IBM 시큐리티(IBM Security)는 연례 보고서인 ‘2021 엑스포스 위협 인텔리전스 인덱스 보고서(2021 X-Force Threat Intelligence Index)’를 25일 발표했다. 보고서는 신종 코로나바이러스감염증(코로나19)이 초래한 전례 없는 혼란을 틈타 사이버 공격이 증가한 현상을 분석해, 2020년 사이버 공격의 진화에 대해 집중 조명했다.

IBM 보안 연구소는 2020년 전 세계적으로 코로나19 관련 업계와 기업을 대상으로 사이버 공격이 집중되었다고 밝혔다. 주요 대상으로는 병원, 의료기기 제조사 및 제약회사 뿐 아니라 코로나19 공급망과, 관련 에너지 회사 등도 포함됐다.

보고서에 따르면 이들 의료, 제조 및 에너지 업계에 대한 사이버공격이 전년 대비 두 배로 증가했다. 또한 산업별 기준으로 볼 때, 2020년에는 제조 및 에너지 업계가 금융 및 보험 업계 다음으로 가장 많은 공격을 받았다. 이는, 공격자들이 의료 지원이나 주요 공급망이 중단될 경우 버티기 힘든 조직을 표적으로 삼은 것을 의미한다. 일례로 제조 및 에너지 업계가 크게 의존하고 있는 산업 제어 시스템(ICS)의 취약성을 이용하는 공격이 50%나 증가했다.

닉 로스만(Nick Rossmann) IBM 시큐리티 글로벌 위협 인텔리전스 책임자는 “본질적으로 팬데믹이 주요 인프라로 간주되던 것들을 바꿔 놓았고, 공격자들이 여기에 주목한 것”이라며 “많은 조직이 코로나19 연구 지원, 백신 개발 및 식품 공급망 원조, 개인용 보호 장비 생산 등과 같은 코로나19 극복을 위한 최전선으로 내몰렸다”고 말했다. 또한, “코로나19와 관련된 주요 일정이 밝혀지면서 공격자들의 희생양도 바뀌었다. 이는 공격자들의 적응력, 다양한 전략, 집요함 등을 다시 한 번 보여준 사례”라고 덧붙였다.

엑스포스 위협 인텔리전스 인덱스 보고서는 130개 이상의 국가에서 매일 1,500억 건이 넘는 보안 이벤트를 모니터링하면서 확보한 보안 통찰력과 분석 결과를 기반으로 작성된다. 보고서는 IBM 시큐리티 엑스포스 위협 인텔리전스 및 사고 대응 서비스, 엑스포스 레드(X-Force Red), IBM 보안 관제 서비스를 비롯하여, 2021 보고서에도 활용된 쿼드9(Quad9) 및 인티저(Intezer)에서 제공한 데이터를 포함, IBM 내부의 여러 출처를 통해 데이터를 수집 및 분석했다.

보고서의 주요 내용은 다음과 같다:

• 하이브리드 클라우드 적용 가능한 리눅스 멀웨어 가속화 – 인티저에 따르면 공격자들은 리눅스 악성코드로 이전을 가속화하고 있는 것으로 보인다. 지난 해 리눅스 관련 악성코드군이 40% 증가했으며, 2020년 상반기 동안 프로그래밍 언어인 고(Go) 언어로 작성된 악성코드가 500% 증가한 것으로 확인됐다. 이들은 "한 번 작성한 후 어디서나 실행"할 수 있는 악성코드를 사용하고 있다.
• 스푸핑 피해 브랜드 증가 – 1년 동안 전 세계적으로 사회적 거리두기와 원격/재택 근무가 시행된 가운데 구글, 드롭박스, 마이크로소프트와 같이 협업 도구를 제공하는 브랜드와 함께, 아마존, 페이팔과 같은 온라인 쇼핑 브랜드가 2020년 10대 스푸핑 피해 브랜드에 이름을 올렸다. 또한, 지난 해 소비자들이 뉴스 시청을 위해 많이 활용했던 유튜브와 페이스북도 상위권에 올랐다. 의외로 2020년에 일곱 번째로 많이 사칭된 브랜드는 아디다스였는데, 이는 이지(Yeezy)와 슈퍼스타 스니커즈 제품의 수요 증가에 따른 것으로 나타났다.
• 랜섬웨어 그룹, 수익성 높은 비즈니스 모델로 금전적 이익 추구 – 2020년 엑스포스가 대응한 공격 중 25%가 랜섬웨어였으며, 이중 갈취(double extortion) 전술을 취하는 방향으로 공격이 진화하고 있다. 2020년 가장 많이 관찰된 소디노키비(Sodinokibi) 랜섬웨어의 경우, 이러한 갈취 전술로 높은 수익을 올렸다. 보고서에 따르면 이 그룹은 지난 해 보수적 추정치로 1억 2,300만 달러 이상의 수익을 올렸으며 피해자의 약 67%가 이른바 몸값을 지불한 것으로 추산된다.
• 취약점, 피싱보다 감염 경로로 더 많이 사용됨 – 보고서에 따르면 공격자들은 피해자 환경에 접근하는 데 취약점 스캔 및 공격(35%)을 가장 많이 사용한 것으로 나타났다. 이는 수년 만에 처음으로 피싱(31%)을 앞선 수치다. 시트릭스(Citrix) 서버의 취약점에 기인한 2020년의 총 취약점 공격은 거의 18만 건에 달한다.
• 2020년 공격의 직격탄을 맞은 유럽 – 보고서에 따르면 엑스포스가 2020년 대응했던 공격 중 31%가 유럽을 겨냥하는 등 유럽은 다른 지역보다 훨씬 더 많은 공격을 경험했으며, 랜섬웨어에 의한 공격이 주를 이루었다. 또한 유럽은 북미와 아시아 지역을 합친 것보다 두 배나 많은 내부자 위협 공격을 받았다.

