정보 탈취: AI 시대의 위험과 예방

정보 탈취란 무엇인가?

정보 탈취는 공격자가 제어하는 인프라로 민감한 데이터를 무단으로 추출 및 전송하는 행위입니다. IBM이 20년간 침해 사고를 추적한 기록에 따르면, 2025년 전 세계 데이터 유출의 평균 비용은 440만 달러에 달했습니다. 조직이 정보 탈취를 겪을 경우, 재정적 손실, 규제 처벌, 운영 중단, 그리고 초기 사고 이후에도 지속되는 평판 손상을 마주하게 됩니다.

정보 탈취와 사이버 보안의 관계

정보 탈취는 여러 보안 분야의 교차점에 위치합니다: 엔드포인트 보호, 신원 및 접근 관리, 데이터 유출 방지, 보안 운영 등입니다. 공격자는 이러한 분야 간의 틈을 노립니다. 인증 우회를 위해 자격 증명을 탈취하고, 네트워크 모니터링을 피하기 위해 합법적인 클라우드 저장소를 데이터 유출에 활용하며, 행동 기반 경보를 피하기 위해 천천히 정찰을 수행합니다.

보안 아키텍처는 초기 접근부터 수평 이동, 최종 유출까지 전체 공격 체인을 다루어야 합니다. 전통적인 경계 방어는 공격자가 원격 근무 환경을 침투하거나, 신뢰받는 공급업체 연결을 악용하거나, 합법적인 접근 권한을 가진 클라우드 서비스 계정을 탈취할 때 무력화됩니다. 정보 탈취를 막으려면 여러 보안 계층이 함께 작동해야 합니다.

정보 탈취가 조직에 미치는 영향

정보 탈취는 재정, 운영, 평판 등 다양한 측면에서 연쇄적인 피해를 야기하며, 초기 사고 이후 수년간 그 영향이 지속됩니다. IBM Security 연구에 따르면, 전 세계 데이터 유출의 평균 비용은 2024년 488만 달러에 달하며, 의료 기관의 경우 평균 977만 달러의 유출 비용이 발생합니다. 이 수치는 직접 비용만을 반영하며, 전체 영향은 훨씬 더 큽니다.

• 재정적 결과에는 사고 대응 비용, 포렌식 조사, 법률 비용, 규제 벌금, 고객 통지 비용이 포함됩니다. 조직은 집단 소송 합의금, 피해자 신용 모니터링 서비스, 증가한 사이버 보험료도 부담합니다. 2024년 2월 Change Healthcare 랜섬웨어 공격으로 UnitedHealth Group은 대응에만 약 28억 7천만 달러를 지출했습니다.
• 운영 중단은 조사 및 복구 기간 동안 수익 창출 활동을 멈춥니다. 공격자가 랜섬웨어 배포 전 데이터를 유출하면, 시스템 복구와 동시에 협박에 대응해야 하는 이중 압박이 발생합니다. 결제 처리 중단, 고객 서비스 장애, 공급망 지연이 직접적인 유출 비용을 가중시킵니다.
• 규제 노출은 산업 및 관할 구역에 따라 다릅니다. GDPR 위반 시 연간 전 세계 매출의 최대 4%까지 벌금이 부과될 수 있습니다. HIPAA는 위반 범주별로 연간 최대 150만 달러의 벌금을 부과합니다. CCPA 등 주별 개인정보 보호법도 자체 벌칙 구조와 함께 추가적인 준수 요구사항을 부과합니다.
• 평판 손상은 고객 신뢰와 투자자 신뢰를 약화시킵니다. 유출 발표 후 주가가 하락하는 것이 일반적이며, 피해 고객이 경쟁사로 이동하면서 이탈률이 증가합니다. 신뢰 회복을 위해서는 보안 개선과 투명한 커뮤니케이션에 지속적인 투자가 필요합니다. 이러한 영향에 대한 이해는 조기 탈취 지표 식별의 중요성을 강조합니다.

