네트워크 ‘배경 소음’이 다음 보안 취약점 공격의 조기 경보 신호로 작용

사전 공격 감시의 ‘배경 소음’이 새로운 보안 위협의 조기 신호로

사이버 공격자들은 엣지 디바이스(라우터, VPN, 방화벽 등)의 취약점을 무작위로 공격하지 않는다. 공격 전에는 먼저 해당 취약점이 얼마나 광범위하게 악용될 수 있는지, 그리고 어느 정도의 접근 권한을 제공하는지 테스트하는 과정이 수반된다. 이후 데이터 탈취 또는 시스템 교란으로 이어지는 경우가 대부분이다.

이러한 사전 공격 단계에서 발생하는 네트워크 트래픽 급등 현상(‘배경 소음’)이 새로운 보안 위협의 조기 경보 신호로 작용할 수 있다는 연구 결과가 발표됐다. 보안 기업 GreyNoise는 2023년 겨울 103일간 진행된 연구에서 엣지 디바이스 대상 공격 전 활동 급등의 50% 이상이 3주 이내에 해당 벤더의 취약점 공개로 이어졌음을 확인했다고 밝혔다.

취약점 공개 9일 전부터 감지되는 조기 신호

GreyNoise의 분석에 따르면, 활동 급등이 발생한 후 해당 벤더가 고객에게 공지하는 시점까지의 중간값은 9일이었다. GreyNoise의 설립자 겸 수석 아키텍트 앤드류 모리스(Andrew Morris)는 "대규모 스파이크가 특정 디바이스를 겨냥한 정찰 및 인벤토리 활동에서 발생할 때마다, 누군가 취약점을 알고 있기 때문"이라고 설명했다. 그는 "대부분의 경우 책임 있는 디스클로저(Red Team) 일정에 따라 며칠 또는 몇 주 이내에 심각한 새로운 취약점이 공개된다"고 덧붙였다.

GreyNoise는 이러한 조기 경보가 보안 담당자에게 공격 발생 전에 방어책을 마련할 수 있는 기회를 제공한다고 강조했다. 연구 기간 동안 GreyNoise의 실시간 네트워크 엣지 스캐닝 플랫폼은 18개 벤더를 대상으로 총 104건의 활동 급등을 포착했다. 이 중 라우터, VPN, 방화벽, 보안 시스템 등 보안 장비들이 가장 빈번하게 공격 대상이 되었다.

"공격자들은 보안 장비를 해킹하는 것을 좋아합니다. 그 아이러니가 제게는 전혀 놀랍지 않네요." — 앤드류 모리스, GreyNoise 설립자

"이 문제의 심각성이 아직 충분히 인식되지 못하고 있습니다. 보안 장비를 교체하거나 새로운 벤더로 전환해야 한다는 인식이 부족한 실정입니다."

‘기상학’처럼 예측 가능한 공격 패턴

GreyNoise는 Cisco, Palo Alto Networks, Fortinet, Ivanti, HPE, MicroTik, TP-Link, VMware, Juniper, F5, Netgear 등 주요 보안 벤더들의 취약점 공개와 연관된 트래픽 급등을 추적했다. 모리스는 "이제는 과학적으로 입증된 사실로, 마치 기상학처럼 예측 가능한 현상이 되었다"며 "시계처럼 규칙적으로 발생하고 있다"고 설명했다.

GreyNoise는 이러한 트래픽 급등을 강도(intensity)와 범위(breadth)로 분류했다. 세션 수 증가는 특정 벤더를 겨냥한 공격의 강도를, 고유한 소스 IP 수 증가는 새로운 공격 인프라의 확산을 의미한다. 연구 보고서에 따르면, "강도와 범위가 동시에 증가할 경우 조율된 공격 escalation을 시사한다"고 분석했다. 연구진은 "특정 벤더에 대한 세션 급등과 동시에 새로운 소스 IP가 증가한다면, 높은 신뢰도로 취약점 발생을 의심해야 한다. 반면 IP 수만 급등한다면 취약점 발생을 확신할 수 없다"고 밝혔다.

이 연구는 Verizon, Google Threat Intelligence Group, Mandiant 등에서도 발표된 바 있으며, GreyNoise는 이를 "역사상 가장 치열한 보안 환경"이라고 표현했다.

보안 담당자를 위한 실질적인 대응 가이드

• 활동 급등 감지 시 즉시 대응: 세션 수와 소스 IP 수를 동시에 모니터링하여 조율된 공격 징후를 확인하라.
• 취약점 공개 전 사전 방어: GreyNoise의 조기 경보 시스템을 활용하여 공격 발생 전에 패치 또는 보안 설정을 강화하라.
• 보안 장비의 중요성 재인식: 보안 장비 자체의 취약점이 악용되는 경우가 많으므로, 정기적인 점검과 교체가 필요하다.