Announcements
IBM 시큐리티, “아시아, 작년 한 해 사이버 공격 가장 많이 받아”
서울, 2022년 2월 28일 – IBM 시큐리티(IBM Security)는 연례 보고서인 엑스포스 위협 인텔리전스 인덱스 보고서(X-Force Threat Intelligence Index)를 28일 발표했다. 보고서에 따르면 작년 한 해 사이버 공격의 26%가 아시아에 있는 표적을 조준하며 한국을 포함한 아시아가 전 세계에서 가장 많은 사이버 공격을 받은 것으로 밝혀졌다. 산업군별로는 발생한 사이버 공격 중 제조업(23%)이 가장 많은 공격을 받는 산업으로 떠올랐으며, 랜섬웨어 및 소프트웨어 취약점을 활용한 사이버 공격 비중이 전년 대비 크게 증가한 것으로 나타났다.
엑스포스 위협 인텔리전스 인덱스 보고서는 작년 한 해 가장 보편적인 사이버 공격 형태로 피싱(Phishing)을 꼽았으며, 패치가 완료되지 않은 소프트웨어 취약점을 악용한 공격이 전년 대비 33% 증가했다고 밝혔다. 또한, 소프트웨어 취약점을 토대로 랜섬웨어 공격이 전년 대비 44% 증가했다고 밝혔다.
보고서는 랜섬웨어를 활용한 사이버 공격자들은 제조업에 대한 공격을 통해 글로벌 공급망을 분열시키기 위한 의도로 공격을 자행했다고 밝혔다. 제조업에대한 공격 중 47%는 제조 기업의 소프트웨어 패치 미흡 또는 이로 인해 발생한 소프트웨어 취약점이 원인인 것으로 밝혀져, 조직이 취약점 관리에 우선순위를 두어야 한다고 강조했다.
찰스 핸더슨(Charles Henderson) IBM 엑스포스 총괄은 “사이버 공격자들은 보통 돈을 쫓는다. 그러나 이제 사이버 공격자들은 랜섬웨어를 활용하기 시작했다”며 “그들은 기업의 취약점을 활용해 랜섬웨어 공격을 감행하고 있으며 기업은 취약점에 대해 빨리 자각해야 한다. 사이버 공격자들이 공격할 수 있는 부분이 더욱 커지고 있으며, 기업은 언제나 공격당할 수 있다는 생각을 토대로 제로 트러스트(Zero Trust) 전략을 통해 취약점을 관리해야 한다”고 말했다.
보고서의 주요 내용은 다음과 같다:
- 끊임없이 부활하는 랜섬웨어 조직: 랜섬웨어 테이크다운 사례가 증가함에도 불구하고 랜섬웨어는 2021년 한 해 가장 빈번하게 발생한 공격 형태 중하나로 나타났다. 보고서에 따르면 랜섬웨어 조직은 평균적으로 17개월 동안 활동하며 이후 사라지거나 조직 리브랜딩을 거치는 것으로 밝혀졌다.
- 취약점이 기업의 가장 큰 결함으로 나타나: 보고서는 작년 한 해 유럽, 아시아, 중동 및 아프리카 지역 내 기업에 발생한 공격 중 50%가 소프트웨어패치 미흡으로 인해 발생한 취약점으로 인해 발생했다며, 기업의 소프트웨어 패치가 시급하다고 밝혔다.
- 클라우드를 활용한 사이버 공격 주의보: 사이버 공격자들은 클라우드 환경을 공략하기 위한 토대를 만들고 있다. 보고서에 따르면 리눅스 랜섬웨어코드가 146% 증가했으며, 도커 중심의 타겟팅으로 전환되어 많은 공격자들이 더욱 쉽게 클라우드 환경을 악의적인 목적으로 활용할 수 있게 됐다.
- 아시아에서 가장 많은 공격 발생: 작년 한 해 가장 많은 사이버 공격이 발생한 지역은 아시아로, 2021년 IBM이 관측한 사이버 공격 4건 중 1건 상당이 아시아 지역에서 발생했다. 이 중 아시아 내 금융 서비스 및 제조 기업에 대한 공격 비율이 60% 가까이 달했다.
- 전화 통화와 연계한 피싱 공격: 2021년 가장 많이 발생한 사이버 공격은 피싱 공격으로 나타났다. 엑스포스 레드(X-Force Red)의 모의 침투 실험결과, 전화 통화와 연계된 피싱 성공률이 3배 이상 높은 것으로 나타났다.
