top of page
탐지는 시작일 뿐입니다. 결과는 대응이 결정합니다.
공격은 정상적인 로그인에서 시작되고, 대부분의 조직이 인지하지 못한 대응 공백을 통해 확산됩니다. 핵심 질문은 위협이 탐지되었는지가 아닙니다. 탐지 이후 수분, 수시간 동안 무슨 일이 있었는지, 그리고 실��제로 대응할 수 있는 구조가 존재했는지입니다.
이 리포트는 다양한 산업과 환경에서 발생한 6가지 실제 Incident Response 사례를 담고 있습니다. 각 사례는 공격이 어떻게 시작되었는지, 무엇이 확산을 가능하게 했는지, 그리고 피해 규모를 결정한 요인이 무엇이었는지를 순서대로 살펴봅니다. 여기서 도출된 패턴은 예외적인 사례가 아닙니다. 반복됩니다. PAGO MDR은 탐지와 실행 사이의 간격을 좁히기 위해 설계되었습니다. 24시간 지속적으로 운영되며, 사전 정의된 대응 기준에 따라 행동하고, 대부분의 사고가 아직 억제 가능한 단계에서 개입합니다.
6가지 실제 사례가 보여주는 것
각 사례는 서로 다른 환경에서 발생했습니다. 그러나 공격이 시작되고 확산되어 최종 피해 규모에 이르기까지의 흐름은 매번 동일한 구조적 논리를 따랐습니다.
전체 보고서 다운로드
6가지 사례, 5가지 패턴, 그리고 IR에서 MDR로의 전환.
분석된 모든 사례에서 최초 접근은 정상 계정을 통해 이루어졌습니다. VPN 로그인, RDP 세션, 내부 사용자 계정 등 다양한 경로가 활용되었습니다. 진입 자체는 정상 활동으로 인식되었고, 이상 행위가 포착되었을 때 공격자는 이미 내부에 거점을 확보한 채 측면 이동을 시작한 상태였습니다.
공격은 정상 계정에서 시작됩니다
확인된 사고의 대부분은 야간, 주말, 또는 대응 담당자가 즉각적으로 개입하기 어려운 시간대에 발생했습니다. 공격자는 기술적 취약점만을 노리지 않습니다. 조직의 대응 역량이 가장 약해지는 순간을 파악하고, 그에 맞춰 움직입니다.
타이밍은 우연이 아닙니다
공격은 실시간으로 진행됩니다. 내부 대응은 여전히 순차적인 절차를 따릅니다. 이벤트 확인, 내부 공유, 옵션 검토, 승인 요청, 그리고 실행입니다. 각 단계가 소모하는 시간 동안 공격자는 이미 다음 단계로 넘어가고 있습니다. 이 간격이 존재하는 환경에서는 정확한 탐지만으로 확산을 막을 수 없습니다.
공격자는 내부 대응보다 빠르게 움직입니다
6가지 사례 모두에서 해당 조직은 보안 시스템을 운영하고 있었습니다. 피해 규모를 결정한 요인은 매번 동일했습니다. 제한된 대응 권한, 승인 중심의 의사결정 구조, 위협이 확인된 이후 누가 언제 행동해야 하는지에 대한 불명확한 책임 구조였습니다. 보안은 존재했습니다. 그것을 실행할 구조가 없었습니다.
결정적 요인은 구조에 있습니다
6
실제 분석된 IR 사례
30분
가장 빠르게 차단된 공격
5
반복 확인된 구조적 패턴
귀사의 조직은 위협을 탐지할 수 있는 상태입니까, 아니면 실제로 대응할 수 있는 상태입니까?
bottom of page