.gif)
트렐릭스 위협 탐지 1위 라자루스, 안다리엘, 김수키 뒤이어 2, 3위
취약점이나 악성코드 대신 탐지회피 ‘LotL 기법’ 선호하는 경향 뚜렷해
[보안뉴스 김형근 기자] 북한 정부와 연계된 해커 그룹들이 지난 4월부터 9월까지 세계적으로 발생한 국가 배후(Nation-State) 사이버 공격의 상당수를 차지했다는 충격적인 보고서가 트렐릭스(Trellix)를 통해 공개됐다.
이 보고서에 따르면 북한의 사이버 군대는 더욱 고도화된 해킹 기법과 악성코드가 없는 침투 방식을 적극적으로 전개하고 있다.
[자료: gettyimagesbank]
트렐릭스는 북한발 공격이 “피싱, 첩보 활동에서 고용 기반의 침투에 이르기까지 깊고 다양하게 진화하고 있다”고 경고했다. 기업을 비롯한 조직과 정부 모두에게 더 역동적이고 인텔리전스 기반의 대응을 요구된다.
최정예 3개 그룹이 세계적인 사이버 활동을 주도해
트렐릭스 탐지 기준에 따르면 악명 높은 라자루스 그룹(Lazarus Group)이 국가 배후 그룹 중 8.6%로 압도적인 1위를 차지했다. 이어 안다리엘(Andariel)과 김수키(Kimsuky)가 각각 2, 3위에 올랐다.
이들 북한 연계 그룹 세 곳이 탐지된 전체 국가 배후 활동 중 18.2%를 점유하며 심각한 활동 증가를 보여줬다.
북한 해커들은 탐지하기 어렵고 신중한 침투 전략을 추구하고 있다. 특히 원격 IT 근무자로 사칭하는 수법을 많이 쓰고 있다.
탐지 회피 ‘LotL’ 기법을 집중적으로 사용
국가 배후 해커 그룹들은 취약점이나 악성코드 대신 LotL(Living-off-the-Land) 기법을 선호하는 경향이 너무 많아졌다.
이 기법은 명령 프롬프트(Command Prompt)나 파워셸(PowerShell) 같은 윈도우 내장 기능을 이용해 공격하는 것으로, 정상적인 네트워크 활동과 섞여 들어가도록 설계돼 탐지 회피에 매우 유리하다.
트렐릭스는 이러한 현상이 지능형 지속 위협(APT) 생태계가 성숙해졌다는 것을 의미하며, 이들이 전략적 첩보 목표에 맞춰 명확하게 움직인다고 분석했다.
통신업체가 최대 표적, 터키와 미국이 최다 피해
이번 보고서는 전 세계적으로 통신(Telecommunications) 부문이 사이버 범죄자와 국가 배후 해커 모두에게 최대 표적이 됐다고 밝혔다.
통신업체는 전체 공격의 71%를 차지했다. 그 뒤를 기술, 운송, 비즈니스 서비스, 금융 분야가 잇고 있다.
국가별 피해 순위를 보면 튀르키예(33%)가 가장 많은 탐지 피해를 입었고, 미국(24%)이 2위를 기록했다. 터키가 유럽과 아시아 사이의 지정학적 위치, 중요 인프라 때문에 집중 공격을 받은 것으로 분석된다.
제로 트러스트 및 협업이 살길
트렐릭스는 보안 리더들에게 맞춤형 공격 도구와 합법적 프로세스 악용을 탐지할 수 있는 다층 방어 체계를 구현해야 한다고 촉구했다.
특히 제로 트러스트(Zero-Trust) 원칙과 최소 권한 접근 같은 조치가 필수적이다. 또한, SOC, IT, 위협 인텔리전스(TI) 팀 간의 협업을 통해 사소한 이상 징후를 조기에 파악해야 한다. APT 작전이 국가 안보 목표와 연계되면서 위협이 더 심각해졌기 때문이다.
