IBM 시큐리티 “백도어, 지능형 랜섬웨어·이메일 공격 활발….전 영역 아우르는 XDR 필요”
지난해 아시아태평양지역이 또다시 전세계에서 가장 많은 사이버공격을 받은 것으로 나타났다. 특히 아태지역에서는 제조업이 사이버공격자들의 가장 큰 표적으로 떠올랐다.
한국IBM은 14일 IBM 시큐리티(IBM Security)가 발간한 연례 보고서인 ‘엑스포스(X-Force) 위협 인텔리전스 인덱스’를 발표했다.
이 보고서에 따르면, 지난해 아태지역에서 전체 사이버 공격의 31%가 발생해 2021년(26%)에 이어 전세계에서 가장 많은 사이버공격을 받았다. 특히 아태지역에서는 제조업(48%)과 금융 및 보험업(18%)을 조준한 공격이 상당수를 차지했다. 공격 수법으로는 첨부 파일을 통한 스피어 피싱(40%) 형태가 가장 많았다.
지난해 전세계적으로 가장 많이 발생한 사이버 공격 형태는 백도어 유포(21%)였다. 아태지역에서는 백도어 공격 수치가 31%로 더욱 높았다. 그 이유로는 백도어를 통한 추가 공격이 가능한 점과 다크웹 상에서 백도어 액세스 권한의 시장 가치가 상승함에 따라 공격 횟수가 늘어난 것이란 분석이다.
최근 시장에서 백도어 액세스 권한은 최고 1만달러에 판매되는 양상인 반면 신용카드 데이터는10달러 미만에 판매되고 있다는 게 IBM의 설명이다.
두 번째로 높은 빈도를 보인 랜섬웨어 공격은 2021년 대비 소폭 감소(21%→17%)했다. 아태지역에서는 13% 비중을 나타냈다. 다만 랜섬웨어 공격 완료까지의 시간은 평균 2개월에서 4일 이내로 단축되며 공격 수법이 더욱 정교해지고 지능화되고 있는 양상을 나타냈다.
조가원 한국IBM 보안사업부 기술총괄 상무는 “3년 전 랜섬웨어 공격이 1위였을 때, 데이터를 암호화시켜 몸값을 요청하는 데까지 두 달의 기간이 걸렸다. 그런데 지금은 4일 걸린다”며 “그만큼 해커들이 지능화돼 더 빠르게 행동할 수 있는 기술력들을 갖추고 있다는 것을 나타낸다. 기업은 위협을 더 빠르게 식별해 신속하게 대응할 수 있어야 한다”고 강조했다.
산업별로는 제조업이 2년 연속(2022년 24.8%, 2021년 23.2%) 가장 많은 사이버 공격을 받았다. 다운타임 없이 시스템을 항시 운영하는 제조업의 특성상 백도어 공격의 주요 타깃이 됐다. 피해 기업 중 32%가 정보 갈취(extortion)를 경험한 것으로 드러났다.
전체 사이버 공격 중 5건 중 1건(18.9%)이 발생한 금융 및 보험업이 그 뒤를 이었으며, 제조업을 비롯한 타 산업군으로 공격자의 관심이 분산되면서 2021년(22.4%) 대비 발생률이 소폭 감소했다. 금융 및 보험업종에서도 백도어 공격이 29%를 보였고, 서비스와 소비재 업종에서는 백도어와 랜섬웨어가 각각 18%씩으로 많이 발견됐다.
아태지역(5%) 대비 북미지역(46%)에서는 전력, 석유, 가스 등 에너지 업계를 겨냥한 사이버공격이 전년대비 두 배로 큰 폭으로 증가하며, 불안정한 에너지 무역과 러시아-우크라이나 전쟁 등 정세적 요소도 공격자에게 기회로 작용한 것으로 나타났다.
지난해 나타난 주요 공격 유형으로는 비즈니스 이메일 침해(BEC)를 통한 정보 갈취가 두드러졌다. 유럽(44%)에서 가장 많은 정보 갈취 사례가 발생했는데, 많은 공격자가 지정학적인 긴장사태를 악용했기 때문인 것으로 풀이된다.
공격자가 탈취된 이메일 계정으로 송신자로 위장해 답장을 보내는 스레드 하이재킹(thread hijacking)도 전년대비 2배가량 큰 폭으로 증가했으며, 월별 침해 시도 비율은 무려 100% 증가한 것으로 확인됐다.
