구글 클라우드는 ‘맨디언트 M-트렌드 2025’ 보고서를 통해 2024년 한 해 동안 전 세계에서 발생한 주요 사이버 공격 동향을 분석한 결과를 발표했다. 보고서는 45만 시간에 달하는 맨디언트 컨설팅의 침해 사고 대응 활동을 기반으로 구성됐으며, 기업 시스템을 노리는 공격 행위의 다양성과 정교함이 증가하고 있다고 진단했다.

특히 초기 침투 경로로 ‘취약점 공격’과 ‘자격 증명 탈취’가 빈번하게 활용되며, 클라우드 및 네트워크 에지 장비를 대상으로 한 표적 공격이 급증하고 있는 것으로 나타났다.

인포스틸러·제로데이·에지 장비 위협 증가

2024년 가장 흔한 초기 감염 경로는 5년 연속 ‘취약점 공격’(33%)이었으며, ‘자격 증명 탈취’(16%)가 처음으로 2위를 차지했다. 보고서에 따르면 공격자들은 클라우드 전환 과정에서 생기는 구성 오류와 저장소 취약점을 악용하고 있으며, 특히 에지 보안 장비의 제로데이 취약점이 주요 공격 수단으로 악용되고 있다. 심영섭 구글 클라우드 맨디언트 컨설팅 한국·일본 총괄은 “제로데이 기반 에지 장비 공격은 탐지가 어려운 만큼, 선제적인 방어 전략 수립이 중요하다”고 강조했다.

공격자들은 또한 자격 증명, 브라우저 데이터 등을 탈취하는 ‘인포스틸러’ 악성코드를 활용해, 업무용 개인 기기나 협력사 시스템을 통해 기업 시스템에 침투하고 있다. 오진석 구글 클라우드 코리아 시큐리티 기술 총괄은 “금전적 동기를 가진 위협이 정교해짐에 따라 위협 인텔리전스와 탐지 능력이 필수적이다. 구글은 통합 보안 플랫폼을 통해 국내 기업의 대응을 지원하겠다”고 밝혔다.

드웰 타임 단축 추세...JAPAC 지역 탐지 속도 향상

조직이 침해 사실을 인지하기까지 걸리는 평균 기간인 ‘드웰 타임(dwell time)’은 글로벌 기준 11일로 나타났다. 이는 2023년 대비 1일 증가했지만, 2022년의 16일과 비교하면 감소 추세다. 아시아태평양·일본(JAPAC) 지역에서는 드웰 타임 중앙값이 6일로 글로벌 대비 짧았으며, 절반 이상의 침해 사고가 7일 이내에 탐지된 것으로 분석됐다.

반면 탐지 경로의 69%는 외부 기관을 통해서였으며, 특히 랜섬웨어 공격의 경우 공격자 자체로부터 침해 사실을 통보받은 사례가 33%에 달했다.

클라우드·SaaS 침해와 북한발 내부자 위협

보고서는 공격자들이 온프레미스보다 SSO 포털 등 중앙화된 클라우드 환경을 주요 침투 지점으로 삼고 있다고 분석했다. 또한 소셜 엔지니어링을 이용한 SaaS 사용자 공격, 하이브리드 방식 침입, 책임 공유 모델에 대한 이해 부족으로 인한 위협이 늘어나고 있다고 경고했다.

북한은 위장 신원과 허위 서류를 이용해 외국 기업의 원격 IT 일자리를 수주하며, 기업 내부에서 은밀히 시스템에 접근하는 내부자 위협의 형태로 진화하고 있다.

웹3·암호화폐·비보호 저장소까지 확대되는 공격

웹3 환경의 스마트 계약과 암호화폐 지갑은 드레이너(Drainer) 같은 새로운 공격 방식의  주요 표적이 되고 있으며, 자금 흐름의 불투명성과 추적의 어려움으로 인해 공격자는 디지털 자산 탈취에 유리한 환경을 확보하고 있다. 또한 기업 내부의 파일 공유 서버나 쉐어포인트 등 비보호 저장소는 APT나 금전 목적 위협자에게 손쉬운 공격 표적이 되고 있다. 이는 고도화된 악성코드 없이도 자격 상승과 정보 탈취가 가능한 환경을 제공한다.

보안 고도화 전략 필요

맨디언트는 위협 탐지 기술의 고도화, 취약점 정기 검사, 최소 권한 원칙 준수, 침해 사고 대응 계획 수립, 레드 팀 기반 방어 검증, 보안 인식 교육 강화 등을 주요 권고사항으로 제시했다. 조직은 보안 가시성과 탐지 속도를 높이는 동시에, 공격 표면 축소와 권한 통제를 위한 체계적인 전략 수립이 필요하다고 보고서는 조언한다.

보고서에 따르면 2024년 탐지된 위협 그룹 중 55%는 금전적 동기를 지녔으며, 가장 많이 표적이 된 산업군은 금융(17.4%)이었다. 보고서는 사이버 위협의 방향이 정교해지고 다층화되는 만큼, 기업은 기술적 방어뿐 아니라 전략적 보안 태세 확립에 집중해야 한다고 강조했다.