맨디언트가 오늘 ‘2023 M-트렌드 보고서(M-Trends 2023)’를 공개했다. 2023 M-트렌드 보고서에 따르면 공격자가 탐지되기 전 표적의 환경에서 머무는 시간의 중앙값으로 산출되는 전 세계 공격 지속 시간 중앙값은 전년대비 연속 하락해 2022년 16일을 기록했다. 이는 M-트렌드의 전체 보고 기간 동안 기록된 전 세계 공격 지속 시간 중앙값 중 가장 낮은 수준으로 2021년 중앙값은 21일이었다.

위협 탐지 경로를 비교해보면 과거 혹은 현재 진행 중인 보안 침해에 대해 외부 기관을 통해 경보(alert)를 받는 조직의 수가 전반적으로 증가한 것으로 관찰됐다. 미주에 본사를 둔 조직들의 경우 2022년 사고 중 55%에 대해 외부 기관으로부터 경보를 받은 것으로 나타났으며, 2021년 40%를 상회했다. 이는 지난 6년간 미주 지역에서 기록된 외부 기관 통지 비중 중 가장 높은 수준이다. 마찬가지로, 유럽·중동·아프리카(이하 EMEA)의 경우, 2022년 조사 중 74%에 대해 외부에서 침입 경보를 받으며 2021년 62% 보다 높은 수준을 보였다.

맨디언트 전문가들은 2021년과 2022년 사이 전 세계적으로 랜섬웨어 관련 조사의 비중은 감소했다고 밝혔다. 2022년 랜섬웨어 관련 조사의 비중은 2021년 23% 대비 18%에 그쳤다. 이는 2020년 이후 맨디언트가 실시한 랜섬웨어 관련 조사 중 가장 낮은 수준이다.

산드라 조이스(Sandra Joyce) 구글 클라우드 맨디언트 인텔리전스 부사장은 “관찰된 랜섬웨어 관련 공격이 소폭 감소한 원인은 운영 환경 상의 여러 변화에 기인한 것으로 보인다”며, “관련 요인으로는 랜섬웨어 서비스 제공업자와 개인을 저지하기 위한 정부와 법 집행 당국의 끈질긴 노력으로 인해 공격자가 툴 정비나 새로운 파트너십 개발을 해야 하는 상황, 우크라이나 전쟁 발발, 매크로가 디폴트로 비활성화되고 있는 세계에서 공격자가 초기 접근 공작을 수정해야 할 필요성, 조직들의 랜섬웨어 탐지와 예방 능력 강화 혹은 사고 후 더 빠른 회복력 등이 있다"고 설명했다.

맨디언트는 2022년 2월 24일 러시아의 우크라이나 침공 직전과 그 후 광범위한 사이버 스파이 활동과 첩보 공작을 확인했다. 특히, 러시아의 우크라이나 침공 이전 UNC2589과 APT28의 활동이 포착됐고 직전 8년 대비 2022년 첫 4개월 동안 우크라이나를 표적으로 한 보다 많은 파괴적인 사이버 공격이 관찰됐다.

맨디언트는 2022년, 신종 멀웨어 계열 588개를 추적하기 시작, 공격자들이 어떻게 툴셋을 확장해 나가는지 밝혔다. 추적된 신종 멀웨어 계열 중 5대 카테고리는 백도어(34%), 다운로더(14%), 드로퍼(11%), 랜섬웨어(7%), 런처(5%)였다. 멀웨어 카테고리는 수년 동안 변함없이 유지됐으며, 이 중 백도어의 비중은 새로 추적된 멀웨어 계열에서도 3분의 1을 넘어섰다.

이번 맨디언트의 조사에서 포착된 가장 흔한 멀웨어 계열은 다기능 백도어인 비컨(BEACON)으로 지난 수년 간의 동향과 일치했다. 비컨은 2022년 맨디언트가 조사한 모든 침투 중 15%에서 포착됐고 모든 지역에 걸쳐 가장 많이 발견됐다. 비컨은 중국, 러시아, 이란과 연계된 국가 지원 위협 그룹뿐 아니라 금전적 목적의 위협 그룹, 700여개의 UNC 그룹 등 맨디언트가 추적한 광범위한 위협 그룹에서 사용하고 있다. 보고서에 따르면 이러한 편재성은 비컨의 일반적 접근성, 높은 사용자 정의 가능성, 사용 용이성에 기인한다.