환경 내 정보 탈취 지표

보안팀은 데이터 유출을 시사하는 행동 및 기술적 이상 징후를 모니터링해야 합니다. 공격자는 명백한 경보를 거의 발생시키지 않습니다. 대신, 합법적인 접근 패턴과 신뢰받는 채널을 악용해 데이터를 눈에 띄지 않게 외부로 이동시킵니다. 미묘한 지표를 인식하면 심각한 데이터 손실이 발생하기 전에 탈취 행위를 차단할 수 있습니다.

• 비정상적인 데이터 전송 패턴은 가장 직접적인 지표입니다. 갑작스러운 아웃바운드 트래픽 급증, 낯선 외부 IP로의 대용량 파일 전송, 승인되지 않은 클라우드 저장소로의 데이터 이동을 주시해야 합니다. 공격자는 전송 시간을 줄이고 크기 기반 경보를 피하기 위해 .zip, .rar, .7z 등 압축 파일로 데이터를 준비하는 경우가 많습니다.
• 이상 사용자 행동에는 평소 업무 범위를 벗어난 파일 또는 시스템 접근, 낯선 지역에서의 로그인 시도, 비정상 시간대의 활동이 포함됩니다. 예를 들어, 재무 직원이 갑자기 엔지니어링 저장소에 접근하거나, 퇴사 예정자가 고객 데이터베이스를 다운로드하는 경우 즉각적인 조사가 필요합니다. IBM Security 연구에 따르면 조직은 내부자 위협을 발견하는 데 평균 85일이 소요되어, 탐지되지 않은 유출의 상당한 기간이 발생합니다.
• 네트워크 연결 이상에는 예상치 못한 외부 서버로의 연결, 비표준 포트의 트래픽, 의심스러운 도메인으로의 DNS 쿼리가 포함됩니다. 공격자는 DNS 터널링 및 암호화 채널을 사용해 기존 보안 통제를 우회합니다. 명령 및 제어 인프라로의 연결은 일정한 간격의 비콘 패턴을 보이는 경우가 많습니다.
• 인증 이상은 자격 증명 탈취를 시사합니다. 여러 번의 로그인 실패 후 성공, 서로 다른 위치에서의 동시 세션, 권한 상승 요청 등은 주의가 필요합니다. OAuth 토큰 탈취 및 세션 하이재킹은 다중 인증을 완전히 우회할 수 있습니다.
• 파일 시스템 변경도 추가 경고 신호입니다. 대량 파일 접근, 무단 권한 변경, 로깅 또는 보안 도구 비활성화 시도는 탈취 행위가 진행 중임을 나타냅니다. 복사 후 파일을 삭제하거나 지우는 행위는 공격자가 흔적을 감추려는 시도로 볼 수 있습니다. 이러한 지표를 모니터링 역량에 매핑하면 예방 전략의 취약점을 파악할 수 있습니다.

정보 탈취 방지의 핵심 구성 요소

정보 탈취 방지 전략에는 다음과 같은 상호 연결된 구성 요소가 필요합니다:

• 신원을 통제 기반으로 활용: 모든 접근 요청에 대한 지속적인 검증이 필요합니다. NIST SP 800-53 Rev. 5는 특권 계정에 대해 자격 증명 금고화, 세션 모니터링, 자동 회전, 필요 시 권한 상승을 요구합니다.
• 데이터 자산 가시성 및 분류: 자동화된 탐지 도구는 엔터프라이즈 시스템, 클라우드 저장소, 엔드포인트 전반에서 민감 정보를 식별합니다. 비즈니스 위험에 맞춘 분류 체계는 데이터 민감도에 비례한 보호를 가능하게 합니다.
• 서명 기반을 넘어선 행동 분석: 서명 기반 시스템은 제로데이 취약점, 다형성 악성코드, 새로운 공격 기법에 대응하지 못합니다. 행동 분석은 정상 사용자 행동의 기준선을 설정하고, 잠재적 탈취 행위를 시사하는 이상 징후를 탐지합니다.
• 엔드포인트 상태 및 장치 무결성: 장치 상태 평가는 운영체제 패치 수준, 엔드포인트 대응 상태, 디스크 암호화, 방화벽 구성을 검증하여 민감 자원 접근 전 확인합니다.
• 위협 인텔리전스 통합: MITRE ATT&CK는 14개 전술과 200개 이상의 기법에 매핑된 적대자 행위의 글로벌 지식 기반을 제공합니다. 위협 헌팅은 ATT&CK를 구조화된 사전 탐지 접근법으로 활용합니다.
• 네트워크 분할 및 접근 통제: 마이크로 세분화는 수평 이동을 제한하며, 역할 기반 접근 통제는 사용자가 업무에 필요한 자원만 접근하도록 보장합니다.
• 사고 대응 및 복구: 문서화된 절차에는 포렌식 조사, 격리 전략, 몸값 지불 없이 운영 복구가 포함되어야 합니다.

