공격자는 이미 우리 안에 있었다!

SK텔레콤 침해 사고 리뷰

최근 SK텔레콤의 침해 사고에 대한 사고 조사 보고서가 발표되었습니다. 침해의 범위가 워낙 광범위했기 때문에 사회적으로도 큰 이슈가 되었고, 보안의 입장에서도 유념해서 반면교사를 삼을 만한 내용이 많았습니다. 보고서의 내용 중, 특히 체크해야 할 부분이 있었는데요. 바로 공격자의 체류시간, Dwell Time 이었습니다.

지난 7월25일에 있었던 <시큐언박싱 시즌2> 7월 라이브에서 다온기술의 고성종 이사와 크리밋의 김동현 대표와 함께 이번 SK텔레콤 침해 사고 보고서 중에서 Dwell Time 부분을 집중적으로 분석하고 논의해 봤습니다. 보안 강화를 위해 Dwell Time을 줄일 수 있는 전략적 접근 방법에 대해서도 살펴 봤는데요. 단순한 기술 도입을 넘어서 조직의 구조와 기업 보안 문화까지 포함한 전방위적인 보안 접근에 대해 얘기 나눴습니다.

SK텔레콤, 해커의 체류시간 3년 8개월

이번 SK텔레콤 침해 사고에서 공격자의 최초의 침투는 2021년 8월 이라고 보고 되었습니다. Dwell Time이 무려 3년 8개월입니다. 정말 어마어마하게 긴 시간이죠.
최근 글로벌 기준으로는 Dwell Time이 10일에서 20일 정도가 일반적이라고 합니다. 이번 SK텔레콤의 3년 8개월은 이례적으로 긴 경우라고 볼 수 있을 겁니다.
Dwell Time이 긴 것만으로 문제를 삼는 것이 아닙니다. 공격자가 그 시간 동안 무엇을 할 수 있는지를 생각해 보면 이번 사태의 심각성이 더 분명해집니다. 권한을 탈취하고, lateral movement를 통해 다른 시스템으로 퍼지며, 최종적으로는 데이터를 암호화하거나 외부로 유출하는 등 치명적인 공격이 그 시간 동안 충분히 실행될 수 있었을 것입니다.
보안 운영의 각 단계별 보안 조치들을 통해 어디선가는 침입의 흔적을 미리 발견했어야 했는데, 그러질 못한 점은 SK텔레콤이 초기 보안 대응 뿐 아니라 관리 과정에서도 실패했다고 볼 수 있을 겁니다.

그렇다면 Dwell Time을 줄이기 위한 전략은 무엇이 있을까요?

Shift Left 전략 : 초기 침투에서 차단하라

Dwell Time을 줄이기 위해서는 보안 운영 사이클 단계별 방어 전략이 필요 합니다만, 가장 중요한 부분은 초기 대응입니다.
시스템 운영 단계의 가장 오른 쪽의 최종 임팩트 부분의 영향을 최소화하기 위해서는 왼쪽 단계, 즉 초기 침투 단계에서부터 방어 전략을 제대로 세워놓는 것이 가장 효과적입니다. 이를 ‘Shift Left’ 전략이라고 부릅니다.
시스템의 취약점 관리는 Shift Left 전략이 기본입니다.
또한 계정 관리도 매우 중요한 Shift Left 전략의 일환이라고 볼 수 있겠죠. 이상 징후의 계정 접근을 탐지하고 막아내는 것 뿐 아니라 정상적인 계정을 탈취하여 일반 유저처럼 위장하여 시스템에 잠입을 하는 경우에 대해서도 지속적인 모니터링과 감시가 필요합니다.
특히나 최근에는 Non Human Identity 라고 해서, 사람이 아닌 AI나 챗봇들끼리 API 키라던지 M2M 간 통신을 통해 여러 애플리케이션들과 시스템들을 오고 가는 경우나 너무 많아지고 있습니다. 이런 연결들을 기존 방식으로 담당자가 일일이 체크하고 관리하는 건 불가능한 일입니다. 그만큼 초기 침투 대응에 대한 적극적인 대응책 마련이 필수적이라 볼 수 있습니다.
그리고 초기 대응에서 중요한 부분은 기업 운영 체제 내에 어떤 자산들이 있는지를 제대로 파악해 두는 일입니다. 시작 단계에서 우리의 자산, 그리고 유저들의 상태를 잘 파악하고 관리하는 것이 방어의 효용성을 높이는 첫번째 단계가 됩니다.
또한 개발 단계의 초기 취약성을 보안하는데 있어 DevOps 관점의 라이프 사이클 관리도 같은 맥락으로 이해할 수 있을 것 같습니다.

