대부분의 ransomware playbooks는 machine credentials를 다루지 않는다. 공격자들은 이를 알고 있다.
Source: VentureBeat
랜섬웨어 위협과 방어 사이의 격차가 확대되고 있습니다
Ivanti의 2026 State of Cybersecurity Report에 따르면, 회사가 추적하는 모든 위협 카테고리에서 연간 평균 10포인트씩 준비 격차가 확대되었습니다.
- Ransomware가 가장 큰 격차를 보였습니다: 보안 전문가 **63 %**가 이를 고위험 또는 치명적인 위협으로 평가했지만, **30 %**만이 “매우 준비된” 상태라고 답했으며, 이는 33 포인트 차이이며, 1년 전 29 포인트에서 증가한 수치입니다.
CyberArk의 2025 Identity Security Landscape는 문제를 수치로 보여줍니다:
- 전 세계 조직에서 인간당 82개의 머신 아이덴티티가 존재합니다.
- 그 중 **42 %**가 특권 또는 민감한 접근 권한을 가지고 있습니다.
가장 권위 있는 플레이북 프레임워크에도 동일한 맹점이 존재합니다
Gartner의 랜섬웨어 대비 가이드(2024년 4월 연구 노트 “How to Prepare for Ransomware Attacks”)는 대부분의 기업 보안 팀이 사고 대응 절차를 구축할 때 참고하는 자료입니다.
- 이 노트는 격리 단계에서 “영향을 받은 사용자/호스트 자격 증명”을 재설정할 필요성을 강조합니다.
- 함께 제공되는 Ransomware Playbook Toolkit은 팀을 격리, 분석, 복구, 회복 네 단계로 안내합니다.
- 자격 증명 재설정 단계에서는 모든 영향을 받은 사용자 및 디바이스 계정을 재설정하도록 지시합니다.
무엇이 빠져 있나요?
- 서비스 계정
- API 키, 토큰, 인증서
가장 널리 사용되는 플레이북 프레임워크는 인간 및 디바이스 자격 증명까지만 다룹니다. 이를 따르는 조직은 그 맹점을 인식하지 못한 채 그대로 이어갑니다.
동일한 연구 노트는 문제를 지적하지만 해결책과 연결하지는 못합니다:
“열악한 정체성 및 접근 관리(IAM) 관행은 여전히 랜섬웨어 공격의 주요 시작점입니다,” 라고 Gartner는 경고합니다.
“이전에 탈취된 자격 증명이 초기 접근 브로커와 다크웹 데이터 덤프를 통해 재사용되고 있습니다.”
복구 섹션에서 가이드는 명확히 말합니다:
“손상된 자격 증명을 업데이트하거나 제거하는 것은 필수적입니다. 이 단계가 없으면 공격자는 다시 진입할 수 있습니다.”
머신 아이덴티티도 IAM이며, 손상된 서비스 계정도 자격 증명입니다. 그러나 플레이북의 격리 절차는 이 둘을 모두 다루지 않습니다.
Gartner는 다른 출처가 쉽게 매치하지 못하는 긴박감을 다음과 같이 표현합니다:
“랜섬웨어는 다른 어떤 보안 사고와도 다릅니다. 이는 영향을 받은 조직에 카운트다운 타이머를 부여합니다. 의사결정 과정에서의 어떠한 지연도 추가 위험을 초래합니다.”
동일한 가이드는 복구 비용이 몸값의 10배에 달할 수 있다는 점과, 랜섬웨어가 초기 접근 후 1일 이내에 50 % 이상의 사례에서 배포되고 있다는 점을 강조합니다. 시계는 이미 뛰고 있지만, 격리 절차는 그 긴급성에 맞지 않습니다—가장 빠르게 성장하고 있는 자격 증명 유형이 무시되고 있기 때문입니다.
준비 격차는 단일 설문조사보다 더 깊다
Ivanti의 보고서는 랜섬웨어, 피싱, 소프트웨어 취약점, API‑관련 취약점, 공급망 공격, 그리고 열악한 암호화 등 모든 주요 위협 범주에 걸친 대비 격차를 추적합니다. 모든 항목이 연도별로 확대되었습니다.
“방어자들은 사이버 보안에서 AI가 가져올 가능성에 대해 낙관적이지만, Ivanti의 조사 결과는 기업들이 다양한 위협에 대비하는 수준에서 점점 뒤처지고 있음을 보여줍니다,” 라고 Ivanti의 최고 보안 책임자 Daniel Spicer가 말했습니다.
“이것을 저는 ‘사이버 보안 준비 격차’ 라고 부릅니다. 이는 조직이 데이터, 사람, 네트워크를 진화하는 위협 환경으로부터 방어하는 능력에서 지속적이고 연도별로 확대되는 불균형을 의미합니다.”