이러한 구성 요소는 심층 방어를 구축하지만, 효과적으로 배포하려면 공격자의 실제 행위를 정확히 이해해야 합니다.

정보 탈취의 작동 방식

초기 접근부터 데이터 유출까지의 공격 진행 과정을 이해하면 방어 강화가 필요한 지점을 식별할 수 있습니다.

• 초기 접근 및 정찰. 공격자는 직원 대상 사회공학 캠페인으로 시작합니다. CISA는 Scattered Spider 위협 행위자가 헬프데스크 직원으로 가장해 상업용 원격 액세스 도구 실행을 유도한 사례를 문서화했습니다. 또는, 공격자는 공개 애플리케이션의 취약점을 악용합니다. CISA의 GeoServer 취약점 CVE-2024-36401 조사에서는 2024년 7월 11일 해당 취약점이 악용된 후, 7월 15일 CISA가 Known Exploited Vulnerabilities Catalog에 추가했음에도 7월 24일까지 피해 조직에서 동일 취약점이 계속 악용된 사례가 확인되었습니다.
• 자격 증명 탈취 및 권한 상승. 초기 접근 후, 공격자는 자격 증명을 수집해 거점을 확장합니다. FBI는 2025년 9월 UNC6395 위협 그룹이 Drift 통합에서 OAuth 및 리프레시 토큰을 탈취한 사례를 문서화하며, 공격자가 합법적 인증 토큰을 활용해 보안 통제를 우회하는 방식을 보여줍니다. 내부 진입 후에는 고가치 데이터 저장소를 찾기 위해 정찰 도구를 배포합니다.
• 수평 이동 및 지속성 확보. 공격자는 탈취한 자격 증명과 신뢰 관계를 악용해 수평 이동합니다. CISA의 Medusa 랜섬웨어 권고문(AA25-071a)은 피해 네트워크 전반에서 백업 및 보안 관련 서비스를 체계적으로 종료하는 과정을 보여주며, MITRE ATT&CK의 T1027.013(난독화 코드), T1569.002(시스템 서비스 악용), T1489(서비스 중지) 기법이 활용되었습니다.
• 데이터 식별 및 준비. 위협 행위자는 유출 전 고가치 데이터를 체계적으로 식별 및 준비하며, 지적 재산, 고객 데이터베이스, 재무 기록을 주요 표적으로 삼습니다. IBM Security 연구에 따르면 조직은 내부자 위협을 발견하는 데 평균 85일이 소요되어, 경보 없이 데이터 유출이 가능한 상당한 기간이 발생합니다.
• 유출 및 협박. 최신 정보 탈취는 이중 협박 전술을 사용합니다. CISA의 Interlock 랜섬웨어 권고문은 공격자가 AzCopy로 데이터를 Azure 저장소로 유출하고, WinSCP로 파일을 전송해 운영 중단과 데이터 노출 위협의 이중 지렛대를 만드는 과정을 설명합니다. 공격 체인의 각 단계는 방어 개입의 기회가 됩니다.