IBM이 2020년에 수집한 데이터를 기반으로 하는 이 보고서의 목적은 전 세계 보안 위협 환경에 대한 통찰력 있는 정보를 제공하고 각 조직의 보안 전문가에게 가장 관련성이 높은 위협에 대해 알리는 것이다. 2021 엑스포스 위협 인텔리전스 인덱스 보고서는 https://www.ibm.biz/threatindex2021에서 다운로드 할 수 있다.

# # #

APPENDIX: 보고서 주요 내용

클라우드 환경을 위협하는 오픈소스 악성코드에 대한 투자

코로나19 사태의 여파로 많은 기업이 클라우드 도입에 속도를 냈다. 실제로 최근 가트너(Gartner)의 설문조사에 따르면 현재 클라우드 서비스를 이용 중인 조직 중 70%가 클라우드 투자를 늘릴 계획인 것으로 나타났다. 다만, 현재 리눅스가 클라우드 워크로드의 90% 이상을 지원하고 있고 엑스포스 보고서에서 밝힌 대로 지난 10년 동안 리눅스 관련 악성코드 패밀리가 500% 증가했다는 사실을 종합할 때, 클라우드 환경이 위협 공격자들에게 중요 공격 표적이 되고 있음이 틀림없다.

오픈소스 악성코드가 증가함에 따라 공격자들은 비용을 절감하고 효율성을 높이며 금전적인 이득을 취할 수 있는 공격을 확대할 수 있는 기회를 창출하여 금전적 이익을 높이고 있다. 보고서에서는 APT28, APT29, 카바낙(Carbanak) 등의 다양한 위협 그룹이 오픈소스 악성코드를 주시하고 있다고 강조하며, 이러한 추세가 내년에도 더 많은 클라우드 공격으로 이어질 것으로 내다봤다.

아울러, 인티저가 2020년 리눅스 암호화폐 채굴 악성코드에서 이전에 관찰되지 않던 새로운 코드를 13% 이상 확인했다. 이는, 공격자들이 클라우드 환경이 제공하는 확장 가능한 처리 능력을 지속 악용해 피해 조직에 과도한 클라우드 사용 요금까지 떠넘기게 될 것임을 시사했다.

공격자가 클라우드를 주요 표적으로 삼은 상황에서, 엑스포스는 조직이 보안 전략에 제로 트러스트 접근 방식을 적용하여 클라우드 환경을 강화해야 한다고 조언한다. 또한 사용 중인 데이터의 실시간 암호화를 지원하는 컨피덴셜 컴퓨팅(confidential computing)을 보안 인프라의 핵심 요소로 구성하여 가장 민감한 데이터를 보호해야 한다. 즉, 조직은 사용 중, 전송 중, 보관 중인 모든 데이터를 암호화함으로써 악의적인 행위자가 주요 환경에 접근하더라도 악용하지 못하도록 공격 대상이 될 요소들을 미리 제거하는 것이 중요하다.

