“취약점 공격 가장 빈번, ‘방화벽·VPN’ 네트워크 엣지 장비가 초기 침투 경로”
구글 클라우드 ‘맨디언트 M-트렌드’ 최신 보고서 분석 결과, 초기 침투에 취약점·자격증명 탈취 공격 활용
아시아태평양지역 대상 취약점 공격 비중 64%, 글로벌 33% 대비 두드러져
전세계 통신사 대상 사이버공격, 금전보다는 통신 감청 등 스파이 목적 해킹그룹 소행 대부분
“아시아태평양 및 일본 지역에서는 취약점을 악용한 사이버공격 초기 침투 감염 경로가 압도적으로 많다. 한국도 예외가 아니다. 공격자는 엔드포인트 탐지 대응(EDR) 솔루션이 설치되지 않는 장비를 노리고 있다. 이에 대한 대책이 필요하다.”
심영섭 구글 클라우드 맨디언트 컨설팅 한국·일본 총괄은 27일 서울 중구 서울스퀘어에서 열린 기자간담회에서 ‘맨디언트 M-트렌드 2025(Mandiant M-Trends 2025)’ 보고서의 주요 내용을 공개하면서 이같이 강조했다.
M-트렌드는 구글 맨디언트 컨설팅 전담팀이 발간하는 연례 보고서로, 한 해 동안 전 세계에서 발생한 사이버 위협 동향을 심층 분석하고 기업이 효과적으로 대응하기 위한 전략을 제시한다. 16번째 발간한 이번 보고서에는 2024년 한 해 동안 발생한 사이버공격 활동을 추적, 조사해 분석한 결과를 담았다.
이에 따르면, 침해사고에서 가장 흔하게 발견된 초기침투 감염 경로는 취약점 공격(33%)으로 나타났다. 5년 연속으로 사이버공격자들이 취약점 공격을 가장 많이 활용하고 있다. 더욱이 전년보다 올해 보고서에서 그 수치가 올라갔다는 게 심 총괄의 설명이다.
취약점 공격 다음으로 흔한 초기 감염 경로는 자격증명 탈취(16%)로 나타났다. 이같은 공격 역시 점점 증가하고 있다. 전년도에는 이메일 피싱이 2위에 올랐으나 이를 제치고 자격증명 탈취(16%)가 취약점 공격 다음으로 상위에 올랐고, 웹사이트 웹사이트 침해(9%), 이전 침해 사례(8%)가 뒤따랐다.
심 총괄은 “2000년대에는 서버나 웹 애플리케이션의 자체 취약점 공격을 많이 했으나 이제는 엣지 디바이스와 서비스형소프트웨어서비스(SaaS) 취약점 공격이 주를 이루고 있다. 올해 바뀐 추세는 피싱 이메일을 두 번째로 많이 활용했는데 이제는 자격증명, 즉 아이디와 패스워드를 확보해 VPN 원격접속 툴을 통해 들어오는 경우가 취약점 공격에 이은 두 번째에 올랐다는 점”이라며 “아이디, 패스워드로 정상적인 방법으로 들어오기 때문에 내부에서 공격을 탐지하지 못한다”고 설명했다.
아시아태평양 및 일본(JAPAC) 지역의 경우도 글로벌 추세와 동일하게 취약점 공격(64%)이 가장 흔한 초기 감염 경로로 나타났으나 그 비중이 훨씬 크다. 그 뒤로 자격증명 탈취(14%), 웹사이트 침해(7%)가 자리했다.
사이버공격자들은 취약점 공격에서 라우터나 방화벽, 가상사설망(VPN) 장비같은 네트워크 엣지(edge) 장비였다. 주요 네트워크 취약점 중 상당수는 최초 공격 시점에서 아직 패치가 발표되지 않은 제로데이(zero-day)를 악용하고 있다. 맨디언트는 최근 광범위한 위협 행위자들이 에지 장비를 노리고 있는 가운데, 특히 러시아 및 중국 정부와 연계된 것으로 추정되는 사이버 첩보 조직들의 공격 시도가 눈에 띄게 증가했다고 분석했다. SaaS, VM웨어 가상화 플랫폼(호스트 운영체제) 취약점 공격도 주를 이루고 있다.
