나타날지에 대한 생각을 공유합니다. 더 자세한 내용은 팟캐스트를 들어보세요.
Cloud CISO Perspectives 게시글을 2주마다 받아보려면 뉴스레터를 구독하세요. 2주 후에 Google Cloud의 더 많은 보안 관련 업데이트 소식을 전해드리겠습니다.