버라이즌 보고서는 94개국에서 발생한 보안 사고 3만 건 이상을 분석했으며, 이 중 데이터가 유출된 사례는 1만 건이 넘는 것으로 확인돼 사상 최고치를 기록했다. 버라이즌 비즈니스(Verizon Business)의 지역 부사장 롭 르 부스크는 CSO에 "위협 환경이 계속 확대됨에 따라 데이터 침해 양도 전반적으로 증가하고 있다"라고 말했다.
보고서에 따르면, 오류와 오용(일반적으로 직원의 정직한 실수)을 제외했을 때 데이터 침해로 이어지는 가장 흔한 3가지 경로는 ▲웹 애플리케이션 인증 정보의 무단 사용 ▲이메일 피싱 ▲웹 애플리케이션의 취약점 악용으로 나타났다.
버라이즌 보고서는 모든 규모와 유형의 조직에 영향을 미치는 글로벌 사이버 범죄의 복잡하고 변화하는 환경과 기업이 경계를 강화해야 할 영역을 보여준다. 또한 인식 개선 교육이 긍정적인 결과를 보이고 있음을 알 수 있다. 보고서에서 강조하는 핵심은 다음과 같다.
1. 무브잇 취약점으로 인한 침해 사고 급증
올해 가장 주목할 만한 사실은 취약점을 악용한 공격이 거의 3배(180% 증가) 증가했다는 점이다. 2023년은 무브잇(MOVEit) 제로데이 취약점과 기타 유사한 취약점이 대량으로 악용된 해였으므로 예상할 수 있는 결과다. 취약점 악용 공격은 주로 랜섬웨어 및 기타 갈취 관련 위협 행위자들이 활용했으며, 주요 진입 지점은 웹 애플리케이션이었다고 보고서는 지적했다.또한 데이터 분석 결과, 많은 기업에 취약점이 상당수 존재하며, 공격자들의 취약점 악용 속도는 기업의 취약점 패치 속도보다 더 빠른 것으로 나타났다. 기업이 취약점 절반을 수정하는 데 약 55일이 걸리는 반면, 위협 행위자가 동일한 취약점을 대규모로 스캔하는 일은 5일 이내에 이루어지고 있다고 버라이즌은 밝혔다.
따라서 사이버보안 태세를 점검할 때 강력하고 성숙한 취약점 관리 및 패치 프로그램을 갖추고 있다는 사실에 안주하는 것은 위험할 수 있다. 르 부스크는 "앞으로는 이런 계획을 다시 정리하고 전략을 재검토하며 패치의 위험 수준과 중요성을 높이기 위해 예산을 늘려야 한다"라고 조언했다.
2. 랜섬웨어 및 갈취 공격, 지속적 증가
랜섬웨어 또는 갈취와 관련한 공격은 2023년 한 해 동안 크게 증가해 전체 데이터 유출 사고의 32%를 차지했다. 여러 산업에 걸쳐 랜섬웨어 공격이 널리 퍼지면서 92%의 산업에서 가장 큰 위협이 되었으며, 평균 공격 비용도 증가하는 추세임을 확인했다. 르 부스크는 "범죄자들이 같은 노력으로 더 많은 수익을 얻고 있는 것에서 랜섬웨어 공격이 정교해지고 성숙해지고 있음을 알 수 있다"라고 말했다. 또한 사이버 범죄자에게 랜섬웨어는 일종의 비즈니스이며, 금전적 동기를 가진 위협 행위자는 항상 최고의 투자 수익을 제공하는 공격 기술을 활용한다는 사이버보안의 불변의 진리를 나타낸다.
3. 인적 요소는 여전히 문제
전년도와 거의 동일한 약 68%의 데이터 유출 사고가 악의적이지 않은 인적 요소와 관련돼 있으며, 이는 보안 체인에서 사람이 여전히 취약한 고리임을 보여준다. 보안 인식 개선할 여지가 여전히 많다는 것을 의미한다. 르 부스크는 "기업과 업계 차원에서 더 많은 교육과 훈련을 제공하고 인식을 더 견고히 구축할수록 모두에게 더 나은 결과를 가져올 수 있다"라고 말했다.
4. 오류로 인한 침해 급증
오류와 관련한 침해 사고가 증가하고 있다. 버라이즌 보고서 집필팀은 2023년에는 전체 사고의 1/3가량이 오류와 관련 있다고 분석했다. 오류에는 구성 오류, 악성 링크 클릭, 암호화되지 않은 데이터/정보 외부 전송 등을 통해 잘못된 사람에게 데이터가 넘어가는 것이 포함된다. 다만 보고서는 새로운 데이터 유출 통지 의무가 이런 수치를 높이는 이유가 될 수 있다고 언급했다. 통지 의무에 따라 일부 기업이 사고를 알려야 한다는 점을 고려하면 지금까지 미디어나 기존의 사고 대응 중심 데이터에서 알 수 있었던 것보다 오류로 인한 데이터 침해가 그동안 더 흔하게 발생했음을 시사한다는 설명이다.
기업은 보안 거버넌스 절차를 더욱 강력하게 준수하고 피할 수 있는 실수를 최대한 제거할 수 있는 기회로 삼을 수 있다. 르 부스크는 "데이터 거버넌스에 대한 강력한 정책과 프레임워크를 확보하면 이런 오류가 발생할 기회를 줄일 수 있다"라고 설명했다.
5. 보안 교육, 피싱 식별에 도움 된다
2023년 데이터에 따르면, 시뮬레이션 참여에서 피싱을 정확하게 식별한 사람은 20%였고 피싱 이메일을 클릭했다고 보고한 사람은 11%였다. 보고서 집필팀은 지난 몇 년 동안 시뮬레이션 참여에서 피싱을 보고하는 사용자 비율이 계속 증가하는 추세라며, 이는 피싱 식별에 도움이 되는 사내 교육 및 인식 개선 훈련이 지속해서 효과를 거두고 있다는 긍정적인 신호라고 분석했다. 하지만 사람이 피싱 이메일에 속는 평균 시간은 60초 미만으로, 받은 교육을 적용할 수 있는 시간이 짧다. 르 부르케는 "실시간 대응이 중요하기 때문에 계속해서 인식을 개선해야 할 필요가 있다"라고 강조했다.
editor@itworld.co.kr