개요
위협 환경을 재편하는 5가지 주요 트렌드가 대두되고 있습니다.
-
첫째, 위협 행위자는 기존 랜섬웨어와 갈취 공격을 강화하여 운영을 의도적으로 방해하고 있습니다. 2024년, Unit 42가 대응한 인시던트의 86%에서 비즈니스 중단이 발생했으며, 운영 중단과 평판 손상 등이 초래되었습니다.
-
둘째, 소프트웨어 공급망과 클라우드 공격이 더욱 빈번해지며 정교해지고 있습니다. 클라우드에서 위협 행위자는 구성 오류가 있는 환경에 침투하여 방대한 네트워크를 스캔하며 중요한 데이터를 찾는 경우가 많습니다. 한 캠페인에서 공격자는 2억 3천만 개 이상의 고유 표적을 스캔하며 중요 정보를 탐색했습니다.
-
셋째, 자동화와 간소화된 해커 툴킷으로 침입 속도가 더욱 빨라지고 있으며, 그 결과 방어자는 극히 짧은 시간에 이를 탐지하고 대응해야 합니다. 거의 20%에 해당하는 사례에서 침해 발생 후 1시간 이내에 데이터 유출이 발생했습니다.
-
넷째, 북한과 같은 국가가 조직을 표적으로 삼아 정보를 탈취하고 국가 주도의 활동을 지원하면서, 내부자 위협의 리스크도 더욱 커지고 있습니다. 2024년에는 북한과 관련된 내부자 위협 사례가 3배 증가했습니다.
-
다섯째, AI 기반 공격에 대한 초기 관찰 결과, AI가 침입의 규모와 속도를 더욱 증폭시킬 수 있음이 확인되었습니다.
이러한 트렌드 속에서, 공격 표면의 여러 영역을 동시에 겨냥하는 다각적 공격 방식도 등장하고 있습니다. 실제로 Unit 42가 대응한 인시던트의 70%가 3개 이상의 공격 표면에서 발생했으며, 이는 엔드포인트, 네트워크, 클라우드 환경, 인적 요소를 동시에 보호해야 할 필요성을 더욱 부각합니다. 또한, 인적 요소와 관련하여 조사한 보안 인시던트의 거의 절반(44%)이 웹 브라우저와 연관되어 있었으며, 주요 위협 요인으로는 피싱 공격, 악의적 리디렉션, 멀웨어 다운로드 등이 있었습니다.
수년간 축적된 경험과 수천 건의 인시던트 대응 사례를 분석한 결과, 공격자들이 주로 악용하는 세 가지 핵심 요인을 확인할 수 있었습니다. 바로 복잡성과 부족한 가시성, 그리고 과도한 신뢰 입니다. 분산된 보안 아키텍처와 비관리 자산, 과도한 권한을 가진 계정 등은 모두 공격자들에게 기회를 제공합니다.
이러한 위협에 대응하기 위해서는 제로 트러스트로 전략을 가속화하여 에코시스템 전반의 암묵적 신뢰를 줄여야 합니다. 동시에, 개발부터 런타임 단계까지 애플리케이션과 클라우드 환경을 보호하는 체계를 구축하여 구성 오류와 취약점을 신속히 해결하는 것도 중요합니다. 마지막으로, 보안 운영을 강화하여 더욱 광범위한 가시성을 확보하고 신속하게 대응하는 것이 필수적입니다. 이를 위해 온프레미스, 클라우드, 엔드포인트 로그 전반에 걸친 통합적 가시성을 확보하고 자동화 기반의 위협 탐지 및 대응 체계를 구축해야 합니다.
1. 개요
20년간 인시던트 대응 전문가로 일하면서, 위협 환경과 공격자의 전술이 무수히 변화하는 것을 목격했습니다.
랜섬웨어가 처음 등장했을 때, 사이버 범죄자들이 선택한 전술은 파일 암호화였습니다. 파일을 잠그고, 암호화 키를 대가로 돈을 요구한 뒤 떠나는 방식이죠. 백업 기능이 향상되면서 이중 협박 수법이 더욱 보편화되었습니다. 사이버 범죄자는 기업에게 "돈을 지불하지 않으면 중요 데이터를 유출하겠다"고 협박하는 수법을 사용했으며, 지금도 마찬가지입니다. 그러나 이제는 이 방식조차 효과가 떨어지고 있습니다.
저는 거의 매달 데이터 침해 관련 통지를 받습니다. 가끔은 이런 편지를 열어 읽기도 하지만, 대부분은 곧바로 휴지통으로 보내죠. 많은 사람들처럼 저도 신원 도용 방지 소프트웨어를 사용하며 사이버 보안의 모범 사례를 실천하고 있습니다. 하지만 이런 알림이 끊임없이 쏟아지다 보면 사람들은 이런 생각을 하게 됩니다. 내 데이터가 또 유출됐다고? 그래서 어쩌라고? 이런 무감각한 태도는 매우 불안한 신호입니다. 이런 무관심이 퍼져 있음에도 불구하고, 데이터 유출은 여전히 기업에 막대한 피해를 초래할 수 있습니다.
지난해는 의도적인 운영 중단을 겨냥한 공격이 본격화된 시점이었습니다. 금전적 이득을 노린 강탈 공격이 새로운 국면을 맞이하면서, 이제 공격자들은 단순한 협박을 넘어 파괴 행위를 최우선 전략으로 삼고 있습니다. 이들은 의도적으로 시스템을 파괴하고, 환경에 대한 고객 액세스를 차단하며, 장기간의 운영 중단을 유발합니다. 이러한 방식으로 최대한의 피해를 입혀 기업이 결국 금전을 지불할 수밖에 없도록 압박하는 것입니다.
2024년, Unit 42는 500건 이상의 주요 사이버 공격에 대응했습니다. 여기에는 대규모 조직을 대상으로 한 협박, 네트워크 침입, 데이터 탈취, 지능형 지속 위협 등이 포함되었습니다. 그 공격의 대상은 38개국의 전 산업 분야에 걸쳐 있었습니다.
당사는 전례 없는 속도로 발생하는 보안 침해에 대응해야 했으며, 이러한 공격은 운영 중단과 서비스 장애, 그리고 수십억 달러에 이르는 비용 등 심각한 연쇄적 영향을 초래했습니다. 모든 사례에서 상황이 악화되었고, 결국 보안 운영 센터(SOC)가 지원을 요청해야만 하는 단계에 이르렀습니다.
Unit 42가 호출되면 인시던트 대응 팀은 신속하게 대응하여 위협을 격리하고, 인시던트를 조사하며, 운영 복구를 지원합니다. 급박한 위기가 지나가면, 고객과 협력하여 보안 태세를 강화하고 추후 공격에 대비할 수 있도록 지원합니다.
Unit 42의 미션은 명확합니다. 사이버 위협으로부터 디지털 환경을 보호하는 것입니다. 전 세계에 걸쳐 연중무휴로 운영되는 전문 팀의 공통된 목표는 위협 행위자를 차단하고, 끊임없이 진화하는 위협을 추적하며, 조직이 정교한 공격에 대비하고 운영을 복구할 수 있도록 지원하는 것입니다.
이 보고서는 주요 조사 결과와 실천 가능한 인사이트를 제공할 수 있도록 구성되었습니다.
-
새로운 위협과 트렌드: 운영 중단 기반의 갈취 공격, AI 기반 공격, 클라우드 및 소프트웨어 공급망 기반 공격, 국가 주도의 내부자 위협, 증가하는 공격 속도 등 추후 대두될 주요 위협 요인 분석
-
위협 행위자의 공격 전략: 최초 액세스부터 실제 피해에 이르기까지 가장 일반적이며 효과적인 전술, 기법, 절차 분석
-
방어자를 위한 권장 사항: 방어 체계를 강화하고, 회복 탄력성을 구축하며, 위협에 선제적으로 대비하는 방안 등 경영진, CISO, 보안팀을 위한 실용적 지침
이 보고서를 읽으며 현재 벌어지는 일뿐만 아니라 앞으로 다가올 위협에 대응하기 위해 조직이 무엇을 준비해야 할지 고민해 보세요.
