구글클라우드(GCP)가 ‘맨디언트 M-트렌드 2025’ 보고서를 내고 지난해 인포스틸러 악성코드 공격사례가 크게 늘었다고 주의를 당부했다.

맨디언트 컨설팅 전담팀이 발간하는  M-트렌드는 지난 1년 간 전세계에서 발생한 사이버위협 동향을 심층 분석하고 효과적 대응을 위한 전략을 제시하는 연례 보고서다. 

28일 보고서에 따르면, 공격자들이 목표 달성을 위해 다양한 공격 기회를 적극적으로 모색하면서 탈취한 자격증명을 활용해 시스템에 침입하는 인포스틸러 악성코드 공격이 증가세가 지난해 뚜렷하게 나타났다.

특히 공격자들은 클라우드 전환 과정에서 발생하는 보안 취약점을 공략하거나, 안전하지 않은 데이터 저장소를 공격해 자격증명·중요 정보를 탈취하는 등 다양한 방식으로 공격 기회를 포착하고 있다.

지난해 가장 빈번하게 악용된 취약점은 네트워크 경계에 위치한 보안 장비로 조사됐다. 상당수가 최초 공격 시점에서 아직 패치가 발표되지 않은 제로데이를 악용한 가운데 맨디언트는 러시아·중국 정부와 연계된 것으로 추정되는 사이버조직의 공격 시도의 급증도 눈여겨 볼 부분으로 지목했다. 

주요 통계를 살펴보면 지난해 탐지된 위협 그룹의 과반수 이상이 금전적 동기(55%)를 가졌다. 2022년(48%), 2023년(52%)에 이어 금전적 이익을 노리는 사이버공격이 지속 증가하고 있음을 보여주는 결과다.

가장 많이 표적이 된 산업은 금융 서비스로, 전체 조사의 17.4%를 차지했으며, 비즈니스·전문 서비스(11.1%), 첨단 기술(10.6%), 정부(9.5%), 의료(9.3%)가 그 뒤를 이으며 지난 연도와 대체로 유사한 양상을 보였다.

사이버공격의 가장 흔한 초기 감염 경로는 5년 연속으로 취약점 공격(33%)이 차지한 가운데, 자격증명 탈취(16%)가 처음으로 2위에 오르며 자격증명 탈취 공격이 점점 증가하고 있음을 입증했다.

나머지 상위 5가지 감염 경로에는 이메일 피싱(14%), 웹사이트 침해(9%), 이전 침해 사례(8%)가 뒤따랐다. 

아태·일본(JAPAC) 지역의 경우 글로벌 추세와 동일하게 취약점 공격(64%)이 가장 흔한 초기 감염 경로로 나타났고 그 뒤로 자격증명 탈취(14%), 웹사이트 침해(7%)가 자리했다.

JAPAC 지역의 기업들이 악의적 활동을 처음 인지한 경로의 57%는 외부 기관을 통해서였으며, 43%는 조직 내부적으로 파악했는데, 이는 JAPAC 지역 기업의 사이버보안 역량 강화의 필요성을 시사한다. 

조직이 공격을 탐지하기 전까지 공격자가 침해된 환경에 머무른 기간을 의미하는 드웰 타임의 글로벌 중앙값은 11일로, 2023년(10일)보다 1일 연장됐다. 하지만 2022년(16일)과 비교하면 낮은 수치를 유지했으며 연도별 글로벌 추세 역시 장기적으로 드웰 타임은 크게 감소하는 추세를 보였다.

글로벌 드웰 타임 중앙값은 외부 기관이 침해 사실을 통보한 경우 26일, 공격자가 통보한 경우 5일, 조직이 내부적으로 파악한 경우 10일로 나타났다.

공격자 통보 시 드웰 타임 중앙값이 크게 줄어드는 이유는 갈취형 공격자들이 침입 후 빠르게 금전적 이득 확보를 추구하기 때문인 것으로 판단된다. 

JAPAC 지역의 경우에는 조직의 69%가 외부 기관으로부터 통지받았으며 31%가 조직 내부적으로 파악했다. 69% 중 공격자로부터 통보받은 경우는 12%에 해당했는데, 랜섬웨어 공격사례에서는 글로벌 추세와 마찬가지로 해당 비중이 33%로 훨씬 더 높았다.

심영섭 GCP 맨디언트 컨설팅 한국·일본지역 총괄은 “한국을 포함한 아태·일본 지역에서 초기 감염 경로로 취약점이 악용된 비율이 전세계 평균의 2배에 달하고 침해 사고의 70%가량이 외부 기관에 의해 탐지됐다는 사실은 조직 내부의 보안 가시성과 대응 역량의 지속적 개선이 필요하다는 점을 보여준다”고 분석했다.

이어 “특히 제로데이 취약점을 이용해 엣지 장비를 타깃한 사이버공격은 신속한 탐지·대응을 어렵게 만드는 만큼 알려지지 않은 보안위협에 대한 선제적인 방어 전략을 수립하는 것이 시급하다”고 강조했다.