엔드포인트 탐지 및 대응(EDR) 에이전트가 설치되지 않은 어플라이언스를 대상으로 한 브릭스톰(BRICKSTORM) 백도어 공격이 다수 탐지되어, 구글 클라우드 소속 맨디언트 컨설팅(Mandiant Consulting)이 긴급 대응에 나섰다. 해당 공격은 UNC5221 및 중국 연계 위협 행위자들에 의해 자행된 것으로 파악되었다.
이 백도어 공격은 보안 솔루션의 사각지대에 놓인 어플라이언스들을 주요 표적으로 삼았다는 점에서 심각성을 더한다. 전통적인 엔드포인트 보안 솔루션은 일반적으로 운영체제 수준의 에이전트를 통해 작동하는데, EDR 에이전트가 설치되지 않은 네트워크 어플라이언스는 이러한 탐지 및 방어 메커니즘에서 벗어나 공격에 취약한 상태에 놓이게 된다. 공격자들은 이러한 허점을 파고들어 시스템에 침투하고 악성 행위를 수행하는 것으로 분석된다.
맨디언트 컨설팅은 브릭스톰 백도어의 특성을 면밀히 분석하고, 공격의 초기 침투 경로와 확산 방안을 규명하는 데 집중했다. EDR 솔루션이 부재한 환경에서도 공격 행위를 탐지하고 무력화할 수 있는 효과적인 대응책 마련이 시급한 과제로 대두되었다. 이를 위해 맨디언트 컨설팅은 해당 위협 행위자들의 전술, 기술, 절차(TTPs)를 역으로 추적하며 공격의 전체 라이프사이클을 이해하는 데 주력했다.
이번 브릭스톰 백도어 공격에 대한 맨디언트 컨설팅의 신속하고 전문적인 대응은 EDR 솔루션이 설치되지 않은 어플라이언스 환경에서의 보안 취약점을 다시 한번 일깨워주는 계기가 되었다. 이러한 공격에 성공적으로 대처함으로써, 앞으로 유사한 위협으로부터 시스템을 보호하고 잠재적인 피해를 최소화할 수 있는 중요한 기반을 마련했다고 평가할 수 있다.
답글 남기기