SAM RUBIN
Unit 42 컨설팅 및 위협 인텔리전스 SVP
2. 새로운 위협과 트렌드
2025년, 많은 조직은 금전적 이득을 노리는 사이버 범죄자, 막대한 지원을 보유한 국가, 내부자 공격, 이념적 동기를 가진 핵티비스트들로부터 복합적인 위협에 직면하게 될 것입니다. 많은 범죄 집단이 여전히 공갈 협박을 주요 전략으로 삼고 있지만, 정교한 국가 주도의 공격자들은 핵심 인프라와 공급망, 주요 산업을 표적으로 삼고 있습니다. 또한 내부자 리스크가 더욱 심화되고 있습니다. 권한을 보유한 계약업체와 직원이 외부 보안을 우회할 수 있으며, 핵티비스트들은 소셜 미디어 네트워크를 통해 대규모 혼란을 조장하고 있습니다.
이러한 환경에서 Unit 42는 조직에 가장 중대하며 즉각적인 영향을 미칠 것으로 예상되는 5가지 주요 트렌드를 확인했습니다. 의도적으로 혼란을 야기하는 갈취 공격, 소프트웨어 공급망 및 클라우드 악용, 증가하는 공격 속도, 북한발 내부자 위협, AI 기반 위협 등이 그것입니다.
트렌드 1. 비즈니스 운영 방해: 공격의 제3의 물결
방어 체계가 개선되고 백업이 보편화되며 사이버 보안이 발전함에 따라 보안 대응이 더욱 효과적으로 이루어지고 있습니다. 공격자들은 자금을 갈취하기 위해 지속적으로 접근 방식을 변화시켜야 했습니다.
지난 10년간 공격 방식은 암호화에서 유출, 다중 공격 기법, 고의적 운영 방해 등 다양한 방식으로 진화했습니다. 랜섬웨어는 여전히 주요 위협이지만, 공격자들은 단순한 데이터 암호화에서 벗어나 더 심각한 피해를 초래하는 전략으로 전환하고 있습니다. 이제 이해관계자를 괴롭히고, 핵심 운영을 위협하며, 장기간의 운영 중단을 초래하는 전술을 사용하고 있습니다.
2024년, Unit 42가 대응한 인시던트의 86%는 직접적인 피해를 초래하는 손실을 동반했습니다. 예를 들면 다음과 같습니다.
- 전면적 비즈니스 중단
- 자산 및 사기 관련 손실
- 공개적 공격에 따른 브랜드 평판 및 시장 손실
- 운영 비용, 법률 및 규제 비용 증가 등
당사는 갈취 공격의 진화를 3가지 물결로 정의하고 있습니다.
제1의 물결: 처음에는 암호화로 시작되었습니다.
암호화폐가 등장하면서 범죄의 리스크는 작아지고 그 규모는 확대되었습니다. 위협 행위자들은 금전적 이득을 노리고 빠르게 랜섬웨어를 공격 수단으로 채택했습니다. 이들은 중요한 파일을 암호화한 후 금전을 요구하고, 암호화를 해제하는 대가로 암호화폐를 요구했습니다. 이후로 암호화폐는 랜섬웨어 공격의 중요한 수단이 되었습니다.
- 공격자의 신원 노출 리스크 감소
- 사이버 범죄자의 진입 장벽 감소
- 법적 단속 및 국제 제재 회피 지원
초기 랜섬웨어 사례의 플레이북은 간단했습니다. 표적 시스템에 침입하여 파일을 암호화하고 빠져나오는 것입니다. 이 기간 동안 진행된 Unit 42 조사에서 데이터 유출의 흔적이 발견된 경우는 거의 없었습니다.
이제 공격 방식은 더욱 정교해져 암호화와 데이터 탈취, 이중 협박을 결합하는 사례가 많아졌지만, 암호화 자체는 여전히 핵심 전술로 활용되고 있습니다. 실제로, Unit 42의 최근 인시던트 대응 데이터에 따르면 암호화는 여전히 갈취 공격에서 가장 일반적으로 사용되는 전술이며, 지난 4년간 그 비중은 안정적으로 유지되고 있습니다.
시간이 지나고 조직들이 데이터 백업 방식을 개선하면서 단일 전술로서 암호화의 효과는 줄어들었습니다. 백업 덕분에 더 많은 조직이 신속하게 문제를 해결할 수 있었으며, 실제로 2024년 피해를 입은 조직의 거의 절반(49.5%)이 백업을 통해 운영을 복구할 수 있었습니다. 그림 1에서 볼 수 있듯이, 이는 2022년 대비 약 5배 증가한 수치입니다. 당시 백업을 통해 복구가 가능했던 피해자 비율은 11%에 불과했습니다.
그림 1: 2022~2024년, 백업으로 암호화된 파일을 복구한 피해자 비율 360% 증가
그러나 이러한 방어 조치로는 공격자가 탈취한 데이터를 공개하거나 판매하는 것을 막을 수 없습니다.
제2의 물결: 데이터 탈취로 협박 수위 상승
암호화에만 의존하는 방식이 효과를 잃자, 공격자들은 새로운 갈취 전술로 방향을 전환했습니다. 바로 데이터 유출과 그에 따른 협박입니다. 금전적 이득을 노린 공격자들은 탈취한 데이터로 피해자를 협박할 뿐 아니라 다크웹 마켓플레이스에서 데이터를 경매하는 등 추가적인 수익원을 확보했습니다.
공격자들은 중요 정보를 공개하겠다고 위협하는 한편, 피해자를 명시한 유출 사이트를 운영하기도 했습니다. 일부 공격자는 직원과 고객에게 악성 메시지를 무차별적으로 전송했습니다.
이러한 데이터 탈취는 여전히 널리 사용되는 전술이지만, 여러 가지 이유로 그 효과가 감소하기 시작했습니다. 데이터 침해에 대한 피로감으로 인해 다크웹 유출이 피해자에게 가하는 압박 효과가 줄어들었습니다.
신원 도용 리소스 센터의 2023 데이터 침해 보고서에 따르면, 2023년 한 해에만 3억 5,300만 명의 피해자가 데이터 유출을 경험했습니다. 또한 공격자가 약속을 지키는 경우가 많지만, 그렇지 않은 경우도 늘어나고 있습니다.
실제로, 2024년 발생한 데이터 탈취 인시던트에서 공격자가 데이터 삭제 증거를 제시한 경우는 58%에 불과해, 전체의 3분의 2도 되지 않았습니다. 일부 사례에서 Unit 42는 공격자가 이러한 "증거"를 제공했음에도 불구하고 여전히 일부 데이터를 보유하고 있음을 확인했습니다. 비록 3분의 2라는 비율은 낮지 않지만, 대게 엄청난 비용을 지불하는 상황에서 기대할 법한 확실성과는 거리가 멉니다.
공개 유출 사이트 데이터는 이러한 추세를 뒷받침합니다. 2022년부터 2023년까지 유출 사이트 피해자 수가 50% 증가했지만, 2024년에는 2%에 불과했습니다. 이는 위협 행위자들이 유출 사이트를 이용한 협박의 효과가 감소하고 있음을 인식하고 있을 가능성을 시사합니다.
갈취 전술은 피해자에게 두려움을 심어주며, 피해자의 주의를 끄는 데 의존합니다. 이를 위해 위협 행위자들은 지속적으로 전술을 발전시켜 혼란을 일으키려 할 것입니다.
그렇다고 해서 공격자들이 데이터 유출을 포기하는 것은 아닙니다. 표 1에서 볼 수 있듯이, 위협 행위자들은 여전히 절반 이상의 공격에서 데이터를 탈취하고 있으며, 협박 수법 또한 꾸준히 증가하고 있습니다. 그러나 이들은 더 확실한 방법으로 공격 목표를 달성하기 위해 추가적인 전술을 동원하고 있습니다.
| 갈취 전술 | 2021 | 2022 | 2023 | 2024 |
|---|---|---|---|---|
| 암호화 | 96% | 90% | 89% | 92% |
| 데이터 탈취 | 53% | 59% | 53% | 60% |
| 괴롭힘 | 5% | 9% | 8% | 13% |
표 1: 갈취 관련 인시던트에서 갈취 전술의 활용도
금전적 이득을 노리는 공격의 다음 단계는 의도적인 운영 방해로, 위협 행위자들은 피해자의 주의를 끌기 위해 공격 강도를 더욱 높여가고 있습니다.
제3의 물결: 의도적 운영 방해
공격자들은 세 번째 전술인 의도적 운영 방해를 통해 압박 강도를 높이고 있습니다. 2024년, Unit 42가 대응한 인시던트의 86%에서 운영, 평판, 기타 요소와 관련된 비즈니스 중단 피해가 발생했습니다.
