사이버 공격 시작은 '엔드포인트'

Photo Image

기업을 향한 사이버 공격 대부분이 서버, 네트워크에서 발견 된 것으로 나타났다. 반면 사이버 공격은 '엔드포인트'에서 시작 돼 관련 대응이 필요하다는 설명이다.

소포스가 발간한 '엔드포인트 보안의 7가지 불편한 진실' 보고서에 따르면 자사 서버, 네트워크 에서 심각한 사이버공격을 발견했다는 응답이 각각 37%로 나타났다. 뒤를 이어 엔드포인트(17%)와 모바일(10%)로 나타났다. 조사는 세계 정보기술(IT) 관리자 3100명을 대상으로 했다.

체스터 위스니에우스키 소포스 수석 연구원은 “서버에는 재무 정보, 인적자산, 부동자산 정보 등 기타 민감 데이터가 저장돼 있다”면서 “그러나 대부분 사이버공격이 엔드포인트에서 시작되고 있기 때문에 IT 관리자는 엔드포인트를 방관해서는 안 된다”고 설명했다.

지난해 1~2회 이상 사이버공격을 받은 경험이 있는 IT 관리자 가운데 20%는 공격자 침입 경로를 정확히 파악하지 못했다. 17%가 공격을 감지하기 전 이들이 얼마나 오랫동안 시스템에 침투해 있었는지 감지하지 못했다.

위스니에우스키 연구원은 “샘샘(SamSam)과 같은 표적화 랜섬웨어 등 집요한 공격자는 원격접속 시스템(RDP, VNC, VPN 등)에서 허술하거나 짐작 가능한 암호를 찾아낼 때까지 기다린다”면서 “시스템에 침투하면 거점을 확보한 뒤 공격을 개시할 때까지 조용히 움직인다”고 말했다.

이어 “IT 관리자들이 엔드포인트 침해 탐지·대응(EDR)을 사용해 심층적인 방어 능력을 갖추게 되면, 신속한 조사 진행 가능하다”면서 “위협 정보를 서버, 네트워크 전체에 걸쳐 동일한 감염 징후를 찾아내는데 활용한다”고 덧붙였다.


정영일기자 jung01@etnews.com


브랜드 뉴스룸