맨디언트, 연례 보고서 ‘맨디언트 M-트렌드’ 발표 위협 최전선에서 관찰한 글로벌 사이버 위협 인사이트 공개
글로벌 공격 지속 시간 3주로 감소에도 상당 수의 새로운 위협 그룹과 멀웨어 계열 등장
맨디언트의 연례 보고서인 M-트렌드는 한 해간 전 세계적으로 큰 영향을 미친 사이버 공격에 대한 맨디언트의 조사와 복구 및 대응 경험을 기반으로 글로벌 사이버 위협에 대한 데이터와 인사이트를 제공한다. 2020년 10월 1일부터 2021년 12월 31일까지 일어난 위협 사례들을 조사된 내용을 담았다. 2022 M-트렌드는 위협 탐지 및 대응에서 조직들의 상당한 발전이 있었지만, 공격 표적이 된 조직 환경에 침투하기 위한 지속적인 공격 기술 혁신도 관찰됐다고 보고했다.
◇글로벌 공격 지속 시간 중앙값, 3주로 감소
2022 M-트렌드 보고서에 따르면, 사이버 침해가 시작되는 순간부터 내부 보안 팀에 의해 공격이 확인될 때까지 걸리는 공격 지속 시간의 중앙값이 2020년 24일에서 2021년에는 21일로 줄었다. 자세히 살펴보면, 아시아태평양(이하 APAC) 지역의 공격 지속 시간 중앙값이 2020년 76일에서 2021년 21일로 감소하며 가장 큰 감소 폭을 보였다. 한편 유럽·중동·아프리카(이하 EMEA)의 경우 66일에서 48일로 감소했다. 미주 지역은 17일로 전년과 동일한 중앙값을 유지했다.
위협 탐지 사례를 비교하면, 2021년 EMEA와 APAC는 써드파티에 의한 탐지가 대다수로 62%와 76%를 각각 차지하면서 2020년과는 상반된 결과를 보였다. 미주 지역은 소스에 의한 탐지가 일정하게 유지했으며, 조직 내에서 60%의 공격 탐지 사례가 이뤄졌다.
이번 보고서에 따르면, 조직의 위협 가시성 및 대응 능력이 향상했을 뿐만 아니라 비 랜섬웨어 침입 공격 대비 공격 지속 시간의 중앙값이 상당히 낮은 랜섬웨어 공격이 증가하면서 공격 지속 시간 중앙값의 감소가 원인일 가능성이 높다고 지적했다.
◇중국 스파이 활동 강화로 인한 새로운 위협
맨디언트는 26개국에 걸쳐 300명 이상의 인텔리전스 전문가가 분석한 최일선 조사, 사이버 범죄가 거래되는 암시장 접근, 보안 텔레메트리, 맨디언트만의 조사 방법 및 데이터를 활용해 광범위한 위협 지식 기반을 꾸준히 확장하고 있다. 맨디언트 전문가들은 끊임없는 정보 수집과 분석의 결과로 이번 M-트렌드 보고서 조사 기간 1100개 이상의 새로운 위협 그룹과 733개의 새로운 멀웨어 계열을 추적했다. 이 중 86%는 공개적으로 이용이 불가능한 멀웨어로, 새로운 멀웨어 계열의 사용 제한이나 비공개 멀웨어 개발 추세는 앞으로도 지속될 것으로 예상된다.
2021년 중국의 ‘14차 5개년 계획’의 시행에 맞춘 중국 사이버 스파이 활동의 재편성과 툴 재구성도 주목할 만하다. 보고서는 이 계획에 포함된 국가 차원의 우선순위가 “앞으로 몇 년 동안 방위 산업 제품 및 민·군 겸용 기술뿐만 아니라 지적 재산권이나 다른 전략적으로 중요한 경제 문제에 대해 침입을 시도하는 중국 연합 공격자들이 증가한다는 점을 시사한다”고 경고했다.
◇보안 태세 강화
맨디언트는 조직을 사이버 위협에서 안전하게 보호하고, 조직의 사이버 방어 태세에 대한 믿음을 갖도록 지원하기 위한 노력을 기울이고 있다. 맨디언트는 이를 위해 M-트렌드 보고서를 통해 온프레미스 액티브 디렉토리(Active Directory), 인증 서비스, 가상화 플랫폼 및 클라우드 인프라를 사용할 때 발생하는 일반적인 구성 오류 문제 완화 등 위험 감소를 위한 팁을 제공한다. 사전 예방적 보안 프로그램 지원에 필요한 사항을 보강하기 위해 자산 관리, 로그 유지 정책, 취약점 및 패치 관리와 같은 기본적인 보안 지침의 중요성도 강조하고 있다.
맨디언트는 사이버 공격에 대응하기 위한 보안 커뮤니티와 업계의 노력을 지원하기 위해 지속적으로 맨디언트의 위협 조사 결과를 마이터 어택 프레임워크(MITRE ATT&CK)에 매핑하고 있다. 2021년에는 300개 이상의 맨디언트 기술을 프레임워크에 추가로 매핑했다. M-트렌드 보고서는 특정 공격 기술이 침입 시도에 사용될 가능성에 따라 조직이 어떤 보안 조치를 적용할지 우선순위를 선정해야 한다고 강조한다. 또한 최근의 침입 사례 중 자주 사용된 기술을 조사함으로써 조직이 보다 잘 대비해 정확한 결정을 내릴 수 있다고 설명했다.
