2020년 공격 지속 시간 중앙값 24일로 줄어...내부 조직에 의한 해킹 탐지 역시 평균 59%로 증가
[보안뉴스 이상우 기자] 2020년 사이버 공격의 지속 시간 중앙값(median)은 24일로 줄어들었는데, 이는 56일이던 지난 2019년보다 절반 이상 낮은 수치다. 랜섬웨어, 정보유출 등 늘어나는 사이버 공격에 대응해 기업의 탐지 및 대응 역량을 키우면서 이러한 감소세가 나타난 것으로 보이며, 실제로 조직 내에서 공격 탐지 역시 2019년보다 12%p 상승한 59%를 기록한 것으로 나타났다.
[자료=파이어아이]
파이어아이가 현지시간으로 4월 13일, 2021 맨디언트 M-트렌드 보고서(M-Trends report)를 공개했다. 올해로 12회를 맞은 M-트렌드 보고서는 전 세계 맨디언트 조사를 통해 얻은 통계와 인사이트를 기반으로 한 최고의 사이버 보안 전문 지식과 위협 인텔리전스를 포함한다. 올해 보고서는 공격 전술과 멀웨어 동향, 다양한 탈취 공격 및 랜섬웨어의 확산, 향후 등장할 수 있는 UNC2452/선버스트(SUNBURST) 모방 공격자에 대한 대비, 증가하는 내부자 위협, 팬데믹 및 특정 산업을 표적한 공격 동향 등 중요한 세부 사항을 다뤘다.
2011년 공격 지속 시간 중앙값, 416일 → 2020년 24일로 줄어
지난 10년간 맨디언트는 공격 지속 시간, 즉 사이버 침해가 시작되는 순간부터 내부 보안팀에 의해 공격이 확인될 때까지 걸리는 시간의 중앙값이, 전 세계적으로 감소하는 추세를 확인했다. 2011년 365일 이상을 기록했던 중앙값은 2020년 24일로 줄어들었다. 전년도 보고서에서 기록된 56일 대비 2배 이상 낮은 수치였다. 탐지 및 대응 능력에 대한 조직의 지속적인 역량 개발 및 개선과 다양한 탈취 공격 및 랜섬웨어 급증이 맞물려 이러한 감소 추세가 나타났다고 맨디언트는 분석했다.
공격 지속 시간 중앙값은 지역에 따라 차이를 보였다. 미주 지역은 감소 추세를 따랐다. 특히, 내부에서 탐지된 공격의 공격 지속 시간 중앙값의 경우, 32일에서 9일로 감소하는 등 가장 큰 감소폭을 보였다. 미주 지역에서 이와 같은 한자리 수의 중앙값을 기록한 것은 처음이다. 반면, 아시아태평양(이하 APAC)과 유럽·중동·아프리카(이하 EMEA)에서는 공격 지속 시간이 전반적으로 증가했다. 맨디언트 전문가들은 해당 지역에서 공격 지속 시간이 3년 이상인 장기 침입하는 사례가 미주 지역 대비 다수 발생한 결과라고 판단했다.
내부 보안조직에 의한 침해 탐지 사례 꾸준히 증가
지난 보고서에서는 침입에 대한 내부 탐지 사례가 전년 대비 감소한 것으로 확인됐지만, 올해 맨디언트 전문가들은 조직이 대부분의 침해 사고를 자체적으로 탐지하는 역량을 회복한 것으로 판단했다. 2020년에는 조직 내에서의 공격 탐지 사례가 2019년 대비 12%p 상승한 59%를 기록했으며, 이러한 회복세는 지난 5년 동안 이어져 관찰된 전반적 추세를 이어가고 있는 것으로 보인다.
[자료=파이어아이]
특히, 내부 보안조직에 의한 침해 탐지 사례는 전반적으로 매년 증가했다. 미주 지역이 61%로 가장 선두에 섰으며, EMEA와 APAC은 각각 53%와 52%였다. APAC과 EMEA조직은 미주 지역 대비 외부 기관을 통해 침해 사실을 더 많이 전달받은 것으로 확인됐다.
소매, 서비스 및 의료 산업에 집중된 공격
이번 보고서에 따르면 가장 많은 공격의 표적이 되는 5대 산업은 비즈니스/전문 서비스, 소매/서비스업, 금융, 의료, 하이테크 순으로 나타났다.
맨디언트 전문가들은 소매 및 서비스업은 2020년 더욱 집중적인 공격을 받았으며, 지난해 보고서에서 11위를 기록한 것과 달리 올해는 두 번째로 높은 표적 산업으로 부상했다. 전년도 표적 산업 8위였던 의료산업 역시 올해는 3위로 올라섰다. 이는 전 세계적인 팬데믹 상황에서 의료산업이 수행하는 중요한 역할을 방증하는 듯하다.
