“2024년 사이버 공격 트렌드…도난당한 인증 정보 사용 급증, 피싱은 감소”

사이버 공격자의 초기 침입 방식이 변화하고 있다. 버라이즌과 구글 자회사 맨디언트가 각각 발표한 보고서에서도 유사한 침입 기법 변화가 확인됐다.

맨디언트에 따르면, 2024년 발생한 침입 사고에서 도난당한 인증 정보가 초기 침입 경로로 활용된 비율이 피싱을 넘어섰다. 도난당한 인증 정보는 공격자가 가장 자주 사용하는 초기 침입 수단인 취약점 악용에 이어 두 번째로 집계됐다. 이는 지난 12개월 동안 정보 탈취형 악성코드(인포스틸러)의 판매 및 사용이 급증했다는 다른 보안 기업의 분석 결과와도 일치한다.

맨디언트 사고 대응팀이 2024년에 조사한 침입 사례 중 33%는 취약점 악용에서 비롯된 것으로 나타났다. 도난당한 인증 정보(16%, 2023년 10%)와 피싱(14%)이 뒤를 이었다. 공격자가 소셜 엔지니어링 기법을 더욱 정교하게 만들기 위해 다양한 시도를 하고 있음에도 불구하고, 피싱을 초기 침입 수단으로 사용하는 비율은 지난 2년간 꾸준히 감소하는 추세다. 2022년에는 전체 침해 사고의 약 1/4, 2023년에는 17%를 차지했고 2024년에는 그 비중이 더 낮아졌다.

맨디언트 사고 대응팀은 연례 보고서 ‘M-트렌드(M-Trends)’에서 “이메일 피싱은 여전히 흔하고 효과적인 초기 침입 수단이지만 공격자는 유출되거나 도난당한 인증 정보를 지하 포럼에서 구매하거나, 대규모 데이터 유출 사고에서 인증 정보를 추출하거나, 키로거와 인포스틸러를 통해 사용자 기기를 감염시켜 직접 인증 정보를 수집하는 등 다양한 방식으로 이를 획득할 수 있다. 피싱과 인증 정보 탈취가 지속적으로 확산하는 상황은 MFA(Multifactor Authentication), 그중에서도 FIDO2 표준을 준수하는 MFA 방식의 도입이 얼마나 중요한지를 보여준다”라고 강조했다.

네트워크 파라미터 노리는 취약점 공격

초기 침입 수단 가운데 2024년에 가장 많이 활용된 방법은 여전히 취약점 악용이었다. 전체 침입 사고 3건 중 1건은 이 경로를 통해 발생했다. 2023년보다 5%p 감소한 수치지만 여전히 부동의 1위를 유지하고 있다. 주목할 만한 변화는 공격의 방향이 명확히 네트워크 파라미터 장비로 옮겨가고 있다는 점이다. 버라이즌의 보고서에서도 지난 1년간 보안 장비를 대상으로 한 제로데이 취약점 공격이 두드러지게 증가한 것으로 분석됐다.

맨디언트가 관찰한 주요 취약점 가운데 가장 많이 활용된 것은 팔로알토 네트웍스의 PAN-OS 소프트웨어에서 글로벌프로텍트(GlobalProtect) 보안 VPN 기능에 영향을 미치는 제로데이 명령어 삽입 취약점(CVE-2024-3400)이었다. 다음으로는 이반티의 커넥트 시큐어 VPN(Connect Secure VPN) 및 폴리시 시큐어(Policy Secure) 장비에 영향을 주는 두 가지 취약점(CVE-2023-46805, CVE-2024-21887)이 뒤를 이었고, 세 번째로는 포티클라이언트(FortiClient) 엔드포인트 매니지먼트 서버(Endpoint Management Server)에서 발견된 SQL 삽입 취약점(CVE-2023-48788)이 꼽혔다.

이밖에 주목할 만한 초기 침입 수단으로는 웹사이트 침해(9%), 초기 침입 브로커가 기존에 확보한 접근 권한을 다른 공격 그룹에 판매한 사례(8%), 무차별 비밀번호 추측 공격(7%), 내부자 위협(5%) 등이 있었다. 특히 내부자 위협의 경우, 허위 신분으로 해외 기업에 취업하려는 북한 IT 인력의 활동이 새로운 트렌드로 부상하면서 비중이 높아졌다.

금전적 이득, 데이터 탈취, 장기 잠복 트렌드

맨디언트가 2024년 조사한 침입 사고 가운데 35%는 금전적 동기에 의해 발생한 것으로 나타났다. 이 중 랜섬웨어 공격이 전체 침입 사례의 21%를 차지했다.

