트렐릭스는 1분기 사이버보안 동향을 분석한 사이버위협 보고서를 내고 중국발 사이버위협에 대해 경고했다. 국가를 표적으로 중국과 연계된 APT 단체의 공격 활동이 증가하고 있다는 것이다.

26일 트렐릭스에 따르면, 러시아-우크라이나 분쟁 이후 첩보 활동과 교란 작전을 위해 공격적인 사이버 능력을 전략적으로 활용하는 몇몇 국가들의 위협 활동이 탐지되고 있다.

특히 무스탕판다, UNC4191와 같이 중국과 연계를 의심받고 있는 APT 단체의 활동이 탐지된 전체 사이버 공격의 79%를 차지할 정도로 기승을 부리고 있다.

트렐릭스 어드밴스드연구센터의 존 포커 위협 인텔리전스 담당은 “선진국과 개발도상국 모두 주요 APT 단체로부터 통신, 에너지, 제조 등 핵심 인프라에 대한 위협을 받고 있다”며 “빠르게 진화하는 위협에 선제적으로 대응하기 위해 첨단 보안 인프라를 구축해야 한다는 경고”라고 지적했다.

랜섬웨어 공격이 여전히 지속되고 있다는 점도 확인됐다.랜섬웨어 공격이 가장 많이 탐지된 분야는 보험(20%), 금융 서비스 등으로 조사됐다. 이는 램섬웨어의 주된 목적이 금전적 이익에 있음을 시사한다.

더불어 랜섬웨어 공격은 미국 소재(48%)의 직원수 51~200명(32%), 매출 1천만~5천만달러(38%) 규모의 중견기업에게 집중됐다.

코발트스트라이크 악용 시도도 꾸준히 지속되고 있다. 코발트스트라이크는 실제 사이버 위협을 시뮬레이션하기 위해 보안 레드팀이 사용하도록 만들어진 툴이지만 랜섬웨어 공격자를 비롯한 사이버 범죄조직이 침입에 활용하기 위한 목적으로 악용되고 있다는 것이다.

트렐릭스는 1분기 국가 배후 활동의 35%, 랜섬웨어 사고의 28%에서 코발트스트라이크를 탐지했으며, 이는 지난해 4분기 대비 약 2배 증가한 수치라고 전했다.

아마존, 마이크로소프트(MS), 구글에 대한 클라우드 인프라 공격 증가와 함께 계정 탈취 공격에 대한 주의도 당부했다.

다단계 인증, 프록시 침투, API 실행을 활용한 정교한 공격이 등장했지만, 유효한 계정을 악용하는 계정 탈취 공격은 여전히 가장 흔한 공격 기법으로 다른 공격 기법보다 2배 더 많이 탐지됐다.

특히 원격근무 환경에서 사용자 계정에 대한 비정상적인 접근은 심각한 수준으로 드러났다.

이번 보고서는 매일 3천만건 이상의 악성코드 샘플을 분석하는 전문 연구진들로 이뤄진 글로벌 네트워크를 통해 수집한 10억개의 센서와 오픈소스, 비공개 소스 인텔리전스의 데이터를 종합적으로 수집·분석해 작성됐다.