위협 행위자가 사용하는 기법

공격자는 여러 기법을 결합해 데이터를 탈취하면서 보안 통제를 회피합니다. 이러한 방법을 이해하면 방어의 취약점을 식별하고 보안 투자 우선순위를 정할 수 있습니다.

사회공학과 피싱은 정보 탈취의 주요 진입점입니다. 공격자는 임원, 공급업체, IT 지원 직원을 사칭한 표적형 스피어피싱 이메일을 제작합니다. CISA의 Scattered Spider 권고문은 공격자가 헬프데스크로 가장해 직원에게 전화해 자격 증명 수집 사이트로 유도하거나 원격 액세스 도구 설치를 지시한 사례를 문서화합니다. 음성 피싱(비싱)과 SMS 피싱(스미싱)은 이메일 보안 통제를 완전히 우회합니다.

• 자격 증명 수집 및 악용은 사회공학 성공 후 이어집니다. 공격자는 키로거를 배포하거나, 브라우저 저장 비밀번호를 탈취하거나, Mimikatz와 같은 도구로 메모리에서 자격 증명을 추출합니다. FBI는 UNC6395 위협 그룹이 서드파티 통합에서 OAuth 및 리프레시 토큰을 탈취해 비밀번호 기반 경보 없이 지속적 접근을 확보한 사례를 문서화했습니다. 탈취된 자격 증명으로 공격자는 합법 사용자처럼 환경을 이동할 수 있습니다.
• Living-off-the-land 기법은 조직 내 기존 도구를 악용합니다. 공격자는 PowerShell 스크립트 실행, Windows Management Instrumentation(WMI) 활용, 이미 존재하는 원격 관리 도구를 남용합니다. 이러한 기법은 정상 관리 활동과 구분이 어려워 탐지가 어렵습니다. MITRE ATT&CK는 T1059(명령 및 스크립트 인터프리터), T1047(Windows Management Instrumentation) 등으로 분류합니다.
• 클라우드 저장소 악용은 신뢰받는 서비스를 데이터 유출에 활용합니다. 공격자는 Azure Blob Storage, AWS S3, Google Drive, Dropbox 등 합법적 클라우드 플랫폼에 탈취 데이터를 업로드합니다. CISA의 Interlock 랜섬웨어 권고문은 공격자가 AzCopy로 Azure 저장소로 데이터를 전송한 사례를 문서화합니다. 네트워크 모니터링은 목적지 도메인이 합법적으로 보여 이러한 트래픽을 허용하는 경우가 많습니다.
• 암호화 터널링 및 은닉 채널은 데이터 전송을 탐지로부터 숨깁니다. DNS 터널링은 탈취 데이터를 DNS 쿼리 내에 인코딩해 공격자 도메인으로 전송합니다. HTTPS를 통한 명령 및 제어 서버 연결은 정상 웹 트래픽과 구분이 어렵습니다. 일부 공격자는 스테가노그래피로 이미지 파일 내에 데이터를 숨기거나, 보안 도구가 무시하는 ICMP 등 프로토콜을 활용합니다.
• 이중 협박 랜섬웨어는 데이터 탈취를 표준 절차로 포함합니다. Medusa, BlackCat, Interlock 등 그룹은 시스템 암호화 전 민감 데이터를 유출해, 백업 복구 시에도 추가 협박 수단을 확보합니다. CISA 권고문은 이들 그룹이 고가치 데이터를 체계적으로 식별 및 준비한 후, 운영 중단과 데이터 노출을 동시에 위협하는 과정을 문서화합니다. 이러한 공격을 막으려면 암호화 시작 전 탈취 행위를 탐지해야 합니다.

정보 탈취 방지의 주요 이점

정보 탈취 방지에 대한 투자는 규제 준수를 넘어 측정 가능한 조직적 가치를 제공합니다.