Shift Left 전략 : 정책과 거버넌스가 우선이다

사실 보안 솔루션 도입보다 더 중요한 건 보안에 대한 내부 정책과 거버넌스입니다.
보안의 이슈를 보안팀에게만 전가하기엔 현대의 공격 패턴은 너무 복잡해지고 다양해졌습니다. 개발, 운영, 인프라 팀 등 모든 부서가 함께 보안에 대한 전략과 대응을 마련하는 것이 진정한 보안 내재화가 가능해지는 방법이 될 것입니다.
보안은 이제 공동 책임입니다. DevSecOps 관점에서 거버넌스를 재설계해야 합니다. 더 이상 ‘보안팀 vs 개발팀’이 아니라, ‘함께 만드는 보안’이어야 할 것입니다.

Shift Left 전략 : 단계별 모니터링과 탐지 체계 설계

EDR, MDR 같은 도구는 만능이 아닙니다. 각 단계 별로 어떤 자산과 경로를 보호할 지 정하고, 이에 맞춘 탐지 체계를 설계하는 것이 중요합니다.
모든 것을 다 관리하겠다는 막연한 기대보다는 우리가 보유한 자산의 민감도에 따라 방어 수단을 정교하게 배치하고 적용해 보는 단계적 접근이 보다 현실적일 수 있습니다.
결국 솔루션 도입만이 만능은 아닙니다.
우리 기업 보안 전략에 맞는 최적화된 방법론을 찾아가는 과정 속에서 보안의 진짜 내재화가 이뤄질 수 있다고 생각합니다.

Shift Left 전략 : AI를 활용한 자동화된 탐지 체계

보안 담당자 리소스만으로는 모든 보안 상황을 다 모니터링하고 탐지할 수 없습니다. 불가능합니다.
그래서 최근 SIEM, SOAR 솔루션들은 AI를 적극적으로 도입하고 있죠.
AI는 단순한 탐지 정확도를 높일 뿐만 아니라, 이상 행위의 패턴을 빠르게 인식하고 대응하는 데 핵심 역할을 합니다.
사람이 할 수 없는 규모의 분석과 대응을 가능하게 해주는 기술이 AI 입니다.
이제 기업의 보안 전략에 AI를 적극적으로 활용해야 할 시점이 되었고, Shift Left 전략의 중요한 하나의 축이 되어 가고 있습니다.

보안은 ‘누가’ 아닌 ‘모두’의 책임

보안 사고의 주요 원인 중 하나는 ‘누군가 알아서 잘 하겠지’라는 조직 내 방관의 태도입니다. 하지만 현실은 보안팀 한 부서만으로는 모든 위험을 감지하고 대응하기엔 역부족이죠.
특히 최근에는 사용자 단의 실수가 초기 침투의 경로가 되는 경우가 많습니다. 피싱 메일을 클릭하거나, 중요 계정의 비밀번호를 재사용하는 등 구성원 개인의 행동 하나가 보안 리스크로 이어질 수 있습니다.
보안을 전사적 중요 과제로 선정하고, 전 구성원이 보안 문화에 자연스럽게 참여하도록 만드는 것이 Dwell Time을 줄이는 진짜 해답이라고 볼 수 있습니다.
이런 이유로 보안 교육과 훈련이 일회성으로 그쳐서는 안되고, 임직원에 대한 반복적이고 실천적인 보안 인식 제고 활동이 필수입니다.
이를 위해 '시큐리티 챔피언’ 같은 제도를 도입하는 것도 권장됩니다. 이는 각 팀 내에서 자발적으로 보안 역할을 담당하는 인력을 지정하고, 그들이 팀과 보안팀 간의 연결고리 역할을 하도록 하는 방식입니다.

