고객 성공 사례: PAGO Networks의 금융 기관 랜섬웨어 대응

아세안 지역의 한 정부 기관이 관리하는 대중교통 시스템과 연계된 공공 금융 데이터베이스가 랜섬웨어에 감염되었다. 일시적인 시스템 마비를 넘어서는 문제가 발생했다.

공격자들은 금전을 요구했고, 조직은 연쇄적인 어려움에 직면했다. 여러 지역에 분산된 백업 시스템까지 감염되었고, 복구 일정은 허용 가능한 수준을 넘어섰으며, 외부 감사 의무는 이미 심각한 상황에 압력을 더했다.

위협은 대부분의 조직이 두려워하는 상황을 만들었다. 운영 시스템과 백업 인프라가 동시에 손상되어 표준 복구 경로가 사실상 제거되었다.

초기 평가

PAGO Networks의 사고 대응은 침해 지표(IOC) 수집으로 시작되었다. 포렌식 팀은 명백히 감염된 시스템을 넘어 감염 징후가 보이지 않는 엔드포인트까지 분석을 확대했다. 이것이 중요한 결정이었다. 다크웹 모니터링을 통해 진행 중인 공격 지표(IOA)를 발견했고, 이는 초기 침투 경로를 드러냈으며 위협 행위자가 지속적인 접근 권한을 유지하고 있음을 시사했다.

조사 결과 기존 보안 체계의 세 가지 치명적인 격차가 확인되었다.

IT와 OT 경계 모니터링은 초기 침해 후 측면 이동을 탐지하지 못하는 경계 방어에 의존하고 있었다. 네트워크 분리는 이론적으로 존재했지만 정당한 업무 요구사항으로 인해 시스템 간 모니터링되지 않는 경로가 생성되면서 약화되었다. 백업 인프라는 운영 시스템과 인증 메커니즘을 공유하여 공격자가 두 환경 사이를 자유롭게 이동할 수 있었다.

기술적 대응 구조

PAGO는 본부와 지역 시설 전체에 Stellar Cyber NDR과 Open XDR을 상관관계 분석 엔진으로 배치했다. 각 위치를 독립된 환경으로 취급하는 대신, 플랫폼은 네트워크 흐름을 통합하여 지리적 및 논리적 경계를 넘나드는 공격자의 이동을 재구성했다.

전사적으로 배포된 SentinelOne EDR은 엔드포인트 수준에서 행동 분석을 제공했다. 이 조합으로 보안팀은 개별적으로 보면 정상으로 보이지만 전체적으로 보면 조직적인 공격 체인의 일부를 형성하는 시스템에 접근하는 데 사용되는 손상된 계정을 식별할 수 있었다.

공격 표면 관리(ASM) 스캔은 인터넷 접근성에 대한 업무상 정당성이 없는 17개의 외부 노출 자산을 식별했다. 여러 개는 백업 시스템을 위한 레거시 관리 인터페이스였다. 공격자들은 이것을 보조 접근 지점으로 사용했으며, 이는 초기 격리 노력이 침입을 막지 못한 이유를 설명했다.

자동화된 대응 통합

대응 역량은 탐지, 분석가 판단, 격리 조치 간의 연결을 자동화하는 PAGO DeepACT를 중심으로 구축되었다. Stellar Cyber가 백업 시스템 전체에서 자격 증명 재사용과 일치하는 의심스러운 인증 패턴을 식별했을 때, DeepACT는 수동 승인을 기다리지 않고 즉시 격리 프로토콜을 실행했다. 이는 일반적으로 공격자가 탐지되었음을 인식하고 행동을 확대할 수 있는 시간 격차를 제거했다.

포렌식 조사를 통해 개발된 위협 헌팅 규칙은 탐지 엔진에 지속적으로 피드백되었다. 수동 분석을 통해 식별된 각각의 새로운 IOC 또는 행동 패턴은 며칠이나 몇 주가 아닌 몇 시간 내에 자동화된 탐지 시그니처가 되었다.

2차 공격 차단

공격자들은 다른 초기 접근 벡터를 사용하여 두 번째 침입을 시도했다. 자동화된 탐지 및 대응 시스템은 정찰 단계에서 시도를 차단했다. 네트워크 트래픽 분석은 첫 번째 공격에서 취약했던 것과 동일한 인프라 카테고리를 대상으로 하는 스캔 패턴을 식별했다. 시스템은 공격자가 지속성을 확립하기 전에 영향을 받은 네트워크 세그먼트를 격리하고 의심스러운 프로세스를 종료했다.

두 번의 후속 시도가 유사한 패턴을 따랐다. 위협 헌팅 프로세스가 적대자의 전술, 기법 및 절차에 대한 포괄적인 프로필을 구축했기 때문에 둘 다 자동으로 격리되었다.

사고 대응에서 운영 복원력으로

조직은 초기 복구를 넘어 MDR 프레임워크를 유지함으로써 긴급 대응 모드에서 지속적인 보안 운영으로 전환했다. 연중무휴 분석가 기반 대응 시스템은 임시 조치가 아닌 영구적인 모델이 되었다.

이후 시행된 국가 사이버 복원력 평가에서 이 조직은 최고 등급을 받았다. 평가 프레임워크는 특히 사고로 나타나기 전에 잠재적인 침해를 식별하는 행동 기반 위협 헌팅으로의 전환을 주목했다.