Unit 42는 공격자들이 암호화 기술과 데이터 탈취를 결합한 후, 한 단계 더 나아가 조직을 가시적으로 교란하는 전술을 사용하는 사례를 확인했습니다. 이들은 피해 조직의 브랜드 평판을 훼손하거나 고객 및 파트너를 괴롭히는 방식으로 압박을 가했습니다. 가상 머신을 삭제하고 데이터를 파괴하기도 했습니다(섹션 5.1에서 이와 관련된 MITRE ATT&CK 기법의 상세한 분석 내용을 확인할 수 있습니다).
당사는 심층적 파트너 네트워크를 활용하여 사업을 운영하는 조직들이 공격으로 심각한 혼란을 겪는 사례를 확인했습니다. 공격의 확산을 차단하고 복구 작업을 진행하기 위해 네트워크 일부를 격리해야 할 경우, 파트너들도 네트워크에서 강제로 차단됩니다. 이후 네트워크가 복구되더라도 파트너가 다시 네트워크에 연결하기 위해서는 재인증 절차를 거쳐야 하므로 추가적인 운영 중단이 발생합니다.
정교한 공격자들은 이러한 전술을 활용하여 의료, 숙박, 제조, 핵심 인프라 산업 등 다양한 기업을 표적으로 삼고 있으며, 피해 기업뿐 아니라 파트너와 고객에게까지 광범위한 혼란을 야기하는 것을 목표로 하고 있습니다.
조직들은 장기간의 운영 중단과 파트너 및 고객과의 관계 악화, 재정적 손실을 직면하게 되며, 공격자는 이러한 상황을 악용하여 더 많은 금액을 요구하고 있습니다. 기업들은 시스템을 신속하게 복구하고 재정적 피해를 최소화하기 위해 협상에 응해야 하는 경우가 많으며, 그 피해 규모는 수백만 달러에서 많게는 수십억 달러에 이를 수 있습니다. 2024년 초기 갈취 요구액의 중간값은 125만 달러로, 2023년(69만 5천 달러) 대비 약 80% 증가했습니다.
또한 공격자들은 피해 조직이 지불 가능한 금액을 추정하여 협박 금액을 조정하는 경향을 보였습니다. (이러한 추정은 공개된 정보를 검색하여 수집한 데이터를 기반으로 이루어집니다.) 2024년, 초기 요구액의 중간값은 피해 조직의 연간 예상 수익의 2%로 나타났습니다. 초기 요구액의 절반은 연간 예상 수익의 0.5~5% 사이였습니다. 최대 규모의 사례에서는 공격자들이 피해 조직의 연간 예상 수익을 초과하는 금액을 요구하는 경우도 있었습니다.
이처럼 요구 금액이 증가하는 추세에도 불구하고, Unit 42는 최종적인 지불 협상에서 계속해서 성공을 거두고 있습니다(지불을 결정한 고객의 경우). 그 결과, 2024년 중간값 기준 랜섬 지불액은 3만 달러 상승한 267,500달러에 그쳤습니다. 조직이 랜섬을 지불하는 경우, 지불액의 중간값은 예상 수익의 1% 미만(0.6%) 수준입니다. 따라서 Unit 42는 협상을 통해 중간값 기준 초기 요구액 대비 50% 이상 감액한 것입니다.
대응 전략: 증가하는 공격에 맞서 복원력 유지
운영 방해를 노리는 위협 행위자를 상대할 때 가장 중요한 요소는 바로 운영 회복력입니다. 핵심 시스템이 다운되거나 중요 데이터에 접근할 수 없게 되더라도 운영을 지속할 수 있을까요? 반드시 운영을 유지해야 하는 비즈니스는 무엇인가요? 어떤 재해 복구 및 백업 전략이 마련되어 있나요? 공격 발생 시 주요 파트너는 신속하게 새로운 시스템으로 전환할 준비가 되어 있나요?
이를 점검하는 가장 효과적인 방법은 정기적 테스트와 인시던트 시뮬레이션을 통해 기술적 통제력을 검증하고, 대응 팀을 훈련하고, 필수 서비스 유지 능력을 평가하는 것입니다. 복원력에 초점을 맞추면 공격에 의한 즉각적인 재정적 피해를 줄일 수 있을 뿐 아니라, 장기적 평판과 이해관계자의 신뢰를 보호할 수 있습니다. 이는 갈수록 불안정해지는 사이버 환경에서 조직의 핵심 자산입니다.
갈취 공격과 그에 수반되는 암호화, 데이터 탈취, 협박, 의도적 운영 방해는 일시적인 위협이 아닙니다. 사이버 보안 전략은 공격자의 변화하는 기술적 전술에 대응하여 지속적으로 발전해야 하며, 위협 행위자들은 강화되는 방어 체계에 대응하여 끊임없이 적응할 것이라는 점도 고려해야 합니다.
트렌드 2. 소프트웨어 공급망 및 클라우드 공격의 영향력 증가
운영 및 중요 데이터 저장을 위해 클라우드 리소스를 활용하는 조직이 증가함에 따라, 클라우드 및 SaaS 애플리케이션 관련 인시던트의 대규모 피해 사례가 발생하고 있습니다.
2024년 전체 인시던트의 약 3분의 1(29%)이 클라우드 관련 사건이었습니다. 이는 조사 과정에서 클라우드 환경의 로그 및 이미지를 수집했거나, SaaS 애플리케이션과 같은 외부 호스팅되는 자산을 분석했음을 의미합니다.
이러한 사례가 반드시 공격자가 클라우드 자산을 직접 손상시킨 경우를 의미하는 것은 아닙니다. 실제로 2024년 발생한 인시던트 중 위협 행위자가 클라우드 환경이나 자산에 직접적 피해를 가한 것은 5건 중 1건(21%) 수준인 것으로 나타났습니다.
트렌드 3. 속도: 공격의 가속화, 방어자의 대응 시간 축소
Unit 42는 위협 행위자들이 자동화, 서비스형 랜섬웨어(RaaS), 생성형 AI(GenAI)와 같은 도구를 적극적으로 활용하여 캠페인을 간소화하면서 사이버 공격 속도가 급격히 증가하는 것을 관찰하였습니다. 이러한 도구를 통해 공격자는 취약점을 신속하게 파악하고, 정교한 소셜 엔지니어링 공격을 설계하고, 대규모 공격을 더 빠르게 실행합니다.
공격이 더욱 가속화되면서, 전 세계의 조직은 자체 대응 능력을 재평가하고 조기 탐지를 최우선 과제로 삼아야 합니다. 많은 경우, 공격자가 데이터 탈취, 암호화, 운영 중단과 같은 목표를 달성하는지 여부는 단 몇 시간 내에 결정됩니다. 계속해서 공격 전술이 정교화되고 그 속도가 개선되는 만큼, 선제적 보안 조치와 신속한 인시던트 대응의 필요성이 더욱 커지고 있습니다.
Unit 42는 공격 속도를 측정하는 방법 중 하나로 최초 침입부터 데이터 유출까지 소요되는 시간을 분석합니다.
2024년, Unit 42가 대응한 공격 사례에서 데이터 유출까지 걸린 시간의 중간값은 약 이틀이었습니다. 조직이 보안 침해를 탐지하고 대응하는 데 며칠이 걸리는 현실을 고려할 때, 이는 매우 중요한 시사점을 제공합니다.
특히 데이터 유출이 가장 빠르게 발생한 사례를 살펴보면 문제는 더욱 심각합니다.
-
전체 사례 중 25%에서는 침해 발생 후 5시간 이내에 데이터가 유출되었습니다.
이는 2021년 대비 약 3배 빠른 속도로, 당시에는 전체 사례의 25%에서 데이터 유출까지 소요된 시간은 15시간이었습니다.
더 나아가, 많은 사례에서는 더욱 빠른 공격 속도를 확인할 수 있었습니다.
- 전체 사례의 19%에서는 최초 침해 발생 후 단 1시간 이내에 데이터 유출이 발생했습니다.
Unit 42가 최근 대응한 3건의 사례에서는 이러한 속도의 공격이 실제로 확인되었습니다.
RansomHub(Spoiled Scorpius로 추적)는 다단계 인증(MFA)이 적용되지 않은 VPN을 통해 한 지방 정부의 네트워크에 액세스했습니다. 위협 행위자는 초기 네트워크 침투 이후 7시간 만에 500GB의 데이터를 유출했습니다.