IBM이 2021년 수집한 데이터를 기반으로 하는 이 보고서의 목적은 전 세계 보안 위협 환경에 대한 통찰력 있는 정보를 제공하고 각 조직의 보안 전문가에게가장 관련성이 높은 위협에 대해 알리는 것이다. 2022 엑스포스 위협 인텔리전스 인덱스 보고서는 공식 홈페이지에서 다운로드할 수 있다.
APPENDIX: 엑스포스 위협 인텔리전트 인덱스 보고서 세부 내용
9개의 목숨을 가진 랜섬웨어 조직
최근 랜섬웨어 조직에 대한 사법기관의 정책이 강화됨에 따라, 랜섬웨어 조직들은 자체적으로 피해 복구 계획을 시행하고 있을 수 있다. IBM 엑스포스 분석에 따르면 랜섬웨어 조직이 와해되거나 조직을 리브랜딩 하는데 평균적으로 17개월이 소요된다. 일례로, 2021년 전체 랜섬웨어 공격 중 37%을 차지한REvil은 조직 리브랜딩을 통해 4년 동안 활동을 지속했다. 이는 2021년 중반 다양한 국가들이 함께 랜섬웨어 조직을 와해하고자 했던 노력에도 불구하고 랜섬웨어 조직들이 다시 등장할 수 있는 가능성을 시사한다.
사법기관의 법 집행으로 랜섬웨어 공격자들의 속도를 늦출 수는 있으며, 랜섬웨어 공격자들 또한 리브랜딩 또는 인프라 재구축에 필요한 비용도 증가한다. 환경이 변화함에 따라 기업은 온프레미스 또는 클라우드를 망라하고 안전한 환경에 데이터를 배치할 수 있도록 인프라를 현대화하는 것이 중요하다. 기업은 워크로드를 관리, 제어 및 보호할 수 있으며, 하이브리드 클라우드 환경에서 중요한 데이터에 대한 접근을 어렵게 만들어 외부의 공격으로부터 더욱 보호할 수있다.
일부 기업에는 치명적인 위기를 초래할 수 있는 취약점
엑스포스 보고서는 2021년 사상 최다 취약점이 발견됐으며, 매년 산업통제시스템 내 취약점이 50% 상당 증가하고 있다고 밝혔다. 지난 10년 동안146,000개 이상의 취약점이 발견되었으나, 기업이 디지털 여정을 시작 한지 얼마 되지 않은 상황으로, 향후 취약점 관리에 대한 기업의 어려움이 더욱 증가할 것으로 예상된다.
동시에, 취약점을 활용한 사이버 공격이 증가하고 있다. 엑스포스 보고서는 이러한 형태의 사이버 공격이 2020년 대비 2021년 33% 증가했으며, 가장 많이악용된 취약점은 널리 사용되는 기업용 애플리케이션 (마이크로소프트 익스체인지, 아파치 로그4J 라이브러리)에서 발견됐다고 밝혔다. 디지털 인프라 및 비즈니스가 확장하고, 지속적인 감사 및 유지관리 활동으로 인해 기업이 취약점을 관리하기는 더욱 어려워질 것으로 예상되며, 기업은 항상 위협에 노출될 수있다는 가정 하에 제로 트러스트 전략을 도입, 아키텍처를 보호해야 한다.
사이버 공격자, 클라우드 간의 공통 영역을 공격 대상으로 삼아
엑스포스 보고서는 2021년 더 많은 사이버 공격자들이 도커와 같은 컨테이너를 공격 목표로 삼고 있다는 것을 발견했다. 사이버 공격자들은 컨테이너가 조직과 조직 사이의 공통 기반임을 파악하고, 플랫폼을 넘나들 수 있는 멀웨어를 활용해 ROI를 극대화하고 있으며, 해당 멀웨어를 통해 공격 대상의 인프라의 다른 구성요소로 이동할 수 있다.
또한, 보고서는 인티저(Intezer) 자료에 따르면 신규 코드를 보유한 리눅스 랜섬웨어가 146% 증가했다며, 사이버 공격자들이 이전에는 관찰되지 않았던 고유한 리눅스 멀웨어를 활용하고 있다고 경고했다. 사이버 공격자들이 클라우드 환경을 통해 공격을 확장하고 있는 관계로, 기업은 하이브리드 인프라 상에 가시성을 더욱 확장하는 데 초점을 두어야 한다. 상호운용성과 개방형 표준을 기반으로 구축된 하이브리드 클라우드 환경은 조직이 사각지대를 감지하고 보안대응을 자동화할 수 있도록 지원한다.
###