240905.jpg)
제로데이 취약점 악용 증가...공격자 머무는 시간인 드웰타임 10년 만에 최저치 기록
드웰타임 감소 원인, 2022년(18%) 대비 2023년(23%) 랜섬웨어 공격 비율 상승했기 때문으로 추정
[보안뉴스 김경애 기자] 구글 클라우드 맨디언트가 ‘2024 M-트렌드 보고서(M-Trends 2024)’ 보고서를 공개했다. 올해로 15회를 맞은 맨디언트의 연례 보고서 M-트렌드는 2023년에 수행된 맨디언트의 최전선 사이버 공격 조사 및 대응 결과를 기반으로 전문가의 트렌드 분석을 제공한다. 보고서에 따르면, 전 세계 조직의 방어 역량이 크게 개선됐으며 악성 공격의 탐지가 이전보다 더 빠르게 이뤄진 것으로 나타났다. 또한, 2024 M-트렌드는 주목할 만한 공격자와 캠페인을 공유하며 지역별 위협 활동을 집중적으로 분석한다.
▲2023년 공격자들이 가장 많이 공격하는 산업 분야 통계[자료=맨디언트]
구글 클라우드 맨디언트 컨설팅 부사장 위르겐 커스처(Jurgen Kutscher) 부사장은 “공격자는 목표를 달성하기 위해 정기적으로 TTPs(전술, 기법 및 절차)를 조정하기 때문에 방어가 어려울 수 있다. 그럼에도 불구하고 맨디언트는 전 세계 조직들이 지난해 시스템 보호 및 침입 탐지 성과를 개선했다는 사실을 확인했다”며, “보안담당자들은 이에 대해 자부심을 갖되 경계를 늦춰서는 안 된다. 2024 M-트렌드의 핵심 주제는 공격자가 탐지를 회피하고 시스템에 더 오래 머무르기 위한 활동을 수행하고 있으며, 그중 하나로 제로데이 취약점을 악용한다는 점이다. 이 때문에 효과적인 위협 추적 프로그램의 중요성과 침해사고 발생 시 종합적인 조사 및 대응의 필요성이 높아졌다”고 강조했다.
글로벌 공격 지속 시간 중앙값, 사상 최저치 기록
2024 M-트렌드 보고서에 따르면, 제로데이 취약점 악용은 증가하고 있지만, 공격자가 탐지되기 전 침해 환경에서 머무는 시간의 중앙값으로 산출되는 전 세계 공격 지속 시간(드웰타임) 중앙값은 10년 만에 최저치를 기록했다. 2023년에 기업들은 평균 10일 이내에 침입을 탐지했다. 이는 2022년 16일에서 현저하게 감소한 수치다. 드웰타임이 감소한 원인은 2022년(18%) 대비 2023년(23%) 랜섬웨어 공격 비율이 상승했기 때문으로 추정된다. 조직 내 공격 탐지 비율도 2022년 37%에서 2023년 46%로 개선됐다. 공격 지속 시간 단축과 내부 공격 탐지 비율 상승이라는 두 가지 트렌드는 전 세계 보안 담당자들의 탐지 역량이 향상됐다는 것을 시사한다.
지역별 공격 지속 시간
한편, 드웰타임의 중앙값은 지역별로 차이가 있었다. 일본 및 아시아태평양(JAPAC) 지역의 공격 지속 시간 중앙값은 2022년 33일에서 2023년 9일로 감소하며 가장 큰 감소 폭을 보였다. 반대로 유럽·중동·아프리카(이하 EMEA)은 20일에서 22일로 소폭 증가했다. 이러한 차이는 2022년에 맨디언트가 우크라이나에서 주목할 만한 성과를 거둔 후, 지역 데이터를 정규화한 결과로 보인다.
공격 표적 산업
2023년 가장 많이 표적이 된 산업은 금융 서비스로, 전체 조사의 17%를 차지했다. 비즈니스/전문 서비스(13%), 하이테크(12%), 소매/서비스업(9%), 의료(8%)가 그 뒤를 이었다. 이 산업들은 공통적으로 독점적인 비즈니스 데이터, 개인 신원 정보, 건강 정보, 재무 기록 등 민감한 정보를 많이 보유하고 있었으며, 민감한 데이터를 악용하려는 공격자에게 매력적인 표적이 된 것으로 나타났다.