• 정량화된 비용 회피. IBM Security 연구에 따르면, 보안 인력 부족이 심각한 조직은 충분한 인력이 확보된 조직에 비해 유출 비용이 평균 176만 달러 더 높았으며, 의료 기관은 평균 977만 달러의 유출 비용을 경험했습니다. 예방 투자는 주주 가치와 수익 창출 활동을 보호합니다.
• 지적 재산 보호. FBI는 경제 스파이 및 영업 비밀 탈취를 최우선 방첩 과제로 지정하고, 민감 기술 보호를 위한 CISPP 프로그램을 운영합니다. IP가 수백만 달러의 경쟁 우위를 의미할 때, 예방 투자는 명확한 투자 수익을 제공합니다.
• 규제 위험 감소. GDPR, CCPA, HIPAA 등 다양한 규제 프레임워크 하에서 처벌 위험이 존재합니다. NIST Cybersecurity Framework 2.0에 맞춘 예방 활동은 실사 의무를 입증하고 법적 노출을 줄입니다. 이러한 이점은 크지만, 실현하려면 실제 운영상의 장애물을 극복해야 합니다.

정보 탈취 방지의 과제

상당한 보안 투자를 했음에도 지속적인 장애물이 존재합니다.

• 도구 난립 및 통합 실패. 보안 환경에는 10~40개 이상의 이질적 도구가 존재하며, 이들은 효과적으로 데이터를 공유하거나 이벤트를 연계하지 못합니다. 각 도구는 별도 자격 증명, 인터페이스, 경보 형식을 요구합니다. Purple AI는 일상적인 조사 작업을 자동화해 분석가의 트리아지 부담을 줄이면서 도구 난립을 가중시키지 않습니다.
• 경보 피로. 서명 기반 시스템은 제로데이 취약점 및 맞춤형 공격에 대응하지 못합니다. 분석가는 정상 활동이 악성으로 오탐되는 경우가 많아 피로를 겪습니다. 최신 공격은 실시간으로 적응하므로, 정적 서명 매칭이 아닌 행동 분석이 필요합니다.
• 신원 및 접근 관리의 취약점. IAM 구현에는 불필요한 권한을 가진 계정이 많으며, 특권 활동 모니터링이 부족해 자격 증명 탈취 후 수평 이동이 탐지 전까지 가능해집니다. Singularity Identity는 하이브리드 신원 환경 전반에서 자격 증명 남용 및 권한 상승에 대한 실시간 방어를 제공합니다.
• 공급망 가시성. 공격자는 보안이 취약한 공급업체를 침투해 더 잘 보호된 환경에 접근하는 사례가 증가하고 있습니다. 이 확장된 공격 표면은 모니터링과 통제가 어렵습니다. 이러한 과제는 조직이 보안 접근에서 피할 수 있는 실수를 저지를 때 더욱 악화됩니다.

정보 탈취 방지의 일반적 실수

조직은 정보 탈취 위험을 높이는 예방 가능한 실수를 저지르는 경우가 많습니다.

• 경계 방어에만 의존. 원격 근무, 클라우드 서비스, 공급업체 연결이 기존 경계를 우회할 때 네트워크 경계만으로는 공격자를 막을 수 없습니다. NIST Special Publication 800-207은 제로 트러스트 아키텍처의 필요성을 명시하며, 모든 접근 요청에 대해 출처와 무관하게 지속적 검증을 요구합니다. Singularity Platform은 엔드포인트, 클라우드 워크로드, 신원 시스템 전반에 제로 트러스트 검증을 제공합니다.
• 취약점 패치 지연. GeoServer CVE-2024-36401 사례는 CISA가 Known Exploited Vulnerabilities Catalog에 추가한 후 13일간 위협 행위자가 알려진 취약점을 적극적으로 악용한 사례를 보여줍니다. 패치 주기가 길어질수록 공격자는 공개된 취약점을 악용할 수 있는 기회가 늘어납니다.
• 내부자 위협을 IT 문제로만 간주. 내부자 위협 탐지 프로그램은 경영진 후원과 HR, 법무, IT 보안, 경영 등 교차 기능 팀이 필요합니다. 
• 연 1회 준수 교육만 실시. 연 1회 교육만으로는 새로운 사회공학 기법에 대응할 수 없습니다. SANS Security Awareness Report 2025에 따르면, 조직의 80%가 사회공학을 가장 큰 인적 위험으로 꼽았습니다. 행동 변화 지표를 활용한 지속적 학습이 더 효과적입니다. 이러한 실수를 피하는 것이 첫걸음이며, 검증된 모범 사례를 구현하는 것이 다음 단계입니다.