산업별 발견 (CrowdStrike 2025 State of Ransomware Survey)
| 산업 | % “매우 잘 대비함” | % 24시간 이내 복구 | % 심각한 중단 겪음 |
|---|---|---|---|
| 제조업 | 12 % | 12 % | 40 % |
| 공공 부문 | — | 12 % | — |
- 전체 산업에 걸쳐, 랜섬웨어 공격을 겪은 조직 중 **38 %**만이 공격자가 침투한 구체적인 문제를 해결했습니다. 나머지는 실제 진입점을 차단하지 않은 채 일반적인 보안 개선에 투자했습니다.
- **54 %**의 조직은 오늘날 랜섬웨어에 감염될 경우(2026년 보고서) 지불하겠다고—또는 아마도 지불하겠다고 답했으며, 이는 FBI의 지불 금지 권고에도 불구하고 나타난 것입니다. 이러한 지불 의사는 근본적인 차단 대안의 부재를 반영하며, 바로 머신 아이덴티티 절차가 제공할 수 있는 종류와 같습니다.
머신 아이덴티티 플레이북이 부족한 이유
오늘날 대부분의 랜섬웨어 대응 절차는 다섯 단계의 격리 조치로 정의됩니다. 머신 아이덴티티가 그 어느 단계에서도 누락되어 있습니다.
1. 자격 증명 재설정은 머신을 위해 설계되지 않음
사고 발생 후 모든 직원의 비밀번호를 재설정하는 것은 표준 관행이지만, 침해된 서비스 계정을 통한 횡방향 이동을 차단하지는 못합니다. Gartner 자체 플레이북 템플릿이 이 사각지대를 명확히 보여줍니다.
랜섬웨어 플레이북 샘플 – 격리 시트 (자격 증명 재설정 단계)
1. Force logout of all affected user accounts via Active Directory.
2. Force password change on all affected user accounts via Active Directory.
3. Reset the device account via Active Directory.세 단계 모두 Active Directory 기반이며, 인간이 아닌 자격 증명은 전혀 포함되지 않습니다. 서비스 계정, API 키, 토큰, 인증서가 없습니다.
머신 자격 증명은 자체적인 명령 체계가 필요합니다.
2. 사고 이전에 머신 아이덴티티를 조사하는 사람이 없음
존재 여부를 모르는 자격 증명을 재설정할 수 없습니다. 서비스 계정, API 키, 토큰은 사고 이전에 소유권 할당을 매핑해 두어야 합니다. 침해 중에 이를 발견하는 데는 며칠이 걸립니다.
- 조직의 **51 %**만이 사이버 보안 노출 점수(Ivanti)를 보유하고 있어, 거의 절반은 내일 이사회에 머신 아이덴티티 노출 상황을 말할 수 없습니다.
- **27 %**만이 위험 노출 평가를 “우수”로 평가하고 있으며, **64 %**가 노출 관리에 투자하고 있음에도 불구하고 상황은 이렇습니다.
투자와 실행 사이의 격차가 바로 머신 아이덴티티가 사라지는 지점입니다.
3. 네트워크 격리 절차가 머신 아이덴티티 트래픽을 간과함
(원본 내용에서 해당 섹션이 생략되었습니다.)
Takeaway
가장 널리 인용되는 랜섬웨어 플레이북은 머신 아이덴티티(기계 식별자)를 무시하고 있으며, 이는 공격자가 악용하는 중요한 사각지대입니다. **사이버 보안 준비 격차(Cybersecurity Readiness Deficit)**를 해소하려면 다음이 필요합니다:
- 머신 아이덴티티(서비스 계정, API 키, 토큰, 인증서 등)의 포괄적인 인벤토리 구축.
- 비인간 자격 증명에 대한 전용 재설정/교체 프로세스를 격리 단계에서 수행.
- 머신 아이덴티티 제어를 랜섬웨어 대응 라이프사이클(격리, 분석, 복구, 회복)의 모든 단계에 통합.
플레이북에 이러한 단계를 포함시켜야만 조직이 준비 격차를 실질적으로 좁히고, 랜섬웨어 공격의 비용이 많이 들고 시간에 민감한 영향을 줄일 수 있습니다.
머신 아이덴티티는 네트워크 경계에 구애받지 않는다
머신을 네트워크에서 분리해도 해당 머신이 하위 시스템에 발행한 API 키는 취소되지 않는다. 네트워크 경계에서 멈추는 격리는 신뢰가 토폴로지에 제한된다고 가정하지만 머신 아이덴티티는 그 경계를 넘어 인증한다.
