활동 중인 사이버공격그룹 역대 최다…공격기법 비슷, 기술도 재탕
: 사이버공격그룹이 작년 한 해 역대 최다로 증가했다.
: 침투한 조직 내 공격자 체류시간(dwell time)은 역대 최소로 짧아졌다.
: 공격자는 표적공격을 위한 초기 감염에 여전히 익스플로잇, 피싱, 탈취한 인증 정보를 많이 사용한다.
: 실제 사이버공격과 침해사고에 사용된 기법은 마이터어택(MITRE ATT&CK) 기준, 70%는 동일하다. 침해 사고 절반에서 같은 기법 사용 발견했다.구글 클라우드 맨디언트가 작년 한 해 동안 발생한 실제 사이버침해사고 1100건을 조사해 대응한 경험을 바탕으로 확보한 위협 트렌드이자 인사이트다.
인텔리전스 기반 사이버공격 대응 전문기업 맨디언트(한국지사장 문형록)가 최근 발간한 14번째 ‘엠트렌드(M-Trend) 2023’ 연례 보고서에 따르면, 맨디언트는 지난해 총 3500여개의 공격그룹을 추적했다. 전년 대비 900여개의 공격그룹이 추가된 것으로, 여기에는 맨디언트가 지난해 처음 발견한 공격그룹만 265개가 포함돼 있다. 맨디언트는 중국, 러시아, 이란, 북한, 나이지리아, 인도, 파키스탄 등 정부 지원 공격 그룹과 금전을 노린 위협 그룹, 자체적으로 이름 붙인 지능형지속위협(APT) 공격그룹(0~42)의 활동을 추적하고 있다.
이와 관련해 오진석 맨디언트 한국 및 북아시아 보안 엔지니어 헤드는 “지난 한 해 동안 912개의 새로운 공격그룹이 발견됐다. 작년 리포트에는 2500개 그룹을 추적했는데 3500개로 최대로 늘어났다”며 “그만큼 이 (사이버범죄) 시장에 뛰어드는 인력 등이 굉장히 많다는 것이고, 보안 담당자 입장에서는 상대해야 할 상대가 엄청 많아지고 다양해지고 있다는 의미다. 공격자들을 상대하려면 너무나 힘든 싸움을 해야한다는 것”이라고 설명했다.
그럼에도 불구하고 공격자가 탐지되기 전까지 공격 표적 환경에 머문 시간의 중앙값으로 산출되는 전세계 평균 공격 지속 시간(dwell time)은 전년 대비 더 줄어든 16일을 기록했다. 이는 쉽게 말해 공격 대상기업이 침입·침해사실을 인지하기까지 걸린 기간이라고 풀이할 수 있다.
맨디언트가 처음 이 조사를 시작했던 2011년에는 침해 사실을 인지하는데 걸린 기간이 평균 416일이었다. 이 때부터 매년 지속적으로 감소 추세를 보여 지난 2021년 21일까지 떨어졌는데, 2022년에는 더 줄었다. 그만큼 이전보다 위협 탐지와 보안 수준이 크게 높아진 것으로 해석할 수 있다. 실제로 외부에서 침해 사실을 알게 된 경우 전세계 평균 체류 지속 시간은 2021년 대비 32% 감소해 조직이 평균 19일 이내에 침입에 대한 대응을 시작한 것으로 나타났다.
지역별로는 미주 지역은 전년도 17일에서 10일로 크게 줄었고, 유럽·중동(EMEA) 지역도 48일에서 20일로 감소했다. 반면에 아시아태평양(APAC)지역은 21일에서 33일로 더 늘었다.
오 헤드는 “다크웹에 올린 협박용 랜섬 데이터에 대한 진위 여부를 확인하는 데 오래 걸린 상황이 반영됐다. 몇 년 전 데이터나 의미 없는 데이터를 랜섬으로 이용해 대응이 늦어졌고, 또 이 지역에서 한국이 아닌 다른 나라에서 180일이란 체류 기간이 나온 사례도 있었다. 이전 400일, 100일이 넘게 나타났던 것에 비해서는 보안 성숙도가 많이 높아졌다고 볼 수 있다”며 “클라우드 확산으로 인한 변화 양상도 감지된다”고 말했다.