정보 탈취 방지 모범 사례

NIST, CISA, MITRE 등 권위 있는 프레임워크에 맞춘 전략이 필요합니다.

• 제로 트러스트 아키텍처 구현. NIST Special Publication 800-207은 제로 트러스트를 모든 접근 요청에 대해 최소 권한 원칙을 적용하고, 불확실성을 최소화하는 것으로 정의합니다. 적대자가 이미 내부에 있다고 가정하고, 모든 자원 접근을 지속적으로 검증하며, 최소 필요 권한만 부여하고, 모든 요청을 인증해야 합니다. 신원을 기반으로 시작해 마이크로 세분화와 지속적 모니터링을 구현하십시오.
• 위험 기반 신원 관리 배포. NIST Special Publication 800-63-3은 다중 요소 및 지속적 검증이 포함된 위험 기반 인증을 요구합니다. 특권 계정은 자격 증명 금고화, 세션 모니터링, 자동 비밀번호 회전, 필요 시 권한 상승이 필요합니다.
• 데이터 분류 통제 수립. NIST SP 1800-28은 데이터 기밀성 및 자산 보호에 대한 지침을 제공합니다. 저장, 전송, 사용 중인 데이터 모두 암호화하고, 네트워크, 엔드포인트, 클라우드 수준에서 DLP 정책을 적용하십시오.
• MITRE ATT&CK에 통제 매핑. 기존 보안 통제를 ATT&CK 기법에 매핑해 커버리지의 취약점을 식별하십시오. 퍼플팀 연습을 통해 배포된 통제가 실제 적대자 기법을 차단하는지 검증하십시오.
• 공식 내부자 위협 프로그램 개발. CISA의 Insider Threat Prevention 가이드는 효과적인 프로그램에 경영진 후원과 교차 기능 팀이 필요함을 강조합니다. 정상 기준선을 설정하고 이상 징후를 탐지하는 UEBA(User and Entity Behavior Analytics)를 배포하십시오.
• 공급망 위험 관리 구현. NIST SP 800-161 Rev. 1은 서드파티 위험 평가 프레임워크를 제시합니다. 공급업체 계약에 사이버 보안 요구사항을 포함하고, 정기적으로 평가를 실시하십시오. 클라우드 보안은 공급망 취약점이 숨겨진 멀티 클라우드 환경 전반의 가시성을 확장합니다. 이러한 모범 사례를 대규모로 실행하려면 자율 보호에 특화된 보안 플랫폼이 필요합니다.

정보 탈취 공격 사례

실제 사고는 공격자가 정보 탈취를 어떻게 실행하며, 어떤 실패가 성공을 가능하게 했는지 보여줍니다. 이 사례들은 본 가이드에서 다룬 기법, 비용, 조직적 영향을 입증합니다.

