이게 핵심이다. 보안 보고서에서 ‘유출 속도 4배 증가’ 같은 숫자를 볼 때, 그것은 단순한 데이터가 아니다. 바로 경고등이다. 평범한 직장인들에게 이는 자신이 의존하는 시스템이 점점 덜 신뢰할 수 있게 되고, 악당들은 우리의 방어망을 뚫고 들어가는 데 무섭게 능숙해지고 있다는 뜻이다. 유닛 42(Unit 42)의 최신 보고서가 말하는 핵심은 화려한 신기술이 아니라, 우리가 노출되는 방식의 근본적인 변화와 우리의 방어가 이를 따라잡고 있는지 여부다.
수년간 우리는 엔드포인트를 보안의 보루로 여겨왔다. 물론, 여전히 중요하다. 하지만 세상은 노트북에서 멈추지 않았다. 클라우드로 폭발하듯 확장했고, 덩굴식물처럼 마이크로서비스를 뻗었으며, 수십 개의 원격 위치로 사용자를 흩뜨려 놓았다. 이제 각기 다른 보안 도구와 로깅 시스템을 가진 정체성 및 접근, 클라우드 자산, OT, IoT, AI와 같은 영역들이 거대한 구멍으로 변모하고 있다. 공격자들이 멍청한 게 아니다. 바로 이 시스템들 사이의 어수선한 틈새를 파고들고 있다. 마치 강도가 집의 앞문만 확인하는 게 아니라, 모든 창문과 문을 샅샅이 뒤지는 것과 같다. 유닛 42는 조사한 사건의 75%에서 증거가 로그 안에 ‘존재’했지만, 너무 찾기 어려웠다고 지적한다.
보이지 않는 피벗: 엔드포인트가 실패하는 지점
생각해보라. 공격자가 잘못 구성된 클라우드 서비스 접근 키를 통해 발판을 마련했다고 가정해보자. 거기서부터 클라우드 호스팅 서버로 이동할 수 있다. 엔드포인트 로그를 뚫어져라 보고 있는 SOC 분석가에게는 이 초기 침투와 후속 탐색 과정 전체가 완벽하게 합법적인 사용자 활동처럼 보일 수 있다. 펑. 보이지 않는다. 엔드포인트 EDR은 아무것도 감지하지 못한다. 왜냐하면 그 행위는 엔드포인트 위에 있지 않기 때문이다. 바로 클라우드 안에서, 모든 것을 조종하고 있기 때문이다.
신원 도용 문제도 마찬가지다. 공격자들은 불법적인 DNS 터널링을 사용해 손상된 장치를 제어하면서 합법적인 클라우드 앱의 자격 증명을 훔치려 할 수 있다. 그들은 정상적으로 보이는 앱 사용량 안에 악성 C2 트래픽을 숨긴다. 만약 보안 팀이 단순히 기기의 악성코드 시그니처만 찾고 있다면, 네트워크 전체, 즉 모든 SaaS 앱에 걸쳐 발생하는 신원 침해를 놓치는 것이다. 이것은 마치 디지털 연막과 같다.
그림자 IT와 무단 장치들에 대해서는 말도 꺼내지 말자. 이들은 종종 관리되지 않고 에이전트가 없어 전통적인 EDR 및 SIEM 도구에 보이지 않는다. 공격자들은 이것을 매우 좋아한다. 네트워크의 잊혀진 구석에 자신들만의 지속적인 도구를 심어둘 수 있으며, SOC는 이를 전혀 눈치채지 못할 것이다. 마치 뒷문을 잠그지 않고 아무도 알아차리지 않기를 바라는 것과 같다.
“엔드포인트 탐지 및 대응(EDR) 중심 접근 방식이 기초적인 요소임은 분명하지만, EDR에만 의존하는 것은 공격자가 보이지 않게 이동하는 데 사용하는 허점을 만든다.”
이 인용구가 정확하다. EDR이 나쁘다는 것이 아니라, 오직 EDR에만 의존하는 것은 재앙을 부르는 지름길이라는 것이다. 우리는 디지털 성을 짓는데 단 하나의 해자만 파고 있고, 공격자들은 그 주위를 걸어갈 수 있다는 것을 알아냈다.
개발자와 DevOps에게 왜 중요할까?
시스템을 구축하는 사람들에게 이는 여러분의 코드, 배포, 클라우드 구성이 모두 EDR이 감지하지 못할 수도 있는 잠재적인 진입점이 된다는 것을 의미한다. 잘못 구성된 S3 버킷이나 약한 IAM 역할은 엔드포인트 문제가 아니다. 이는 클라우드 네이티브적인 시각으로 보안을 해야 하는 클라우드 네이티브 문제다. “에이전트를 설치하고 바이러스를 스캔하라”는 옛날 방식은 더 이상 통하지 않는다. 코드 저장소부터 배포된 마이크로서비스까지, 그리고 이 모든 것이 어떻게 서로 통신하는지(그리고 무엇과 통신하는지)를 포함한 전체 공격 표면을 고려해야 한다.
“단일 유리창”에 대한 약속은 모든 보안 벤더의 매혹적인 속삭임이다. 팔로알토 네트웍스(Palo Alto Networks)는 유닛 42를 통해 Cortex XSIAM 플랫폼을 해결책으로 제시하고 있다. 클라우드 인프라, ID 제공업체, 무단 IoT 장치 등 모든 보안 로그를 하나의 중앙 저장소로 통합하는 것이다. 그러면 AI가 이 모든 것을 분석하여 분산된 이벤트를 엮어 공격의 전체적인 그림을 그려낼 수 있다. 이는 숨겨진 데이터의 75%를 가시화하는 것이다.
그들은 AI 기반 SOC, ML 기반 사고 점수, 사용자 행동 분석을 통해 문제가 커지기 전에 이상 징후를 포착하는 것을 이야기하고 있다. 이것이 바로 진정한 가치인데, 만약 제대로 작동한다면 말이다.