[김형근 기자(editor@boannews.com)]
취약점이나 악성코드 대신 탐지회피 ‘LotL 기법’ 선호하는 경향 뚜렷해
[보안뉴스 김형근 기자] 북한 정부와 연계된 해커 그룹들이 지난 4월부터 9월까지 세계적으로 발생한 국가 배후(Nation-State) 사이버 공격의 상당수를 차지했다는 충격적인 보고서가 트렐릭스(Trellix)를 통해 공개됐다.
이 보고서에 따르면 북한의 사이버 군대는 더욱 고도화된 해킹 기법과 악성코드가 없는 침투 방식을 적극적으로 전개하고 있다.
[자료: gettyimagesbank]
트렐릭스는 북한발 공격이 “피싱, 첩보 활동에서 고용 기반의 침투에 이르기까지 깊고 다양하게 진화하고 있다”고 경고했다. 기업을 비롯한 조직과 정부 모두에게 더 역동적이고 인텔리전스 기반의 대응을 요구된다.
최정예 3개 그룹이 세계적인 사이버 활동을 주도해
트렐릭스 탐지 기준에 따르면 악명 높은 라자루스 그룹(Lazarus Group)이 국가 배후 그룹 중 8.6%로 압도적인 1위를 차지했다. 이어 안다리엘(Andariel)과 김수키(Kimsuky)가 각각 2, 3위에 올랐다.
이들 북한 연계 그룹 세 곳이 탐지된 전체 국가 배후 활동 중 18.2%를 점유하며 심각한 활동 증가를 보여줬다.
북한 해커들은 탐지하기 어렵고 신중한 침투 전략을 추구하고 있다. 특히 원격 IT 근무자로 사칭하는 수법을 많이 쓰고 있다.
탐지 회피 ‘LotL’ 기법을 집중적으로 사용
국가 배후 해커 그룹들은 취약점이나 악성코드 대신 LotL(Living-off-the-Land) 기법을 선호하는 경향이 너무 많아졌다.
이 기법은 명령 프롬프트(Command Prompt)나 파워셸(PowerShell) 같은 윈도우 내장 기능을 이용해 공격하는 것으로, 정상적인 네트워크 활동과 섞여 들어가도록 설계돼 탐지 회피에 매우 유리하다.
트렐릭스는 이러한 현상이 지능형 지속 위협(APT) 생태계가 성숙해졌다는 것을 의미하며, 이들이 전략적 첩보 목표에 맞춰 명확하게 움직인다고 분석했다.
통신업체가 최대 표적, 터키와 미국이 최다 피해
이번 보고서는 전 세계적으로 통신(Telecommunications) 부문이 사이버 범죄자와 국가 배후 해커 모두에게 최대 표적이 됐다고 밝혔다.
통신업체는 전체 공격의 71%를 차지했다. 그 뒤를 기술, 운송, 비즈니스 서비스, 금융 분야가 잇고 있다.
국가별 피해 순위를 보면 튀르키예(33%)가 가장 많은 탐지 피해를 입었고, 미국(24%)이 2위를 기록했다. 터키가 유럽과 아시아 사이의 지정학적 위치, 중요 인프라 때문에 집중 공격을 받은 것으로 분석된다.
제로 트러스트 및 협업이 살길
트렐릭스는 보안 리더들에게 맞춤형 공격 도구와 합법적 프로세스 악용을 탐지할 수 있는 다층 방어 체계를 구현해야 한다고 촉구했다.
특히 제로 트러스트(Zero-Trust) 원칙과 최소 권한 접근 같은 조치가 필수적이다. 또한, SOC, IT, 위협 인텔리전스(TI) 팀 간의 협업을 통해 사소한 이상 징후를 조기에 파악해야 한다. APT 작전이 국가 안보 목표와 연계되면서 위협이 더 심각해졌기 때문이다.
[김형근 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
