구글 클라우드 맨디언트 컨설팅 부사장 위르겐 커스처 부사장은 “2023 M-트렌드는 업계의 사이버 보안 수준이 개선되고 있지만, 공격자 역시 진화를 거듭하며 고도화되고 있다는 점을 명백히 보여줬다”라며, “국가 주도 공격자의 사이버 스파이 활동뿐만 아니라 신종 멀웨어 계열 증가 등 2021년에 관찰된 일부 트렌드가 2022년에도 이어지고 있다”라고 말했다.
2023 M-트렌드 보고서에 따르면 공격자가 탐지되기 전 표적 환경에서 머무는 시간의 중앙값으로 산출되는 전 세계 공격 지속 시간 중앙값은 전년 대비 연속 하락해 2022년 16일을 기록했다. M-트렌드의 전체 보고 기간 동안 기록된 전 세계 공격 지속 시간 중앙값 중 가장 낮은 수준이다. 2021년 중앙값은 21일이었다.
위협 탐지 경로를 비교해보면 과거 혹은 현재 진행 중인 보안 침해에 대해 외부기관을 통해 경보를 받는 기업의 수가 전반적으로 증가한 것으로 관찰됐다. 미주에 본사를 둔 기업의 경우 2022년 사고 중 55%에 대해 외부기관으로부터 경보를 받은 것으로 나타났다. 지난 6년간 미주 지역에서 기록된 외부기관 통지 비중 중 가장 높은 수준이다. 마찬가지로 유럽·중동·아프리카(이하 EMEA)는 2022년 조사 중 74%에 대해 외부에서 침입 경보를 받았다. 2021년 62% 보다 높은 수준이다.
맨디언트 연구진은 2021년과 2022년 사이 전 세계적으로 랜섬웨어 관련 조사 비중은 감소했다고 밝혔다. 2022년 랜섬웨어 관련 조사의 비중은 2021년 23% 대비 18%에 그쳤다. 이는 2020년 이후 맨디언트가 실시한 랜섬웨어 관련 조사 중 가장 낮은 수준이다.
구글 클라우드 맨디언트 인텔리전스 부사장 산드라 조이스는 “관찰된 랜섬웨어 관련 공격이 소폭 감소한 데에 원인이 단 하나라는 데이터는 없고 다만, 운영 환경상의 여러 변화가 이처럼 낮은 수치에 기여한 것으로 보인다”라면서, “관련 요인으로는 랜섬웨어 서비스 제공업자 및 개인을 저지하기 위한 정부와 법 집행 당국의 끈질긴 노력으로 인해 공격자가 툴 정비나 새로운 파트너십 개발을 해야 하는 상황, 우크라이나 전쟁 발발, 매크로가 디폴트로 비활성화되어 가는 세계에서 공격자가 초기 접근 공작을 수정해야 할 필요성, 조직들의 랜섬웨어 탐지 및 예방 능력 강화 혹은 사고 후 더 빠른 회복력 등이 있다”라고 설명했다.
맨디언트는 2022년 2월 24일 러시아의 우크라이나 침공 그리고 이후의 광범위한 사이버 스파이 활동 및 첩보 공작을 확인했다. 특히, 러시아의 우크라이나 침공 이전 UNC2589과 APT28의 활동이 포착됐고, 직전 8년 대비 2022년 첫 4개월 동안 우크라이나를 표적으로 한 파괴적인 사이버 공격이 관찰됐다.
아울러 맨디언트는 2022년 신종 멀웨어 계열 588개를 추적해 공격자가 툴셋을 어떻게 확장해 나가는지 파악했다. 추적된 신종 멀웨어 계열 중 5대 카테고리는 백도어(34%), 다운로더(14%), 드로퍼(11%), 랜섬웨어(7%), 런처(5%)였다. 멀웨어 카테고리는 수년 동안 변함없이 유지됐으며, 이중 백도어의 비중은 새로 추적된 멀웨어 계열에서도 1/3을 넘었다.
이번 맨디언트의 조사에서 포착된 가장 흔한 멀웨어 계열은 다기능 백도어인 비컨(BEACON)으로, 지난 수년 간의 동향과 일치했다. 비컨은 2022년 맨디언트가 조사한 모든 침투 중 15%에서 포착됐고 모든 지역에 걸쳐 가장 많이 발견됐다. 비컨은 중국, 러시아, 이란과 연계된 국가 지원 위협 그룹뿐만 아니라 금전적 목적의 위협 그룹, 700여 개의 UNC 그룹 등 맨디언트가 추적한 광범위한 위협 그룹에서 사용하고 있다. 보고서에 따르면 이러한 편재성은 비컨의 일반적 접근성, 높은 사용자 정의 가능성, 사용 용이성에 기인한다.
구글 클라우드 맨디언트 컨설팅 최고기술책임자(CTO) 찰스 카마칼은 “공격자들은 지하 사이버 범죄 시장에서 유래된 데이터를 활용하고, 음성 통화 및 문자 메시지를 통해 교묘한 사회공학 기법을 동원하고, 네트워크 액세스 권한을 얻기 위해 직원 매수까지 시도한다”라며, “이러한 기술은 방어가 어렵기 때문에 강건한 보안 프로그램을 갖춘 조직에도 상당한 위험이 되고, 조직은 계속해서 보안 팀, 인프라, 역량을 구축해 나가며, 설계 목표에 이러한 공격자들에 대한 방어를 포함시켜야 한다”라고 말했다.
editor@itworld.co.kr