웨비나속 Q&A

침해 사고 조사는 포괄적인 로그 데이터를 기반으로 합니다. 규제 준수 및 조직의 위험 허용 수준에 따라 기간은 달라질 수 있으나, 최소 90일에서 1년 이상의 로그를 중앙 집중화된 보안 정보 및 이벤트 관리(SIEM) 시스템에 수집하고, 장기 보존이 필요한 중요 로그는 2년 이상 또는 영구적으로 아카이빙하는 것이 적절합니다. 이는 공격자의 활동을 추적하고, 침해의 범위와 영향을 파악하며, 재발 방지 대책을 수립하는 데 필수적입니다.

이번 M-Trends 2025 보고서에서 기업 입장에서 가장 주의 깊게 봐야 할 '초기 감염 경로'는 다음과 같습니다. 익스플로잇(Exploits): Mandiant 분석에 따르면 2024년에도 가장 흔한 초기 침투 경로(33%)**로 나타났습니다. Region에 따라 다른 통계 점수 다르기 때문에 M-Trend 보고서를 다운로드 받으셔서 보시면 도움이 되실것 같습니다.

지능화되는 공격에 대한 AI 방어는 복잡성 증가, 새로운 공격 유형 학습 지연, 데이터 편향성 등의 한계를 가집니다. 이에 대응하기 위해 능동적 위협 헌팅과 인간-AI 협업 강화를 통해 AI 모델의 실시간 적응력을 높이는 것이 필요합니다.

소프트웨어 공급망 보안 강화를 위해 일반적으로 CI/CD파이프라인관점에서 SBOM및 VEX기능을 적극 활용하고 있습니다. 이를 통해 우리가 사용하는 상용 소프트웨어와 오픈소스의 모든 구성 요소를 정확히 파악하는 것이 필요합니다. 구체적으로, SBOM을 생성하고 분석하여 각 구성 요소의 의존성 및 출처를 명확히 하고, 알려진 취약점(CVE) 정보를 식별하고 VEX를 결합하여 해당 취약점이 우리의 소프트웨어에 실제로 미치는 영향을 정량적으로 평가하고 불필요한 노이즈를 제거하도록 합니다. 일반적으로 해당 기능을 제공하고 있는 CNAPP솔루션을 통해서 관리하는 것을 권고 드립니다.

Sbom 구성에 대한 표준이 있나요? 이에 대한 표준 없이는 특히 의존성의 추적이 무척 어려울 것 같은데요

Mandiant의 사고 대응 지표(IDM) 분석에서 가장 빈번하게 식별된 횡적 이동 기술은 원격 서비스(T1021)였으며, 특히 SMB/Windows 관리 공유(23.3%)와 원격 데스크톱 프로토콜(RDP, 22.6%) 악용이 두드러졌습니다. 네트워크 또는 엔드포인트 보안 체계 설계의 주요 포인트는 신원 및 접근 관리(IAM) 강화, 하이브리드 환경 통합 지점 보안, 포괄적인 로깅 및 가시성 확보, 엔드포인트 보안 및 정책 준수 그리고 최소권한 원칙을 적용하고 지속적으로 관리하고 모니터링 하는 것이 필요합니다.

골든 타임" 이라고 얘기하는 위협 탐지 시간이 줄어들수록 공격자가 시스템 내에서 활동할 수 있는 '드웰 타임(Dwell Time)'이 짧아지므로, 조직의 대응 시간 또한 이에 맞춰 극적으로 단축되어야 합니다. 최근 공격자들이 AI이용한 공격들이 관찰되고 있기 때문에 그에 맞게 기업보안에 AI를 이용한 보안 강화가 필요하지 않을까 싶습니다.