위협 행위자는 무차별 암호 대입 공격으로 대학의 VPN 계정에 액세스했습니다. XDR 보호 기능이 없는 시스템을 식별한 후 랜섬웨어를 배포하고 18시간 이내에 데이터를 유출했습니다.
Muddled Libra(Scattered Spider)는 소셜 엔지니어링을 활용하여 서비스 제공업체의 지원 센터를 조작하여 권한을 보유한 액세스 관리자(PAM) 계정에 액세스했습니다. 이를 악용하여 저장된 자격 증명을 검색하고 도메인 권한이 있는 계정을 침해했으며, 이 모든 작업이 단 40분만에 이루어졌습니다. 공격자는 도메인 액세스 권한을 확보한 상태에서 암호 관리 볼트를 침해하고, 탈취한 계정을 클라이언트의 클라우드 환경에 추가하여 권한을 상승시킨 후 데이터 유출을 감행했습니다.
이제 방어자가 공격을 탐지하고 대응하며 격리할 시간이 너무나도 부족합니다. 일부 사례에서는 대응 시간이 1시간도 할애되지 않는 상황입니다.
그러나 당사는 공격자가 탐지되기 전까지 피해 환경에 머무르는 일 수인 '드웰타임'을 줄임에 있어 진전을 이루고 있습니다. 2024년 드웰타임은 평균 7일로, 2023년의 13일 대비 46% 감소했습니다. 이는 드웰타임이 26.5일이었던 2021년 이후 계속해서 감소하는 추세입니다.
대응 전략: 더 빠른 공격에 대한 방어
더욱 빠르게 진행되는 공격에 효과적으로 대응하려면 다음과 같은 전술을 고려해 보세요.
- 탐지 및 대응 시간 측정: 평균 탐지 시간(MTTD)과 평균 대응 시간(MTTR)의 지속적 개선과 추적을 통해 SOC의 대응 속도를 강화합니다.
- AI 기반 분석 활용: 데이터 소스를 중앙 집중화하고 실시간으로 이상 징후를 탐지하여, 수동 탐지 방식보다 더 빠르게 중요 알림을 파악합니다.
- 자동 플레이북 사용: 사전에 정의된 격리 조치를 실행하여 몇 분 만에 침해된 엔드포인트를 격리하거나 사용자 계정을 잠금 처리합니다.
- 지속적 테스트: 정기적 시뮬레이션 및 레드팀 훈련을 실시하여 SecOps팀이 탐지에서 대응까지 원활하게 전환할 수 있도록 지원합니다.
- 고위험 자산 우선 보호: 운영 중단이나 데이터 유출이 가장 치명적인 핵심 시스템을 보호하는 데 신속한 대응 역량을 집중합니다.
실시간 가시성, AI 인사이트, 자동 워크플로를 통합함으로써 빠르게 움직이는 공격자보다 한발 앞서 대응할 수 있습니다.
트렌드 4. 내부자 위협의 증가:
북한의 내부자 위협 확산
내부자 위협은 조직 운영에 필요한 권한 액세스와 신뢰 관계를 악용한다는 점에서 탐지하기가 매우 어려운 리스크 요소 중 하나입니다. 이들은 외부 보안 방어 체계를 우회할 수 있어 탐지가 더욱 까다롭습니다.
최근 북한의 국가 주도 위협 그룹은 국제 조직의 기술직에 요원을 배치함으로써 더욱 파괴적인 내부자 위협 공격을 감행하고 있습니다. 당사는 이러한 캠페인을 Wagemole(일명 "IT 작업자")이라는 명칭으로 추적하고 있으며, 이는 엔지니어링 직무 자체를 새로운 공격 표면으로 변화시켰습니다. 이를 통해 북한 정권은 수억 달러의 외화 수익을 창출하고 있습니다.
북한의 위협 행위자들은 도난되거나 합성된 신원과 세부적인 기술 포트폴리오를 바탕으로 기존 채용 프로세스를 악용하고 있습니다. 이러한 포트폴리오에는 신원 조작을 통해 확보한 정상적인 추천서와 실제 근무 이력이 포함되어 있어 기본적인 검증 절차를 통과할 가능성이 높습니다.
2024년 인시던트 대응 사례의 약 5%가 내부자 위협과 관련이 있었으며, 그 중 북한과 관련된 사례는 전년 대비 3배 증가했습니다. 이러한 위협에 대한 인식이 높아지면서 이를 탐지하는 고객이 늘어났을 수 있지만, 이러한 위협 행위자들이 계속 활동하고 있다는 점은 중요한 사실입니다.
어떤 분야도 이 위협으로부터 자유로울 수 없습니다. 2024년, 이들은 금융 서비스, 미디어, 소매, 물류, 엔터테인먼트, 통신, IT 서비스, 정부 방위 산업체 등 다양한 분야로 그 활동 영역을 확장했습니다. 대규모 기술 기업은 여전히 주요 공격 목표입니다.
이러한 캠페인은 주로 계약 기반 기술직을 활용하는 조직을 표적으로 삼고 있습니다. 인재 파견 회사는 다음과 같은 이유로 인해 북한의 IT 인력 침투 계획을 무의식적으로 조력하는 역할을 하기도 했습니다.
- 빠른 인력 충원을 위한 검증 절차 간소화
- 제한적인 신원 검증 메커니즘
- 하청 인력 제공업체에 대한 가시성 부족
- 경쟁이 치열한 시장에서 신속한 채용에 대한 압박
북한 요원들이 정규직 자리를 확보한 사례도 있지만, 여전히 가장 많이 활용되는 침투 경로는 계약직 인력입니다.
이들의 기술적 정교함은 점점 발전하고 있습니다. 과거에는 상업용 원격 관리 도구에 의존하는 경우가 많았지만, 최근에는 보다 은밀한 방식으로 전환하는 경향을 보이고 있습니다.
가장 우려되는 것은 하드웨어 기반 KVM-over-IP 솔루션이 증가하고 있다는 점입니다. 이는 표적 시스템의 비디오 및 USB 포트에 직접 연결되는 소형 장치로, 대부분의 엔드포인트 모니터링 도구를 우회할 수 있는 원격 제어 기능을 제공합니다.
또한 합법적인 원격 개발을 위해 설계된 Visual Studio Code 터널링 기능도 지속적 액세스를 유지하기 위한 은밀한 채널로 악용되고 있습니다.
많은 요원들이 실제로 기술적 역량을 보유하고 있다는 점에서 이러한 공격 방식을 탐지하기는 매우 어렵습니다. 이들의 액세스는 정상으로 판단됩니다. 실제로 정상적인 방식으로 액세스하기 때문입니다. 이들은 실제로 할당된 업무를 수행하는 동시에 본래의 목적을 달성하고 있습니다.
공격자가 조직에 내부자로서 침투하면, 불법적으로 급여를 받아 북한 정권을 지원할 뿐 아니라 다양한 악의적 활동에 관여합니다.
-
데이터 유출: 중요 비즈니스 데이터와 내부 문서를 체계적으로 유출합니다. 보안 정책, 취약점 보고서, 인터뷰 가이드를 사용하여 탐지를 피하면서 고객 데이터, 소스 코드, 지적 재산을 표적으로 삼습니다.
-
무단 도구 배포: 원격 관리 및 기타 승인되지 않은 도구를 도입하여 액세스 권한을 유지하거나 추가적인 공격을 준비합니다.
-
소스 코드 변경: 소스 코드 저장소에 접근하여 백도어 코드를 삽입하고, 보다 광범위한 조직의 시스템에 무단으로 액세스하거나 금융 거래를 조작할 수 있습니다.
-
갈취: 일부 사례에서는 공작원이 탈취한 데이터를 악용하여 금전을 요구하고, 독점 정보를 유출하겠다는 위협을 가하며, 이를 실행에 옮기기도 합니다.
-
가짜 추천: 위협 행위자가 자신의 동료를 조직에 추천하여 가짜 IT 직원을 추가로 채용하도록 유도하기도 합니다. 일부 사례에서는 동일한 공격자가 여러 가짜 신원을 사용하여 여러 명의 직원으로 위장한 경우도 있습니다.
북한의 IT 직원 공격은 단순한 수익 창출에서 벗어나 보다 정교한 내부자 위협 전략으로 진화하며 전 세계의 다양한 조직을 대상으로 공격을 확대하고 있습니다. 북한 정권은 이러한 공격에 대한 전략적 투자를 감행하고 있으며, 이는 곧 유사한 접근 방식이 앞으로도 지속될 것임을 시사합니다.
