맨디언트가 오늘(미 버지니아 기준 19일) ‘2022 M-트렌드 보고서(M-Trends 2022)’를 공개했다. 맨디언트의 연례 보고서인 M-트렌드는 한 해간 전 세계적으로 큰 영향을 미친 사이버 공격에 대한 맨디언트의 조사와 복구 및 대응 경험을 기반으로 글로벌 사이버 위협에 대한 데이터와 인사이트를 제공한다. 

2020년 10월 1일부터 2021년 12월 31일까지 일어난 위협 사례들을 조사된 내용을 담음 2022 M-트렌드는 위협 탐지 및 대응에서 조직들의 상당한 발전이 있었지만, 공격 표적이 된 조직의 환경에 침투하기 위한 지속적인 공격 기술 혁신 또한 관찰됐다고 보고했다.

◇글로벌 공격 지속 시간 중앙값, 3주로 감소

2022 M-트렌드 보고서에 따르면 사이버 침해가 시작되는 순간부터 내부 보안 팀에 의해 공격이 확인될 때까지 걸리는 공격 지속 시간의 중앙값이 2020년 24일에서 2021년에는 21일로 줄어들었다. 더 자세히 살펴보면 아시아태평양(이하 APAC) 지역의 공격 지속 시간 중앙값이 2020년 76일에서 2021년 21일로 감소하며 가장 큰 감소 폭을 보였다. 한편, 유럽·중동·아프리카(이하 EMEA)의 경우, 66일에서 48일로 감소했다. 미주 지역은 17일로 전년과 동일한 중앙값을 유지했다.

위협 탐지 사례를 비교해 보면 2021년 EMEA와 APAC는 써드파티에 의한 탐지가 대다수로 각각 62%와 76%를 차지하면서 2020년과는 상반된 결과를 보였다. 미주 지역은 소스에 의한 탐지가 일정하게 유지되었으며 조직 내에서 60%의 공격 탐지 사례가 이루어졌다.

이번 보고서에 따르면 조직의 위협 가시성 및 대응 능력이 향상되었을 뿐만 아니라 비 랜섬웨어 침입 공격 대비 공격 지속 시간의 중앙값이 상당히 낮은 랜섬웨어 공격이 증가함으로 인해 공격 지속 시간 중앙값 감소의 원인일 가능성이 높다고 지적했다.

◇중국 스파이 활동 강화로 인한 새로운 위협

맨디언트는 26개국에 걸쳐 300명 이상의 인텔리전스 전문가가 분석한 최일선 조사, 사이버 범죄가 거래되는 암시장 접근, 보안 텔레메트리, 맨디언트만의 조사 방법 및 데이터를 활용하여 광범위한 위협 지식 기반을 계속 확장하고 있다. 맨디언트 전문가들은 끊임없는 정보 수집과 분석의 결과로 이번 M-트렌드 보고서 조사 기간 동안 1,100개 이상의 새로운 위협 그룹과 733개의 새로운 멀웨어 계열을 추적했다. 이 중 86%는 공개적으로 이용이 불가능한 멀웨어로, 새로운 멀웨어 계열의 사용 제한이나 비공개 멀웨어 개발 추세는 앞으로도 지속될 것으로 예상된다.

2021년 중국의 ‘14차 5개년 계획’의 시행에 맞춘 중국 사이버 스파이 활동의 재편성과 툴 재구성도 주목할 만하다. 보고서는 이 계획에 포함된 국가 차원의 우선 순위가 "향후 몇 년 동안 방위산업 제품 및 민군 겸용 기술뿐만 아니라 지적 재산권이나 다른 전략적으로 중요한 경제 문제에 대해 침입을 시도하는 중(中)연합 공격자들이 증가할 것임을 시사한다"고 경고했다.

맨디언트는 조직을 사이버 위협으로부터 안전하게 보호하고 조직의 사이버 방어 태세에 대한 믿음을 가질 수 있도록 지원하기 위한 노력을 기울이고 있다. 이를 위해 M-트렌드 보고서를 통해 온프레미스 액티브 디렉토리(Active Directory), 인증 서비스, 가상화 플랫폼 및 클라우드 인프라를 사용할 때 발생하는 일반적인 구성 오류 문제 완화 등 위험 감소를 위한 팁을 제공한다. 더불어, 사전 예방적 보안 프로그램 지원에 필요한 사항을 보강하기 위해 자산 관리, 로그 유지 정책, 취약점 및 패치 관리와 같은 기본적인 보안 지침에 대한 중요성을 강조하고 있다.

맨디언트는 사이버 공격에 대응하기 위한 보안 커뮤니티와 업계의 노력을 지원하기 위해 지속적으로 맨디언트의 위협 조사 결과를 마이터 어택 프레임워크(MITRE ATT&CK)에 매핑하고 있다. 2021년에는 300개 이상의 맨디언트 기술을 프레임워크에 추가로 매핑했다. M-트렌드 보고서는 특정 공격 기술이 침입 시도에 사용될 가능성에 따라 조직이 어떤 보안 조치를 적용할지 우선순위를 선정해야 한다고 강조한다. 또한, 최근의 침입 사례 중 자주 사용된 기술을 조사함으로써 조직이 보다 잘 대비하여 정확한 결정을 내릴 수 있다고 설명했다.

