파이어아이가 21일 ‘2020맨디언트 M-트렌드 보고서(M-Trends report)’를 발표했다. 해당 보고서는 파이어아이가 2019년 한 해 동안 전세계의 맨디언트(Mandiant) 조사에서 얻은 통계와 인사이트를 포함하고 있다.
2020년 맨디언트 M-트렌드 보고서에 따르면 아시아태평양 지역의 사이버 침해가 시작될 때부터 내부 보안 팀에 의해 확인될 때까지 걸리는 공격 지속 시간의 중앙값이 평균 54일로 나타났다.
이는 전년도 관찰된 중앙값인 204일 대비 73%나 낮은 수치다. 파이어아이 맨디언트 컨설턴트 집단은 이러한 눈에 띄는 감소 수치의 원인은 체류시간이 제로데이인 랜섬웨어 관련 침해 건수가 크게 늘어난 점(18%)에 있다고 분석했다. 하지만 랜섬웨어 관련 건수를 제외하고도 아시아 태평양 지역의 중앙값이 94일로 나타나 작년 대비 나아진 수치다.
글로벌 수치 또한 크게 개선됐다. 전세계 공격 지속 시간의 중앙값은 56일로 전년도 수치인 78일에 비해 28%나 떨어졌다.
파이어아이 맨디언트 컨설턴트 집단은 이러한 추세가 조직이 탐지 프로그램을 개선시킨 것뿐만 아니라 랜섬웨어나 암호화폐 채굴과 같이 다른 유형에 비해 체류 시간이 짧지만 파괴력이 큰 유형의 공격이 지속적으로 증가한 점도 원인으로 분석됐다.
전세계적으로 조직 내부 및 외부의 탐지 시간도 단축된 것으로 나타났다.
조직 외부에서 사이버 침해가 일어났다고 인지한 경우의 공격 지속 시간 중앙값은 141일로 전년도 184일 대비 23% 감소했다.
또 조직 내부에서 스스로 감지한 공격 지속 시간 중앙값은 30일로 전년도 50.5일 대비 40% 감소했다. 내부적으로 탐지한 공격 지속 시간이 가장 많이 개선된 것으로 나타났지만 조사 대상의 12%는 여전히 700일 이상이 소요된 것으로 밝혀졌다.
조직 내부에서 탐지한 침입의 공격 지속 시간도 감소했지만 외부 소스가 아닌 내부에서 직접 탐지하는 보안 침해 사건의 전체적인 비율 또한 줄어들었다. 내부적으로 탐지된 침해 사고 비율은 매년 12%p감소했다. 이는 2011 년 이후 내부적인 공격 탐지가 꾸준히 증가한 이래 나타난 추세다.
2019년에는 4년만에 최초로 외부 기관이 조직에 침해 사실을 알리는 건수가 조직 내부에서 탐지하는 침해 사건 수를 넘어섰다.
이러한 변화는 법 집행 강화 및 사이버 보안 회사들의 적극적인 외부 공지, 공개 표준 기준 변경 및 규정 준수 변경 등 다양한 요인 때문이라고 볼 수 있는 것이 보고서의 분석이다.
파이어아이 맨디언트는 기타 지표에서 조직적 탐지 및 대응 능력이 꾸준하게 개선된 수치를 보였기 때문에 다수 조직의 침입 탐지 능력이 저하된 것은 아니라고 판단했다.
이번 보고서에는 맨디언트가 2019년 관찰한 멀웨어 군에 대해 자세히 설명돼 있으며 그 중 41%는 이전에 본적이 없는 유형으로 분석됐다. 또 확인된 샘플의 70%는 가장 빈번하게 볼 수 있는 5가지 유형 중 하나에 속하며 이는 적극적으로 개발된 오픈소스 툴을 기반으로 한다고 전했다. 이러한 도출 점은 멀웨어 생성자들이 개발하는 것 이외에 사이버 공격 그룹 또한 자금 운영을 활발하게 하기 위해 아웃소싱하고 있다는 점을 시사한다고 보고서는 밝혔다.
대다수의 새로운 멀웨어 유형이 윈도(Window)와 기타 플랫폼에 영향을 주었다는 점 또한 주목할만 하다. 파이어아이 맨디언트는 리눅스(Linux) 또는 맥(Mac)에만 영향을 미치는 새로운 멀웨어 유형을 발견했지만 이의 활동은 아직까지 미미한 수준이다.
파이어아이 맨디언트 전문가가 대응한 공격 중 가장 많은 비중(29%)을 차지한 부분은 직접적인 재정적 수익을 획득한 공격 유형이었다. 금품 착취, 몸값 요구, 카드 도용, 불법 이체 등이 포함된다. 다음으로 가장 많이 나타난 유형은 22%를 차지한 데이터 도난으로 지적 재산권이나 최종 타깃 도달을 위한 첩보 활동 등을 뒷받침한다.
랜섬웨어 공격을 통해 금전적 이익을 취하는 데 성공한 케이스와 랜섬웨어 서비스 자체의 유효성은 전반적으로 랜섬웨어 사례가 증가하는 데 크게 기여했다. 대대적으로 개인 및 신용 카드 정보를 표적으로 삼아온 기존의 사이버 범죄 그룹 또한 수익 창출을 보조하는 수단으로 랜섬웨어를 이용하는 사례가 증가했다.
파이어아이는 랜섬웨어 공격이 쉬우면서도 공격자에게 지속적으로 재정적 이익을 가져다 줄 수 있기 때문에 랜섬웨어가 금전적인 보조 수단으로 지속적으로 이용될 것으로 예상하고 있다.
위르겐 커스처(Jurgen Kutscher) 파이어아이 서비스 제공담당 수석부사장은 “파이어아이 맨디언트는 많은 조직이 사이버 보안 수준을 크게 개선하는 사례를 봐왔지만 최신 위협에 대항하는 것은 또 다른 문제”라며 “공격 그룹은 그 어느 때보다 활발하게 활동하고 있으며 이들은 목표를 더욱 공격적으로 확장시키고 있다. 따라서 조직은 방어체제를 지속적으로 구축하고 테스트하는 것이 중요하다”고 전했다.[파이낸셜신문=이광재 기자 ]
