2020 맨디언트 M-트렌드 보고서, 아시아 태평양 지역 사이버 공격에 랜섬웨어 비중 상당

2019년 파이어아이 맨디언트 관찰 멀웨어 중 41%는 새로운 유형으로 나타나

파이어아이가 오늘 2020 맨디언트 M-트렌드 보고서를 발표했다. 이번 보고서는 파이어아이가 2019년 한 해 동안 전 세계의 맨디언트 조사에서 얻은 통계와 인사이트를 포함하고 있다.

2020 맨디언트 M-트렌드 보고서의 주요 내용은 아래와 같다.

◇ 더욱 빠르게 공격을 탐지하고 견제할 수 있게 된 조직

2020년 맨디언트 M-트렌드 보고서에 따르면, 아시아 태평양 지역의 사이버 침해가 시작될 때부터 내부 보안팀에 의해 확인될 때까지 걸리는 공격 지속 시간의 중앙값이 평균 54일로 나타났다. 이는 전년도 관찰된 중앙값인 204일 대비 73%나 낮은 수치다.

파이어아이 맨디언트 컨설턴트 집단은 이러한 눈에 띄는 감소 수치의 원인은 체류시간이 제로데이인 랜섬웨어 관련 침해 건수가 크게 늘어난 점(18%)에 있다고 분석했다. 하지만 랜섬웨어 관련 건수를 제외하고도 아시아 태평양 지역의 중앙값이 94일로 나타나 작년 대비 나아진 수치다.

글로벌 수치 또한 크게 개선되었다. 전세계 공격 지속 시간의 중앙값은 56일로, 전년도 수치인 78일에 비해 28%나 떨어졌다. 파이어아이 맨디언트 컨설턴트 집단은 이러한 추세가 조직이 탐지 프로그램을 개선시킨 것뿐만 아니라, 랜섬웨어나 암호 화폐 채굴과 같이 다른 유형에 비해 체류 시간이 짧지만 파괴력이 큰 유형의 공격이 지속적으로 증가한 점도 원인이라고 분석했다.

전 세계적으로 조직 내부 및 외부의 탐지 시간도 단축되었다고 나타났다.

▴조직 외부에서 사이버 침해가 일어났다고 인지한 경우의 공격 지속 시간 중앙값은 141 일로, 전년도 184 일 대비 23 % 감소했다.

▴조직 내부에서 스스로 감지한 공격 지속 시간 중앙값은 30일로, 전년도 50.5일 대비 40 % 감소했다. 내부적으로 탐지한 공격 지속 시간이 가장 많이 개선된 것으로 나타났지만, 조사 대상의 12 %는 여전히 700 일 이상이 소요된 것으로 밝혀졌다.

◇ 4년 만에 내부탐지 공격 최저치 기록

조직 내부에서 탐지한 침입의 공격 지속 시간도 감소했지만, 외부 소스가 아닌 내부에서 직접 탐지하는 보안 침해 사건의 전체적인 비율 또한 줄어들었다. 내부적으로 탐지된 침해 사고 비율은 매년 12%p 감소했다. 이는 2011년 이후 내부적인 공격 탐지가 꾸준히 증가한 이래 나타난 추세다.

2019년에는 4년 만에 최초로 외부기관이 조직에 침해사실을 알리는 건수가 조직내부에서 탐지하는 침해사건수를 넘어섰다.

이러한 변화는 법집행 강화 및 사이버보안 회사들의 적극적인 외부공지, 공개표준 기준 변경 및 규정준수 변경 등 다양한 요인 때문이라고 볼 수 있다. 파이어아이 맨디언트는 기타지표에서 조직적 탐지 및 대응능력이 꾸준하게 개선된 수치를 보였기 때문에 다수 조직의 침입탐지능력이 저하된 것은 아니라고 판단했다.

◇ 수백 가지의 새로운 멀웨어 식별

이번 보고서에는 맨디언트가 2019년 관찰한 멀웨어군에 대해 자세히 설명되어 있으며, 그 중 41%는 이전에 본 적이 없는 유형으로 분석되었다. 또한 확인된 샘플의 70%는 가장 빈번하게 볼 수 있는 5가지 유형 중 하나에 속하며, 이는 적극적으로 개발된 오픈소스툴을 기반으로 한다고 전했다. 이러한 도출점은 멀웨어 생성자들이 개발하는 것 이외에 사이버공격그룹 또한 자금운영을 활발하게 하기위해 아웃소싱하고 있다는 점을 시사한다.

대다수의 새로운 멀웨어 유형이 윈도우와 기타 플랫폼에 영향을 주었다는 점 또한 주목할 만하다. 파이어아이 맨디언트는 리눅스(Linux) 또는 맥(Mac)에만 영향을 미치는 새로운 멀웨어 유형을 발견했지만 이의 활동은 아직까지 미미한 수준이다.

◇ 금전적 이익 취득을 위한 랜섬웨어 공격 사례 증가

파이어아이 맨디언트전문가가 대응한 공격 중 가장 많은 비중(29%)을 차지한 부분은 직접적인 재정적 수익을 획득한 공격유형이었다. 금품착취, 몸값요구, 카드도용, 불법이체 등이 포함된다. 다음으로 가장 많이 나타난 유형은 22%를 차지한 데이터 도난으로, 지적재산권이나 최종타겟 도달을 위한 첩보활동 등을 뒷받침한다.

랜섬웨어 공격을 통해 금전적 이익을 취하는데 성공한 케이스와 랜섬웨어 서비스 자체의 유효성은 전반적으로 랜섬웨어 사례가 증가하는데 크게 기여했다. 대대적으로 개인 및 신용카드정보를 표적으로 삼아온 기존의 사이버범죄 그룹 또한 수익창출을 보조하는 수단으로 랜섬웨어를 이용하는 사례가 증가했다. 파이어아이는 랜섬웨어 공격이 쉬우면서도 공격자에게 지속적으로 재정적 이익을 가져다줄 수 있기 때문에 랜섬웨어가 금전적인 보조수단으로 지속적으로 이용될 것으로 예상하고 있다.

위르겐 커스처(Jurgen Kutscher) 파이어아이 서비스제공 담당 수석부사장은 “파이어아이 맨디언트는 많은 조직이 사이버보안 수준을 크게 개선하는 사례를 봐왔지만, 최신 위협에 대항하는 것은 또 다른 문제다”라며 “공격그룹은 그 어느 때 보다 활발하게 활동하고 있으며, 이들은 목표를 더욱 공격적으로 확장시키고 있다. 따라서 조직은 방어체제를 지속적으로 구축하고 테스트하는 것이 중요하다”라고 말했다.

★정보보안 대표 미디어 데일리시큐!

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★

길민권 기자 다른기사 보기