가장 빈번하게 악용된 것으로 조사된 엣지 장비 취약점은 PAN-OS로 팔로알토네트웍스 장비 운영체제(OS)다. 그 다음으로 이반티(Ivanti) VPN 장비로, 2023년 12월부터 2024년까지 지속적인 관련 취약점 공격을 포착했다. 이반티는 최근 이슈화된 SK텔레콤 해킹 사고에서도 내부 침투 경로로 추정되는 주요 원인 중 하나다. 세번째는 포티넷의 포티게이트 장비 관련 포티클라이언트 엔드포인트 관리 서버 대상 취약점 공격이다.
그 이유로 맨디언트는 이들 장비가 타사 보안 소프트웨어나 보안 솔루션을 설치할 수 없기 때문이라는 점을 지적했다. 심 총괄은 “감시의 사각지대로 침투하고 있다. 방화벽, 라우터, VPN, 가상화플랫폼은 엔드포인트 탐지 대응(EDR) 솔루션을 지원하지 않는다. 이들 어플라이언스 장비는 블랙박스로 공개돼있지 않아서 다른 벤더의 소프트웨어나 솔루션을 설치할 수 없다. 이들 장비 다음으로 많이 악용되는 이메일 필터링 제품은 바라쿠다가 가장 많았고, VM웨어 가상화 플랫폼 역시 호스트OS에는 EDR이 설치되지 않는다. 공격자들은 이들을 대상으로 제로데이 공격을 꾸준히 연구하고 외주를 주면서 새로운 취약점을 발견해 공격하는 것이 지금의 공격 추세”라고 말했다.
공격자들은 클라우드 전환 과정에서 발생하는 보안 취약점을 공략하거나, 안전하지 않은 중앙집중식 권한을 가진 클라우드 기반 데이터 저장소를 공격해 자격 증명 및 중요 정보를 탈취하는 등 다양한 방식으로 공격 기회를 포착하고 있다.
탈취한 자격 증명을 활용해 시스템에 침입하는 인포스틸러 악성코드(infostealer malware) 공격 역시 증가하면서 기업의 침해 위험이 커지고 있다. 위협 행위자들은 인포스틸러 로그에서 탈취한 자격 증명을 이용해 시스템에 초기 침투하며, 이는 데이터 탈취, 갈취 등 심각한 위협 활동으로 이어지는 주요 원인으로 분석된다. 특히 업무용 개인 기기와 협력업체의 시스템의 경우, 인포스틸러 악성코드가 감염된 개인 시스템이나 동기화된 브라우저를 통해 기업의 자격 증명을 탈취할 수 있어 각별한 주의가 요구된다.
조직이 공격을 탐지하기 전까지 공격자가 침해된 환경에 머무른 기간을 의미하는 드웰 타임(dwell time)의 글로벌 중앙값은 11일로, 2023년(10일)보다 1일 연장됐다. 하지만 2022년(16일) 대비 여전히 낮은 수치였으며, 연도별 글로벌 추세를 살펴봤을 때 장기적으로 드웰 타임은 크게 감소하고 있는 것으로 드러났다.
글로벌 드웰 타임 중앙값은 외부기관이 침해 사실을 통보한 경우 26일, 공격자가 통보한 경우 5일, 조직이 내부적으로 파악한 경우 10일로 나타났다. 공격자 통보 시 드웰 타임 중앙값이 크게 줄어드는 이유는 갈취형 공격자들이 침입 후 빠르게 금전적 이득 확보를 추구하기 때문인 것으로 분석됐다.
