구글 클라우드가 ‘맨디언트 M-트렌드 2025(Mandiant M-Trends 2025) (https://services.google.com/fh/files/misc/m-trends-2025-en.pdf?mkt_tok=ODA4LUdKVy0zMTQAAAGaUZFUqXNPHC0YiNVX7nG0N9eua0osH3M4BmiEc63mP1t05zyEbcQJbut-IpvM7s2RIy2WekfRFuK2ZlveI_FtMZZ1HF80ppmzRuu5to9f_chdxIRUvDc)’ 보고서를 공개하고 지난 1년간 추적한 글로벌 사이버 위협 트렌드와 인사이트를 공유했다.
M-트렌드는 맨디언트 컨설팅(Mandiant Consulting) 전담팀이 발간하는 연례 보고서로, 한 해 동안 전 세계에서 발생한 사이버 위협 동향을 심층 분석하고 기업이 효과적으로 대응하기 위한 전략을 제시한다. 올해로 16회를 맞은 M-트렌드 2025 보고서는 2024년 1월 1일부터 2024년 12월 31일 사이 발생한 표적 공격 활동에 대해 맨디언트 컨설팅이 조사한 결과를 기반으로 하며, 전 세계 45만 시간의 침해 사고 대응 활동에서 수집한 데이터를 분석했다.
보고서에 따르면 공격자들이 목표 달성을 위해 다양한 공격 기회를 적극적으로 모색하면서 탈취한 자격 증명을 활용해 시스템에 침입하는 인포스틸러 악성코드(infostealer malware) 공격이 증가하고 있는 것으로 나타났다. 또한 공격자들은 클라우드 전환 과정에서 발생하는 보안 취약점을 공략하거나 안전하지 않은 데이터 저장소를 공격해 자격 증명 및 중요 정보를 탈취하는 등 다양한 방식으로 공격 기회를 포착하고 있다.
또한 2024년 침해 사고 대응 조사 결과, 가장 빈번하게 악용된 취약점은 네트워크 경계(edge)에 위치한 보안 장비였다. 주요 네트워크 취약점 중 상당수는 최초 공격 시점에서 아직 패치가 발표되지 않은 제로데이(zero-day)를 악용한 것으로 밝혀졌다. 맨디언트는 최근 광범위한 위협 행위자들이 에지 장비를 노리고 있는 가운데, 특히 러시아 및 중국 정부와 연계된 것으로 추정되는 사이버 첩보 조직들의 공격 시도가 눈에 띄게 증가했다고 분석했다.
심영섭 구글 클라우드 맨디언트 컨설팅 한국 및 일본 지역 총괄은 “올해 M-트렌드 보고서의 조사 결과는 한국을 포함한 아시아태평양 및 일본 지역 조직 전반에 시사하는 바가 크다. 초기 감염 경로로 취약점이 악용된 비율이 전 세계 평균의 두 배에 달하고, 침해 사고의 70%가량이 외부 기관에 의해 탐지됐다는 사실은 조직 내부의 보안 가시성과 대응 역량의 지속적 개선이 필요하다는 점을 보여준다”고 설명하며 “특히 제로데이 취약점을 이용한 에지 장비 공격은 신속한 탐지 및 대응을 어렵게 만드는 만큼 알려지지 않은 위협에 대한 선제적인 방어 전략 수립이 시급하다. 위협 행위자들이 끊임없이 기존 보안 체계에 적응하고 진화하듯 우리의 방어 체계 또한 그래야 한다”고 강조했다.
오진석 구글 클라우드 코리아 시큐리티 기술 총괄은 “금전적 동기를 가진 위협이 더욱 정교해짐에 따라 기업은 선제적인 위협 인텔리전스와 빠른 탐지 능력을 확보해 강력한 보안 태세를 구축해야 한다”며 “구글 클라우드는 구글의 위협 인텔리전스와 보안 운영, 맨디언트의 전문성을 결합한 구글 통합 보안 플랫폼(Google Unified Security)으로 보안 데이터 패브릭과 AI 기능을 제공한다. 구글 클라우드와 함께 국내 기업이 보다 효과적으로 위협을 탐지하고 한층 강화된 보안 환경을 구현할 수 있기를 바란다”고 덧붙였다.
