글로벌 공격 표면 탐지 및 침투 테스트 솔루션 기업 브리치록(BreachLock)이 ‘2024 침투 테스트 인텔리전스 보고서’를 발표했다.

이 보고서는 지난 12개월 동안 수행된 4000건 이상의 침투 테스트와 취약점 평가를 기반으로 위협 인텔리전스를 분석해 공격 영향을 받은 자산, 관련 취약점 유형, 발생 빈도, 심각도 및 전 세계에서 가장 영향을 많이 받은 산업별군을 담고 있다.

이 보고서를 위해 북미, 영국, 유럽, 범아시아 지역의 다양한 규모의 기업을 대상으로 조사를 실시했다. 직원 수가 50명 미만인 소규모 기업이 보고서 분석의 40%를 차지하고, 이어서 중간 규모 기업(51명에서 100명)이 35%, 대규모 기업(1001명에서 1만명 이상)이 25%를 차지한다.

사이버 공격에 취약한 5대 산업

보고서에는 MITRE ATT&CK 적대자 전술 및 기술, OWASP Top 10이 포함되어 실제 관측과 보고서의 결과를 비교할 수 있다.

2024년은 컴퓨터 소프트웨어 및 기술 산업에 있어 어려운 해였으며, 기술 인프라를 겨냥한 사이버 사건이 증가하고 있다. 이 분야는 공격 영향을 많이 받는 상위 5개 산업 중 48%로 가장 많이 받았다.

전문 서비스는 2024년 보고서에 새롭게 포함된 산업이다. 이 부문에는 소비자 서비스, 인사, 법률 사무소, 법률 서비스, 인재 채용 등이 포함된다. 이러한 유형의 조직이 처리하는 민감한 데이터와 더불어 공격의 복잡성 및 증가하는 규제 요구 사항으로 인해 이 부문이 가장 영향을 많이 받은 상위 5개 산업에 포함된 것은 놀라운 일이 아니다.

금융 서비스 기관(FSI) 부문은 2023년 대비 2024년에 심각하고 높은 심각도의 증가율이 71.43% 증가했다. 여기에는 OWASP TOP 10에 포함된 보안 구성 오류, 암호화 실패 및 액세스 제어 실패와 같은 취약점이 포함되었다.

보건 산업 또한 2023년 대비 심각하고 높은 심각도가 85.71% 증가하여 주요한 증가세를 보였다. 2024년 5월, 미국 내 의료와 관련된 51건의 데이터 유출이 발생했으며, 특히 유나이티드 헬스가 소유한 체인지 헬스케어 공격으로 인해 러시아 사이버 범죄 그룹에 2억 2천만 달러의 몸값이 지급되었다.

그 다음 순으로 유통과 이커머스가 7%로 나타났다.

자산별 공격 영향

4000건의 침투 테스트 중 자산으로는 웹 애플리케이션(49%), 외부 네트워크(17%), 내부 네트워크(15%), API(9%), 클라우드(7%), Android 및 iOS용 모바일 앱(3%)이 포함되었다.

OWASP에서 가장 많이 식별된 취약점 상위 5개는 브리치록의 상위 5개 발견 사항과 일치하며 ▲보안 구성 오류 ▲암호화 실패 ▲액세스 제어 실패 ▲설계 상의 취약점 ▲취약하고 오래된 구성 요소 등이다.

이 상위 5개 범주는 보고서의 전체 데이터 세트에서 발견된 취약점과 보안 약점의 88%를 차지한다.

또한, MITRE ATT&CK은 브리치록에서 사용하는 또 다른 프레임워크로, 2024년 보고서 결과에도 포함되어 있다. MITRE ATT&CK 기술과 일치시키는 것은 식별된 취약점이 실제 공격 기술에 부합해 위협 발견의 관련성과 심각성을 검증한다. 가장 일반적이고 영향력이 큰 공격 기술과 관련된 취약점을 식별해 조직은 가장 중요한 위협과 발생 가능성이 높은 위협을 우선 해결할 수 있다.

또한, 거의 모든 자산에서 심각에서 높은 심각도로 증가하고 있다. 그중 웹 애플리케이션은 2024년 대비 2023년에는 심각한 취약점이 150% 증가하였고, 높은 취약점이 60% 증가했다.

네트워크 인프라는 내부 및 외부 네트워크 모두에 대한 전체 위험 심각도는 전체 데이터 세트의 32%를 차지하며, 2024년에는 전년 대비 심각 및 높은 심각도가 각각 100% 및 200% 증가했다.

API는 테스트된 모든 자산의 전체 위험 중 거의 10%를 차지하며, 위험 분포는 2023년 대비 심각한 심각도가 400% 증가하고 높은 심각도가 700% 증가했다.

보고서는 2024년 사이버 보안 규제의 가장 영향력 있는 변화는 SEC(증권거래위원회) 공개 규칙 법안을 꼽았다. 2023년 7월에 제정되어, 2024년에는 주요 국내 및 글로벌 기업이 겪은 중대한 위반 사항이 SEC에 즉시 공개됨에 따라 이러한 규칙이 미치는 영향을 본격적으로 확인할 수 있었다.

세먼트 세갈(Seemant Sehgal) 브리치록 창립자이자 CEO는 “오늘날 CISO(최고 정보 보안 책임자)는 그 어느 때보다 많은 사이버 보안 문제에 직면하고 있다. 이들은 새로운 엄격한 규제 지침, SEC(증권거래위원회) 보고 규칙, 그리고 기업의 책임을 강화하려는 확대되는 환경에 직면하고 있다. 이는 CISO와 실무자들을 앞으로의 상황에 대해 불확실하게 만든다.”라며, “보안팀은 위험을 재평가하고 잠재적인 재정적 영향을 정량화하라는 압박을 받고 있다. 이들은 ROI(투자 수익률)를 높이고 위험을 줄이는 비즈니스 지향 프로그램을 제공해야 하며, 브리치록은 이를 돕기 위한 공격적 보안 솔루션을 제공하고 있다.”고 말했다.