맨디언트 "우크라 침공 전후 사이버 첩보공작 급증"

2023 M-트렌드 보고서…백도어 '비컨' 등 포착
"해커들, 네트워크 권한 얻으려 직원 매수까지 시도"

맨디언트 로고 [맨디언트 제공. 재판매 및 DB 금지]

(서울=연합뉴스) 이정현 기자 = 구글 파트너인 사이버 보안 전문기업 맨디언트는 지난해 러시아의 우크라이나 침공 전후로 광범위한 사이버 스파이 활동과 첩보 공작을 확인했다고 21일 밝혔다.

맨디언트는 이러한 내용을 담은 '2023 M-트렌드 보고서'를 공개했다.

올해 14번째인 연례 보고서는 세계적으로 큰 영향을 미친 사이버 공격에 대한 맨디언트의 조사와 복구 경험을 기반으로 시의성 높은 데이터와 전문가 분석을 제공한다.

맨디언트는 러시아의 우크라이나 침공 이전 해킹 그룹 'UNC2589'과 'APT28'의 활동이 포착됐으며, 침공 직전 8년 대비 2022년 첫 4개월 동안 우크라이나를 표적으로 한 파괴적인 사이버 공격이 급증했다고 설명했다.

맨디언트는 또 지난해 신종 멀웨어(악성코드) 계열 588개를 추적, 해커들이 어떻게 활동을 확장해 나가는지 밝혔다.

추적된 신종 멀웨어 계열 중 5대 카테고리는 '백도어'(34%), '다운로더'(14%), '드로퍼'(11%), '랜섬웨어'(7%), '런처'(5%)였다. 멀웨어 카테고리는 수년 동안 변함없이 유지됐으며, 이 중 백도어의 비중은 새로 추적된 멀웨어 계열에서도 3분의 1을 넘었다.

이번 맨디언트의 조사에서 포착된 가장 흔한 멀웨어 계열은 다기능 백도어인 '비컨'(BEACON)으로 지난 수년간 동향과 일치했다.

비컨은 지난해 맨디언트가 조사한 모든 침투 중 15%에서 포착됐고 모든 지역에 걸쳐 가장 많이 발견됐다.

비컨은 중국, 러시아, 이란과 연계된 국가 지원 해킹 그룹뿐만 아니라 금전적 목적의 해킹 그룹 등 맨디언트가 추적한 광범위한 해킹 그룹에서 사용하고 있다. 비컨의 높은 접근성과 쉬운 활용성 때문으로 보인다.

찰스 카마칼 구글 클라우드 맨디언트 컨설팅 최고기술책임자(CTO)는 "해커들은 지하 사이버 범죄 시장에서 유래된 데이터를 활용하고, 음성 통화 및 문자 메시지를 통해 교묘한 기법을 동원하고, 네트워크 접근 권한을 얻기 위해 직원 매수까지 시도한다"고 말했다.

이어 "이러한 기술은 방어가 어렵기 때문에 강건한 보안 프로그램을 갖춘 조직에도 상당한 위험이 된다"면서 "조직은 계속해서 보안 팀, 인프라, 역량을 구축해 나가며 설계 목표에 이러한 공격자들에 대한 방어를 포함해야 한다"고 덧붙였다.

lisa@yna.co.kr

▶제보는 카톡 okjebo