지속 가능한 아키텍처

사고 대응 중 배포된 기술 아키텍처는 랜섬웨어 공격을 가능하게 했던 근본적인 문제를 해결했다.

네트워크 가시성은 모든 사이트의 프로토콜 수준까지 확장되어 측면 이동을 숨겼던 사각지대를 제거했다. 엔드포인트 원격측정은 정당한 시스템 관리로 위장한 악의적인 활동을 드러내는 행동 컨텍스트를 제공했다. 공격 표면 관리는 주기적인 감사가 아닌 지속적인 프로세스가 되어 공격자가 발견하기 전에 노출된 자산을 식별하고 수정할 수 있게 했다.

DeepACT를 통한 이러한 기능의 통합은 중요한 결정에 대한 분석가의 감독을 유지하면서 탐지가 수동 개입 없이 대응을 촉발한다는 것을 의미했다. 이 하이브리드 모델은 보안 운영의 핵심 문제를 해결했다. 자동화된 시스템만으로는 신뢰를 약화시키는 오탐을 생성하고, 수동 전용 프로세스는 현대 공격의 속도를 따라갈 수 없다.

정량화 가능한 결과

위협의 정교한 특성에도 불구하고 2차 감염 없이 복구가 이루어졌다. 복구 후 세 번의 침입 시도는 시스템 접근 수준을 달성하기 전에 차단되었다. 외부 감사 준수는 부분적 수준에서 완전 수준으로 개선되어 사건 이전에 미해결이었던 규제 요구사항을 충족시켰다.

재무적 영향 계산은 예방된 손실을 넘어섰다. 조직은 연장된 다운타임, 부적절한 보안 통제에 대한 규제 벌금, 시민 데이터를 관리하는 시스템의 공개 침해로 인한 평판 손상의 복합 비용을 피했다.

기술적 교훈

중요 인프라를 관리하는 금융 기관과 정부 기관은 유사한 위협 프로필에 직면한다. 인내심 있는 다단계 공격을 수행할 자원이 있는 국가 후원 행위자 또는 정교한 범죄 조직이다. 경계 방어와 시그니처 기반 탐지를 중심으로 구축된 표준 엔터프라이즈 보안 모델은 이러한 위협을 처리할 수 없다.

성공적인 방어에는 조정된 세 가지 기술 요소가 필요했다. 네트워크 및 엔드포인트 계층 전반에 걸친 포괄적인 가시성으로 단순한 멀웨어 시그니처가 아닌 공격자 행동을 드러냈다. 격리된 이벤트가 아닌 공격 캠페인을 식별하기 위해 시스템과 시간에 걸쳐 활동을 연결하는 상관관계 분석이 있었다. 그리고 분석가가 조사와 헌팅에 집중하는 동안 기계 속도로 위협을 격리하는 자동화된 대응 기능이 있었다.

유사한 랜섬웨어 사고를 경험했지만 이러한 아키텍처 변경을 구현하지 않은 조직은 재감염에 취약한 상태로 남아 있었다. 위협 행위자는 일반적으로 첫 번째 공격 후 구현된 특정 통제를 우회하는 수정된 전술을 사용하여 몇 주 내에 돌아왔다. 지속적인 위협 헌팅 모델은 특정 도구나 멀웨어가 아닌 적대자 행동에 초점을 맞춤으로써 이러한 패턴을 방지했다.

운영 모델

MDR 서비스 모델은 금융 및 정부 부문 전반에 걸쳐 공통적인 제약을 해결했다. 숙련된 보안 분석가는 여전히 부족한 반면 위협은 정교함과 볼륨이 증가한다. 아웃소싱된 전문 지식은 그러한 팀을 구축하는 데 필요한 다년간의 일정 없이 성숙한 내부 SOC와 동등한 분석가 역량을 제공했다.

연중무휴 운영 모델은 초기 복구 후 두 침입 시도가 모두 업무 시간 외에 발생했다는 점을 고려할 때 필요한 것으로 입증되었다. 공격자들은 의도적으로 보안 팀이 감소된 인력으로 운영하는 기간을 목표로 하며, 이러한 창 동안 탐지 가능성이 낮고 대응이 지연될 것임을 이해한다.

공유 인텔리전스 모델은 한 고객 참여에서 식별된 전술이 전체 고객 기반 전체에 걸쳐 위협 헌팅에 정보를 제공한다는 것을 의미했다. 포렌식 분석이 백업 인프라를 악용하는 특정 기법을 밝혀냈을 때, PAGO는 48시간 내에 모든 금융 부문 고객에게 해당 행동에 대한 탐지 규칙을 배포했다. 여러 조직이 이후 기존 도구로는 탐지하지 못했을 유사한 침입 시도를 식별하고 차단했다.

현재 보안 태세

조직은 향상된 보안 아키텍처를 운영 기준선으로 유지한다. 위협 헌팅은 보안 격차가 악용되기 전에 잠재적인 격차를 계속 식별한다. MDR 팀은 진화하는 공격자 전술에 대한 탐지 및 대응 기능을 검증하는 분기별 침투 테스트를 수행한다.

보안 투자 모델은 주기적인 도구 구매에서 지속적인 운영 역량으로 전환되었다. 이는 적대자가 지속적으로 새로운 기법을 개발하고 방어가 유사한 속도로 진화해야 하는 위협 환경의 지속적인 특성과 지출을 더 잘 일치시킨다.

실제 사례와 더 많은 고객 성공 스토리를 확인하려면 전체 보고서를 참고하세요