📌 TL;DR (한줄 요약)
2024년 사이버 공격의 60%는 '계정 도용'으로 시작됐습니다.
🧠 공격자는 '침입'하지 않는다, '로그인'할 뿐
Cisco Talos가 발표한 2024 연례 보안 보고서에 따르면,
전체 사고 대응의 60%가 신원 도용(Identity Attacks) 과 관련되어 있었습니다.
즉, 해커들은 더 이상 복잡한 해킹 기법을 쓰지 않습니다.
합법적인 계정 정보만 있으면 기업 내부 시스템에 쉽게 접근할 수 있기 때문이죠.
“취약점을 익스플로잇하거나 악성코드를 설치하는 것보다, 이미 유출된 계정으로 로그인하는 게 훨씬 쉽고 안전합니다.” — Cisco Talos
🔓 어떻게 계정을 도용하나?
공격자들은 다음과 같은 요소들을 이용해 내부 시스템에 접근했습니다:
- ✅ 합법적인 계정 정보 (유출된 사용자 계정)
- 🍪 세션 쿠키
- 🔑 API 키
이들은 단순한 로그인에서 끝나지 않습니다.
시스템 내부로 침투해 권한 상승, lateral movement(수평 이동) 등을 시도하며,
결과적으로 랜섬웨어로 연결되는 경우가 많습니다.
💣 랜섬웨어 공격의 69%는 '정상 계정'으로 시작됐다
Cisco Talos가 대응한 랜섬웨어 사건의 69%는 합법적인 계정 사용을 통해 시작되었습니다.
실제로 신원 기반 공격의 절반이 랜섬웨어 또는 사전 랜섬웨어 활동으로 이어졌으며,
이는 중대한 보안 위협으로 평가되고 있습니다.
또한 그 외에:
- 🕵️♂️ 초기 액세스 브로커에게 계정 판매 (전체의 1/3)
- 🛡️ 정보 탈취 및 스파이 행위 (10%)
- 💰 금융사기 목적 (8%)
로 이어지는 경우도 확인됐습니다.
🏚️ AD(Active Directory) 환경은 여전히 취약
44%의 신원 공격은 Active Directory를 표적으로 했습니다.
Active Directory는 거의 모든 기업 환경에서 사용하는 핵심 인증 시스템인데요,
여기엔 여전히 다음과 같은 취약점이 많습니다:
- 🔐 과도하거나 잘못된 권한 설정
- 🧾 기본값 비밀번호 또는 약한 비밀번호
- 🚫 멀티팩터 인증(MFA) 미적용 또는 오작동
🚨 MFA, 아직도 안 쓰는 조직 많다?
MFA는 이제 기본이지만, 실제로는 여전히 미흡한 경우가 많습니다.
- 🔸 24%: 아예 MFA 미도입
- 🔸 22%: MFA 도입했지만 전체에 적용되지 않음
- 🔸 19%: VPN 등 핵심 시스템에 MFA 미적용
이처럼 MFA 부재 또는 구성 오류는 공격자가 정상 사용자의 권한으로 랜섬웨어를 실행할 수 있는 길을 열어줍니다.
✅ 실무자가 체크해야 할 대응 팁
🔎 1. Active Directory 점검
- 불필요한 관리자 권한 제거
- 기본값 계정 비활성화
- 접근 로그 정기 확인
🔐 2. MFA 전면 적용
- VPN, 이메일, SaaS까지 전면 도입
- 인증 로그 모니터링
🔑 3. 세션 쿠키 & API 키 관리
- 키 재사용 금지
- 만료 설정 및 접근 범위 최소화
🧰 4. 정기적인 IAM 감사
- 계정 활동 이력 확인
- 장기 미사용 계정 삭제
📉 왜 이런 공격이 늘고 있을까?
기술적으로는 차단이 어려운 게 아닙니다.
문제는 대부분의 기업들이 기본 보안 원칙조차 지키지 않는다는 것입니다.
- 보안 정책 미비
- 사용자 교육 부족
- 취약한 인증 체계
이는 공격자에게 “이 조직은 로그인만 하면 된다”는 신호로 작용합니다.
🧭 마무리하며
2024년 보안 트렌드의 핵심 키워드는 '아이덴티티 보안'입니다.
Cisco Talos는 4,600만 개 이상의 장비에서 수집된 데이터를 기반으로,
현재 조직이 어디서부터 무너지고 있는지를 명확히 보여주었습니다.
더 이상 방화벽만으로는 안전하지 않습니다.
“누구인지”가 가장 중요한 보안 요소가 되었기 때문입니다.