CISO들에게 중요한 것은 공격이 일어날지 여부가 아니라 어떤 형태로 발생할지, 그리고 이에 어떻게 대비할 수 있는지이다. 사이버시큐리티 벤처스(Cybersecurity Ventures)에 따르면 사이버 범죄의 비용은 2024년 9조 5000억 달러에서 2025년에는 10조 5000억 달러로 증가할 것으로 예상된다. 현재의 위협 환경을 이해하기 위해 CISO는 위협의 유형뿐만 아니라 그 배후에 누가 있는지, 언제 발생할 수 있는지, 왜 발생하는지, 그리고 어떻게 실행되는지를 알아야 한다. 이러한 점들을 연결하면 위협 헌터들이 조직이 직면한 위험에 대해 더 명확한 그림을 그릴 수 있어 효과적인 준비와 대응이 가능해진다.

보안 솔루션 제공업체인 오픈텍스트(OpenText)가 2024년 위협 헌터 전망 결과를 통해 글로벌 공급망을 표적으로 삼고 지정학적 동기를 더욱 강화하기 위해 국가와 사이버 범죄 조직 간에 이루어지는 협력과 조정에 관한 트렌드를 발표했다.

오픈텍스트 위협 인텔리전스와 헌터들에 대해 탐구한 보고서에 따르면, 조직화된 범죄 조직들이 국가 간의 공격을 지원하고 있으며 직접적인 협력이나 조정을 통해 동일한 표적을 동시에 공격할 수도 있다.

러시아는 킬넷(Killnet), 로키봇(Lokibot), 포니로더(Ponyloader), 아마데이(Amadey) 등 서비스형 맬웨어 갱단들과 협력하는 모습이 목격되었다.

중국은 스톰0558(Storm0558), 레드 릴레이(Red Relay), 볼트 타이푼(Volt Typhoon) 등의 사이버 범죄 조직들과 유사한 관계를 맺고 있으며, 이는 주로 남중국해에서의 지정학적 의제를 지원하기 위한 것이다.

주요 위협으로는 킬넷(DDoS 공격), 로키봇(정보 탈취 맬웨어), 코발트 스트라이크(Cobalt Strike, APT 그룹이 사용하는 침투 테스트 도구) 등이 있다.

공격자들은 주요 공휴일, 우크라이나에 대한 군사 원조, 다가오는 미국 대선 등 특정 이벤트에 초점을 맞추고 있어 위험 시기가 임박한 것으로 보인다. 국가들도 사이버 공격을 위해 특정 요일을 목표로 삼는다.

러시아의 사이버 공격 활동은 일반적으로 월요일부터 금요일까지 이루어지며, 적대적 발표 후 48시간 이내에 급증한다.

중국의 공격은 정해진 일정을 따르지 않지만, 데이터 유출은 일반적으로 발각될 가능성이 낮은 금요일 오후나 토요일에 계획되며, 의심을 더욱 줄이기 위해 데이터를 더 작은 단위로 나눈다.

회피, 오도, 위장 등의 방법으로 적대 세력들이 직접적인 공격을 위해 설계된 방어를 우회하고 있다. 많은 공격이 취약한 보안 기본 체계를 이용하고 있으며, 피해자들은 기본적인 대응 조치를 취하지 않음으로써 취약성을 높이고 있다.

콩고 민주 공화국, 아르헨티나, 이란, 나이지리아, 수단, 베네수엘라, 짐바브웨 등 사이버 방어 인프라가 취약한 국가들이 모두 침해를 당했으며 대규모 공격의 잠재적 출처 범위가 확대되었다.

글로벌 공급망 공격자는 항구나 운송망의 운영을 표적으로 삼아 군사 원조 물품 운송을 방해함으로써 주요 대상에게 간접적이지만 중대한 영향을 미칠 수 있다.

오픈텍스트의 수석 부사장 겸 최고 제품 책임자인 무히 마주브(Muhi Majzoub)는 “미국 대선과 같은 주목할 만한 사건이 다가옴에 따라 글로벌 공급망의 모든 조직이 고도화되고 다양한 사이버 공격에 대해 높은 경계 태세를 유지해야 한다. 기업들이 대규모 공격에 대비하기 위해서는 적대적 신호, 위협 인텔리전스 및 방어 능력을 갖추어야 한다.”라고 말했다.