2024년 주요 조사 통계
2024년에 탐지된 위협 그룹의 과반수 이상이 금전적 동기(55%)를 가지고 있었으며, 2022년(48%) 및 2023년(52%) 수치에서 꾸준히 증가하고 있는 것으로 나타났다. 간첩 활동을 목적으로 한 위협 그룹의 비중(8%)은 전년(10%) 대비 소폭 감소했다.
2024년 가장 많이 표적이 된 산업은 금융 서비스로, 전체 조사의 17.4%를 차지했다. 비즈니스 및 전문 서비스(11.1%), 첨단 기술(10.6%), 정부(9.5%), 의료(9.3%)가 그 뒤를 이으며 지난 연도와 대체로 유사한 양상을 보였다.
2024년 발생한 사이버 공격의 가장 흔한 초기 감염 경로는 5년 연속 취약점 공격(33%)으로 나타났다. 자격 증명 탈취(16%)는 이번 조사 항목에서 처음으로 2위까지 오르며 해당 유형의 공격이 점점 증가하고 있음을 시사했다. 나머지 상위 5가지 감염 경로에는 이메일 피싱(14%), 웹사이트 침해(9%), 이전 침해 사례(8%)가 뒤따랐다.
아시아태평양 및 일본(JAPAC) 지역의 경우에도 글로벌 추세와 동일하게 취약점 공격(64%)이 가장 흔한 초기 감염 경로로 나타났으며, 그 뒤로 자격 증명 탈취(14%), 웹사이트 침해(7%)가 자리했다.
조직이 악의적인 활동을 처음 인지한 경로의 57%는 외부 기관을 통해서였으며, 43%는 조직 내부적으로 파악한 것으로 나타났다. 외부 기관을 통해 침해 사실을 통지받은 경우 43%는 법 집행 기관이나 사이버 보안 업체와 같은 주체로부터, 14%는 공격자로부터 몸값을 요구하는 랜섬 노트의 형태로 통보받은 것으로 밝혀졌다. 특히 랜섬웨어 공격 사례에서는 공격자가 침해 사실을 통보한 경우가 49%를 차지했다.
JAPAC 지역의 경우 조직의 69%가 외부 기관으로부터 통지받았으며, 31%가 조직 내부적으로 파악했다. 69% 중 공격자로부터 통보받은 경우는 12%에 해당했는데, 랜섬웨어 공격 사례에서는 글로벌 추세와 마찬가지로 해당 비중이 33%로 훨씬 더 높았다.
조직이 공격을 탐지하기 전까지 공격자가 침해된 환경에 머무른 기간을 의미하는 드웰 타임(dwell time)의 글로벌 중앙값은 11일로, 2023년(10일)보다 1일 연장됐다. 하지만 2022년(16일) 대비 여전히 낮은 수치였으며, 연도별 글로벌 추세를 살펴봤을 때 장기적으로 드웰 타임은 크게 감소하고 있는 것으로 드러났다.
글로벌 드웰 타임 중앙값은 외부 기관이 침해 사실을 통보한 경우 26일, 공격자가 통보한 경우 5일, 조직이 내부적으로 파악한 경우 10일로 나타났다. 공격자 통보 시 드웰 타임 중앙값이 크게 줄어드는 이유는 갈취형 공격자들이 침입 후 빠르게 금전적 이득 확보를 추구하기 때문인 것으로 판단된다.
JAPAC 지역의 드웰 타임 중앙값은 6일이었으며, 외부 기관이 침해 사실을 통보한 경우 10일, 조직이 내부적으로 파악한 경우 6일로, 글로벌 대비 전반적으로 드웰 타임이 짧은 것으로 나타났다. JAPAC 지역의 드웰 타임 분포도는 장기간에 걸친 침해 사고의 수가 매년 점진적으로 감소하고 있음을 보여준다. 실제로 JAPAC 지역에서 발생한 공격의 절반 이상(51.2%)이 침해 후 7일 이내에 파악됐으며, 해당 수치는 최근 몇 년간 꾸준히 개선되고 있다.
