2021년 평균 사이버 침입 잠복기
21
자료 제목 :
2022 M-트렌드 보고서
M-Trends 2022
자료 출처 :
Mandiant
원본자료 다운로드
발행 날짜 :
2022년 04월 20일
보안

"침입 잠복기 단축, 중국 스파이 활동 증가" 2022년 주목해야 할 보안 인사이트

Michael Hill | CSO 2022.04.21
전 세계 조직이 위협 탐지와 대응에 있어 많은 진전을 이루고 있다. 하지만 사이버 공격자 역시 새로운 갈취 기법과 랜섬웨어 TTP(tactics, techniques, and procedures)를 사용한 사이버 공격으로 표적 환경에 맞춰 진화하고 있다. 

최근 맨디언트가 2020년 10월부터 2021년 12월까지 진행된 표적화된 공격 활동을 분석한 '2022 M-트렌드 보고서(M-Trends 2022)'에 따르면, 사이버 침입 잠복기가 감소하고 익스플로잇이 가장 일반적인 공격 벡터였으며, 비즈니스/전문가 및 금융 서비스 산업이 가장 많은 표적이 됐다. 중국과 관련한 스파이 활동의 증가도 포착됐다. 
 
ⓒ Getty Images Bank


침입 잠복기 감소, 내부 및 외부 탐지 간의 격차 커

보고서에 따르면, 표적 환경에서 공격자가 발각되기 전까지의 기간을 나타내는 잠복기는 전 세계를 기준으로 2020년 24일에서 2021년 21일로 줄었다. 사고가 탐지되는 방식이 잠복기에 상당한 영향을 미치는 것으로 나타났다. 예컨대 외부에서 발견된 사고의 잠복기 중앙값은 73일에서 27일로 짧아진 반면, 내부에서 발견된 사고의 경우 12일에서 18일로 오히려 길어졌다. 

2021년 외부에서 사고를 탐지해 해당 조직에 알린 속도는 2020년보다 62% 빨라졌다. 맨디언트는 외부 탐지 역량의 개선과 더 확고해진 커뮤니케이션 및 파견 프로그램이 기여했다고 판단했다. 흥미롭게도 2021년 내부 탐지 사고의 잠복기 중앙값은 2020년보다 길어졌으나, 그 알림 속도는 외부 탐지 사고의 알림 속도보다 36% 빨랐다. EMEA와 APAC 지역에서 2021년 발생한 침입은 대부분 외부에서 발견된 반면(각각 62%, 76%), 아메리카 지역에서는 60%가 조직 내부에서 탐지됐다.

잠복기의 분포도를 분석한 결과, 잠복기가 30일 미만인 침입은 55%였고, 일주일 이내에 발견된 침입은 67%였다. 조사 사례의 20%는 잠복기가 90~300일 사이로 급증했는데, 이는 공격 라이프사이클의 감염 및 정찰 단계에서 파급력이 큰 행위가 이뤄지기 전까지 침입이 탐지되지 않았다는 의미일 수 있으며, 혹은 해당 조직의 탐지 역량과 이들이 직면한 공격 유형 간의 불일치를 나타낼 수도 있다. 잠복기가 1년을 넘는 경우는 8%로, 매우 오랜 기간 탐지되지 않은 침입은 많지 않았다.


새로운 공격 집단의 부상, 랜섬웨어 TTP의 진화

맨디언트는 조사 기간 동안 1,100개 이상의 새로운 공격 집단을 추적했고, FIN12와 FIN13이라는 2가지 공격 집단에 주목했다. FIN12는 류크(Ryuk) 랜섬웨어 공격의 배후이자 금전적 동기로 움직이는 집단으로, 최소 2018년 10월부터 활동하고 있다. 멕시코에 근거지를 둔 FIN13 역시 금전적 동기로 기업을 표적 공격하는 집단이다.

맨디언트는 733개의 새로운 악성코드 제품군도 추적했다. 이중 86%는 공개적으로 제공되지 않는 악성코드로, 새로운 악성코드 제품군의 사용이 제한적이거나 비공개로 개발되는 추세가 이어지고 있다. 새로 추적한 악성코드 제품군 중에서 상위 5개 범주는 백도어(31%), 다운로더(13%), 드로퍼(dropper, 13%), 랜섬웨어(7%), 런처(5%), 크리덴셜 탈취(5%)로 나타났다. 맨디언트는 이런 추세는 예전부터 변함없이 유지되고 있다고 말했다. 조사 기간 중 발생한 침입에서 가장 빈번하게 발견된 악성코드 제품군은 비컨(Beacon), 선버스트(Sunburst), 메타스플로잇(Metasploit), 시스템BC(SystemBC), 락비트(Lockbit), 류크.B였다.

특히 맨디언트는 새로운 TTP를 사용해 비즈니스 환경 전반에 빠르고 효율적으로 랜섬웨어를 배포하는 공격자들이 관찰됐다면서, 기업 환경에서 가상화 인프라의 광범위한 사용(v센터 서버 등)이 랜섬웨어 공격자들의 주요 표적이 되고 있음을 강조했다. 2021년 한 해 하이브(Hive), 콘티(Conti), 블랙캣(Blackcat), 다크사이드(DarkSide) 관련 공격자를 포함해 여러 위협 행위자가 VM웨어 v스피어(vSphere)와 ESXi 플랫폼을 공격했다.

