“새로운 취약점 발견 후 4.76일 만에 공격…에너지, 의료, 제조 분야 타깃 공격 급증”

포티넷(Fortinet)은 자사 포티가드랩(FortiGuard Labs)에서 작성한 '2023년 하반기 글로벌 위협 동향 보고서'를 발표했다.

이 보고서는 새로운 취약점의 빠른 악용, 오래된 취약점의 지속적인 위협, 그리고 최근 사이버 공격의 목표 지향적인 특성에 대해 중요한 통찰을 제공하고 있다.

◆새로운 취약점의 빠른 악용

보고서에서 가장 우려되는 트렌드 중 하나는 새로운 취약점이 악용되는 속도가 빨라졌다는 점이다. 평균적으로 새로운 익스플로잇은 발견 후 4.76일 만에 공격에 사용되었으며, 이는 2023년 상반기보다 43% 빠른 속도이다. 이러한 빠른 악용은 조직이 취약점 관리와 패치 전략을 보다 적극적으로 채택해야 할 필요성을 강조한다. 보고서는 공급업체가 취약점을 신속하고 투명하게 공개하고, 제로데이와 엔데이 취약점에 대한 패치를 제공하여 조직이 자산을 효과적으로 보호할 수 있도록 지원해야 한다고 제안하고 있다.

◆오래된 취약점의 지속적인 위협

새로운 위협에 대한 집중에도 불구하고, 보고서는 오래된 취약점의 지속적인 악용에 대해서도 경고하고 있다. 포티넷의 원격 수신정보에 따르면, 조직의 98%가 최소 5년 이상 된 취약점을 악용하는 공격을 탐지했다. 일부 취약점은 15년 이상 패치되지 않은 상태로 남아있다. 신속한 패치 관리가 필요한 상황이다.

◆산업 및 OT 분야 표적화된 공격

보고서는 랜섬웨어와 멀웨어가 산업 부문을 목표로 공격이 증가하고 있다고 경고했다. 전체 탐지된 샘플의 44%가 에너지, 의료, 제조, 운송 및 물류 부문을 표적으로 삼았다. 공격자들이 심각한 영향을 미칠 수 있는 부문을 겨냥해 공격을 하는 접근 방식으로 변화하고 있음을 시사한다.

◆봇넷 활동 및 새로운 봇넷 등장

2023년 하반기 동안 봇넷은 여전히 활발히 운영되고 있으며, 고스트(Gh0st), 미라이(Mirai), 제로액세스(ZeroAccess)와 같은 지속적인 봇넷이 계속 나타났다. 또한, AndroxGh0st, Prometei, DarkGate 등 3개의 새로운 봇넷이 등장했다. 이러한 봇넷들은 다수의 취약점을 악용하여 시스템에 접근하고, 민감한 데이터를 유출하는 활동을 지속하고 있다.

◆활동 중인 지능형 지속 위협(APT) 그룹

포티가드랩은 마이터에서 추적하는 143개의 APT 그룹 중 38개의 그룹이 2023년 하반기 동안 활동한 것을 확인했다. 라자루스, 김수키, APT28, APT29, 안다리엘, 오일리그 등이 주요 활동 그룹으로 나타났다. 이들 그룹은 고도화된 전술, 기술 및 절차(TTP)를 활용하여 고가치 목표를 침투하고 악용하고 있다.

◆엔드포인트 취약점 및 익스플로잇 트렌드

보고서에 따르면, 엔드포인트에서 관찰된 모든 CVE 중 0.7%만이 실제로 공격에 노출되었다. 이는 조직이 집중해야 할 취약점의 범위가 제한적임을 의미하며, 이를 통해 보다 효과적으로 취약점을 관리할 수 있다.

◆새로운 멀웨어 패밀리의 등장

2023년 하반기에는 AndroxGh0st, Apache ActiveMQ 랜섬웨어, 라자루스 RAT, Agent Tesla 변종 등 새로운 멀웨어 패밀리가 등장했다. 이들 멀웨어는 다양한 기술을 사용하여 초기 접근, 권한 상승, 지속성 유지 및 데이터 유출을 수행한다.

◆다크웹 활동 및 신흥 위협

포티가드랩의 다크웹 분석은 사이버 범죄자들의 향후 활동을 예측하는 데 중요한 정보들을 제공하고 있다. 다크웹에서 가장 많이 논의된 타겟은 금융 서비스, 비즈니스 서비스, 교육 부문이었다. 3천건 이상의 데이터 유출이 발생했고, VPN, RDP 및 침해된 계정 자격 증명이 가장 많이 알려진 접근 방법이었다.

◆사이버 보안 전략에 대한 시사점

한편 이번 포티넷 보고서 결과는 2024년 사이버 보안 전략에 여러 중요한 시사점을 제공한다:

△적극적인 취약점 관리: 조직은 새로운 익스플로잇에 신속하게 대응하기 위해 취약점 관리 프로그램을 강화해야 한다. 이는 위협 인텔리전스를 활용하여 패치 우선순위를 정하고, 자동화된 패치 관리 솔루션을 도입하여 노출 시간을 줄이는 것을 포함한다.

△보안 관리 강화: 오래된 취약점에 대한 지속적인 모니터링과 개선이 필수적이다. 정기적인 업데이트, 네트워크 분할, 강력한 접근 제어와 같은 보안 관리를 실천함으로써 악용 위험을 줄일 수 있다.

△목표 지향적인 방어 메커니즘: 최근 표적화된 공격이 증가함에 따라, 조직은 주요 인프라와 산업 제어 시스템을 보호하기 위한 맞춤형 보안 솔루션을 구축해야 한다. 이를 위해 특화된 침입 탐지 및 방지 시스템(IDPS)과 OT 전용 보안 조치를 준비해야 한다.

△강화된 위협 인텔리전스: APT 그룹과 신흥 멀웨어 패밀리를 선제적으로 대응하기 위해 포괄적인 위협 인텔리전스 플랫폼을 활용해야 한다. 이는 위협 인텔리전스 피드를 보안 운영 센터(SOC)에 통합하고, 고급 분석을 통해 잠재적 공격을 예측하고 차단하는 것을 포함한다.

△다크웹 모니터링: 다크웹 활동을 정기적으로 모니터링하여 계획된 공격과 신흥 취약점을 조기에 확인해 대응할 수 있다. 조직은 다크웹 인텔리전스 서비스를 투자하여 새로운 위협에 대비해야 한다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★