또한 지난해 취약점을 악용한 사이버 공격은 26%로, 기업이 패치 관리의 중요성을 인식하면서 2018년(36%) 대비 10% 감소한 것으로 나타났다. 그러나 매년 전체 취약점 수는 해마다 최고치를 갱신하며 증가하고 있으며, 이러한 레거시 취약점으로 인해 워너크라이(WannaCry), 컨피커(Conficker)와 같은 과거 유행했던 멀웨어 감염이 계속 발생하고 확산되고 있는 추세다.
아울러 지난해 신용카드 정보를 노리는 피싱 사이버 공격 수는 전년대비 52% 감소했다. 대신 공격자들은 다크웹에서 더 높은 가격으로 판매하거나 추가 공격 수행에 사용하기 위한 이름, 이메일, 집 주소와 같은 개인 식별 정보를 더 우선시하는 것으로 나타났다.
이같은 사이버공격 추세에 대응하기 위해 IBM은 ▲기업이 보호 자산을 파악해 잘 관리해야 하고 ▲공격자를 이해하고 있어야 하며 ▲공격에 대한 가시성을 확보하고 ▲침해를 가정해 늘 대응태세를 유지하고 있어야 하며 ▲인텔리전스, 즉 인공지능과 자동화 기술을 활용해 신속하게 대응하고 ▲늘 경각심을 갖고 준비하고 있어야 한다는 권고 사항을 내놨다.
김강정 한국IBM 보안사업부 상무는 올해 주목할 보안 트렌드로 “랜섬웨어를 비롯해 해커들의 공격은 굉장히 많이 늘어날 것”이라며 “기업들이 제로트러스트를 채택했다고 하더라도 문제가 계속 발생할 것이다. 또 소셜엔지니어링을 이용해 국가기반시설과 산업제어시스템(ICS) 공격에 대한 공격자들의 관심이 커지고 있다”고 말했다.
이어 “공격자는 서로 정보를 공유하고 있고, 탐지를 회피할 새로운 방법을 모색하고 있다. 역경은 있지만 보안 기술로 잘 대응해야 한다. 자동화와 인공지능(AI)을 잘 활용해 위협을 빠르게 탐지, 대응해야 하고, 데이터 보안은 물론 클라우드 전환이 확대되면서 계정·접근관리를 잘 해야 할 필요가 있다”고 강조했다.
XDR 커넥터 제공, 온프레미스 EDR 곧 출시…올해 ASM·EDR 사업 주력
IBM은 특히 선제적 위협 기반 방어와 통합 가시성 확보를 위해서는 엔드포인트와 네트워크, 보안관제(SIEM·UEBA) 영역을 아우르는 확장형 위협 탐지·대응(XDR)이 필수적이라는 점과 더불어 공격자 입장에서 사전에 보안에 취약한 부분을 실시간 점검할 수 있는 공격표면관리(ASM) 솔루션의 필요성을 강조했다.
현재 IBM은 이기종 NDR이나 EDR 솔루션 등의 제품을 사용 중인 기업들이 각각의 솔루션을 연동해 통합 위협 가시성을 확보하고 새로운 위협을 헌팅할 수 있는 ‘XDR 커넥터’를 제공하고 있다.
아울러 공격에 노출된 표면과 셰도우 IT 영역 등을 찾아내고 위험을 평가해 우선순위화할 수 있는 ASM 솔루션으로 ‘란도리 레콘(RANDORI RECON)’을 제공한다. 침투 테스트 등을 통해 보안 훈련을 수행할 수 있는 ‘란도리 어택(RANDORI ATTACK)’도 지원한다.
랜섬웨어를 비롯해 지능형 위협을 빠르게 탐지·대응할 수 있는 EDR 솔루션인 ‘리액타(ReaQta)’도 보유하고 있다. 오는 4월 IBM은 서비스형소프트웨어(SaaS) 기반의 EDR 버전 외에도 고도화된 EDR 제품으로 구축형(온프레미스) 버전을 출시할 예정이다.
김 상무는 “한국IBM 보안 사업은 기존에 SIEM에 특화돼 있었는데, 최근 SOAR와 EDR에 대한 관심이 많이 생겼다 작년에 란도리 ASM을 런칭할 후 활발한 영업 활동을 하고 있다”면서 “최근 고객들도 ASM에 대한 관심이 많아지고 있어, 앞으로 ASM과 EDR에 영업을 더 집중하고 공격적인 마케팅을 벌일 것이다”고 밝혔다.
글. 바이라인네트워크
<이유지 기자>yjlee@byline.network