이러한 위협에 대처하기 위해서는 조직의 인력 관리 및 보안 접근 방식을 근본적으로 변화시켜야 합니다.
내부자 위협에 대응하기 위해서는 단순한 기술적 제어뿐 아니라 보안 인식 문화의 정착과 사용자 활동에 대한 적극적 모니터링이 필요합니다. 특히, 높은 권한을 보유한 직원에 대한 철저한 감시가 필수적입니다.
최소 권한 정책을 적용하고 철저한 신원 조회 및 검증을 시행하면 이러한 공격의 가능성을 최소화할 수 있습니다. 또한 비정상적 데이터 전송이나 퇴사를 앞둔 직원의 시스템 액세스와 같은 행동 지표에 세심한 주의를 기울여야 합니다. 이를 위해서는 다양한 데이터 소스의 지표를 종합적으로 분석할 수 있는 능력이 중요합니다. 개별적 행동 자체로는 별다른 문제가 없어 보일 수 있지만, 다른 신호와 조합하면 조사의 필요성이 확인될 수도 있습니다.
궁극적으로, 신뢰와 검증이 균형을 이루어야 합니다. 단 한 건의 내부자 사건이 수년간 쌓아온 조직의 성과를 무너뜨리고, 지적 재산을 위협하며, 기업의 평판에 심각한 타격을 줄 수 있습니다. 내부 프로세스를 강화하고, 권한 액세스를 모니터링하며, 조직 전반에서 보안을 강조하면 내부자 위협에 의한 피해를 줄일 수 있습니다.
트렌드 5. AI 기반 공격의 등장
아직 초기 단계이기는 하지만, GenAI의 악용은 이미 사이버 위협 환경을 변화시키고 있습니다. 공격자들은 AI를 활용하여 더욱 설득력 있는 피싱 캠페인을 제작하고, 멀웨어 개발을 자동화하며, 공격 체인을 통해 신속하게 공격을 진행합니다. 이를 통해 사이버 공격의 탐지가 어려워지고, 공격 속도는 더욱 빨라집니다. 현재로서 GenAI 기반의 공격은 혁명적이라기보다는 점진적인 진화 과정에 가깝지만, 분명한 것은 생성형 AI가 이미 공격 역량을 강화하고 있다는 점입니다.
특히 LLM을 위시한 생성형 AI 도구는 국가 주도의 APT 및 금전적 동기를 가진 사이버 범죄자의 공격을 더욱 간소화하고 강화하는 데 사용되고 있습니다. 이 기술은 기존에 많은 수동 작업이 필요했던 복잡한 작업을 자동화함으로써, 공격 주기 전체를 가속화합니다.
예를 들어, LLM은 매우 정교한 피싱 이메일을 생성하여 실제 기업 커뮤니케이션을 정밀하게 모방할 수 있습니다. 이는 피싱 공격의 성공률을 높이며, 기존의 서명 기반 탐지 시스템으로 탐지하기 어렵습니다. 악의적 그룹들은 이미 정교한 딥페이크 를 제작할 수 있는 도구를 판매하고 있으며, 무료 버전부터 월 249달러 수준의 "엔터프라이즈 플랜"까지 다양한 서비스 모델이 존재합니다.
멀웨어 개발 측면에서도 LLM은 악성 코드를 생성하고 난독화하여 표준적인 탐지 메커니즘을 회피하는 다형성 멀웨어 제작을 지원합니다. 또한, AI를 악용하여 익스플로잇 스크립트를 자동 생성하고 멀웨어 페이로드를 개선할 수 있으므로 기술 수준이 낮은 위협 행위자도 보다 정교한 공격을 수행할 수 있게 되었습니다. 그 결과 잠재적 공격자의 범위가 더욱 늘어났습니다. 뿐만 아니라, AI 기반 도구는 취약점을 식별하고 악용하는 능력을 더욱 향상시킵니다.
AI 기반 공격이 미친 가장 큰 변화로는 사이버 공격의 속도와 효율성이 급격히 증가했다는 점을 들 수 있습니다. 과거 며칠에서 몇 주가 걸리던 작업을 이제 몇 분 만에 실행할 수 있습니다.
이를 테스트하기 위해 Unit 42 연구진은 공격의 각 단계에 GenAI를 통합한 랜섬웨어 공격을 시뮬레이션했습니다. 아래 그림 3은 GenAI 사용 전후의 공격 속도를 비교한 것으로, IR 조사에서 실제로 관찰된 시간 중간값을 벤치마크로 적용했습니다.
AI 사용 전
AI 사용 후
그림 3: AI 기반 기술 적용 전후의 시뮬레이션 공격 속도 차이
실험 결과, 데이터 유출까지 걸리는 시간을 기존의 평균 2일에서 25분으로 단축할 수 있었습니다. 이는 약 100배 빠른 속도에 해당합니다. 이는 실험실 환경에서 수행된 테스트 결과이지만, 정찰 단계에서 익스플로잇 단계까지의 과정이 급속하게 진행될 경우 조직이 제때 대응하여 피해를 줄이기가 훨씬 어려워질 수 있음을 보여줍니다.
다음과 같은 전술은 AI 기반 공격을 방어하는 데 도움이 될 수 있습니다.
-
AI 기반 탐지 시스템을 배포하여 여러 소스의 데이터 간 상관관계를 파악하고 머신의 속도로 악의적 패턴을 발견합니다.
-
직원들을 교육하여 AI가 생성한 피싱, 딥페이크, 표적화된 소셜 엔지니어링 시도를 인식할 수 있도록 합니다.
-
공격 시뮬레이션을 시행합니다. AI 기반 전술을 활용한 모의 훈련을 통해 신속한 대규모 공격에 대비합니다.
-
자동 워크플로를 구축하여 위협이 실제적인 공격으로 발전하거나 데이터가 유출되기 전에 격리할 수 있도록 합니다.
3. 위협 행위자의 공격 전략: 효과적인 공통 전술, 기법, 절차
위협 행위자들의 공격 속도, 규모, 정교함은 지속적으로 향상되고 있습니다. 이로 인해 짧은 시간 안에 광범위한 피해를 초래할 수 있으며, 공격을 탐지하고 효율적으로 대응하기가 더욱 어려워지고 있습니다.
당사는 사례 데이터에서 두 가지 주요 트렌드를 확인했습니다.
위협 행위자들은 동시에 여러 경로를 통해 조직을 공격하는 경우가 많습니다.
조사 결과, 공격자들은 목표를 달성하기 위해 소셜 엔지니어링 기법을 활용한 후 엔드포인트, 클라우드 리소스 등을 공격하는 방식으로 전환하는 경향이 있었습니다(표 2).
| 공격 경로 | 사례 비율 |
|---|---|
| 엔드포인트 | 72% |
| 인적 요소 | 65% |
| ID | 63% |
| 네트워크 | 58% |
| 이메일 | 28% |
| 클라우드 | 27% |
| 애플리케이션 | 21% |
| SecOps | 14% |
| 데이터베이스 | 1% |
표 2: 위협 행위자가 악용하는 것으로 확인된 공격 경로
인시던트의 84%에서는 여러 경로를 통해 피해 조직을 공격했으며, 70%의 경우 3개 이상의 경로를 동시에 활용했습니다. 당사가 대응한 일부 인시던트에서는 무려 8개의 경로에서 동시 공격이 이루어졌습니다.
공격의 복잡성이 증가함에 따라 모든 데이터 소스에 대한 통합적 시각이 중요해지고 있습니다. 대응 사례의 85%에서 Unit 42 인시던트 대응팀은 조사를 완료하기 위해 다양한 유형의 데이터 소스에 액세스해야 했으며, 이를 위해서는 조직 전반의 다양한 소스에서 정보에 액세스하고 이를 효율적으로 처리할 수 있도록 준비해야 합니다.
브라우저는 위협이 유입되는 주요 통로입니다.
조사한 보안 인시던트의 거의 절반(44%)에서 직원이 사용하는 브라우저를 통해 악성 활동이 시작되었거나 촉진되었습니다. 여기에는 피싱, URL 리디렉션 악용, 멀웨어 다운로드 등이 포함되며, 이러한 공격은 탐지되거나 차단되지 않은 채 브라우저 세션을 악용했습니다.