• Change Healthcare(2024년 2월)는 미국 의료 정보 탈취 역사상 가장 피해가 큰 사고 중 하나입니다. BlackCat(ALPHV) 랜섬웨어 그룹은 Change Healthcare 시스템에 침투해 민감한 환자 데이터를 유출하고, 전국적으로 의료 청구 처리를 중단시킨 랜섬웨어를 배포했습니다. 환자는 약값을 자비로 부담했고, 의료 제공자는 청구 시스템이 중단되어 수익을 잃었습니다. UnitedHealth Group(모회사)은 2024년 3분기 SEC 보고서에서 2024년 대응 비용이 약 28억 7천만 달러에 달했다고 밝혔습니다. 의회 증언에서 CEO Andrew Witty는 공격자가 다중 인증이 적용되지 않은 Citrix 포털의 자격 증명을 통해 초기 접근을 얻었다고 확인했습니다.
• Snowflake 고객 유출(2024년)은 Ticketmaster, AT&T, Santander 등 주요 조직에 영향을 미쳤으며, 단일 공격 벡터를 통해 발생했습니다. Mandiant가 추적한 UNC5537 위협 행위자는 탈취한 자격 증명으로 Snowflake 클라우드 데이터 플랫폼에 호스팅된 고객 환경에 접근했습니다. 침해된 계정에는 MFA가 적용되지 않았고, 일부 자격 증명은 수년간 범죄 시장에 유통되었습니다. Ticketmaster 유출로 약 5억 6천만 명의 고객 데이터가 노출됐으며, AT&T는 거의 모든 모바일 고객의 통화 및 문자 메타데이터가 유출됐습니다. 이 사례는 자격 증명 탈취와 약한 인증이 여러 조직에 치명적 노출을 초래함을 보여줍니다.
• Salt Typhoon 통신사 공격(2024년)은 AT&T, Verizon, T-Mobile, Lumen Technologies 등 미국 주요 통신사를 표적으로 삼았습니다. 중국 정부 지원 그룹은 통화 및 문자 메타데이터, 위치 정보, 일부 실제 음성 녹음까지 접근했습니다. FBI와 CISA 공동 성명은 이 캠페인이 상업용 통신 인프라를 표적으로 했음을 확인했으며, CISA는 통신 인프라 강화 지침을 발표했습니다.
• MOVEit Transfer 취약점 악용(2023-2024년)은 Progress Software의 파일 전송 애플리케이션의 제로데이 취약점을 악용했습니다. Cl0p 랜섬웨어 그룹은 MOVEit을 사용하는 조직을 체계적으로 표적으로 삼아, 패치 전에 데이터를 유출했습니다. CISA와 FBI의 공동 권고문(AA23-158A)은 2023년 5월 27일부터 Cl0p이 SQL 인젝션 취약점 CVE-2023-34362를 악용해 MOVEit Transfer 웹 애플리케이션에 LEMURLOOT 웹셸을 설치한 사실을 문서화했습니다. 피해자의 약 80%가 미국 기업이었으며, 에너지부, 존스홉킨스대, 뉴욕시 교육청 등이 포함되었습니다. 이 사고는 신뢰받는 소프트웨어의 공급망 취약점이 광범위한 정보 탈취 기회를 제공함을 보여줍니다.

이들 공격은 자격 증명 탈취, 미흡한 인증 통제, 초기 접근과 탐지 사이의 지연이라는 공통점을 가집니다. 정보 탈취를 막으려면 인간의 대응 속도를 뛰어넘는 자율 보호가 필요합니다.

SentinelOne으로 정보 탈취 차단

SentinelOne은 엔드포인트, 신원, 클라우드 워크로드, 오브젝트 스토리지, AI 모델 등 가장 중요한 데이터를 공격자로부터 보호합니다. Singularity™ Platform은 예방, 탐지, 대응을 통합해 보안팀이 실시간으로 정보 탈취 시도를 식별하고 차단할 수 있도록 지원합니다.

엔드포인트와 신원에서 데이터 탈취 차단

Singularity™ Endpoint와 Singularity™ Identity는 사용자 디바이스와 디렉터리에서 자격 증명 남용, 권한 상승, 데이터 유출을 차단하기 위해 함께 작동합니다. Storyline은 전체 공격 과정을 밀리초 단위로 재구성하고 MITRE ATT&CK에 매핑해, 분석가가 침입이 데이터 탈취로 진행되는 과정을 즉시 파악할 수 있도록 합니다. 

Endpoint Firewall Control과 Device Control은 아웃바운드 연결을 제한하고 신뢰할 수 없는 USB 및 블루투스 장치의 사용을 차단 또는 제한해, 공격자가 민감 파일을 외부로 반출하는 것을 방지합니다. Singularity™ Mobile은 iOS, Android, ChromeOS까지 보호를 확장해, 피싱, 중간자 공격, 악성 앱이 휴대폰과 태블릿에서 데이터를 은밀히 유출하는 것을 차단합니다. 랜섬웨어 운영자가 이중 협박(데이터 암호화 및 유출)을 시도할 때, 자동 격리 및 1‑클릭 롤백으로 안전한 데이터 복구본을 확보해 공격자의 협박 수단을 제거합니다.