- Gartner는 공격자가 며칠‑에서 몇 달에 걸쳐 옆으로 파고들며 영속성을 위한 자격 증명을 수집한 뒤 랜섬웨어를 배포할 수 있다고 경고한다.
- 이 “파고들기” 단계에서 서비스 계정 및 API 토큰이 알림을 트리거하지 않고 가장 쉽게 수집되는 자격 증명이다.
- CrowdStrike는 **76 %**의 조직이 관리되지 않은 호스트가 SMB 네트워크 공유를 통해 랜섬웨어가 확산되는 것에 대해 우려하고 있다고 보고한다.
보안 리더가 필요로 하는 것: 각 머신 아이덴티티를 신뢰하는 시스템을 파악하여 손상된 엔드포인트만이 아니라 전체 체인에 걸쳐 접근을 취소할 수 있도록 한다.
탐지 로직은 머신 행동에 맞춰져 있지 않다
이상한 머신‑아이덴티티 행동은 손상된 사용자 계정처럼 알림을 트리거하지 않는다.
- 비정상적인 API 호출량
- 자동화 창 외에서 사용되는 토큰
- 새로운 위치에서 인증하는 서비스 계정
이러한 상황은 대부분의 SOC가 아직 작성하지 않은 탐지 규칙을 필요로 한다.
- CrowdStrike 설문조사: 85 %의 보안 팀이 기존 탐지 방법이 최신 위협에 따라잡을 수 없다고 답했다.
- **53 %**만이 AI 기반 위협 탐지를 구현했다.
결과: 머신‑아이덴티티 남용을 포착할 수 있는 탐지 로직은 대부분의 환경에서 거의 존재하지 않는다.
오래된 서비스 계정은 여전히 가장 쉬운 진입점
수년간 교체되지 않은 계정—대개 오래 전에 퇴사한 직원이 만든 계정—은 기계 기반 공격에 대한 가장 약한 표면입니다.
- Gartner는 “데이터베이스 및 인프라 관리자, 서비스 계정과 같은 특권 사용자”에 대한 강력한 인증을 권장하지만, 이 지침을 예방 섹션에 배치하고, 실제 사고 발생 시 필요한 대응 플레이북에는 포함하지 않습니다.
- 고아 계정 감사와 교체 일정은 사전 사고 준비에 포함되어야 하며, 침해 후 급히 처리하는 상황에 포함되어서는 안 됩니다.
지금 바로 긴급한 이유는 경제적 요인
에이전트 AI가 문제를 확대시킬 것이다
- **87 %**의 보안 전문가가 에이전트 AI 통합을 최우선 과제로 보고 있다.
- **77 %**는 인간 감독 없이 자율 AI가 행동하도록 허용하는 데 편안함을 느낀다 (Ivanti 보고서).
- **55 %**만이 공식적인 가드레일을 사용한다.
각 자율 에이전트는 인증하고, 의사결정을 내리며, 독립적으로 행동하는 새로운 머신 아이덴티티를 생성한다. 조직이 현재의 머신 아이덴티티를 관리하지 못한다면, 곧 위험이 급격히 증가하게 될 것이다.
랜섬웨어 복구 비용
- Gartner는 총 복구 비용이 몸값의 **10 ×**에 달한다고 추정한다.
- CrowdStrike: 평균 랜섬웨어 다운타임 비용 = 사건당 $1.7 M (공공 부문 = $2.5 M).
- **93 %**의 지불 조직은 여전히 데이터가 도난당했으며, **83 %**는 다시 공격을 받았다.
- 거의 **40 %**가 백업에서 데이터를 완전히 복구하지 못했다.
적대적 그룹은 이제 관리되지 않은 시스템에서 SMB 공유를 통해 원격으로 파일을 암호화하며, 랜섬웨어 바이너리를 관리된 엔드포인트로 전송하지 않는다.
리더가 지금 해야 할 일
- 머신 아이덴티티 인벤토리 구축 및 최신 상태 유지.
- 비정상적인 머신 행동(API 트래픽 급증, 비근무 시간 사용, 새로운 위치)에 대한 탐지 규칙 생성.
- 전체 아이덴티티 체인 전반에 걸쳐 신뢰를 철회하는 격리 절차 개발(단일 침해된 호스트에만 국한되지 않음).
- 이러한 제어를 플레이북에 통합하고 테이블탑 연습으로 테스트.
이러한 추가 사항이 다음 테이블탑 연습을 통과한다면 실제 사고에서도 견딜 가능성이 높아집니다—오늘 공격자들이 악용하고 있는 격차를 메우고, 내일 도래할 자율 아이덴티티를 관리할 수 있도록 조직을 준비시키는 것입니다.