맨디언트 조사 결과, 공격자들이 표적공격을 위해 가장 많이 활용한 초기 감염 벡터는 익스플로잇으로 나타났다. 초기 감염 벡터가 확인된 침입의 32%나 된다. 그 다음 많이 이용한 것은 피싱으로, 초기 감염 벡터가 확인된 침입의 22%에 달했다. 전년의 12%에서 증가했다. 탈취된 인증정보 역시 많이 사용했다. 전년도에 비해 광범위한 정보 도난용 악성코드 사용과 인증정보 구매 비율이 모두 증가한 것으로 조사됐다. 
이들 감염 벡터 중 전세계 지역별로 공격에 이용된 수법은 다른 양상을 나타냈는데, 미주 지역은 초기 감염 벡터가 확인된 침입에서 익스플로잇 사용이 38%로 가장 많았다. 아태지역 조직을 표적으로 삼는 공격자들은 탈취한 인증 정보를 도용해 침입하는 경우가, EMEA 지역은 피싱이 많이 활용됐다.
익스플로잇을 활용하는 경우 공격자들의 주된 표적은 방화벽, 가상화 솔루션, 가상사설망(VPN) 장비 등 인터넷을 통해 액세스하는 경계 장비이다. 로그(Log)4j 취약점도 여전히 많이 악용하고 있고, F5 빅IP(Big-IP) 플랫폼과 VM웨어 워크스페이스 원(ONE) 액세스 및 아이덴티티 매니저 제품 관련 취약점 악용 건수도 상위에 올랐다.
맨디언트는 금전적인 이득을 노린 공격이 전체 조사한 침해사고의 26%를 차지한 것으로 분석했다. 데이터 탈취, 랜섬웨어, 액세스 권한 판매, 불법 전송이나 결제카드 도용 등인데, 이 가운데 랜섬웨어는 18%로 가장 많은 비중을 차지했다. 이같은 랜섬웨어 공격 수치는 전년 대비 5% 줄어든 수치다. 대신에 맨디언트 전문가들은 공격자들이 데이터 유출(도난)에 힘을 기울였다고 분석했다. 지난해 조사한 침해사고의 40%의 비중을 차지했다.
맨디언트가 조사한 침해사고 분석 결과를 마이터어택(MITRE ATT&CK) 프레임워크에 적용해본 결과에서도 지난해 조사기간 동안 73%의 기법이 사용된 것을 관찰했다. 공격자들이 기존 공격 기술과 방법을 많이 사용하고 있는 것을 알 수 있다. 
마이터 어택은 사이버공격자 전술과 기법, 기술을 정의한 프레임워크로 특정 위협 모델과 방법론 개발 근간으로 사용된다. 공격 탐지와 대응을 최대한 효율적으로 수행할 수 있도록 정기적으로 업데이트된다.
지난 2022년 업데이트된 마이터어택 프레임워크 버전 12는 193개의 기술과 401개의 하위 기술을 포함한다. 2022년에는 활용된 기법의 71%(전체 기법의 17%)가 5% 이상의 침입에서 발견된 반면, 2021년에는 관찰된 기법의 43%(전체 기법의 30%)가 5% 이상의 침입에서 발견됐다.
맨디언트가 조사를 수행한 침해사고의 절반 이상에서 공격자는 명령 또는 스크립팅 인터프리터(Command and Scripting Interpreter)를 사용해 침입을 시도했다. 난독화된 파일 또는 정보(Obfuscated file of information)와 애플리케이션 계증 프로토콜(Application Layer Protocol)도 많이 사용한 것으로 나타났다.
하위 기술 중에서는 파워쉘(PowerShell), 파일 삭제, 웹 프로토콜, 서비스 실행 등이 많이 이용됐다.
오 헤드는 “마이터어택 프레임워크는 마이터 조직에서 모든 공격 그룹이나 악성코드에 대한 기법들을 정리한 것으로, 한 해 동안 조사했던 공격그룹들이 썼던 기법들을 발췌해보니 1500개 정도의 단계들에 따라 73%는 이 프레임에 맵핑됐다”면서 “이미 알고 있는 통제 방안들로 위협에 대응이 가능한 것도 여전히 침해되고 있는 것을 알 수 있다. 보안 운영을 개선한다면 상당부분 더욱 능동적으로 대응할 수 있을 것이란 결과를 보여준다”고 지적했다.
글. 바이라인네트워크
<이유지 기자>yjlee@byline.network