파이어아이 위르겐 커스처(Jurgen Kutscher) 수석부사장은 “조직은 침입 공격에 대한 내부 탐지 능력을 지속적으로 개선하고 있지만, 오늘날의 공격 방지는 고유한 과제를 가지고 있다. 글로벌 팬데믹으로 인해 기업은 운영 방식과 원격 근무를 고민했다. 이러한 변화로 VPN 인프라, 화상회의, 협업 및 지식 공유 플랫폼은 기업 운영에 있어 필수 시스템으로 떠올랐으며 조직에 대한 공격 지형 또한 변화했다. 일반 직원이 연결성과 사이버 보안을 책임져야 하는 경우도 많아졌다. 비즈니스/전문 서비스 분야는 2016년 이후 5대 표적 산업에 속해 왔지만, 2020년 원격 근무에 필요한 비즈니스 서비스가 급증하면서 사이버 범죄자 및 정부 주도 하의 공격자에게 가장 큰 먹잇감이 된 것으로 보인다”고 말했다.
이어, “올해 M-트렌드 보고서에 따르면 가장 빈번하게 사용된 세 가지 공격 유형은 익스플로잇(29%), 피싱 메일(23%), 자격 도용 또는 무차별 공격(19%)인 것으로 나타났다. 아직까지 사이버 공격자들은 피싱 메일을 선호하지만, 확인된 바에 의하면 익스플로잇을 활용한 침해 피해가 더 많았다. 익스플로잇 사용량이 증가함에 따라 조직들은 제품 취약성을 개선할 수 있는 더 강력한 계획을 수립해야 한다. 여기서의 과제는 당장 패치할 시스템 및 애플리케이션과 이후 단계에서 패치할 항목의 우선순위를 정할 때 더 나은 리스크 기반 결정을 내리기 위해 현재 공격과 공격자의 표적에 대한 지식을 기반으로 사용 가능한 소스와 정보가 무엇인지 파악하는 것”이라고 덧붙였다.
한편, 파이어아이 2021 맨디언트 M-트렌드 보고서는 파이어아이 홈페이지에서 내려받을 수 있으며, 보고서 분석에 대한 더 자세한 내용은 파이어아이 블로그에서 확인할 수 있다. 보고서 국문 버전은 향후 업데이트될 예정이다. 또한, 파이어아이는 현지시간으로 4월 13일과 15일, 맨디언트 M-트렌드 웨비나를 진행한다.
[이상우 기자(boan@boannews.com)]
[보안뉴스 이상우 기자] 2020년 사이버 공격의 지속 시간 중앙값(median)은 24일로 줄어들었는데, 이는 56일이던 지난 2019년보다 절반 이상 낮은 수치다. 랜섬웨어, 정보유출 등 늘어나는 사이버 공격에 대응해 기업의 탐지 및 대응 역량을 키우면서 이러한 감소세가 나타난 것으로 보이며, 실제로 조직 내에서 공격 탐지 역시 2019년보다 12%p 상승한 59%를 기록한 것으로 나타났다.
[자료=파이어아이]
파이어아이가 현지시간으로 4월 13일, 2021 맨디언트 M-트렌드 보고서(M-Trends report)를 공개했다. 올해로 12회를 맞은 M-트렌드 보고서는 전 세계 맨디언트 조사를 통해 얻은 통계와 인사이트를 기반으로 한 최고의 사이버 보안 전문 지식과 위협 인텔리전스를 포함한다. 올해 보고서는 공격 전술과 멀웨어 동향, 다양한 탈취 공격 및 랜섬웨어의 확산, 향후 등장할 수 있는 UNC2452/선버스트(SUNBURST) 모방 공격자에 대한 대비, 증가하는 내부자 위협, 팬데믹 및 특정 산업을 표적한 공격 동향 등 중요한 세부 사항을 다뤘다.
2011년 공격 지속 시간 중앙값, 416일 → 2020년 24일로 줄어
지난 10년간 맨디언트는 공격 지속 시간, 즉 사이버 침해가 시작되는 순간부터 내부 보안팀에 의해 공격이 확인될 때까지 걸리는 시간의 중앙값이, 전 세계적으로 감소하는 추세를 확인했다. 2011년 365일 이상을 기록했던 중앙값은 2020년 24일로 줄어들었다. 전년도 보고서에서 기록된 56일 대비 2배 이상 낮은 수치였다. 탐지 및 대응 능력에 대한 조직의 지속적인 역량 개발 및 개선과 다양한 탈취 공격 및 랜섬웨어 급증이 맞물려 이러한 감소 추세가 나타났다고 맨디언트는 분석했다.
