사이버 보안 기업 맨디언트가 최근 2년 동안(2020~2021)의 사이버 위협 트렌드를 담은 ‘2022 M-트렌드 보고서(M-Trends 2022)’를 발표했다.
이번 보고서에 따르면, 해커들의 공격 지속 시간이 평균 3주로 감소했음에도 상당 수의 새로운 해킹 조직과 멀웨어가 계속해서 등장하고 있다.
멘디언트는 이번 보고서에 2020년 10월 1일부터 2021년 12월 31일까지 일어난 사이버 보안 위협 사례들을 담았다. 2022 M-트렌드는 위협 탐지 및 대응에서 조직들의 상당한 발전이 있었지만, 공격 표적이 된 조직 환경에 침투하기 위한 지속적인 공격 기술 혁신도 관찰됐다고 보고했다.
사이버 공격 지속 시간 중앙값, 3주로 감소
2022 M-트렌드 보고서에 따르면, 사이버 공격이 시작되는 순간부터 내부 보안 팀에 의해 공격이 확인될 때까지 걸리는 공격 지속 시간의 중앙값이 2020년 24일에서 2021년에는 21일로 줄었다.
자세히 살펴보면, 아시아태평양 지역의 공격 지속 시간 중앙값이 2020년 76일에서 2021년 21일로 감소하며 가장 큰 감소 폭을 보였다. 한편 유럽·중동·아프리카의 경우 66일에서 48일로 감소했다. 미주 지역은 17일로 전년과 동일한 중앙값을 유지했다.
위협 탐지 사례를 비교하면, 2021년 EMEA와 APAC는 써드파티에 의한 탐지가 대다수로 62%와 76%를 각각 차지하면서 2020년과는 상반된 결과를 보였다. 미주 지역은 소스에 의한 탐지가 일정하게 유지했으며, 조직 내에서 60%의 공격 탐지 사례가 이뤄졌다.
이번 보고서에 따르면, 조직의 위협 가시성 및 대응 능력이 향상했을 뿐만 아니라 비 랜섬웨어 침입 공격 대비 공격 지속 시간의 중앙값이 상당히 낮은 랜섬웨어 공격이 증가하면서 공격 지속 시간 중앙값의 감소가 원인일 가능성이 높다고 지적했다.
중국 스파이 활동 강화로 인한 새로운 위협 등장
맨디언트는 26개국에 걸쳐 300명 이상의 인텔리전스 전문가가 분석한 최일선 조사, 사이버 범죄가 거래되는 암시장 접근, 보안 텔레메트리, 맨디언트만의 조사 방법 및 데이터를 활용해 광범위한 위협 지식 기반을 꾸준히 확장하고 있다.
맨디언트 전문가들은 끊임없는 정보 수집과 분석의 결과로 이번 M-트렌드 보고서 조사 기간 1100개 이상의 새로운 위협 그룹과 733개의 새로운 멀웨어 계열을 추적했다. 이 중 86%는 공개적으로 이용이 불가능한 멀웨어로, 새로운 멀웨어 계열의 사용 제한이나 비공개 멀웨어 개발 추세는 앞으로도 지속될 것으로 예상된다.
2021년 중국의 ‘14차 5개년 계획’의 시행에 맞춘 중국 사이버 스파이 활동의 재편성과 툴 재구성도 주목할 만하다. 보고서는 이 계획에 포함된 국가 차원의 우선순위가 “앞으로 몇 년 동안 방위 산업 제품 및 민·군 겸용 기술뿐 아니라 지적 재산권이나 다른 전략적으로 중요한 경제 문제에 대해 침입을 시도하는 중국 연합 공격자들이 증가한다는 점을 시사한다”고 경고했다.
보안 태세 강화
맨디언트는 조직을 사이버 위협에서 안전하게 보호하고, 조직의 사이버 방어 태세에 대한 믿음을 갖도록 지원하기 위한 노력을 기울이고 있다. 맨디언트는 이를 위해 M-트렌드 보고서를 통해 온프레미스 액티브 디렉토리(Active Directory), 인증 서비스, 가상화 플랫폼 및 클라우드 인프라를 사용할 때 발생하는 일반적인 구성 오류 문제 완화 등 위험 감소를 위한 팁을 제공한다.
사전 예방적 보안 프로그램 지원에 필요한 사항을 보강하기 위해 자산 관리, 로그 유지 정책, 취약점 및 패치 관리와 같은 기본적인 보안 지침의 중요성도 강조하고 있다.
맨디언트는 사이버 공격에 대응하기 위한 보안 커뮤니티와 업계의 노력을 지원하기 위해 지속적으로 맨디언트의 위협 조사 결과를 마이터 어택 프레임워크(MITRE ATT&CK)에 매핑하고 있다. 2021년에는 300개 이상의 맨디언트 기술을 프레임워크에 추가로 매핑했다.
M-트렌드 보고서는 특정 공격 기술이 침입 시도에 사용될 가능성에 따라 조직이 어떤 보안 조치를 적용할지 우선순위를 선정해야 한다고 강조한다. 또한 최근의 침입 사례 중 자주 사용된 기술을 조사함으로써 조직이 보다 잘 대비해 정확한 결정을 내릴 수 있다고 설명했다.
2022 M-트렌드 보고서가 조사한 내용의 핵심은 다음과 같다.
▲감염 벡터: 취약점 공격(익스플로잇)이 2년 연속 가장 빈번하게 사용된 초기 감염 벡터로 나타났다. 실제로 맨디언트가 조사 기간 대응한 사건 중 37%는 보안 취약점 공격에서 시작됐다. 반면 피싱 공격은 11%에 그쳤다. 공급망 공격은 2020년 기준 1% 미만에서 2021년 17%로 급증했다.
▲공격 표적 산업: 비즈니스·전문 서비스와 금융이 각각 14%로, 가장 많은 공격 표적이 됐다. 의료(11%), 소매·서비스업(10%), 기술 산업과 정부(9%)가 그 뒤를 이었다.
▲새로운 다각적 갈취와 랜섬웨어 TTPs저(전술, 기법 및 절차): 다각적 갈취 공격 및 랜섬웨어 공격자가 새로운 TTPs를 사용해 기업 환경에 랜섬웨어를 신속하고 효율적으로 구축하는 것이 확인됐다. 특히 맨디언트는 기업 환경에서 가상화 인프라가 광범위하게 사용됨에 따라 랜섬웨어 공격자의 주요 타깃이 되고 있다고 지적했다.
2022 맨디언트 M-트렌드 보고서는 맨디언트 홈페이지에서 다운로드할 수 있다. 국문 보고서는 향후 업데이트될 예정이다.