정리

보안 사고는 단순히 방어 기술만 부족해서가 아니라, 전사적인 보안 방어 전략이 부재하기 때문에 발생된다고 다온기술의 고성종 이사는 강조합니다. 공격자의 Dwell Time이 길어지는 건 이런 미흡한 대처의 종합적인 결과라고 보는 거죠.

공격자가 머물 수 있는 시간을 줄이려면, 기술보다 더 먼저 생각해야 할 것이 있습니다. 앞서 설명한 Shift Left 전략의 다양한 방법론들과 조직의 보안 인식 재고가 함께 이루어져야 제대로된 보안 정책이 수립될 수 있다는 점입니다. 보안은 더 이상 보안팀 혼자 하는 싸움이 아닙니다. 보안은 모든 팀이, 모든 조직원이 함께 움직여야 가능한 미션입니다. 이번 SK텔레콤의 보안 사고를 통해 우리 기업의 보안 전략을 다시 한번 점검해 보는 시간이 되길 바래 봅니다.

🚀 발표 : 다온기술 고성종 이사, 크리밋 김동현 대표

🚀 에디터 : 잇츠맨 안철준 촌장

#더 궁금하다면

사이버 위협에 대한 더 많은 정보가 필요하신가요?

다온기술 사이버 위협 전문가가 여러분의 고민을 함께 해결해 드립니다.

지금 바로 문의하세요! ➡️ (다온기술 문의하기 클릭)

덧붙임

이번 웨비나가 <시큐언박싱 시즌 2>의 마지막 라이브였습니다.

분위기도 좀 다르게 하려고 스튜디오 세팅도 좀 바꿔 보고, 김동현 대표와의 대담 형식으로 좀 더 자유롭게 진행해 봤습니다. 시즌 1과 시즌 2를 합쳐서 총 1년 여간의 여정이 일단은 여기서 멈춥니다. 돌이켜 보니 감회가 새롭습니다.

잇츠맨과 함께 <시큐언박싱>이라는 과감한 프로젝트를 밀어부치고 추진한 다온기술의 고성종 이사께 큰 박수를 보냅니다. 매 회를 준비하면서 왜 이렇게 한달이 빨리 돌아오냐며 서로 푸념섞인 얘기도 많이 나눴습니다. 빈곤해진 이야기 거리를 찾아 하이에나처럼 헤맬 때마다 어김없이 이슈를 던져주시는 보안의 신께 감사의 마음을 전하기도 했죠. 돌아보면 참 쉽지 않은 여정이었습니다. 그럼에도 우리 끝까지 해냈습니다.

다온기술 마케팅 이정현 과장께도 특별히 감사의 인사 드립니다. 세세한 운영 과정을 챙겨주며 특히나 매달 주요 보안 뉴스를 깔끔하게 정리하고 녹음까지 하는 번거러운 과정을 꿋꿋이 그리고 아주 잘 진행해 주었습니다. 낭랑한 목소리의 주인공, 한 번은 꼭 스튜디오에 나오기로 했지만 결국 그 약속을 지켜지는 못했습니다. 아쉬운 마음에 그래도 함께 찍은 기념 사진은 투척합니다.

그리고 마지막으로 2번의 시큐언박싱과 RSAC 2025 현지 라이브까지 함께 동참해 준 크리밋의 김동현 대표께도 감사의 마음 전합니다. 다음 시큐언박싱 시즌3를 준비할 때는 고정 멤버로 조인하셔도 좋겠습니다.

시큐언박싱 시즌 2 마무리하겠습니다.

다음 시즌 3에서 더 좋은 모습으로 뵙겠습니다.

잇츠맨 안철준 촌장 드림