JAPAC 지역의 드웰 타임 중앙값은 6일이였으며, 외부 기관이 침해 사실을 통보한 경우 10일, 조직이 내부적으로 파악한 경우 6일로, 글로벌 대비 전반적으로 드웰 타임이 짧은 것으로 나타났다. JAPAC 지역의 드웰 타임 분포도는 장기간에 걸친 침해 사고의 수가 매년 점진적으로 감소하고 있음을 보여준다. 실제로 JAPAC 지역에서 발생한 공격의 절반 이상(51.2%)이 침해 후 7일 이내에 파악됐으며, 이 수치는 최근 몇 년간 꾸준히 개선되고 있다.
2024년 조사에서 관찰된 205개의 멀웨어 유형 중 35%는 백도어(backdoor)였으며, 14%는 랜섬웨어(ransomware), 8%는 드로퍼(dropper), 7%는 다운로더(downloader), 6%는 터널러(tunneler), 5%는 자격 증명 탈취 도구인 것으로 나타났다. 이러한 결과는 이전 연도와 대체로 일치한다. 일반적으로 전통적인 멀웨어를 사용하지 않고 공격자가 기존 시스템에 설치된 합법적인 도구나 기능을 악용하는 LOTL(Living off the Land) 기법 또한 계속해서 발견되고 있다.
심 총괄은 “올해 M-트렌드 보고서의 조사 결과는 한국을 포함한 아시아태평양 및 일본 지역 조직 전반에 시사하는 바가 크다. 초기 감염 경로로 취약점이 악용된 비율이 전 세계 평균의 두 배에 달하고, 침해 사고의 70%가량이 외부 기관에 의해 탐지됐다는 사실은 조직 내부의 보안 가시성과 대응 역량의 지속적 개선이 필요하다는 점을 보여준다”라며, “특히 제로데이 취약점을 이용한 엣지 장비 공격은 신속한 탐지 및 대응을 어렵게 만드는 만큼, 알려지지 않은 위협에 대한 선제적인 방어 전략 수립이 시급하다. 위협 행위자들이 끊임없이 기존 보안 체계에 적응하고 진화하듯 우리의 방어 체계 또한 그래야 한다”라고 강조했다.
한편, 2024년에 탐지된 위협 그룹의 과반수 이상이 금전적 동기(55%)를 가지고 있었으며, 2022년(48%) 및 2023년(52%) 수치에서 꾸준히 증가하고 있는 것으로 나타났다. 간첩(스파이) 활동을 목적으로 한 위협 그룹의 비중(8%)은 전년(10%) 대비 소폭 감소했다.
2024년 가장 많이 표적이 된 산업은 금융 서비스로, 전체 조사의 17.4%를 차지했다. 비즈니스 및 전문 서비스(11.1%), 첨단 기술(10.6%), 정부(9.5%), 의료(9.3%)가 그 뒤를 이으며 지난 연도와 대체로 유사한 양상을 보였다.
최근 국내에서 SK텔레콤 해킹 사태 파장이 지속되는 가운데 구글 클라우드는 전세계 통신사 대상 사이버공격과 침해사고를 지속적으로 조사한 결과, 금전 목적 보다는 국가 지원을 받은 해킹 그룹의 통신, 정보 수집 등 스파이 활동 목적이 많다고 분석했다.
심 총괄은 “글로벌 대형 통신사들은 해킹그룹들의 주요 표적이 되고 있다. 조사를 해보면 핵심 자산과 인프라에 대한 공격이 엣지 장비를 기반으로 발생할 가능성이 높아 대응이 시급하다. 엣지 장비를 통해 들어오는 스파이 활동의 주요 목적은 통신, 이메일 감청이다. 공격 목적이 개인정보보다는 국가 스파이 활동에 주된 초점을 맞추고 있어 국가 차원의 지원이 필요하다”라면서 “통신사에서 수집한 정보가 다크웹에 올라와 거래되는 것을 확인한 경우는 많지 않았다”고 말했다.
글. 바이라인네트워크
<이유지 기자>yjlee@byline.network