2022 M-트렌드 보고서는 아래 조사 및 분석 내용을 포함한다. 

◇감염 벡터: 취약점 공격(이하 익스플로잇)이 2년 연속 가장 빈번하게 사용된 초기 감염 벡터로 나타났다. 실제로 맨디언트가 조사 기간 동안 대응한 사건 중 37%는 보안 취약점 공격에서 시작됐다. 반면, 피싱 공격은 11%에 그쳤다. 공급망 공격은 2020년 1% 미만에서 2021년 17%로 급증했다.

◇공격 표적 산업: 비즈니스/전문 서비스와 금융이 각각 14%로 가장 많은 공격의 표적이 됐으며 의료(11%), 소매/서비스업(10%), 기술 산업과 정부(9%)가 그 뒤를 이었다.

◇새로운 다각적 갈취와 랜섬웨어 TTPs(전술, 기법 및 절차): 다각적 갈취 공격 및 랜섬웨어 공격자가 새로운 TTPs를 사용하여 기업 환경에 랜섬웨어를 신속하고 효율적으로 구축하는 것이 확인됐다. 맨디언트는 특히, 기업 환경에서 가상화 인프라가 광범위하게 사용됨에 따라 랜섬웨어 공격자의 주요 타깃이 되고 있다고 지적했다.

맨디언트 서비스제공 담당 수석부사장(EVP) 위르겐 커스처(Jurgen Kutscher)은 "올해 M-트렌드 보고서는 공격자들이 어떻게 진화했으며 어떠한 새로운 기술을 사용하여 목표 환경에 접근하는지에 대한 새로운 인사이트를 제공한다. 익스플로잇이 지속적으로 공격자들의 관심을 끌면서 가장 자주 발견된 감염 벡터로 남아 있긴 하지만 공급망 공격도 상당히 증가했다. 반대로, 피싱 공격은 눈에 띄게 감소했는데 이는 피싱 시도를 잘 탐지하고 차단한 조직의 개선된 인식과 능력의 방증이다. 익스플로잇 활용이 초기 침투 벡터로 사용되는 빈도가 증가하고 있기 때문에 조직은 자산, 위험 및 패치 관리와 같은 보안 기본 사항에 초점을 맞춰야 한다"고 말했다. 

맨디언트 서비스제공 담당 수석부사장(EVP) 위르겐 커스처(Jurgen Kutscher)는 "2022 M-트렌드 리포트가 가상화 인프라 공격의 증가를 특히 주목한 가운데 다각적 갈취 공격과 랜섬웨어는 여전히 모든 규모와 산업의 조직에게 난제로 남아 있다. 탄력성 구축의 핵심은 준비에 있다. 견고한 준비 계획과 체계적으로 문서화된, 검증된 복구 프로세스를 개발한다면 공격에도 성공적으로 대응하고 정상적인 비즈니스 운영으로 신속하게 복귀할 수 있을 것이다."라고 말했다. 

맨디언트 수석부사장(SVP) 겸 최고기술책임자(CTO) 찰스 카마칼(Charles Carmakal)은 "중국의 사이버 스파이 활동은 최근 몇 년 동안 크게 증가했고, 아시아와 미국이 가장 많은 표적이 됐다. 올해 M-트렌드 보고서는 정부 조직뿐만 아니라, 여러 사이버 스파이 공격자 그룹이 동일한 멀웨어 계열을 사용하는 것에 초점을 맞추고 있는데, 이는 서로 다른 그룹에 의해 자원 및 도구가 공유되기 때문일 수 있다. 2021년 중국의 14차 5개년 계획이 시행되면서 향후 몇 년 동안 중국의 국가 안보와 경제적 이익을 지원하는 사이버 스파이 활동이 지속적으로 가속화될 것으로 예상된다."고 말했다. 

맨디언트 인텔리전스 수석부사장 산드라 조이스(Sandra Joyce)은 "2020년의 몇 가지 추세가 2021년까지 이어졌다. 맨디언트는 새로운 그룹들을 포함해 그 어느 때보다 많은 위협 그룹을 발견했다. 이와 비슷한 추세로 이 기간 동안 맨디언트는 전무후무하게 많은 새로운 멀웨어 계열을 추적하기 시작했다. 전반적으로 이는 보안 위협 지표의 양과 위협 다양성이 지속적으로 증가하고 있음을 의미한다. 공격 그룹 FIN12와 FIN13의 2021년 케이스 스터디와 같이 금전적 목적이 공격자의 주요 동기였다. 공격을 방어해야 하는 입장에서 보자면 매우 까다로운 위협 지표에도 불구하고 개선점이 분명 존재했다. 그중 하나는 전 세계 공격 지속 시간 중앙값이 가장 낮은 수치를 기록했다는 것이다. 특히, APAC과 EMEA는 몇 가지 위협 탐지 범주에서 예년에 비해 가장 큰 향상을 보이기도 했다."고 전했다. 

2022 맨디언트 M-트렌드 보고서는 향후 국문 보고서로 업데이트 될 예정이다. 

★정보보안 대표 미디어 데일리시큐!★