관리형 보안 서비스 제공업체(MSSP)인 누스파이어(Nuspire)가 모회사인 PDI 테크놀로지스(PDI Technologies)와 함께  ‘2024년 4분기 및 연간 사이버 위협 보고서(Q4 and Full Year 2024 Cyber Threat Report)’를 발표했다. 이 보고서는 최근 사이버 위협 환경을 종합적으로 분석해 랜섬웨어 활동의 급증과 취약점 악용 시도의 증가를 주요 내용으로 다루고 있다.

보고서에 따르면 랜섬웨어 강탈 활동이 급격히 증가하고 있으며, 랜섬웨어 그룹 간 지배 구도에도 변화가 발생했다. 취약점 악용 시도 또한 지속적으로 증가하고 있어 조직의 사전 대응 및 보안 강화가 더욱 중요해졌다.

클롭 랜섬웨어, 주요 위협으로 부상

2024년 4분기 랜섬웨어 강탈 활동은 전 분기 대비 46% 증가했다. 클롭(Clop) 랜섬웨어 그룹이 랜섬허브(RansomHub)를 제치고 가장 활발한 랜섬웨어 그룹으로 부상했으며, 아키라(Akira), 펑크섹(Funksec), 배쉬(Bashe) 그룹도 상위 5위 안에 이름을 올렸다. 특히 클롭은 여러 제로데이(zero-day) 취약점을 악용해 전문 및 기술 서비스 산업에 큰 피해를 입혔으며, 이 산업은 계속해서 주요 표적이 되고 있다.

누스파이어 보안 운영 이사 저스틴 허드(Justin Heard)는 “2024년 4분기 랜섬웨어 강탈 활동의 급증은 사이버 범죄가 더욱 확대되고 있음을 의미한다.”라고 분석하며, 조직의 위협 탐지 능력과 사고 대응 전략 강화를 강조했다.

취약점 악용 시도 72% 증가

취약점 악용 시도는 2024년 3분기 대비 72% 증가해 2,918만 763건이 감지됐다. 하이크비전(Hikvision) 카메라의 취약점(CVE-2021-36260)과 배시(Bash)의 취약점(CVE-2014-6271)을 악용한 시도는 각각 56%와 77%씩 급증했다.

방화벽과 VPN 기술은 여전히 주요 표적이 되고 있으며, 사이버 범죄자들은 경계 방어를 우회하려는 다양한 시도를 지속하고 있다.

다크 웹 내 사이버 범죄 동향

다크 웹 시장 목록은 2024년 3분기 대비 32% 줄었으나, 여전히 원시 로그(raw log) 목록은 131만 6660개, 신용카드 목록은 59만 762개로 확인됐다. 지속적으로 활동하는 서비스형 악성코드(Malware-as-a-Service·MaaS) 프로그램인 룸마 스틸러(Lumma Stealer)는 민감한 데이터를 수집해 불법 시장에서 재판매하며 큰 위협으로 떠오르고 있다.

누스파이어 수석 위협 인텔리전스 분석가 조쉬 스미스(Josh Smith)는 “사이버 범죄자들은 주요 인프라와 고가치 데이터를 표적으로 삼아 더욱 정교한 공격 전략을 개발하고 있다”며, AI 기반 위협 정보 탐지, 강력한 패치 관리, 직원 보안 교육 강화를 통한 조직의 경계 강화를 권장했다.

위협 완화를 위한 보안 권고사항

누스파이어는 기업이 최신 사이버 위협에 대응하기 위해 다음과 같은 조치를 취할 것을 권장한다.

- 엔드포인트 탐지 및 대응(EDR) 솔루션 강화 : 랜섬웨어 공격을 신속하게 탐지하고 억제하기 위해 필수적이다.

- 다크 웹 모니터링 강화 : 손상된 자격 증명과 데이터가 무기화되기 전에 이를 식별해야 한다.

- 시스템 패치 적시 적용 : 특히 원격 접속 기술에서 새로 발견된 취약점을 방어하기 위해 정기적인 패치가 필요하다.

- 사이버 보안 인식 교육 강화 : 피싱 기반 랜섬웨어 감염 위험을 줄이기 위해 직원 대상 보안 교육이 중요하다.