엔드포인트와 신원 통합으로 완벽한 커버리지 확보

대부분의 데이터 탈취가 자격 증명 탈취로 시작되기 때문에, SentinelOne은 엔드포인트 텔레메트리와 신원 컨텍스트를 통합합니다. Singularity™ Identity는 Active Directory와 클라우드 신원 공급자를 지속적으로 모니터링해, 공격자가 악용하기 전 잘못된 구성, 위험 권한, 노출된 자격 증명을 식별합니다. 기만 기술, 고신뢰도 경보, 자동화된 조치는 자격 증명 탈취, 수평 이동, 디렉터리 공격을 실시간으로 탐지 및 차단합니다. Singularity™ Endpoint의 심층 엔드포인트 가시성과 결합해, 보안팀은 사용자, 디바이스, 신원이 어떻게 표적이 되는지 전체적으로 파악하고, 킬체인 초기에 정보 탈취를 차단할 수 있습니다.

AI 모델 보호 및 프롬프트 기반 데이터 유출 방지

조직이 생성형 AI를 도입함에 따라, 공격자는 모델에서 민감한 학습 데이터, 비밀, 지적 재산을 직접 유출하려는 시도를 늘리고 있습니다. SentinelOne의 Prompt Security는 AI 도구와 서비스를 프롬프트 인젝션, 데이터 수집 공격, 섀도우 AI 사용으로부터 보호합니다. 가드레일은 데이터 모델이 접근할 수 있는 범위를 제한하고, 실시간 모니터링은 모델이 기밀 정보를 노출하거나 민감한 출력을 유출하려는 시도를 탐지 및 차단합니다. 이를 통해 고객 데이터, 독점 모델, 내부 지식 베이스가 유출 경로로 전환되는 것을 방지합니다.

CNAPP, AI SPM, DSPM으로 클라우드 워크로드, 저장소, 데이터 보호

Singularity™ Cloud Security는 AI 기반 CNAPP을 제공해, 클라우드 보안 상태 관리, AI 보안 상태 관리(AI SPM), 데이터 보안 상태 관리(DSPM), 클라우드 탐지 및 대응을 통합하여 클라우드 환경 전반의 정보 탈취를 차단합니다. 잘못된 구성, 과도한 권한, 무단 데이터 접근으로 이어질 수 있는 위험 노출 경로를 탐지 및 수정합니다. Singularity™ Cloud Data Security는 Amazon S3, Azure Blob Storage, Amazon FSxN, NetApp 등 오브젝트 스토리지에 대한 심층 보호를 추가해, 악성코드 및 민감 데이터의 지속적 스캔과 외부 유출 방지를 제공합니다. 이 기능들은 클라우드 데이터, 백업, AI 파이프라인이 최초 침해부터 유출 시도까지 안전하게 유지되도록 보장합니다.

Singularity XDR로 모든 것을 통합

Singularity™ XDR은 엔드포인트, 신원, 클라우드 워크로드, 데이터 저장소의 고신뢰도 텔레메트리를 단일 뷰로 통합해, 보안팀이 정보 탈취 시도의 전체 맥락을 파악하고 기계 속도로 대응할 수 있도록 합니다. Purple AI 기반 자동화 워크플로우는 이벤트를 연계하고, 가장 중요한 위험을 우선순위화하며, 모든 표면에서 대응 조치를 오케스트레이션해 공격자가 데이터를 탈취하는 데 의존하는 취약점을 차단합니다.
SentinelOne 데모 요청을 통해 자율적 AI 기반 보호가 비즈니스에 영향을 미치기 전에 정보 탈취를 어떻게 차단할 수 있는지 확인하십시오.