레드팀의 대규모 언어 모델(LLM) 및 AI 활용
다른 사이버 보안 전문가와 마찬가지로 레드팀도 LLM와 AI를 활용할 수 있는 것으로 나타났다. 레드팀은 모델 학습을 위한 데이터를 생성하는 동안 AI 개발자는 학습된 모델에 대한 액세스를 보호하는 방법으로 LLM와 AI를 이용할 수 있다. 이러한 시너지는 레드팀의 효율성을 크게 향상시키고 사이버 위협에 대한 조직의 대비 태세를 개선한다.
다중 인증 우회 전술의 진화
다중 인증(이하 MFA)이 표준으로 자리 잡으면서 공격자가 이 보호 기능을 우회하는 방법 또한 개발하고 있는 것으로 확인됐다. 한 가지 우려를 낳고 있는 트렌드는 로그인 세션 토큰을 훔쳐 MFA를 효과적으로 우회하는 웹 프록시 및 중간자 공격(adversary-in-the-middle , AiTM) 피싱 페이지가 증가하고 있다는 것이다.
심영섭 맨디언트 컨설팅 한국 및 일본 지역 대표는 “2023년 조직들의 사이버 공격 방어능력이 괄목할 만한 발전을 이루었지만 디지털 혁신으로 글로벌 환경이 계속 변화하면서 새로운 사이버 위협도 등장하고 있다”며 “빠르게 진화하는 오늘날의 위협 환경에서 강력한 보안 태세를 유지하려면 한국의 기업들은 사전 예방적 접근 방식을 채택해야 한다. 여기에는 공격 표면을 적극적으로 모니터링하고 알려지지 않은 자산과 취약점을 식별하는 것이 포함된다”고 강조했다.
이어 심 대표는 “위협 인텔리전스는 사전 예방적 사이버 보안 접근 방식에서도 중요한 역할을 한다”며 “기업은 위협 인텔리전스를 활용해 새로운 사이버 위협, 공격 기법, 악의적 행위자에 대한 귀중한 정보를 수집할 수 있다. 이러한 인텔리전스를 통해 조직은 사이버 범죄자들이 사용하는 최신 트렌드와 전술에 대한 정보를 지속적으로 파악해 잠재적인 위험을 보다 효과적으로 예측하고 완화할 수 있다”고 설명했다.
[김경애 기자(boan3@boannews.com)]
드웰타임 감소 원인, 2022년(18%) 대비 2023년(23%) 랜섬웨어 공격 비율 상승했기 때문으로 추정
[보안뉴스 김경애 기자] 구글 클라우드 맨디언트가 ‘2024 M-트렌드 보고서(M-Trends 2024)’ 보고서를 공개했다. 올해로 15회를 맞은 맨디언트의 연례 보고서 M-트렌드는 2023년에 수행된 맨디언트의 최전선 사이버 공격 조사 및 대응 결과를 기반으로 전문가의 트렌드 분석을 제공한다. 보고서에 따르면, 전 세계 조직의 방어 역량이 크게 개선됐으며 악성 공격의 탐지가 이전보다 더 빠르게 이뤄진 것으로 나타났다. 또한, 2024 M-트렌드는 주목할 만한 공격자와 캠페인을 공유하며 지역별 위협 활동을 집중적으로 분석한다.
▲2023년 공격자들이 가장 많이 공격하는 산업 분야 통계[자료=맨디언트]
구글 클라우드 맨디언트 컨설팅 부사장 위르겐 커스처(Jurgen Kutscher) 부사장은 “공격자는 목표를 달성하기 위해 정기적으로 TTPs(전술, 기법 및 절차)를 조정하기 때문에 방어가 어려울 수 있다. 그럼에도 불구하고 맨디언트는 전 세계 조직들이 지난해 시스템 보호 및 침입 탐지 성과를 개선했다는 사실을 확인했다”며, “보안담당자들은 이에 대해 자부심을 갖되 경계를 늦춰서는 안 된다. 2024 M-트렌드의 핵심 주제는 공격자가 탐지를 회피하고 시스템에 더 오래 머무르기 위한 활동을 수행하고 있으며, 그중 하나로 제로데이 취약점을 악용한다는 점이다. 이 때문에 효과적인 위협 추적 프로그램의 중요성과 침해사고 발생 시 종합적인 조사 및 대응의 필요성이 높아졌다”고 강조했다.