찰스 카마칼(Charles Carmakal) 구글 클라우드 맨디언트 컨설팅 최고기술책임자(CTO)는 "새로운 공격자들이 수행한 공격 중 일부를 조사한 결과, 공격자들은 지하 사이버 범죄 시장에서 확보한 데이터를 활용하고, 음성 통화나 문자 메시지를 통해 교묘한 사회공학 기법을 시도하고 있으며, 네트워크 액세스 권한을 얻기 위해 직원 매수까지 시도한다”며, “이런 기술은 방어가 어렵기 때문에 강건한 보안 프로그램을 갖춘 조직에게도 상당한 위험이 된다. 조직은 계속해서 보안 팀, 인프라, 역량을 구축해 나가며, 설계 목표에 이런 공격자들에 대한 방어를 포함시켜야 한다"고 덧붙였다.

M-트렌드 보고서는 최전선에서 직접 관찰한 최신 공격자의 동향에 대한 인사이트를 제공하고, 실행 가능한 인텔리전스를 바탕으로 계속해서 진화하는 위협 환경 내에서 조직의 보안 태세 개선을 목표로 한다. 특히, 가장 왕성하게 활동하는 공격자 중 일부와 점점 확대되는 그들의 TTPs(Tactic, Technique, Procedures)에 대한 인사이트를 제공한다.

이외에도 이번 보고서에 의하면 취약점 공격(이하 익스플로잇)은 3년 연속 공격자가 가장 많이 활용한 초기 감염 벡터이며 확인된 침투 중 32%를 차지했다. 익스플로잇은 2021년 37% 대비 2022년에 소폭 감소했으나 여전히 공격자가 표적을 향해 사용하는 주요 도구이다. 피싱은 가장 많이 사용된 벡터 2위 자리를 지켰으며 2021년 12% 대비 2022년에는 22%로 급격한 증가세를 보이고 있다.

정부 관련 기관 대응이 2021년 9% 대비, 2022년 전체 조사의 25%를 차지했다. 이는 우크라이나를 표적으로 한 사이버 위협 활동에 대한 맨디언트의 조사 지원이 주를 이룬다. 그 외 2022년 가장 많이 표적이 된 4대 산업은 맨디언트 전문가가 2021년에 관찰한 바와 대동소이하며, 비즈니스/전문 서비스, 금융, 하이테크, 의료 순이다. 이들 산업은 금전적 목적, 첩보 활동을 동기로 한 공격자들에게 여전히 가장 매력적인 표적이 되고 있다.

맨디언트의 조사에 따르면 과거에 비해 2022년 광범위한 정보 탈취 멀웨어 사용과 자격증명 거래가 모두 증가한 것으로 나타났다. 많은 경우 암호 재사용, 업무용 기기에서 개인 계정 사용 등 자격 증명이 조직 환경 외부에서 도난 된 후 조직을 표적으로 악용되었을 가능성이 높은 것으로 확인됐다.

맨디언트 전문가는 2022년 40%의 침입 사례에서 공격자가 데이터 탈취를 우선시한 것으로 확인했다. 맨디언트 보안담당자에 따르면 2022년에는 공격자의 데이터 도난 미수 또는 성공적인 데이터 탈취가 과거에 비해 더욱 빈번하게 관찰됐다.

2022년 북한 공격자들은 전통적인 인텔리전스 수집 작전, 와해성 공격과 더불어 암호화폐 탈취와 사용에 더 많은 관심을 보였다. 이들 공작은 매우 수익성이 높아 2023년 내내 줄어들지 않을 것으로 보인다. 맨디언트는 북한 공격자가 어떻게 사이버 범죄를 스파이 활동을 위한 자금원으로 활용하는지에 대해서 APT43 보고서에서 자세히 소개한 바 있다.

위르겐 커스처(Jurgen Kutscher) 구글 클라우드 맨디언트 컨설팅 부사장은 “2023 M-트렌드는 업계의 사이버 보안 수준이 개선되고 있지만 우리가 상대하는 공격자는 진화를 거듭하며 고도화되고 있다는 점을 명백히 시사한다”며, “국가 주도 공격자의 사이버 스파이 활동뿐 아니라 신종 멀웨어 계열 증가 등 2021년에 관찰된 일부 트렌드가 2022년에도 이어지고 있다. 따라서 조직들은 근면하게 현대적 사이버 방어 역량으로 사이버 보안 태세를 꾸준히 강화해야 한다. 최근의 위협에 대한 사이버 회복탄력성의 지속적 검증과 전반적인 대응 역량에 대한 평가 역시도 중요하다"고 강조했다.