사용자가 악성 링크를 클릭하거나, 악성 도메인 및 파일과 상호작용하는 과정에서 보안 통제가 부족하면 쉽게 침해로 이어질 수 있습니다. 조직은 가시성을 개선하고 브라우저 수준에서 강력한 보안 정책을 적용하여 위협이 확산되기 전에 탐지하고 차단할 수 있도록 해야 합니다.
다음 섹션에서는 침입과 관련된 관찰 결과 및 Unit 42의 사례 데이터에서 수집된 일반적 공격 기법에 대한 인사이트를 다룹니다.
3.1. 침입: 확산되며 표적화되는 소셜 엔지니어링 공격
2024년, 피싱은 Unit 42 분석 사례에서 다시금 가장 흔한 최초 액세스 경로로 등장했으며, 그림 4에서 확인할 수 있는 바와 같이 전체 인시던트 중 23%가 피싱을 통해 시작되었습니다.
그림 4: 수년간 Unit 42 대응 인시던트에서 관찰된 최초 액세스 경로. 기타 소셜 엔지니어링 공격 방식에는 SEO 포이즈닝, 악성 광고, 스미싱, MFA 폭탄 공격, 지원 센터 침해 등이 포함됩니다. 그 외의 최초 액세스 경로로는 신뢰할 수 있는 관계자 또는 도구를 악용하는 방법과 내부자 위협이 있습니다.
최초 액세스 벡터만으로는 전체 상황을 파악하기 어렵습니다. 각각의 액세스 벡터는 위협 행위자의 프로파일과 목표에 따라 다르게 나타납니다. 예를 들어, 위협 행위자가 피싱을 통해 접근한 경우 많은 사례에서 비즈니스 이메일 침해 공격이 이루어졌으며(76%), 랜섬웨어와 같은 갈취 공격이 그 뒤를 이었습니다(9%).
전체 인시던트에서 차지하는 비중은 작지만 심각한 피해를 끼치는 국가 주도의 위협 행위자들은 최초 액세스 벡터로 소프트웨어 및 API 취약점을 선호하는 경향이 있습니다.
이에 대응하기 위해서는 위협 행위자가 이전에 유출된 자격 증명을 악용하는 빈도가 아주 높다는 것을 인식해야 합니다. 이들은 주로 최초 액세스 브로커로부터 자격 증명을 구매합니다. 다크웹과 딥웹을 검색하면 앞서 유출된 자격 증명을 발견할 수 있는 경우도 많습니다.
보다 일반적이지 않은 최초 액세스 벡터 중 일부는 심각한 침해를 초래할 수 있습니다. 예를 들어, Unit 42는 사이버 범죄 조직 Muddled Libra가 소셜 엔지니어링 공격으로 지원 센터를 속여 조직에 액세스하는 사례를 지속적으로 관찰하고 있습니다. 이러한 기법을 사용하는 또 다른 사례로, 금전적 의도를 가진 나이지리아 기반의 위협 행위자를 들 수 있습니다.
이들은 멀웨어를 사용하지 않고, 위조된 신분증이나 VoIP 전화번호를 활용하여 피해자가 있는 도시에서 전화하는 것처럼 조작하여 사기를 실행합니다. 2022년에는 전체 인시던트의 6%가 표적화된 공격이었으나, 2024년에는 13%로 증가하였습니다.
대응 전략: 소셜 엔지니어링 공격에 대한 방어
방어자는 흔히 사용되는 초기 액세스 벡터에 대비하고, 실제로 시스템에 접근한 위협 행위자의 영향을 최소화하기 위해 심층 방어 전략을 지속적으로 활용해야 합니다.
직원들이 소셜 엔지니어링 공격에 속지 않도록 하기 위한 보안 교육은 필수입니다. 교육은 피싱과 스피어 피싱을 넘어서는 방식으로 진행되어야 하며, 다음과 같은 사항이 포함되어야 합니다.
- 물리적 보안 개선 전략(예: 무단 동반 입장 방지)
- 디바이스 분실 방지를 위한 모범 사례
- 기기 도난 또는 방치 시 대처 방안
- 내부자 위협 지표
- 지원 센터 통화 시 주의가 필요한 위험 신호
- 딥페이크의 징후
3.2. Unit 42 사례 데이터에 기반한 공격 기법 인사이트
2024년 관찰된 가장 정교한 공격 전술과 기법을 바탕으로, 당사의 위협 인텔리전스 애널리스트는 방어자를 위한 세 가지 핵심 인사이트를 도출했습니다.
- 공격자에게는 모든 유형의 액세스가 도움이 될 수 있습니다. 위협 그룹이 다른 표적에 집중하는 것처럼 보일지라도, 조직은 이에 대비할 필요가 있습니다.
- 지능형 위협 행위자가 언제나 복잡한 공격을 사용하는 것은 아닙니다. 보다 간단한 접근 방식이 효과가 있다면, 그 방식을 사용할 것입니다.
- 갈취 공격이 빈번하게 발생하고 있지만, 모든 위협 행위자가 존재를 드러내는 것은 아닙니다. 예를 들어, 국가 주도의 위협 행위자들은 특히 "리빙 오프 더 랜드(Living off the land)" 기법을 통해 침해된 네트워크에 머무르는 전략에 능합니다.
다음 섹션에서는 국가 주도의 위협 그룹 및 기타 동기를 가진 공격자들이 사용하는 기법에 대해 자세히 알아봅니다.
많은 조직이 특정 위협 그룹은 자신과 무관하다고 판단하고 보안의 우선순위에서 제외하는 경우가 있습니다. 하지만 많은 공격자가 지속적으로 활동하며 최종 목표에 도달하기 위한 경로상에 있는 다양한 조직을 침해하는 경향을 보여주고 있습니다.
2024년 내내, Unit 42는 국가 주도의 공격 사례를 여럿 추적했습니다. 이러한 공격이 언제나 직접적 스파이 활동을 목표로 하는 것은 아닙니다. 경우에 따라 이들은 장치를 장악하여 향후 공격을 지원하는 방식으로 활동하기도 합니다(T1584 - 인프라 침해).
예를 들어, Insidious Taurus(Volt Typhoon)는 인터넷에 연결된 네트워크 라우터, IoT 자산과 같은 디바이스를 기회적으로 악용하여 봇넷으로 구성하고 추가 피해자에게 프록시 C2(Command and Control) 네트워크 트래픽을 전달했습니다.
또한, 기술 공급업체를 표적으로 삼아 고객의 중요 정보를 수집하거나 상호 연결된 시스템을 악용하여 2차 피해를 노리는 방식도 관찰되었습니다(T1199 - 신뢰할 수 있는 관계).
조직의 네트워크가 직접적인 공격 대상이 아니더라도, 여전히 공격에 노출될 위험이 있습니다.
"지능형 지속 위협"이라는 용어는 모든 공격 활동이 새롭고 복잡하리라는 착각을 불러일으킵니다. 하지만 실제로는 많은 리소스를 갖춘 공격자들도 가장 저항이 적은 경로를 선택하는 경우가 많습니다. 알려진 취약점(심지어 오래된 취약점)을 악용하거나(T1190 - 공용 애플리케이션 익스플로잇), 정상적인 원격 액세스 기능을 단순히 악용하거나(T1133 - 외부 원격 서비스), 널리 사용되는 기존 온라인 서비스를 사용하여 정보를 탈취하는 것(T1567 - 웹 서비스를 통한 탈취)이 이에 포함됩니다.
구성 오류나 인터넷에 노출된 디바이스 등 네트워크 전반에 걸쳐 반복되는 구조적 문제와 실수가 자주 목격되고 있으며, 이러한 요소는 공격자의 장벽을 더욱 낮추는 원인이 됩니다.
대부분의 인시던트는 금전적 동기를 가진 위협 행위자들과 관련이 있으며, 이들은 갈취를 목적으로 신속하게 움직이며 자신의 존재를 드러내는 경우가 많습니다. 그러나 스파이 활동과 같은 목적으로 알림이 트리거되지 않도록 조심하며 방어 메커니즘을 회피하는 공격자도 있습니다.
공격자들은 네트워크의 복잡성을 악용하여 일반적인 사용자 활동의 "소음" 속에 숨는 전략을 사용하기도 합니다. 이 과정에서 침해된 환경의 정상 기능을 악용하는 "리빙 오프 더 랜드(Living off the land)" 기법을 활용합니다. 이러한 접근 방식의 경우 정상 활동과 악성 활동을 구분하는 것이 매우 어렵습니다. 이는 보안 담당자가 지속적으로 마주하는 과제 중 하나입니다.