금전적 이득은 주로 데이터를 탈취해 이를 빌미로 한 협박, 암호화폐 채굴 및 탈취, BEC(Business Email Compromise), 침입 권한을 다른 공격자에게 판매해 수익을 올리는 방식 등을 통해 실현됐다. 북한 IT 인력이 허위 신분으로 해외 기업에 취업하는 사례 역시 이 범주에 포함됐다.

데이터 탈취는 전체 공격 중 37%에서 주요 목표로 확인됐다. 일부는 금전적 목적의 침입과 겹치기도 했지만, 데이터 탈취 공격에는 사이버 스파이 활동, 향후 정찰 및 횡적 이동에 활용할 수 있는 인증 정보 및 각종 유용한 정보의 수집도 포함된다.

보고서에 따르면, 러시아 사이버 스파이 집단 APT28과 중국의 APT41 등은 보다 표적화된 데이터 탈취 활동을 수행한 것으로 나타났다. APT28은 인사 관련 정보, 이메일 내용, 러시아의 지정학적 이해관계와 관련된 문서를 중심으로 선별적인 데이터 탈취를 시도했다. 한편 APT41은 EMEA와 JAPAC 지역 여러 조직을 대상으로 한 캠페인에서 오라클 데이터베이스에서 데이터를 추출하기 위해 SQLULDR2를 활용했고, 침해된 네트워크에서 대량의 민감 정보를 체계적이고 효율적으로 외부로 반출하기 위해 파인그로브(PINEGROVE) 도구를 사용했다. 이렇게 확보한 데이터는 원드라이브로 전송돼 외부 분석을 위한 탈취가 이뤄졌다.

우려스러운 점은 전체 침입 사례 중 57%는 피해 조직이 자체적으로 침입 사실을 인지한 것이 아니라 외부의 통보로 알게 됐다는 사실이다. 14%는 공격자가 직접 침해 사실을 알린 경우였으며, 나머지 43%는 보안 기업이나 법 집행 기관 등 외부 기관이 침입 사실을 통보한 경우였다.

공격자가 침입 후 네트워크 내부에 머문 평균 시간은 11일로, 2023년보다 하루 증가했다. 하지만 10년 전 평균 탐지 시간인 205일과 비교하면 큰 개선이다. 맨디언트가 “잠복 기간(dwell time)”이라고 부르는 이 수치는 지속적으로 감소하는 추세지만, 외부 기관에 의해 탐지된 침입의 경우 평균 잠복 시간이 여전히 26일에 달해 높은 수준을 유지하고 있다.

맨디언트는 “2018년부터 2024년까지의 조사 결과 전반에서 나타난 주요 트렌드는 잠복 기간이 점점 짧아지고 있다는 것이다. 2023년과 2024년 결과를 비교했을 때 침입 발생 후 1주일 이내에 탐지된 비율이 43.3%에서 45.1%로 증가했다”라고 설명했다.

위협 그룹 증가세…새롭게 추적된 집단만 737곳

맨디언트는 위협 그룹을 세 가지 범주로 분류해 추적하고 있다. 정부나 군 연계의 지속적 위협을 의미하는 APT(Advanced Persistent Threat), 금전적 목적의 FIN(Financial Threat), 그리고 기존에 알려진 그룹과 확실히 연관 지을 수 없는 악성 활동에 붙이는 UNC(Uncategorized)다. 현재 맨디언트는 4,500개 이상의 UNC 그룹과 44개의 APT 그룹, 13개의 FIN 그룹을 추적하고 있다.

맨디언트는 2024년 한 해 동안 새롭게 등장한 위협 집단 737곳을 추적하기 시작했으며, 이 중 233곳은 실제 사고 대응 과정에서 확인된 사례였다. 전체적으로 지난해 활동한 위협 집단 중 55%는 금전적 목적, 8%는 사이버 스파이 활동, 2%는 정치적 목적(핵티비즘)에 기반한 것으로 분석됐다. 새롭게 추적에 들어간 집단 중 35%는 명확한 동기를 파악하지 못한 상태였다.

2024년 맨디언트는 새롭게 등장한 맬웨어 계열 632종을 추적했으며, 이 중 83종은 실제 침입 사고 조사 과정에서 사용된 것으로 확인됐다. 이에 따라 맨디언트가 추적 중인 전체 맬웨어 계열은 5,500종을 넘어선다.

맨디언트는 지난해 조사 과정에서 확인된 신규 맬웨어 계열 수가 2023년보다 줄었으며, 이는 지난 3년간 지속되는 감소 추세와 일치한다고 밝혔다.