공격 지속 시간 중앙값은 지역에 따라 차이를 보였다. 미주 지역은 감소 추세를 따랐다. 특히, 내부에서 탐지된 공격의 공격 지속 시간 중앙값의 경우, 32일에서 9일로 감소하는 등 가장 큰 감소폭을 보였다. 미주 지역에서 이와 같은 한자리 수의 중앙값을 기록한 것은 처음이다. 반면, 아시아태평양(이하 APAC)과 유럽·중동·아프리카(이하 EMEA)에서는 공격 지속 시간이 전반적으로 증가했다. 맨디언트 전문가들은 해당 지역에서 공격 지속 시간이 3년 이상인 장기 침입하는 사례가 미주 지역 대비 다수 발생한 결과라고 판단했다.
내부 보안조직에 의한 침해 탐지 사례 꾸준히 증가
지난 보고서에서는 침입에 대한 내부 탐지 사례가 전년 대비 감소한 것으로 확인됐지만, 올해 맨디언트 전문가들은 조직이 대부분의 침해 사고를 자체적으로 탐지하는 역량을 회복한 것으로 판단했다. 2020년에는 조직 내에서의 공격 탐지 사례가 2019년 대비 12%p 상승한 59%를 기록했으며, 이러한 회복세는 지난 5년 동안 이어져 관찰된 전반적 추세를 이어가고 있는 것으로 보인다.
[자료=파이어아이]
특히, 내부 보안조직에 의한 침해 탐지 사례는 전반적으로 매년 증가했다. 미주 지역이 61%로 가장 선두에 섰으며, EMEA와 APAC은 각각 53%와 52%였다. APAC과 EMEA조직은 미주 지역 대비 외부 기관을 통해 침해 사실을 더 많이 전달받은 것으로 확인됐다.
소매, 서비스 및 의료 산업에 집중된 공격
이번 보고서에 따르면 가장 많은 공격의 표적이 되는 5대 산업은 비즈니스/전문 서비스, 소매/서비스업, 금융, 의료, 하이테크 순으로 나타났다.
맨디언트 전문가들은 소매 및 서비스업은 2020년 더욱 집중적인 공격을 받았으며, 지난해 보고서에서 11위를 기록한 것과 달리 올해는 두 번째로 높은 표적 산업으로 부상했다. 전년도 표적 산업 8위였던 의료산업 역시 올해는 3위로 올라섰다. 이는 전 세계적인 팬데믹 상황에서 의료산업이 수행하는 중요한 역할을 방증하는 듯하다.
파이어아이 위르겐 커스처(Jurgen Kutscher) 수석부사장은 “조직은 침입 공격에 대한 내부 탐지 능력을 지속적으로 개선하고 있지만, 오늘날의 공격 방지는 고유한 과제를 가지고 있다. 글로벌 팬데믹으로 인해 기업은 운영 방식과 원격 근무를 고민했다. 이러한 변화로 VPN 인프라, 화상회의, 협업 및 지식 공유 플랫폼은 기업 운영에 있어 필수 시스템으로 떠올랐으며 조직에 대한 공격 지형 또한 변화했다. 일반 직원이 연결성과 사이버 보안을 책임져야 하는 경우도 많아졌다. 비즈니스/전문 서비스 분야는 2016년 이후 5대 표적 산업에 속해 왔지만, 2020년 원격 근무에 필요한 비즈니스 서비스가 급증하면서 사이버 범죄자 및 정부 주도 하의 공격자에게 가장 큰 먹잇감이 된 것으로 보인다”고 말했다.
이어, “올해 M-트렌드 보고서에 따르면 가장 빈번하게 사용된 세 가지 공격 유형은 익스플로잇(29%), 피싱 메일(23%), 자격 도용 또는 무차별 공격(19%)인 것으로 나타났다. 아직까지 사이버 공격자들은 피싱 메일을 선호하지만, 확인된 바에 의하면 익스플로잇을 활용한 침해 피해가 더 많았다. 익스플로잇 사용량이 증가함에 따라 조직들은 제품 취약성을 개선할 수 있는 더 강력한 계획을 수립해야 한다. 여기서의 과제는 당장 패치할 시스템 및 애플리케이션과 이후 단계에서 패치할 항목의 우선순위를 정할 때 더 나은 리스크 기반 결정을 내리기 위해 현재 공격과 공격자의 표적에 대한 지식을 기반으로 사용 가능한 소스와 정보가 무엇인지 파악하는 것”이라고 덧붙였다.
한편, 파이어아이 2021 맨디언트 M-트렌드 보고서는 파이어아이 홈페이지에서 내려받을 수 있으며, 보고서 분석에 대한 더 자세한 내용은 파이어아이 블로그에서 확인할 수 있다. 보고서 국문 버전은 향후 업데이트될 예정이다. 또한, 파이어아이는 현지시간으로 4월 13일과 15일, 맨디언트 M-트렌드 웨비나를 진행한다.
[이상우 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