이지, 사이버 범죄자들에게 일침: "유명 브랜드로 위장한 사이버 범죄"

2021년 보고서에 따르면 사이버 범죄자들은 소비자들이 신뢰하는 브랜드로 위장하는 방식을 가장 많이 채택한 것으로 나타났다. 전 세계에서 가장 영향력 있는 브랜드 중 하나로 손꼽히는 아디다스 또한 사이버 범죄자들에게 매력적인 먹잇감이 되었다. 사이버 범죄자들은 유명 스니커즈를 찾는 소비자들을 합법적인 사이트처럼 위장한 악성 웹사이트로 유도하는 수법으로 소비자의 수요를 악용했다. 사용자가 합법적 사이트로 위장한 도메인을 방문하기만 하면 사이버 범죄자들은 온라인 결제 사기, 금융 정보 도용, 자격 증명 수집, 악성코드를 통한 디바이스 감염 등의 공격을 시도한다.

보고서에 따르면, 아디다스 스푸핑의 대부분은 카니예 웨스트의 "이지" 라인과 "슈퍼스타" 스니커즈 제품에 대한 수요와 관련됐다. 아디다스는 2019년 이지 라인만으로 13억 달러를 벌어들인 것으로 알려졌다. 이 제품 라인은 아디다스의 스니커즈 중 가장 많이 팔린 제품 중 하나였다. 2020년 초 차기 스니커즈 출시를 알리는 광고가 쏟아지면서 공격자들이 인기있는 브랜드의 수요를 이용해 금전적 이득을 취하려 했던 것으로 보인다.

랜섬웨어, 2020년 사이버 위협 중 압도적 비중 차지

보고서에 따르면 2020년 전 세계는 2019년보다 훨씬 더 많은 랜섬웨어 공격을 경험했고, 엑스포스가 대응한 랜섬웨어 공격 중 60%는 요구하는 금액을 지불하지 않을 경우, 데이터를 암호화하고 훔친 후 유출하겠다고 협박하는 이중 갈취 수법을 쓴 것으로 나타났다. 실제로 2020년 엑스포스가 추적한 데이터 침해 사고의 36%는 데이터 도용 의심 사례가 관련된 랜섬웨어 공격에서 비롯되었다. 이는, 데이터 유출 침해와 랜섬웨어 공격이 경합을 일으키기 시작했음을 시사한다.

2020년에 가장 왕성한 활동을 한 랜섬웨어 그룹은 소디노키비(Sodinokibi, 일명 REvil)로, 엑스포스가 관찰한 모든 랜섬웨어 사고의 22%를 차지했다. 엑스포스는 소디노키비가 피해자로부터 훔친 데이터 규모가 대략 21.6 테라바이트(TB)에 달하고 피해자 중 약 67%가 몸값을 지불했다고 밝혔다. 아울러, 약 43%의 피해자가 데이터 유출 피해를 입음으로써, 결과적으로 지난 해에만 1억 2,300만 달러 이상을 벌어들인 것으로 추정하고 있다.

소디노키비와 마찬가지로, 가장 성공한 랜섬웨어 그룹들은 2020년에 데이터를 훔치고 유출하는 데 주력했을 뿐만 아니라 서비스형 랜섬웨어 카르텔을 조성했다. 또한, 공격의 다양한 측면을 전문적으로 다루는 사이버 범죄자들에게 핵심 운영 요소를 아웃소싱 하는 데 초점을 맞췄다. 따라서, 엑스포스는 조직이 이처럼 공격성이 더해진 랜섬웨어 공격에 대응하기 위해서는 민감한 데이터에 대한 액세스를 제한하고 특권접근관리(PAM) 및 식별 및 접근 관리(IAM)을 통해 권한이 있는 계정을 보호해야 한다고 조언했다.

IBM Security에 대해
IBM Security는 발전되고 통합된 엔터프라이즈 보안 제품 및 서비스 포트폴리오를 제공합니다. 세계적 명성의 IBM Security X-Force 보안 연구소가 지원하는 이 포트폴리오를 통해 조직은 효과적으로 위험을 관리하고 새로운 위협에 맞설 수 있습니다. IBM은 세계에서 가장 광범위한 보안 연구, 개발, 서비스 조직을 운영하면서 매일 130여 개국에서 1,500억 건 이상의 보안 이벤트를 모니터링하고 있으며, 전 세계에서 10,000개 이상의 보안 특허를 보유하고 있습니다. 자세한 내용은 www.ibm.com/security에서 확인하거나Twitter에서 @IBMSecurity를  팔로우하거나 IBM 시큐리티 인텔리전스 블로그를 참조하십시오.

# # #