공격자, 아웃소싱 개발자 고용해 새로운 멀웨어 유형 사용
[데이터넷] 사이버 공격이 은밀히 침투해 장기적인 스파이 활동을 하는 ‘장기전’보다 빠르게 침투해 목표를 달성하는 ‘단기전’으로 변하고 있는 것으로 보인다.
파이어아이 ‘2020 맨디언트 M-트렌드 보고서’에 따르면 지난해 아태지역 공격 지속 시간 중앙값이 평균 54일로, 2018년 204일보다 획기적으로 단축됐는데, 이는 랜섬웨어, 암호화폐 채굴 등 체류시간이 짧지만 파괴력이 큰 유형의 공격이 지속적으로 증가한 점이 원인 중 하나라고 지목했다. 공격이 발생했다는 사실을 내부 탐지로 알게되는 경우가 18일, 외부 통보를 통해 인지하는 경우가 131일이었는데, 전 세계 평균 시간은 내부탐지 141일, 외부 알림 30일을 기록했다.
전체 공격 중 내부 탐지를 통해 알게된 사고가 47%로 전년 59%보다 줄었으며, 외부 기관을 통해 알게된 것이 53%로 전년 41%보다 크게 늘었다.
파이어아이는 “이 같은 변화는 기업 내부 탐지 능력이 약화됐다기보다 법 집행 강화와 사이버 보안 회사들의 적극적인 외부 공지, 공개 표준 기준 변경 및 규정 준수 변경 등 다양한 요인 때문이라고 볼 수 있다. 파이어아이 맨디언트는 기타 지표에서 조직적 탐지 및 대응 능력이 꾸준하게 개선된 수치를 보였기 때문에, 다수 조직의 침입 탐지 능력이 저하된 것은 아니라고 판단했다”고 설명했다.
멀웨어 41%, 이전에 본 적 없는 유형
위협 탐지와 대응 기술이 고도화되면서 새로운 유형의 공격도구를 사용하는 비중도 높아졌다. 지난해 발견된 멀웨어 중 41%는 이전에 본 적 없는 멀웨어였으며, 확인된 샘플의 70%는 오픈소스 툴을 기반으로 하고 있었다. 기존 멀웨어 개발자 외에 아웃소싱을 통해 개발되고 있는 것으로 보인다. 새로운 멀웨어 유형은 대부분 윈도우를 기반으로 하고 있으며, 리눅스, 맥 기반 활동은 미미한 수준이다.
파이어아이 맨디언트 전문가가 대응한 공격 중 가장 많은 비중(29%)을 차지한 부분은 직접적인 재정적 수익을 획득한 공격 유형이었다. 금품 착취, 몸값 요구, 카드 도용, 불법 이체 등이 포함된다. 다음으로 가장 많이 나타난 유형은 22%를 차지한 데이터 도난으로, 지적 재산권이나 최종 타겟 도달을 위한 첩보 활동 등을 뒷받침한다.
랜섬웨어 공격을 통해 금전적 이익을 취하는 데 성공한 케이스와 랜섬웨어 서비스 자체의 유효성은 전반적으로 랜섬웨어 사례가 증가하는 데 크게 기여했다. 대대적으로 개인 및 신용 카드 정보를 표적으로 삼아온 기존의 사이버 범죄 그룹 또한 수익 창출을 보조하는 수단으로 랜섬웨어를 이용하는 사례가 증가했다. 파이어아이는 랜섬웨어 공격이 쉬우면서도 공격자에게 지속적으로 재정적 이익을 가져다 줄 수 있기 때문에 랜섬웨어가 금전적인 보조 수단으로 지속적으로 이용될 것으로 예상하고 있다.
위르겐 커스처(Jurgen Kutscher) 파이어아이 서비스 제공담당 수석부사장은 “파이어아이 맨디언트는 많은 조직이 사이버 보안 수준을 크게 개선하는 사례를 봐왔지만, 최신 위협에 대항하는 것은 또 다른 문제다” 라며, “공격 그룹은 그 어느 때보다 활발하게 활동하고 있으며, 이들은 목표를 더욱 공격적으로 확장시키고 있다. 따라서 조직은 방어체제를 지속적으로 구축하고 테스트하는 것이 중요하다”고 전했다.