2022 M-트렌드 보고서는 아래 조사 및 분석 내용을 포함한다.
·감염 벡터: 취약점 공격(이하 익스플로잇)이 2년 연속 가장 빈번하게 사용된 초기 감염 벡터로 나타났다. 실제로 맨디언트가 조사 기간 대응한 사건 중 37%는 보안 취약점 공격에서 시작됐다. 반면 피싱 공격은 11%에 그쳤다. 공급망 공격은 2020년 기준 1% 미만에서 2021년 17%로 급증했다.
·공격 표적 산업: 비즈니스/전문 서비스와 금융이 각각 14%로, 가장 많은 공격 표적이 됐다. 의료(11%), 소매/서비스업(10%), 기술 산업과 정부(9%)가 그 뒤를 이었다.
새로운 다각적 갈취와 랜섬웨어 TTPs저(전술, 기법 및 절차): 다각적 갈취 공격 및 랜섬웨어 공격자가 새로운 TTPs를 사용해 기업 환경에 랜섬웨어를 신속하고 효율적으로 구축하는 것이 확인됐다. 특히 맨디언트는 기업 환경에서 가상화 인프라가 광범위하게 사용됨에 따라 랜섬웨어 공격자의 주요 타깃이 되고 있다고 지적했다.
맨디언트 서비스 제공을 담당하는 위르겐 커스처(Jurgen Kutscher) 수석부사장(EVP)은 “올해 M-트렌드 보고서는 공격자들이 어떻게 진화했으며 어떤 새로운 기술을 사용해 목표 환경에 접근하는지에 대한 새로운 인사이트를 제공한다”며 “익스플로잇이 지속적으로 공격자들의 관심을 끌면서 가장 자주 발견된 감염 벡터로 남아 있긴 하지만 공급망 공격도 상당히 증가했다”고 말했다.
이어 “반대로 피싱 공격은 눈에 띄게 감소했다. 이는 피싱 시도를 잘 탐지하고, 차단한 조직의 개선된 인식과 능력의 방증”이라며 “익스플로잇 활용이 초기 침투 벡터로 사용되는 빈도가 증가하고 있기 때문에 조직은 자산, 위험 및 패치 관리와 같은 보안 기본 사항에 초점을 맞춰야 한다”고 덧붙였다.
그러면서 “2022 M-트렌드 리포트가 가상화 인프라 공격의 증가를 특히 주목한 가운데 다각적 갈취 공격과 랜섬웨어는 여전히 모든 규모와 산업의 조직에 난제로 남아 있다. 탄력성 구축의 핵심은 준비에 있다”며 “견고한 준비 계획과 체계적으로 문서화된, 검증된 복구 프로세스를 개발한다면 공격에도 성공적으로 대응하고, 정상적인 비즈니스 운영으로 신속히 복귀할 수 있다”고 설명했다.
찰스 카마칼(Charles Carmakal) 맨디언트 수석부사장(SVP) 겸 최고기술책임자(CTO)는 “중국의 사이버 스파이 활동은 최근 몇 년 동안 크게 증가했고, 아시아와 미국이 가장 많은 표적이 됐다. 올해 M-트렌드 보고서는 정부 조직뿐만 아니라, 여러 사이버 스파이 공격자 그룹이 동일한 멀웨어 계열을 사용하는 것에 초점을 맞추고 있다”며 “이는 서로 다른 그룹에 의해 자원 및 도구가 공유되기 때문일 수 있다. 2021년 중국의 14차 5개년 계획이 시행되면서 앞으로 몇 년 동안 중국의 국가 안보와 경제적 이익을 지원하는 사이버 스파이 활동이 지속적으로 가속할 것으로 예상한다”고 말했다.
샌드라 조이스(Sandra Joyce) 맨디언트 인텔리전스 수석부사장은 “2020년의 몇 가지 추세가 2021년까지 이어졌다. 맨디언트는 새로운 그룹들을 포함해 그 어느 때보다 많은 위협 그룹을 발견했다”며 “이와 비슷한 추세로 이 기간 맨디언트는 전무후무하게 많은 새로운 멀웨어 계열을 추적하기 시작했다”고 말했다.
이어 “이는 전반적으로 보안 위협 지표의 양과 위협 다양성이 지속적으로 증가한다는 점을 의미한다. 공격 그룹 FIN12와 FIN13의 2021년 케이스 스터디와 같이 금전적 목적이 공격자의 주요 동기였다”며 “공격을 방어해야 하는 입장에서는 매우 까다로운 위협 지표에도 개선점이 분명 존재했다”고 덧붙였다.
그러면서 “그중 하나는 전 세계 공격 지속 시간 중앙값이 가장 낮은 수치를 기록했다는 것”이라며 “특히 APAC과 EMEA는 몇 가지 위협 탐지 범주에서 예년보다 가장 큰 향상을 보였다”고 밝혔다.
2022 맨디언트 M-트렌드 보고서는 맨디언트 홈페이지에서 다운로드할 수 있다. 국문 보고서는 향후 업데이트될 예정이다.
맨디언트 코리아 개요
맨디언트는 2004년부터 조직들이 신뢰할 수 있는 보안 파트너로서 자리매김해왔다. 보안 효과는 보안 전문 지식, 인텔리전스와 적응형 기술을 적절히 조합할 때 나타나는데, 맨디언트 어드밴티지(Mandiant Advantage) SaaS 플랫폼은 사이버 위협 최일선에서 수십 년간 축적한 경험을 바탕으로 다이내믹한 사이버 방어 솔루션을 폭넓게 제공한다. 맨디언트의 접근 방식은 조직이 더 효과적이고 효율적인 사이버 보안 프로그램을 개발하고, 사이버 위협에 대한 방어 및 대응 태세에 대한 믿음을 갖도록 지원한다.
웹사이트: http://www.mandiant.com