구글 맨디언트 “제로데이 취약점 악용 中 연계 사이버 공격 증가”

김송이 기자 2024. 6. 25. 15:36
자동요약 기사 제목과 주요 문장을 기반으로 자동요약한 결과입니다.
전체 맥락을 이해하기 위해서는 본문 보기를 권장합니다.

지난해 전 세계적으로 '제로데이' 취약점을 악용해 사이버 공격을 감행하는 중국 연계 스파이 그룹의 활동이 증가했다는 분석이 나왔다.

제로데이는 보안 취약점이 발견된 후 방어 시스템이 나오기 전 악성코드나 해킹 공격을 감행하는 수법을 의미한다.

지난해 맨디언트가 확인한 중국 연계 스파이 그룹의 제로데이 악용 공격 사례만 17건에 달한다.

음성재생 설정
번역beta Translated by kaka i
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

맨디언트, 2024 M-트렌드 보고서 공개
中 기반 공격 조직 UNC 4841 확인
지난해 전 세계 공격 지속시간 10일

지난해 전 세계적으로 ‘제로데이’ 취약점을 악용해 사이버 공격을 감행하는 중국 연계 스파이 그룹의 활동이 증가했다는 분석이 나왔다. 제로데이는 보안 취약점이 발견된 후 방어 시스템이 나오기 전 악성코드나 해킹 공격을 감행하는 수법을 의미한다.

25일 서울 강남구 구글코리아 사무실에서 심영섭 맨디언트 한국 및 일본 지역 컨설팅 대표가 ‘2024 M-트렌드 보고서(M-Trends 2024)’에 대해 설명하고 있다./김송이 기자

구글 클라우드 산하 사이버 보안 기업 맨디언트는 25일 ‘2024 M-트렌드 보고서(M-Trends 2024)’를 공개하며 이같이 밝혔다. 맨디언트는 지난 2009년부터 사이버 사고 대응 조사 결과와 보안서비스 및 위협 인텔리전스에 대한 분석을 M-트렌드 보고서를 통해 공개하고 있다. 15번째 발행된 보고서는 작년 1월 1일부터 12월 31일까지의 조사 결과를 담았다.

보고서에 따르면 지난해 제로데이를 활용한 사이버 공격이 증가했다. 특히 맨디언트는 중국 연계 스파이 그룹이 지속적으로 제로데이 취약점을 악용하고 플랫폼별 툴을 확보하는 데 우선순위를 두는 것을 확인했다고 밝혔다. 지난해 맨디언트가 확인한 중국 연계 스파이 그룹의 제로데이 악용 공격 사례만 17건에 달한다.

아시아·태평양 지역을 노리는 UNC 4841도 중국에 기반을 둔 사이버 공격 조직이다. UNC는 맨디언트 기준상 ‘분류되지 않은’ 위협 집단에 부여되는 명칭으로, UNC 4841의 경우 보안업체 바라쿠다네트웍스의 이메일 보안 솔루션상 제로데이 취약점을 악용한 것으로 나타났다.

이외에도 맨디언트는 지난해 다중 인증(MFA)을 우회하는 웹 프록시 및 중간자 공격(AiTM) 피싱 페이지가 증가하고, 바로가기(LNK)나 마이크로소프트(MS) 오피스 문서 등 다양한 통로로 피싱 공격이 이뤄지는 점을 확인했다. 전 세계적으로 클라우드 전환이 가속화되면서 클라우드 환경을 겨냥한 사이버 공격도 증가하고 있다고 맨디언트는 전했다.

지난해 공격자가 탐지되기 전 시스템에 머무는 공격 지속시간(드웰타임) 중앙값은 대폭 줄어든 것으로 나타났다. 지난해 전 세계 드웰타임 중앙값은 평균 10일로 2022년 16일과 비교해 6일 감소했다. 2011년 416일에 달했던 드웰타임 중앙값은 2018년(78일) 처음으로 100일 미만으로 접어든 후 감소세를 이어가고 있다.

심영섭 맨디언트 한국 및 일본 지역 컨설팅 대표는 “드웰타임 중앙값이 급격히 줄어든 시기와 랜섬웨어 공격 비율이 급증한 시기가 맞아 떨어진다”면서 “공격 대상을 협박해 돈을 받아내는 게 목적인 랜섬웨어 공격 특성상 오랜기간 공격 사실을 숨길 필요가 없기 때문”이라고 말했다. 공격 탐지 능력이 향상된 점도 드웰타임 감소세에 영향을 미쳤다.

지난해 가장 많이 사이버 공격의 표적이 된 산업은 금융 서비스로 전체의 17%를 차지했다. 비즈니스/전문 서비스(13%), 하이테크(12%), 소매/서비스업(9%), 의료(8%) 등이다. 정부 관련 조직을 겨냥한 공격은 러시아-우크라이나 전쟁의 장기화로 새롭게 조사된 사례가 줄어들면서 2022년 1위에서 2023년 공동 5위로 하락했다.

이날 맨디언트는 APT43 그룹에 대해서도 언급했다. 국내에서는 ‘김수키’라는 이름으로 알려진 APT43은 북한 정부의 이익 지원을 위해 다양한 임무를 수행하는 사이버 조직이다. 맨디언트는 한국과 미국 정부 기관, 학계, 싱크탱크를 대상으로 사회공학적 공격을 자행하는 게 APT43의 특징이라고 설명했다.

심 대표는 “시스템 진입을 위해 제로데이 취약점을 악용하고, 시스템 진입 후에는 시스템 상 자체 도구를 활용해 공격을 이어나가는 방식이 확산되고 있다”면서 “빠르게 진화하는 위협 환경에서 강력한 보안 태세를 유지하기 위해서는 공격 표면을 적극적으로 모니터링하고 알려지지 않은 내부 자산과 취약점을 식별하는 것이 중요하다”고 했다.

- Copyright ⓒ 조선비즈 & Chosun.com -

Copyright © 조선비즈. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?