흔히 발생하는 실제 사례로, 아래와 같은 활동을 관찰했을 때 이것이 시스템 관리자에 의한 것인지, 아니면 APT에 의한 것인지 즉시 구분할 수 있을까요?
- 실행된 명령어
- 시스템 구성 변경
- 로그인
- 네트워크 트래픽
| 기법 | 2024 트렌드 |
|---|---|
| T1078 - 유효한 계정 |
이 기법은 최초 액세스 벡터로 가장 많이 악용된 기법 중 하나였으며, 이와 관련된 전술에서 관찰된 유사한 기법 중 40% 이상을 차지하였습니다. 이러한 접근 방식은 ID 및 액세스 관리와 공격 표면 관리(ASM)의 취약점을 이용하여 이루어지는 경우가 많습니다.
|
| T1059 - 명령 및 스크립팅 해석기 |
이는 가장 많이 관찰된 실행 전술이며, 관련 사례의 61% 이상이 이런 방식으로 PowerShell을 악용했습니다. 시스템 유틸리티를 악용한 다른 주요 사례로는 네이티브 Windows, Unix, 네트워크 디바이스 및 특정 애플리케이션 셸이 있습니다. |
| T1021 - 원격 서비스 |
이 기법은 내부망 이동 단계에서 가장 빈번하게 관찰되었으며, 관련 사례의 86% 이상이 원격 서비스를 악용하는 방식으로 실행되었습니다. 이는 합법적 자격 증명의 재사용을 통한 공격이 확산되고 있음을 시사합니다. 이러한 자격 증명을 전통적인 용도로 활용하는 대신 RDP(48% 이상), SMB(27% 이상), SSH(9% 이상) 등 내부 네트워크 프로토콜을 통한 인증에 사용하는 것을 확인할 수 있습니다. |
표 3: Unit 42 IR 사례에서 관찰된 주요 리빙 오프 더 랜드(Living off the land) 기법
리빙 오프 더 랜드(Living off the land) 기법과 더불어, 특히 랜섬웨어 공격과 관련된 위협 행위자들이 EDR 비활성화 도구를 사용하여 "환경을 변경"하고자 하는 시도도 확인되었습니다. 방어 회피와 유사한 기법의 약 30%는 T1562 - 방어 무력화 기법과 연관되어 있었습니다. 여기에는 다음과 같은 하위 기법이 포함됩니다.
많은 기법이 존재하지만, 최근에는 위협 행위자들이 BYOVD(Bring Your Own Vulnerable Driver) 기법을 악용하는 사례가 증가하고 있습니다. 이 기법을 사용하여 필요한 권한을 획득한 후, 침해된 호스트에 설치된 EDR 및 기타 방어 보호 기능을 우회하고 공격하는 것입니다. 관련 기법은 다음과 같습니다.
대응 전략: 효과적인 일반 TTP에 대한 방어
방어자는 조직 내부 및 외부의 공격 표면을 명확하게 파악하고 관리해야 합니다. 공개 인터넷에서 액세스 가능하거나 그에 노출된 데이터와 디바이스를 주기적으로 평가하고, 위험한 원격 액세스 설정 및 구성 오류를 최소화해야 합니다. 정기적 보안 업데이트가 지원되지 않는 운영 체제에서 실행되는 시스템을 제거하고, 특히 공개된 PoC 코드가 있는 시스템을 비롯하여 구버전을 포함한 시스템의 취약점을 파악해야 합니다.
조직 환경에 대해 실행 가능한 기준선을 구축하여 계정, 소프트웨어/애플리케이션, 기타 승인된 활동을 관리해야 합니다. 강력한 로깅을 구현하고, 여러 데이터 소스 간 상관관계를 신속하게 파악하는 분석 도구를 활용하여 비정상적 행동 패턴을 탐지할 수 있도록 해야 합니다.
4. 방어자를 위한 권장 사항
이 섹션에서는 공격자가 가장 빈번하게 악용하는 시스템적 문제와 이에 대응하기 위한 전략을 중점적으로 살펴봅니다. 이러한 문제를 사전에 해결하면 사이버 리스크를 크게 줄이고, 복원력을 강화하며, 현재와 미래의 위협에 대해 결정적인 우위를 확보할 수 있습니다.
4.1. 일반적 기여 요인
공격이 반복적으로 성공하는 데 기여하는 시스템적 문제를 일반적 기여 요인이라고 합니다. 이러한 요소들을 선제적으로 해결하면 사이버 공격의 가능성과 피해 규모를 모두 줄일 수 있습니다.
수천 건의 인시던트를 바탕으로 당사는 복잡성, 부족한 가시성, 과도한 신뢰의 세 가지 주요 요인을 확인할 수 있었습니다. 이러한 요소는 최초 액세스를 허용하고, 위협이 탐지되지 않은 채 확산되도록 하며, 전반적인 피해 규모를 증폭시킵니다. 이러한 문제를 중점적으로 해결하면 방어력을 크게 강화하고 복원력을 향상시킬 수 있습니다.
오늘날의 IT 및 보안 환경은 레거시 애플리케이션, 임시로 추가된 인프라, 불완전한 혁신 이니셔티브가 혼합된 복잡한 구조를 띠고 있습니다. 그 결과 50가지가 넘는 이질적인 보안 도구를 사용하는 조직도 많습니다. 그러나 이러한 도구들은 각기 개별적인 위협을 해결하기 위해 도입된 경우가 많으며, 상호 연관성이 부족해 보안팀이 전체 환경을 통합적으로 파악하고 관리하기 어렵습니다.
당사가 조사한 인시던트의 75%에서, 로그를 통해 최초 침입의 중요한 증거를 확인할 수 있었습니다. 하지만 단절된 시스템의 복잡성 때문에 이 정보를 손쉽게 파악하거나 효과적으로 활용할 수 없었고, 공격자는 이러한 상황을 악용하여 탐지를 회피할 수 있었습니다.
동시에, 효과적으로 탐지하고 대응하기 위해서는 여러 데이터 소스가 필요합니다. 인시던트의 약 85%에서는 종합적 범위와 영향을 온전하게 파악하기 위해 여러 소스의 데이터 간 연관관계를 분석해야 했습니다. 약 절반의 경우(46%) 4개 이상의 소스의 데이터를 상호 연결해야 했습니다. 이들 시스템의 연계가 부족하거나 원격 분석 정보가 불완전할 경우, 중요한 단서를 놓쳐 결국 심각한 피해가 발생할 수 있습니다.
대표적 사례:
한 랜섬웨어 공격 사례에서, 엔드포인트 탐지 및 대응(EDR) 시스템은 내부망 이동을 포착했지만, 초기 침입 경로는 모니터링 대상이 아닌 네트워크 로그에 묻혀 있었습니다. 이와 같이 단절된 가시성 때문에 탐지가 늦어졌으며, 공격자는 충분한 시간을 확보하여 데이터를 유출하고 랜섬웨어 페이로드를 배포할 수 있었습니다.
조직 전반에 대한 가시성은 효과적인 보안 운영의 핵심이지만, 여전히 부족한 부분이 많습니다. 특히 클라우드 서비스는 큰 도전 과제입니다. Unit 42의 조사 결과에 따르면 많은 조직이 매달 평균 300개의 새로운 클라우드 서비스를 생성합니다. 런타임 가시성이 부족할 경우 SecOps팀은 노출 상태나 공격 여부를 인지할 수 없습니다. 모니터링 대상이 아닌 비관리 자산(예: 엔드포인트, 애플리케이션, 섀도우 IT)은 조직 환경에 대해 손쉬운 침입 경로가 됩니다.
실제로, 보안 도구 및 관리의 문제는 전체 인시던트의 약 40%에서 주요 원인으로 작용했습니다. 공격자는 부족한 가시성 덕분에 탐지되지 않은 채 네트워크에 침입하고, 내부망 이동을 통해 권한을 상승시킬 수 있었던 것입니다.
대표적 사례:
한 인시던트에서, Muddled Libra는 권한을 보유한 사용자 계정을 악용하여 클라이언트의 AWS 환경에서 데이터 탈취를 위한 권한을 확보했습니다. 그러나 해당 클라우드 서비스가 조직의 SOC 또는 SIEM 시스템과 연동되지 않았기 때문에 이상 징후를 초기에 탐지하지 못했습니다.
과도한 권한의 액세스는 위험합니다. 당사가 대응한 인시던트에서, 공격자들은 과도한 권한이 부여된 계정과 부적절한 액세스 제어를 지속적으로 악용하여 공격을 확장했습니다.