2024년 조사에서 관찰된 205개의 멀웨어 유형 중 35%는 백도어(backdoor)였으며, 14%는 랜섬웨어(ransomware), 8%는 드로퍼(dropper), 7%는 다운로더(downloader), 6%는 터널러(tunneler), 5%는 자격 증명 탈취 도구인 것으로 나타났다. 이러한 결과는 이전 연도와 대체로 일치하며, 일반적으로 전통적인 멀웨어를 사용하지 않고 공격자가 기존 시스템에 설치된 합법적인 도구나 기능을 악용하는 LOTL (Living off the Land) 기법 또한 계속해서 발견되고 있다.
기업 시스템을 위협하는 인포스틸러 악성코드
자격 증명, 브라우저 데이터 등 민감한 정보를 탈취하는 인포스틸러 악성코드가 증가하면서 기업의 침해 위험이 고조되고 있다. 위협 행위자들은 인포스틸러 로그에서 탈취한 자격 증명을 이용해 시스템에 초기 침투하며, 이는 데이터 탈취, 갈취 등 심각한 위협 활동으로 이어지는 주요 원인으로 분석된다. 특히 업무용 개인 기기와 협력 업체 시스템의 경우 인포스틸러 악성코드가 감염된 개인 시스템이나 동기화된 브라우저를 통해 기업의 자격 증명을 탈취할 수 있어 각별한 주의가 요구된다.
북한 IT 인력으로 인한 내부자 위협
북한은 자국민을 원격 IT 계약 인력으로 파견해 외화 수익 및 정권 자금을 확보하는 활동을 지속 중이다. 북한 IT 인력은 탈취하거나 날조한 신원, 허위 경력 및 서류를 이용해 미국과 유럽의 기술 기업에서 고임금 일자리를 얻고 있다. 채용 이후 가상사설망(VPN)과 현지 조력자를 통해 실제 위치를 숨기고, 기업 시스템에 대한 접근 권한을 유지하며, 정상적인 네트워크 트래픽에 섞여 탐지를 회피하는 수법을 사용 중인 것으로 분석된다.
클라우드 및 SaaS 환경의 데이터 탈취 공격 증가
공격자들은 광범위한 접근 권한을 확보하기 위해 온프레미스(on-premise) 네트워크 대신 통합 인증(SSO) 포털과 같은 중앙 집중식 권한의 클라우드 기반 저장소를 주요 공격 대상으로 삼고 있는 것으로 나타났다. SaaS 환경에서 고유 권한 사용자를 대상으로 한 소셜 엔지니어링 수법이 빈번하게 사용되며, 특히 공격자들은 온프레미스와 클라우드 자원을 결합한 하이브리드 방식을 사용해 악의적인 활동을 정상 트래픽과 혼합해 탐지를 회피하고 있는 것으로 확인됐다. 클라우드 환경의 책임 공유(shared responsibility) 모델에 대한 조직의 이해 부족으로 발생하는 위험 악용 사례 또한 증가 중이다.
클라우드 환경의 주요 공격 요인
위협 행위자들이 클라우드 환경에 접근하기 위해 기존의 클라우드 경계를 넘어 구성 오류(misconfigurations)를 악용하는 사례가 증가하고 있다. 클라우드 침해를 성공시키는 세 가지 주요 요인으로는 △보안 정책이 충분히 고도화되지 않은 ID 솔루션 △보안이 미흡한 온프레미스 통합 환경 △확장된 클라우드 공격 표면에 대한 가시성 부족 등이 있다. 보안이 미흡한 통합 환경에서 공격자들은 두 환경을 수직적으로 이동하며 클라우드 보안 제어를 우회할 수 있다. 또한 클라우드 공격 표면은 네트워크 노출뿐만 아니라 데이터 수집, 자격 증명 확산, 공개적으로 노출된 리소스 등 다양한 요소로 확장되므로 기업은 확장된 공격 표면을 선제적으로 식별하고 축소하기 위한 노력을 기울여야 한다.
