보안

“아태지역 사이버 공격에 랜섬웨어 비중 상당” 파이어아이 발표

편집부 | ITWorld 2020.02.21
파이어아이가 2020 맨디언트 M-트렌드 보고서(M-Trends report)를 발표했다. 

이번 보고서는 파이어아이가 2019년 한 해 동안 전 세계의 맨디언트(Mandiant) 조사에서 얻은 통계와 인사이트를 포함하고 있다.



2020년 맨디언트 M-트렌드 보고서에 따르면, 아시아 태평양 지역에서 사이버 침해가 시작된  때부터 내부 보안팀에 의해 확인될 때까지 걸리는 공격 지속 시간의 중앙값이 평균 54일로 나타났다. 

이는 전년도 관찰된 중앙값인 204일 대비 73%나 낮은 수치다. 파이어아이 맨디언트 컨설턴트 집단은 이러한 눈에 띄는 감소 수치의 원인은 체류시간이 제로데이인 랜섬웨어 관련 침해 건수가 크게 늘어난 점(18%)에 있다고 분석했다. 하지만 랜섬웨어 관련 건수를 제외하고도 아시아 태평양 지역의 중앙값이 94일로 나타나 작년 대비 나아진 수치다.

글로벌 수치 또한 크게 개선되었다. 전 세계 공격 지속 시간의 중앙값은 56일로, 전년도 수치인 78일에 비해 28%나 떨어졌다. 파이어아이 맨디언트 컨설턴트 집단은 이러한 추세가 조직이 탐지 프로그램을 개선한 것뿐만 아니라, 랜섬웨어나 암호 화폐 채굴과 같이 다른 유형에 비해 체류 시간이 짧지만 파괴력이 큰 유형의 공격이 지속적으로 증가한 점도 원인이라고 분석했다.

전 세계적으로 조직 내부 및 외부의 탐지 시간도 단축된 것으로 나타났다. 조직 외부에서 사이버 침해가 일어났다고 인지한 경우의 공격 지속 시간 중앙값은 141일로, 전년도 184일 대비 23% 감소했다.

조직 내부에서 스스로 감지한 공격 지속 시간 중앙값은 30일로, 전년도 50.5일 대비 40​​% 감소했다. 내부적으로 탐지한 공격 지속 시간이 가장 많이 개선된 것으로 나타났지만, 조사 대상의 12%는 여전히 700일 이상이 소요된 것으로 밝혀졌다.

4년 만에 내부 탐지 공격 최저치 기록
조직 내부에서 탐지한 침입의 공격 지속 시간도 감소했지만, 외부 소스가 아닌 내부에서 직접 탐지하는 보안 침해 사건의 전체적인 비율 또한 줄어들었다. 내부적으로 탐지된 침해 사고 비율은 매년 12% 감소했다. 이는 2011년 이후 내부적인 공격 탐지가 꾸준히 증가한 이래 나타난 추세다. 

2019년에는 4년 만에 처음으로 외부 기관이 조직에 침해 사실을 알리는 사건수가 조직 내부에서 탐지하는 침해 사건수를 넘어섰다.

이러한 변화는 법 집행 강화 및 사이버 보안 업체의 적극적인 외부 공지, 공개 표준 기준 변경 및 규정 준수 변경 등 다양한 요인 때문으로 보인다. 파이어아이 맨디언트는 기타 지표에서 조직적 탐지 및 대응 능력이 꾸준하게 개선된 수치를 보였기 때문에, 다수 조직의 침입 탐지 능력이 저하된 것은 아니라고 판단했다.

수백 가지의 새로운 멀웨어 식별
이번 보고서에는 맨디언트가 2019년 관찰한 멀웨어군에 대해 자세히 설명돼 있으며, 그 중 41%는 이전에 본 적이 없는 유형으로 분석되었다. 또한 확인된 샘플의 70%는 가장 빈번하게 볼 수 있는 5가지 유형 중 하나에 속하며, 이는 적극적으로 개발된 오픈 소스 툴을 기반으로 한다고 전했다. 이러한 도출점은 멀웨어 생성자들이 개발하는 것 이외에 사이버 공격 그룹 또한 자금 운영을 활발하게 하기 위해 아웃소싱하고 있다는 점을 시사한다.

대다수의 새로운 멀웨어 유형이 윈도우와 기타 플랫폼에 영향을 주었다는 점 또한 주목할 만하다. 파이어아이 맨디언트는 리눅스 또는 맥에만 영향을 미치는 새로운 멀웨어 유형을 발견했지만, 이의 활동은 아직 ​​미미한 수준이다.

금전적 이익 취득 위한 랜섬웨어 공격 사례 증가
파이어아이 맨디언트 전문가가 대응한 공격 중 가장 많은 비중(29%)을 차지한 부분은 직접적인 금전적 이익을 얻기 위한 공격 유형이었다. 금품 착취, 몸값 요구, 카드 도용, 불법 이체 등이 포함된다. 다음으로 가장 많이 나타난 유형은 22%를 차지한 데이터 도난으로, 지적 재산권이나 최종 목표 도달을 위한 첩보 활동 등을 뒷받침한다.

랜섬웨어 공격을 통해 금전적 이익을 취하는 데 성공한 사례와 랜섬웨어 서비스 자체의 유효성은 전반적으로 랜섬웨어 사례가 증가하는 데 크게 기여했다. 대대적으로 개인 및 신용 카드 정보를 표적으로 삼아온 기존의 사이버 범죄 그룹 또한 수익 창출을 보조하는 수단으로 랜섬웨어를 이용하는 사례가 증가했다. 파이어아이는 랜섬웨어 공격이 쉬우면서도 공격자에게 지속적으로 재정적 이익을 가져다줄 수 있기 때문에 랜섬웨어가 보조 수단으로 지속적으로 이용될 것으로 예상하고 있다.

파이어아이 서비스 제공담당 위르겐 커스처 수석부사장은 “파이어아이 맨디언트는 많은 조직이 사이버 보안 수준을 크게 개선하는 사례를 봐왔지만, 최신 위협에 대항하는 것은 또 다른 문제”라며, “공격 그룹은 그 어느 때보다 활발하게 활동하고 있으며, 이들은 목표를 더욱 공격적으로 확장시키고 있다. 따라서 조직은 방어체제를 지속적으로 구축하고 테스트하는 것이 중요하다”고 말했다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.