사이버 보안과 관련해 많은 사람들은 미국 군대와 최대 방위 계약업체들이 전 세계에서 가장 민감한 정보를 보호하는 보안 체계를 갖추고 있다고 생각한다. 그러나 최근 발생한 사이버 침해 사건은 다른 현실을 보여준다.

사이버 보안 기업 허드슨 록(Hudson Rock)이 2월에 발표한 ‘미국 군사 및 방위 부문에서 발생한 정보 탈취형 악성코드 감염: 진행 중인 사이버보안 재앙(Infostealing Malware Infections in the U.S. Military & Defense Sector: A Cybersecurity Disaster in the Making)’ 보고서에 따르면, 해커들은 정보 탈취형 악성코드를 사용해 미국 육군및 해군, 보잉(Boeing), 록히드 마틴(Lockheed Martin) 및 하니웰(Honeywell) 등 주요 기관 및 기업의 자격 증명을 탈취했다.

FBI, 미국 회계감사원(GAO) 및 미국 재무부 또한 영향을 받았으며, 재무부의 경우 권한 상승 방지, 원격 액세스 보안 강화 등 사용자 및 시스템 권한 제어 솔루션 ‘비욘드 트러스트(BeyondTrust)’의 취약점을 통해 침투가 발생했다.

사이버 보안 솔루션 기업 사이버 데거(Cyber Dagger) 존 로드리게스(John Rodriguez) CEO는 가장 안전하다고 여겨지는 환경이 공격을 받았다면, 이는 경각심을 가져야 할 신호라며 사이버 보안 업계는 수동적 방어를 넘어 공격자의 관점에서 사고해야 한다라고 강조했다.  

로드리게스는 최근 발생한 침해 사고가 EDR(엔드포인트 탐지 및 대응) 도구만으로는 완전한 보호가 어렵다는 것을 입증했다고 지적했다.

일부 EDR 벤더들은 MITRE 평가에서 자사 솔루션이 매우 효과적이고 강력한 보안을 보장한다고 마케팅하지만, 실제 공격 시나리오는 실험실 환경과 매우 다르다.

그는 벤더들이 평가 결과를 예측할 수 있으면 탐지 기능을 최적화해 제품을 돋보이게 할 수 있지만 이는 실제 위협 행위자들이 사용하는 다양한 전술, 기법 및 절차(TTPs)를 반영하지 못할 수 있다고 경고했다.

로드리게스는 이 침해 사건으로부터 배워야 할 다섯 가지 주요 인사이트를 제시했다.

① EDR 솔루션은 만능이 아니다

많은 조직이 EDR 도구에 지나치게 의존하고 있지만, 이는 완전한 방어책이 아니다. MITRE 평가는 통제된 환경에서의 성능을 보여줄 뿐, 현실 세계의 예측 불가능한 공격에는 취약할 수 있다. 따라서 다계층 보안 전략을 통해 방어 체계의 빈틈을 보완해야 한다.

② 인간 오류는 여전히 가장 큰 취약점이다

피싱 이메일, 자격 증명 탈취, 안전하지 않은 다운로드는 정보 탈취형 악성코드의 주요 침투 경로다. 기술적 방어책만으로는 충분하지 않으며, 철저한 사이버보안 교육과 제로 트러스트(Zero Trust) 정책이 필요하다.

③ 위협 행위자는 지속적으로 진화한다

해커들은 정해진 공격 스크립트를 따르지 않는다. 적응형 전술과 실험적 기법을 사용해 탐지를 회피하며, 기존 방어 체계를 무력화한다. 레드팀 훈련과 선제적 위협 사냥을 통해 현실적인 공격 시나리오를 시뮬레이션해야 한다.

④ 공급망 보안의 중요성이 그 어느 때보다 크다

군사 및 방위 계약업체는 방대한 공급업체 네트워크와 협력한다. 단 한 개의 공급업체 계정 탈취만으로도 핵심 시스템에 대한 백도어(backdoor)가 열릴 수 있다. 따라서 공급망의 모든 계층에서 강력한 보안 검증 및 점검이 필요하다.

⑤ 공격자의 시각으로 방어 체계를 점검하라

보안 벤더의 주장만 믿지 말고, 자체적으로 실전 위협 시뮬레이션 및 방어 평가를 실시해야 한다. 레드팀 훈련, 실시간 보안 감사 및 라이브 환경 테스트를 통해 실제 공격에 대한 대비 태세를 강화해야 한다.

기업은 단순히 마케팅에 의존하지 말고 적극적 사이버 보안 접근법을 채택해 현실적인 시나리오에서 방어력을 테스트해야 한다.