실제로, 전체 인시던트의 41%에서 ID 및 액세스 관리와 관련된 문제가 하나 이상 존재했으며, 여기에는 과도한 권한이 부여된 계정과 역할도 포함되어 있었습니다. 이로 인해 내부망 이동이나 중요 정보 및 애플리케이션에 대한 액세스가 가능해져 공격 성공 가능성이 높아집니다.
이 부분에서도 클라우드 환경은 특히 취약한 영역입니다. Unit 42 연구진은 클라우드 관련 인시던트의 거의 절반에서 ID 및 액세스 관리와 관련된 문제를 하나 이상 발견했으며, 여기에는 과도한 권한이 부여된 계정과 역할도 포함되어 있었습니다.
공격자는 침해한 계정의 역할에 비해 지나치게 많은 액세스를 확보할 수 있었고, 피싱, 자격 증명 도용, 취약점 악용 등으로 최초 액세스를 확보한 후 과도한 신뢰 구조를 악용해 빠르게 권한을 상승시키고, 데이터를 유출하며, 운영을 방해하는 공격을 감행했습니다.
대표적 사례:
한 IT 서비스 회사의 사례에서, 공격자는 다단계 인증이 설정되지 않은 VPN에 무차별 암호 대입 공격을 감행한 후 과도한 권한을 가진 관리자 계정을 악용해 내부망 이동을 하고 권한을 상승시켰습니다. 과도한 신뢰 구조로 인해 공격자는 700대의 ESXI 서버에 랜섬웨어를 배포할 수 있었으며, 결국 회사의 핵심 비즈니스 운영이 중단되고 9,000개 이상의 시스템에 영향을 미쳤습니다.
4.2. 방어자를 위한 권장 사항
복잡성, 가시성 부족, 과도한 신뢰라는 구조적 문제를 해결하면 사이버 공격의 리스크와 피해 규모를 크게 줄일 수 있습니다. 이를 통해 가동 중단 시간과 비용이 많이 드는 침해 문제를 방지할 수 있으며, 운영 연속성과 이해관계자의 신뢰를 확보할 수 있습니다. 다음은 이러한 구조적 문제를 정면으로 해결하기 위해 권장되는 전략입니다.
5. 부록: MITRE ATT&CK® 기법(전술, 조사 유형, 기타 사례 데이터)
5.1 관찰된 MITRE ATT&CK 기법 개요, 전술 기준
아래 차트(그림 5-16)는 특정 전술과 관련하여 관찰된 MITRE ATT&CK® 기법을 보여줍니다. 표시된 백분율은 각 전술과 관련하여 파악된 다른 기법과 비교하여 각 기법이 관찰된 빈도를 나타냅니다. 이 비율은 실제 사례에서 기법이 확인된 빈도를 나타내지 않습니다.
- 최초 액세스
- 검색
- 실행
- 지속성
- 권한 에스컬레이션
- 방어 회피
- 자격 증명 액세스
- 내부망 이동
- 수집
- C2(Command and Control)
- 유출
- 영향
그림 5: 최초 액세스 전술과 관련하여 관찰된 기법의 상대적 출현 빈도
5.2. 지역 및 산업별 데이터
2024년, 당사가 수행한 가장 일반적인 조사 유형은 네트워크 침입이었습니다(전체의 약 25%). 이러한 조사 유형이 많이 나타나는 것은 긍정적인 신호입니다. 이 유형은 관찰된 유일한 악의적 활동이 네트워크 침입인 경우 사용되기 때문입니다. 이러한 조사 유형이 증가했다는 것은 일부 사례에서 고객이 공격 체인의 초기 단계에 당사에게 연락을 취했으며, 공격자가 다른 목표를 달성하기 전에 공격을 차단할 수 있었음을 의미합니다.
모든 산업과 지역의 방어자들이 공통적인 우려를 가지고 있지만, 지역 및 산업별로 다소의 차이가 나타났습니다.
북미에서는 네트워크 침입(23%)이 가장 많았고, 비즈니스 이메일 침해(19%)가 그 뒤를 이었습니다. EMEA 지역에서는 암호화 여부를 불문하고 모든 유형의 갈취를 고려할 경우, 갈취(31%)가 네트워크 침입(30%)을 약간 앞섰습니다.
산업별 데이터를 보면 갈취가 얼마나 심각한 문제인지 분명히 드러납니다. 첨단 기술 산업에서도 암호화 여부와 무관하게 가장 많이 조사된 유형은 갈취(22%)였습니다. 이는 제조업의 경우도 마찬가지였으며(25%), 제조업은 랜섬웨어 그룹의 다크웹 유출 사이트에 가장 자주 언급되었습니다.
비즈니스 이메일 침해는 특히 금융 서비스(25%), 전문 및 법률 서비스(23%), 도매 및 소매업(21%) 부문에서 상당한 위협으로 남아 있습니다.
조직의 클라우드 서비스와 관련되거나 영향을 미친 사례가 상당한 비율을 차지했으며, 이를 차치하더라도, 클라우드 제어 플레인 또는 데이터 플레인 침해에 중점을 둔 사례도 소수지만 점차 증가하는 추세를 보이고 있습니다. 이 수치는 전체의 4%를 차지하지만, 첨단 기술(9%) 및 전문 및 법률 서비스(9%) 분야에서는 그 비중이 더 높았습니다. 이러한 클라우드 중심 공격은 상당한 영향을 미칠 수 있습니다. 클라우드 제어 플레인이 공격당할 경우 조직의 전체 클라우드 인프라가 노출될 수 있으며, 일반적으로 클라우드에 저장되는 데이터의 유형과 범위를 고려할 때 데이터 플레인에 대한 공격이 성공할 경우 대량의 중요 데이터가 유출될 위험이 있습니다.
지역별 조사 유형
- 북미
- 유럽, 중동 및 아프리카
그림 17: 지역별 조사 유형 - 북미
산업별 조사 유형
그림 19-24는 당사의 인시던트 대응 데이터에서 가장 많이 나타난 6개 산업군과 관련된 주요 조사 유형의 분포를 나타냅니다.
- 첨단 기술
- 전문 및 법률 서비스
- 제조
- 도매 및 소매
- 금융 서비스
- 의료
그림 19: 산업별 조사 유형 - 첨단 기술
6. 데이터 및 방법론
이 보고서의 데이터는 2023년 10월부터 2024년 12월까지 Unit 42가 대응한 500건 이상의 사건과, 2021년까지 거슬러 올라가는 기타 사례 데이터를 기반으로 수집되었습니다.
당사의 고객은 50명 미만의 소규모 조직부터 Fortune 500대 기업과 글로벌 2,000대 기업, 그리고 10만 명 이상의 직원을 보유한 정부 기관에 이르기까지 다양합니다.
피해 조직의 본사는 38개국에 분포해 있습니다. 전체 사건 중 약 80%는 미국에 본사를 둔 조직에서 발생했으며, 나머지 20%는 유럽, 중동, 아시아 태평양 지역 기반의 조직에서 발생했습니다. 공격의 영향은 조직의 본사가 위치한 지역 너머로 미치기도 합니다.
당사는 이 사례 데이터를 제품 원격 분석과 다크웹 유출 사이트 관찰, 기타 오픈 소스 데이터를 기반으로 한 위협 연구의 인사이트와 결합했습니다.
또한 인시던트 대응 담당자는 고객과 직접 협력하며 관찰한 주요 트렌드에 대한 의견을 공유했습니다.
데이터의 특성에 영향을 미칠 수 있는 요소가 여럿 있는데, 일례로 보안 체계가 보다 성숙한 대규모 조직과의 협력이 증가하는 추세가 반영되어 있을 수 있습니다. 일부 주제의 경우 부각되는 트렌드를 조명하기 위해 소규모 세그먼트에 초점을 맞추기도 했습니다.
또한, 특정 요소가 결과를 왜곡할 수 있다고 판단한 경우, 데이터를 필터링했습니다. 예를 들어, CVE-2024-3400의 잠재적 영향을 조사하기 위해 제공한 인시던트 대응 서비스로 인해 해당 취약점이 데이터 세트에서 과대하게 표현된 부분을 수정하였습니다.
당사의 핵심 원칙은 독자 여러분께 현재와 미래의 위협 환경에 대한 인사이트를 제공하여 방어력을 강화할 수 있도록 도와드리는 것이었습니다.