글로벌 공격 지속 시간 중앙값, 사상 최저치 기록
2024 M-트렌드 보고서에 따르면, 제로데이 취약점 악용은 증가하고 있지만, 공격자가 탐지되기 전 침해 환경에서 머무는 시간의 중앙값으로 산출되는 전 세계 공격 지속 시간(드웰타임) 중앙값은 10년 만에 최저치를 기록했다. 2023년에 기업들은 평균 10일 이내에 침입을 탐지했다. 이는 2022년 16일에서 현저하게 감소한 수치다. 드웰타임이 감소한 원인은 2022년(18%) 대비 2023년(23%) 랜섬웨어 공격 비율이 상승했기 때문으로 추정된다. 조직 내 공격 탐지 비율도 2022년 37%에서 2023년 46%로 개선됐다. 공격 지속 시간 단축과 내부 공격 탐지 비율 상승이라는 두 가지 트렌드는 전 세계 보안 담당자들의 탐지 역량이 향상됐다는 것을 시사한다.
지역별 공격 지속 시간
한편, 드웰타임의 중앙값은 지역별로 차이가 있었다. 일본 및 아시아태평양(JAPAC) 지역의 공격 지속 시간 중앙값은 2022년 33일에서 2023년 9일로 감소하며 가장 큰 감소 폭을 보였다. 반대로 유럽·중동·아프리카(이하 EMEA)은 20일에서 22일로 소폭 증가했다. 이러한 차이는 2022년에 맨디언트가 우크라이나에서 주목할 만한 성과를 거둔 후, 지역 데이터를 정규화한 결과로 보인다.
공격 표적 산업
2023년 가장 많이 표적이 된 산업은 금융 서비스로, 전체 조사의 17%를 차지했다. 비즈니스/전문 서비스(13%), 하이테크(12%), 소매/서비스업(9%), 의료(8%)가 그 뒤를 이었다. 이 산업들은 공통적으로 독점적인 비즈니스 데이터, 개인 신원 정보, 건강 정보, 재무 기록 등 민감한 정보를 많이 보유하고 있었으며, 민감한 데이터를 악용하려는 공격자에게 매력적인 표적이 된 것으로 나타났다.
레드팀의 대규모 언어 모델(LLM) 및 AI 활용
다른 사이버 보안 전문가와 마찬가지로 레드팀도 LLM와 AI를 활용할 수 있는 것으로 나타났다. 레드팀은 모델 학습을 위한 데이터를 생성하는 동안 AI 개발자는 학습된 모델에 대한 액세스를 보호하는 방법으로 LLM와 AI를 이용할 수 있다. 이러한 시너지는 레드팀의 효율성을 크게 향상시키고 사이버 위협에 대한 조직의 대비 태세를 개선한다.
다중 인증 우회 전술의 진화
다중 인증(이하 MFA)이 표준으로 자리 잡으면서 공격자가 이 보호 기능을 우회하는 방법 또한 개발하고 있는 것으로 확인됐다. 한 가지 우려를 낳고 있는 트렌드는 로그인 세션 토큰을 훔쳐 MFA를 효과적으로 우회하는 웹 프록시 및 중간자 공격(adversary-in-the-middle , AiTM) 피싱 페이지가 증가하고 있다는 것이다.
심영섭 맨디언트 컨설팅 한국 및 일본 지역 대표는 “2023년 조직들의 사이버 공격 방어능력이 괄목할 만한 발전을 이루었지만 디지털 혁신으로 글로벌 환경이 계속 변화하면서 새로운 사이버 위협도 등장하고 있다”며 “빠르게 진화하는 오늘날의 위협 환경에서 강력한 보안 태세를 유지하려면 한국의 기업들은 사전 예방적 접근 방식을 채택해야 한다. 여기에는 공격 표면을 적극적으로 모니터링하고 알려지지 않은 자산과 취약점을 식별하는 것이 포함된다”고 강조했다.
이어 심 대표는 “위협 인텔리전스는 사전 예방적 사이버 보안 접근 방식에서도 중요한 역할을 한다”며 “기업은 위협 인텔리전스를 활용해 새로운 사이버 위협, 공격 기법, 악의적 행위자에 대한 귀중한 정보를 수집할 수 있다. 이러한 인텔리전스를 통해 조직은 사이버 범죄자들이 사용하는 최신 트렌드와 전술에 대한 정보를 지속적으로 파악해 잠재적인 위험을 보다 효과적으로 예측하고 완화할 수 있다”고 설명했다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
