침해사고, 자체 탐지보다 외부 기관 통해 알아…북한, 해킹 수익 높아 올해도 활동 이어질 것
[데이터넷] 공격자가 최초 침투해 탐지되기까지 평균 16일 걸리는 것으로 나타났다. 맨디언트의 ‘2023 M-트렌드 보고서’에 따르면 ‘공격지속시간 중앙값’이 2021년 21일에서 2022년 16일로 단축됐다. 공격 지속 시간 중앙값은 2011년 416일에 것으로 분석됐는데, 2022년에는 2주 조금 넘는 기간으로 단축됐다. 이는 조직의 위협 탐지 기능이 개선된 덕도 있지만, 공격 양상이 최초 침투 후 빠르게 공격을 진행하는 것으로 바뀐 영향도 있다.
또한 공격당했다는 사실을 자체적으로 인지하는 경우보다 외부 기관을 통해 알게 되는 경우가 여전히 많은데, 미주에 본사를 둔 조직들의 경우 2022년 사고 중 55%에 대해 외부 기관으로부터 경보를 받은 것으로 나타나며 2021년 40%를 상회했다. 이는 지난 6년간 미주 지역에서 기록된 외부 기관 통지 비중 중 가장 높은 수준이다. 마찬가지로, 유럽·중동·아프리카(이하 EMEA)의 경우, 2022년 조사 중 74%에 대해 외부에서 침입 경보를 받으며 2021년 62% 보다 높은 수준을 보였다.
랜섬웨어 줄고 사이버 스파이 늘어
지난해 러시아-우크라이나 전쟁과 함께 사이버 스파이 활동이 증가했다. 맨디언트는 2022년 2월 24일 러시아의 우크라이나 침공 직전과 그 후 광범위한 사이버 스파이 활동과 첩보 공작을 확인했다. 러시아의 우크라이나 침공 이전 UNC2589과 APT28의 활동이 포착됐고 직전 8년 대비 2022년 첫 4개월 동안 우크라이나를 표적으로 한 보다 파괴적인 사이버 공격이 관찰됐다.
맨디언트는 2022년, 신종 멀웨어 계열 588개를 추적하기 시작, 공격자들이 어떻게 툴셋을 확장해 나가는지 밝혔다. 추적된 신종 멀웨어 계열 중 5대 카테고리는 백도어(34%), 다운로더(14%), 드로퍼(11%), 랜섬웨어(7%), 런처(5%)였다. 멀웨어 카테고리는 수년 동안 변함없이 유지됐으며, 이 중 백도어의 비중은 새로 추적된 멀웨어 계열에서도 3분의 1을 넘었다.
이번 맨디언트의 조사에서 포착된 가장 흔한 멀웨어 계열은 다기능 백도어인 비컨(BEACON)으로 지난 수년 간의 동향과 일치했다. 비컨은 2022년 맨디언트가 조사한 모든 침투 중 15%에서 포착됐고 모든 지역에 걸쳐 가장 많이 발견됐다. 비컨은 중국, 러시아, 이란과 연계된 국가 지원 위협 그룹뿐만 아니라 금전적 목적의 위협 그룹, 700여개의 UNC 그룹 등 맨디언트가 추적한 광범위한 위협 그룹에서 사용하고 있다. 보고서에 따르면 이러한 편재성은 비컨의 일반적 접근성, 높은 사용자 정의 가능성, 사용 용이성에 기인한다.
랜섬웨어는 전반적으로 감소한 것으로 나타났는데, 2022년 랜섬웨어 관련 조사의 비중은 2021년 23% 대비 18%에 그쳤다. 이는 2020년 이후 맨디언트가 실시한 랜섬웨어 관련 조사 중 가장 낮은 수준이다.
초기 감염 벡터, 익스플로잇
취약점 공격(익스플로잇)은 3년 연속 공격자가 가장 많이 활용한 초기 감염 벡터로 분석됐으며, 확인된 침투 중 32%를 차지했다. 익스플로잇은 2021년 37% 대비 2022년에 소폭 감소했으나 여전히 공격자가 표적을 향해 사용하는 주요 도구이다. 피싱은 가장 많이 사용된 벡터 2위 자리를 지켰으며 2021년 12% 대비 2022년에는 22%를 차지했다.
가장 많은 공격을 받은 사업은 정부 관련 기관으로, 2021년 9% 대비, 2022년 전체 조사의 25%를 차지했다. 이외 비즈니스·전문 서비스, 금융, 하이테크, 의료 순으로 나타났다. 이들 산업은 금전적 목적, 첩보 활동을 동기로 한 공격자들에게 여전히 가장 매력적인 표적이 되고 있다.
2022년 광범위한 정보 탈취 멀웨어 사용과 자격증명 거래가 모두 증가했다. 많은 경우 암호 재사용, 업무용 기기에서 개인 계정을 사용하는 등 자격 증명이 조직 환경 외부에서 도난 된 후 조직을 표적으로 악용되었을 가능성이 높은 것으로 확인됐다. 또한 40%의 침입 사례에서 공격자가 데이터 탈취를 우선시한 것으로 확인했다.
2022년 북한 공격자들은 전통적인 인텔리전스 수집 작전, 와해성 공격과 더불어 암호화폐 탈취와 사용에 더 많은 관심을 보였다. 이들 공작은 매우 수익성이 높아 2023년 내내 줄어들지 않을 것으로 보인다.
맨디언트의 M-트렌드 보고서는 사이버 위협 대응 최전선에서 직접 관찰한 최신 공격자의 동향에 대한 인사이트를 제공하고, 실행 가능한 인텔리전스를 바탕으로 계속해서 진화하는 위협 환경 내에서 조직의 보안 태세 개선을 목표로 한다. 특히, 가장 왕성하게 활동하는 공격자 중 일부와 점점 확대되는 그들의 전술, 기법 및 절차(TTPs)에 대한 인사이트를 제공한다.
이러한 목표를 보다 철저하게 지원하기 위해 맨디언트는 마이터 어택 프레임워크(MITRE ATT&CK) 업데이트에 맨디언트 기술 150개를 추가로 매핑해 총 2300개 이상의 맨디언트 기술과 ATT&CK 프레임워크와 연관된 후속 연구 결과를 확보했다. 조직들은 침입 발생 시 특정 기술이 사용될 가능성에 따라 도입할 보안 조치의 우선순위를 정해야 한다.
위르겐 커스처(Jurgen Kutscher) 구글 클라우드 맨디언트 컨설팅 부사장은 “2023 M-트렌드는 업계의 사이버 보안 수준이 개선되고 있지만 우리가 상대하는 공격자는 진화를 거듭하며 고도화되고 있다는 점을 명백히 시사한다”며 “국가 주도 공격자의 사이버 스파이 활동뿐만 아니라 신종 멀웨어 계열 증가 등 2021년에 관찰된 일부 트렌드가 2022년에도 이어지고 있다. 따라서 조직들은 근면하게 현대적 사이버 방어 역량으로 사이버 보안 태세를 꾸준히 강화해야 한다. 최근의 위협에 대한 사이버 레질리언스의 지속적 검증과 전반적인 대응 역량에 대한 평가 역시도 중요하다"고 강조했다.