맨디언트 사고 대응팀은 보고서에서 “이런 감소는 공격자가 새로운 맬웨어를 제작하거나 기존 사후 침해 도구를 설정하기보다는, 공격 대상 환경에 이미 존재하는 도구를 적극 활용하고 오용하려는 경향이 지속되고 있음을 보여준다. 맬웨어를 전혀 사용하지 않는 침입 사례도 점점 늘어나고 있다”라고 설명했다.

맬웨어 유형별로 보면, 맨디언트가 관찰한 사례 중 35%는 백도어로 분류됐고, 14%는 랜섬웨어, 8%는 드로퍼, 7%는 다운로드 프로그램, 6%는 터널링 도구, 5%는 인증 정보 탈취 맬웨어였다. 이 외에도 각종 유틸리티 도구, 데이터 마이너, 루트킷, 키로거, POS 시스템을 노린 맬웨어 등이 확인됐다.

침입 사고에서 가장 자주 확인된 맬웨어는 여전히 코발트 스트라이크(Cobalt Strike)의 레드팀 툴에서 파생된 비컨(Beacon) 임플란트였다. 이 툴은 전체 침입 사례 중 5% 이상에서 사용됐는데, 이는 2021년 21%의 사용률을 기록했던 것과 비교해 큰 폭으로 감소한 수치다. 이런 하락은 지난해 미인가 버전의 코발트 스트라이크 C2C(Command-and-Control) 서버 600곳을 차단한 법 집행 기관의 단속 작전 결과로 분석된다.

그외 자주 발견된 맬웨어는 자바스크립트 기반의 다운로드 및 드로퍼 역할을 하는 굿로더(GootLoader), 이반티 펄스 시큐어(Pulse Secure) 장비를 노리는 파이썬 웹셸 와이어파이어(WIREFIRE), 사용자 지정 통신 프로토콜을 이용해 프록시 터널링을 수행하고 C2C 서버에서 추가 페이로드를 실행할 수 있는 시스템BC(SystemBC)가 있었다. 이 외에도 아키라(Akira), 랜섬허브(RansomHub), 록빗(LockBit), 바사타(Basta) 등 다양한 랜섬웨어 프로그램이 관찰됐다.

침해의 핵심 원인은 도난·취약한 인증 정보

맨디언트가 지난해 관찰한 랜섬웨어 감염 경로 중 가장 흔한 방식은 무차별 대입 공격(26%)이었다. 여기에는 비밀번호 스프레이 수법이나 기본 설정된 공통 비밀번호 사용 등이 포함된다. 다음으로는 도난당한 인증 정보와 취약점 악용이 각각 21%로 뒤를 이었으며, 기존 침입 경로를 판매해 이뤄진 2차 침해가 15%, 서드파티 공급망을 통한 침해가 10%를 차지했다.

클라우드 계정 및 자산은 대부분 피싱(39%), 도난당한 인증 정보(35%)를 통해 침해됐고 SIM 스와핑(6%)과 보이스 피싱(6%)도 일부 원인으로 확인됐다. 또한 전체 클라우드 침해 사고 중 2/3 이상은 데이터 탈취로 이어졌고, 38%는 금전적 목적에 기반한 공격이었다. 이 경우 주된 목표는 데이터 갈취, BEC, 랜섬웨어 공격, 암호화폐 사기 등이었다.

맨디언트는 “클라우드 시스템에 접근하기 위한 수단으로 기존 침입 경로의 재활용, 취약점 악용, 서드파티 침해, 무차별 대입 공격, 악의적인 내부자 개입 등이 활용되고 있다. 특히 북한 IT 인력이 허위 신분으로 취업을 시도하는 사례가 내부자 위협으로 작용하고 있다”라고 설명했다.

맨디언트는 도난당한 인증 정보와 피싱 위협에 대응하기 위해 중간자 공격에 강한 MFA 도입을 권고했다. FIDO2 표준을 준수하는 하드웨어 보안 키, 인증서 기반 인증, 모바일 인증 앱 등이 대표적인 예다.

또한 개인용 기기와 업무용 기기를 철저히 분리하는 정책을 시행하고 서드파티 공급업체 및 외주 인력에 대한 보안 통제를 주기적으로 점검하는 것뿐 아니라 브라우저 자동 입력 기능 비활성, 서드파티 쿠키 제한, 승인되지 않은 브라우저 확장 프로그램 차단 등의 조치도 인증 정보 탈취 예방에 도움이 된다.

아울러 지속적인 보안 인식 교육을 통해 직원이 정교한 소셜 엔지니어링 공격을 식별하고 신뢰할 수 없는 경로에서 소프트웨어를 다운로드하지 않도록 예방하는 것도 중요하다.

dl-itworldkorea@foundryco.com

lconstantin editor@itworld.co.kr
저작권자 Foundry & ITWorld, 무단 전재 및 재배포 금지