[더 리포트] IT 관리자 중 20%가 사이버 공격자의 침입 경로를 정확히 파악하지 못했고, 17%가 공격을 감지하기 전까지 이들이 얼마나 오랫동안 시스템에 침투해 있었는지 모르고 있었다. 전세계 IT 관리자 3100명 대상 설문조사 결과다.

이 같은 사실은 보안업체 소포스가 18일 낸 ‘엔드포인트 보안의 7가지 불편한 진실’ 보고서를 통해 드러났다. 

보고서는 일반인이 보기엔 다소 놀라운 내용이다.

보고서에 따르면 IT 관리자들이 사이버 공격을 잡아낼 가능성이 가장 높은 곳은 소속 기관의 서버와 네트워크였다. 그 예로 IT 관리자 37%가 지난해 가장 심각한 사이버공격을 자사 서버에서 발견했다는 응답했다. 또한 네트워크에서 발견했다는 응답자가 37%였고, 엔드포인트와 모바일에서 발견된 경우는 불과 17% 및 10% 정도였다.

또한 매달 한두 건 이상의 잠재적 보안 사건을 조사하는 기관들이 조사에 들이는 시간은 평균적으로 1년에 48일, 즉 한 달에 4일이다. 그런 점에서 IT 관리자들이 보안 경보의 포착·대응까지의 시간을 줄이기 위해 EDR 솔루션에서 바라는 3대 기능으로는, 의심스러운 활동의 포착(27%), 경보 관리(18%) 그리고 의심스러운 활동들에 대한 위험순위 설정(13%)을 꼽았다.

이에 따라 사이버 공격 위협의 시작점과 네트워크를 따라 내부망을 이동하는 공격자의 공격경로를 감지할 수 있는 기술, 즉 엔드포인트 위협 탐지·대응 솔루션(EDR)이 필요한 것으로 나타났다.

소포스 위스니에우스키 연구원은 “EDR은 IT 관리자들이 보안 성숙도모델(Security maturity model)에 기반하여 위험을 찾아내고 처리절차를 만드는데 도움이 된다”며 “IT 관리자들이 위험 감지에 더 집중한다면 EDR은 더 빨리 찾아주고, 막아주고, 치료해줄 수 있다”고 밝혔다.

또한 “IT 관리자들이 EDR을 사용해 심층적인 방어 능력을 갖추게 되면, 보다 신속한 조사를 진행할 수 있고 거기서 얻은 위협 정보를 서버나 네트워크 전체에 걸쳐 동일한 감염 징후를 찾아내는데 활용할 수도 있다”며, “사이버 범죄자들은 일단 한 가지 공격 방법이 성공하면, 동일한 방법을 반복하는 경향이 있기 때문에, 공격 패턴을 찾아내 봉쇄하는 것은 IT 관리자들이 잠재적인 사고 위험을 조사하는 데 드는 시간을 줄이는데 도움이 될 것”이라고 말했다.