파이어아이 연례 보고서 ‘맨디언트 M-트렌드’ 발표

조직들은 침입 공격에 대한 내부 탐지 능력을 지속적으로 개선하고 있지만, 오늘날의 공격 방지는 고유한 과제를 가지고 있다. 글로벌 팬데믹으로 인해 기업은 운영 방식과 원격 근무에 대해 재고하게 됐다. 이러한 변화로 VPN 인프라, 화상 회의, 협업 및 지식 공유 플랫폼은 기업 운영에 있어 필수 시스템으로 떠올랐으며 조직에 대한 공격 지형 또한 변화했다. 일반 직원이 연결성과 사이버 보안을 책임져야 하는 경우도 많아졌다.

비즈니스/전문 서비스 분야는 2016년 이후 5대 표적 산업에 속해왔지만, 2020년 원격 근무에 필요한 비즈니스 서비스가 급증하면서 사이버 범죄자 및 정부 주도 하의 공격자에게 가장 큰 먹잇감이 된 것으로 보인다

글로벌 보안 기업 파이어아이가 미국 현지 시간 13일 2021맨디언트 M-트렌드 보고서(M-Trends report)를 공개했다. 올해로 12회를 맞은 M-트렌드 보고서는 전 세계 맨디언트 조사를 통해 얻은 통계와 인사이트를 기반으로 한 최고의 사이버 보안 전문 지식과 위협 인텔리전스를 포함한다.

이 보고서는 공격 전술과 멀웨어 동향, 다양한 탈취 공격 및 랜섬웨어의 확산, 향후 등장할 수 있는 UNC2452/선버스트(SUNBURST) 모방 공격자에 대한 대비, 증가하는 내부자 위협, 팬데믹 및 특정 산업을 표적한 공격 동향 등 중요한 세부 사항을 다뤘다.

보고서에 따르면 가장 빈번하게 사용된 세 가지 공격 유형은 취약점 공격(이하 익스플로잇)(29%), 피싱 메일(23%), 자격 도용 또는 무차별 공격(19%)인 것으로 나타났다. 아직까지 사이버 공격자들은 피싱 메일을 선호하지만, 확인된 바에 의하면 익스플로잇을 활용한 침해 피해가 더 많았다.

익스플로잇 사용량이 증가함에 따라 조직들은 제품 취약성을 패치 할 수 있는 더 강력한 계획을 수립해야 한다. 여기서의 과제는 당장 패치 할 시스템 및 애플리케이션과 이후 단계에서 패치 할 항목의 우선순위를 정할 때 더 나은 리스크 기반 결정을 내리기 위해 현재 공격과 공격자의 표적에 대한 지식을 기반으로 사용 가능한 소스와 정보가 무엇인지 파악하는 것이다.

공격 지속 시간 중앙값, 30일이내 감소

지난 10년간 맨디언트는 공격 지속 시간, 즉 사이버 침해가 시작되는 순간부터 내부 보안 팀에 의해 공격이 확인될 때까지 걸리는 시간의 중앙값이, 전 세계적으로 감소하는 추세를 확인했다. 2011년 365일 이상을 기록했던 중앙값은 2020년 24일로 줄어들었다. 전년도 보고서에서 기록된 56일 대비 두 배 이상 낮은 수치였다. 탐지 및 대응 능력에 대한 조직의 지속적인 역량 개발 및 개선과 다양한 탈취 공격 및 랜섬웨어 급증이 맞물려 이러한 감소 추세가 나타났다고 맨디언트는 분석했다.

공격 지속 시간의 중앙값은 지역에 따라 차이를 보였다. 미주 지역은 감소 추세를 따랐다. 특히, 내부에서 탐지된 공격의 공격 지속 시간 중앙값의 경우, 32일에서 9일로 감소하는 등 가장 큰 감소폭을 보였다. 미주 지역에서 이와 같은 한자리 수의 중앙값을 기록한 것은 처음이다.

반면, 아시아태평양(이하 APAC)과 유럽·중동·아프리카(이하 EMEA)에서는 공격 지속 시간이 전반적으로 증가했다. 맨디언트 전문가들은 해당 지역에서 공격 지속 시간이 3년 이상인 장기 침입하는 사례가 미주 지역 대비 다수 발생한 결과라고 판단했다.

내부 탐지 증가
2020 보고서에서는 침입에 대한 내부 탐지하는 사례가 전년 대비 감소한 것으로 확인됐지만, 올해 맨디언트 전문가들은 조직이 대부분의 침해 사고를 자체적으로 탐지하는 역량을 회복한 것으로 관찰했다. 2020년에는 조직 내에서의 공격 탐지 사례가 2019년 대비 12포인트 상승한 59%를 기록했으며, 이러한 회복세는 지난 5년 동안 이어져 관찰된 전반적 추세를 이어가고 있는 것으로 보인다.

특히, 내부 조직에 의한 침해 탐지 사례는 전반적으로 매년 증가했다. 미주 지역이 61%로 가장 선두에 섰으며, EMEA와 APAC은 각각 53%와 52%였다. APAC과 EMEA조직은 미주 지역 대비 외부 기관을 통해 침해 사실을 더 많이 전달받은 것으로 확인됐다.

소매, 서비스 및 의료 산업에 집중된 공격
이번 보고서에 따르면 가장 많은 공격의 표적이 되는 5대 산업은 비즈니스/전문 서비스, 소매/서비스업, 금융, 의료 및 하이테크 순으로 가장 많이 차지했다.

맨디언트 전문가들은 소매 및 서비스업은 2020년 더욱 집중적인 공격을 받았으며, 지난해 보고서에서 11위를 기록한 것과 달리 올해는 두 번째로 높은 표적 산업으로 부상했다. 전년도 표적 산업 8위였던 의료산업 역시 올해는 3위로 올라섰다.

파이어아이 서비스 제공 담당 수석부사장 위르겐 커스처(Jurgen Kutscher)는 "다양한 탈취 공격과 랜섬웨어는 조직을 위협하는 가장 보편적인 형태다. 올해 보고서에서 다룬 침입의 최소 36%가 직접적인 금전적 이득이 동기일 가능성이 높았다"라면서 "데이터 도난 및 무단 접근 권한을 피해조직에 재판매하는 행위는 빈번하게 일어나고 있으며, 이는 공격이 대규모 금전 갈취가 가능한 조직을 표적으로 하는, 순전히 기회주의적인 캠페인에서 벗어나고 있기 때문이다. 이러한 급증세를 감안했을 때, 조직은 잠재적인 피해를 최소화하기 위해 사전 예방적 조치를 취해야 한다"고 말했다.

이향선기자 hslee@nextdaily.co.kr

관련기사

저작권자 © 넥스트데일리 무단전재 및 재배포 금지