맨디언트 “랜섬웨어 증가하며 공격 지속시간 줄어”
상태바
맨디언트 “랜섬웨어 증가하며 공격 지속시간 줄어”
  • 김선애 기자
  • 승인 2022.04.20 10:09
  • 댓글 0
이 기사를 공유합니다

공격자 침투부터 탐지까지 21일 소요…내부 탐지 역량 제고로 침해 빠르게 인지
공격 지속시간 짧은 랜섬웨어 증가하며 탐지 시간 빨라져

[데이터넷] 공격자가 침투한 시점부터 탐지되기까지 21일 소요되는 것으로 나타났다. 이 기간은 2020년 24일, 2019년 56일, 2018년 78일로 꾸준히 줄어들어왔다.

매년 이를 조사해 보고하는 ‘맨디언트 M-트렌드’에 따르면 사이버 침해가 시작되는 순간부터 내부 보안 팀에 의해 공격이 확인될 때까지 걸리는 공격 지속 시간의 중앙값이 지속적으로 줄어들고 있는데, 특히 아시아태평양(APAC) 지역의 공격 지속 시간 중앙값이 2020년 76일에서 2021년 21일로 감소하며 가장 큰 감소 폭을 보였다. 한편 유럽·중동·아프리카(EMEA)의 경우, 66일에서 48일로 감소했다. 미주 지역은 17일로 전년과 동일한 중앙값을 유지했다.

지난해 EMEA와 APAC는 써드파티에 의한 탐지가 대다수로 각각 62%와 76%를 차지하면서 2020년과는 상반된 결과를 보였다. 미주 지역은 소스에 의한 탐지가 일정하게 유지됐으며, 조직 내에서 60%의 공격 탐지 사례가 이뤄졌다.

맨디언트는 공격지속시간이 줄어드는 이유로 조직의 위협 가시성과 대응 능력이 향상된 이유도 있지만, 공격 지속 시간의 중앙값이 낮은 랜섬웨어 공격이 증가한 것도 있다고 설명했다.

▲2021년 공격 지속시간
▲2021년 공격 지속시간

중국 사이버 스파이 활동 재편성 ‘주목’

이 보고서는 2020년 10월 1일부터 2021년 12월 31일까지 일어난 위협 사례를 조사·분석한 것으로, 올해 보고서에서는 위협 탐지·대응에서 조직의 상당한 발전이 있었지만, 공격 표적이 된 조직의 환경에 침투하기 위한 지속적인 공격 기술 혁신 또한 관찰됐다고 설명했다.

맨디언트는 26개국 300명 이상 인텔리전스 전문가가 분석한 최일선 조사, 사이버 범죄가 거래되는 암시장 접근, 보안 텔레메트리, 맨디언트만의 조사 방법 및 데이터를 활용해 광범위한 위협 지식 기반을 계속 확장하고 있다.

맨디언트 전문가들은 끊임없는 정보 수집과 분석의 결과로 이번 M-트렌드 보고서 조사 기간 동안 1100개 이상의 새로운 위협 그룹과 733개의 새로운 멀웨어 계열을 추적했다. 이 중 86%는 공개적으로 이용이 불가능한 멀웨어로, 새로운 멀웨어 계열의 사용 제한이나 비공개 멀웨어 개발 추세는 앞으로도 지속될 것으로 예상된다.

특히 지난해 중국의 ‘14차 5개년 계획’ 시행에 맞춘 중국 사이버 스파이 활동의 재편성과 툴 재구성도 주목할 만하다. 보고서는 이 계획에 포함된 국가 차원의 우선 순위가 “향후 몇 년 동안 방위산업 제품 및 민군 겸용 기술뿐만 아니라 지적 재산권이나 다른 전략적으로 중요한 경제 문제에 대해 침입을 시도하는 중(中)연합 공격자들이 증가할 것임을 시사한다”고 경고했다.

기업, 보안 태세 강화 나서야

맨디언트는 조직을 사이버 위협으로부터 안전하게 보호하고 조직의 사이버 방어 태세에 대한 믿음을 가질 수 있도록 지원하기 위한 노력을 기울이고 있다. 보고서에서는 온프레미스 액티브 디렉토리(AD), 인증 서비스, 가상화 플랫폼 및 클라우드 인프라를 사용할 때 발생하는 일반적인 구성 오류 문제 완화 등 위험 감소를 위한 팁을 제공한다.

더불어 사전 예방적 보안 프로그램 지원에 필요한 사항을 보강하기 위해 자산 관리, 로그 유지 정책, 취약점 및 패치 관리와 같은 기본적인 보안 지침에 대한 중요성을 강조하고 있다.

맨디언트는 사이버 공격에 대응하기 위한 보안 커뮤니티와 업계의 노력을 지원하기 위해 지속적으로 맨디언트의 위협 조사 결과를 마이터 어택 프레임워크(MITRE ATT&CK)에 매핑하고 있다. 2021년에는 300개 이상의 맨디언트 기술을 프레임워크에 추가로 매핑했다.

M-트렌드 보고서는 특정 공격 기술이 침입 시도에 사용될 가능성에 따라 조직이 어떤 보안 조치를 적용할지 우선순위를 선정해야 한다고 강조한다. 또한, 최근의 침입 사례 중 자주 사용된 기술을 조사함으로써 조직이 보다 잘 대비해 정확한 결정을 내릴 수 있다고 설명했다.

이번 조사에서 취약점 공격(익스플로잇)은 2년 연속 가장 빈번하게 사용된 초기 감염 벡터로 나타났다. 맨디언트가 조사 기간 동안 대응한 사건 중 37%는 보안 취약점 공격에서 시작됐다. 반면 피싱 공격은 11%에 그쳤다. 공급망 공격은 2020년 1% 미만에서 2021년 17%로 급증했다.

가장 잦은 공격 표적이 된 산업은 비즈니스·전문 서비스와 금융이 각각 14%를 차지했으며, 의료(11%), 소매/서비스업(10%), 기술 산업과 정부(9%)가 그 뒤를 이었다.

새로운 다각적 갈취와 새로운 랜섬웨어 전술, 기법 및 절차(TTPs)가 등장해 공격자는 기업 환경에 신속하고 효율적인 랜섬웨어 구축에 성공하는 것이 확인됐다. 맨디언트는 기업 환경에서 가상화 인프라가 광범위하게 사용됨에 따라 랜섬웨어 공격자의 주요 타깃이 되고 있다고 지적했다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.