공격자들은 ESXi 셸을 켜고 SSH(TCP/22)를 통해 ESXi 서버에 대한 다이렉트 액세스를 활성화해 ESXi 호스트 액세스를 가용 상태로 유지하면서 ESXi 서버에 사용할 새로운 (로컬) 계정을 생성하고, 루트 계정 비밀번호를 변경해 기업이 인프라 통제 능력을 쉽게 되찾을 수 없도록 한 것으로 파악됐다. 맨디언트에 따르면, 위협 행위자는 ESXi 서버에 대한 액세스 권한을 획득한 이후 SSH 액세스를 사용해 인크립터(encryptor, 바이너리)와 필요한 셸 스크립트를 업로드했다. 공격자들은 셸 스크립트를 사용해 ESXi 데이터스토어에서 가상 머신의 위치를 파악하고, 실행 중인 가상 머신을 강제 중지시키고 스냅샷을 삭제한 다음 다른 데이터스토어에서 같은 동작을 반복하며 모든 가상 머신 디스크와 구성 파일을 암호화했다.


중국, 사이버 작전 정비 및 스파이 활동 확대

새로운 공격 집단 및 랜섬웨어 TTP의 변화와 함께, 맨디언트는 사이버 작전에 관한 중국의 접근 방법이 2021년 제14차 5개년 계획과 맞물려 크게 바뀐 사실도 발견했다. 맨디언트는 이 계획에 포함된 국가적 우선순위가 ‘향후 몇 년에 걸쳐 지적 재산 또는 전략적으로 중요한 다른 경제적 요소, 보안 업계 제품, 기타 이중 용도 기술을 대상으로 침입을 시도하는 중국 연합체 행위자들이 증가할 것이라는 신호일 수 있다’고 경고했다. 맨디언트는 조사 기간 동안 여러 중국 사이버 스파이 행위자 집합이 동일한 악성코드 제품군을 사용한 점을 강조하면서 ‘개발 총책’이 있을 가능성을 언급했다.

전 세계 모든 업계에 걸쳐 가장 빈번한 공격 표적은 정부 조직인 것으로 조사됐다. 보고서에 따르면, 36개 중국 APT(Advanced Persistent Threat) 및 UNC 그룹 가운데 7개가 공공 영역에서 민감한 정보를 수집하고 있다. 맨디언트는 2021년 확인된 중국 사이버 스파이 활동이 기존 APT 또는 다른 UNC 집단과 관련될 가능성도 언급했다.


가장 일반적인 공격 벡터는 익스플로잇

익스플로잇은 2021년 가장 많이 확인된 초기 감염 벡터로, 공격의 37%가 익스플로잇으로 시작됐다. 2020년에서 8% 더 증가했다. 2번째 주요 초기 감염 벡터는 공급망 침해로, 2021년 공격의 17%가 공급망 침해에서 시작됐다. 역시 2020년보다 1% 증가했다. 참고로 2021년 공급망 침해의 86%는 솔라윈즈(SolarWinds) 및 선버스트와 관련된 것이다.

흥미로운 점은 피싱을 통한 침입이 2021년 들어 크게 줄었다는 점이다. 2020년의 23%에서 2021년 11%에 불과했다. 맨디언트는 이런 변화가 피싱 이메일을 감지해 차단하는 조직의 역량이 개선되고 직원을 대상으로 한 피싱 시도 인지 및 보고 교육이 강화되었음을 반영한다고 설명했다.

2021년에도 금전적 동기의 침입이 주를 이뤘다. 공격자들은 침입의 30%에서 갈취, 몸값, 지불카드 절도, 불법 송금 등의 방법을 통해 금전적 이득을 노렸다. 데이터 절도도 주요 목적 중 하나로, 맨디언트는 침입의 29%에서 데이터 절도를 확인했다.

전 세계적으로 가장 빈번한 공격 표적은 비즈니스/전문가 및 금융 서비스로, 공격의 14%가 여기에 해당했다. 그 외에 의료(11%), 접객(10%), 기술 및 정부(각각 9%)까지 포함해 5개 영역이 주요 표적인 것으로 나타났다.


회복탄력성으로 사이버 위협에 대응해야

맨디언트의 서비스 부문 부사장 위르겐 커스처는 기자회견에서 “올해의 M-트렌드 보고서는 위협 행위자들이 어떻게 진화하고 어떻게 새로운 기법을 사용해 목표 환경에 대한 액세스 권한을 획득하는지 새로운 양상을 보여준다. 익스플로잇이 초기 침입 벡터로 사용되는 경우가 증가하고 있으므로 조직은 자산, 위험 및 패치 관리와 같은 보안의 기초를 실천하는 데 계속해서 집중해야 한다”라고 말했다.

커스처는 “다각적 갈취와 랜섬웨어는 업종과 규모에 관계없이 계속해서 조직에 큰 과제가 되고 있으며 특히 가상화 인프라를 노리는 공격이 증가하고 있다. 회복탄력성을 구축하는 핵심은 준비에 있다. 견고한 대비 계획과 체계적으로 문서화되고 테스트된 복구 프로세스를 마련하면 공격에 대처하고 신속하게 정상 비즈니스로 복귀하는 데 도움이 될 것”이라고 말했다.
editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.