웹3와 암호화폐에 대한 위협 증가
암호화폐, 블록체인 등 웹3(Web3) 기술이 탈취, 돈세탁, 불법 활동 자금 조달을 목적으로 하는 공격의 표적이 되는 사례가 증가하고 있다. 북한 연계 공격자들을 포함한 위협 행위자는 정교한 소셜 엔지니어링 기법과 취약점 악용을 통해 상당한 양의 디지털 자산을 탈취해 온 것으로 드러났다. 암호화폐 거래는 불투명한 자금 흐름과 스마트 계약(smart contract)의 불변성으로 인해 추적 및 규제가 어려울 뿐만 아니라 악성 인프라를 호스팅하는 데 악용될 수 있는 잠재적 위험성을 내포하고 있다. 특히 사용자 지갑에서 암호화폐를 탈취하는 공격 방법인 ‘드레이너(Drainer)’가 활발히 이용되면서 이러한 공격을 용이하게 만드는 ‘서비스형 드레이너(DaaS)’ 시장까지 등장한 것으로 밝혀졌다.
안전하지 않은 데이터 저장소
기업의 파일 공유 서버 및 쉐어포인트(SharePoint)와 같은 데이터 저장소는 자격 증명, 재무 데이터, 지적 재산 등 민감한 정보를 보관하고 있지만 이에 대한 보안이 간과되면서 금전적 동기를 가진 공격자와 지능형 지속 위협(APT) 그룹의 간첩 활동을 위한 표적이 되고 있다. 특히 보안이 취약한 데이터 저장소는 악성코드나 제로데이 취약점과 같은 고도화된 공격 기법을 사용하지 않고도 권한 상승을 비롯한 목표 달성이 용이해 위협 행위자에게 손쉬운 공격 기회를 제공한다.
맨디언트 권고사항
· 고급 위협 탐지 기술 도입 및 최적화: 엔드포인트 탐지 및 대응(EDR), 고급 분석 기반의 보안 정보 및 이벤트 관리(SIEM), 네트워크 트래픽 분석 등 고급 위협 탐지 기술을 도입하고 최적화해야 한다.
· 정기적인 취약점 검사: 정기적으로 취약점을 검사하고, 위험도에 따라 패치 적용의 우선순위를 정하며, 패치 프로세스를 자동화해 공격 표면을 최소화해야 한다.
· 접근 권한 제어 강화: 최소 권한과 같은 건전한 기본 원칙을 실천해 접근 권한 제어를 강화해야 한다. 사용자 및 애플리케이션 권한은 필수적인 수준으로 제한하고, FIDO2 표준을 준수하는 다중 인증(MFA)을 시행하며, 액세스 로그를 정기적으로 검토해야 한다.
· 침해 사고 대응 및 복구 계획 수립, 정기적인 테스트 진행: 조직과 가장 관련 높은 랜섬웨어 및 기타 위협에 대한 구체적인 대응 지침이 계획에 포함돼 있는지 확인하고, 정기적으로 모의 훈련 및 시뮬레이션을 시행해 계획의 효과를 검증하고 대응 시간을 개선해야 한다.
· 방어 체계 검증을 위한 레드팀 투입: 실제 공격자의 전술을 기반으로 방어 체계를 검증할 수 있도록 레드팀을 투입해 보안팀이 공격을 탐지하고 대응하는 데 걸리는 시간을 측정하고, 취약점과 방어 체계의 허점을 확인해야 한다.
· 보안 인식 교육 및 피싱 공격 시뮬레이션에 대한 지속적인 투자: 피싱, 소셜 엔지니어링, 랜섬웨어 전술 등 가장 관련성 높은 최신 위협에 대해 직원 교육을 실시해야 한다.
