"에너지·의료·자동차 노렸다"…北·러시아 해킹 조직, 작년 하반기 '활개'
지난해 하반기 동안 사이버 공격자들의 취약점 악용 공격 속도가 급격히 빨라진 가운데 에너지, 의료, 제조, 운송 및 물류, 자동차 산업이 집중 공격을 받은 것으로 나타났다. 특히 북한, 러시아 등에 소속된 해킹조직들이 활발하게 활동한 것으로 드러났다. 3일 포티넷이 발표한 '2023년 하반기 글로벌 위협 동향 보고서'에 따르면 공격자들은 무작위로 랜섬웨어를 배포하는 스프레이 앤드 프레이(Spray and Pray) 전략에서 벗어나 표적화된 공격 방식으로 태도를 바꿨다. 이 탓에 지난해 상반기 대비 하반기에 탐지된 랜섬웨어는 70% 줄었으나, 전체 랜섬웨어 및 와이퍼 샘플의 44%가 산업 부문이란 점이 우려됐다. 또 최근 공격자들은 엔데이(N-Day) 취약점 공격에 집중한 것으로 나타났다. 지난해 하반기에는 새로운 익스플로잇이 공개된 후 평균 4.76일 후에 공격이 시작됐는데, 하반기에는 상반기보다 43% 더 빨라졌다. 더불어 98%의 조직이 최소 5년간 존재하고 있는 엔데이 취약점을 탐지했고, 15년 이상 패치되지 않은 취약점도 발견됐다. 포티넷 관계자는 "이는 공급업체들이 익스플로잇이 발생하기 전에 내부적으로 취약점을 발견하고 패치를 개발하는데 전념해야 한다는 점을 시사한다"며 "사이버 공격자들이 엔데이(N-Day) 취약점을 악용하기 전에 고객들이 자산을 효과적으로 보호하는데 필요한 정보를 확보할 수 있도록 공급업체들이 선제적이고 투명하게 취약점을 공개해야 한다"고 강조했다. 그러면서 "기업들이 '보안 위생(Security Hygiene)'에 대한 경각심을 유지하면서 네트워크의 전반적인 보안을 향상시키기 위해 '네트워크 회복탄력성 연합(Network Resilience Coalition)'과 같은 조직의 지침을 활용할 필요가 있다"며 "일관된 패치 및 프로그램 업데이트를 실시하고 신속하게 조치를 취해야 한다"고 덧붙였다. 다만 모든 취약점이 공격에 악용되는 것은 아닌 것으로 나타났다. 너무 많은 취약점이 공개돼 조치하지 못하는 상황도 발생했는데, 포티넷 조사에서는 잘 알려진 모든 엔드포인트 취약점 중 9% 미만이 공격의 대상이 되고 있는 것으로 조사됐다. 또 지난해 하반기에는 엔드포인트에서 관찰된 모든 CVE 중 0.7%만이 실제로 공격을 받고 있는 것으로 드러났다. 악성 봇넷으로 인한 위험도 조사됐다. 지난해에는 고스트(Gh0st), 미라이(Mirai), 제로액세스(ZeroAccess) 등의 봇넷이 활발하게 활동했는데, 하반기에는 안드록스고스트(AndroxGh0st), 프로메타이(Prometei), 다크게이트(DarkGate) 등이 새로 등장했다. 또 봇넷이 탐지된 후 명령 제어(C2) 통신이 중단될때까지 평균 85일 소요되는 것으로 나타났다. 지난해 하반기 마이터(MITRE)에 등재된 143개의 지능형 위협(APT) 그룹 중 활동하는 것은 38개 정도로 집계됐다. APT는 특정 국가나 기관을 장기간에 걸쳐 해킹하는 행위로, 국가가 배후로 의심되는 APT 조직에는 식별을 위해 숫자를 붙인다. APT29는 러시아, APT31과 APT40는 중국 국가안전부와 연계돼 있는 것으로 알려졌다. 포티넷 관계자는 "라자루스 그룹, 킴수키 등 북한 해킹조직과 APT28, APT29, 안다리엘, 오일리그(OilRig) 등이 (지난해 하반기에) 가장 활발한 활동을 벌였다"며 "사이버 범죄자들의 긴 수명과 장기적인 캠페인에 비해 APT·국가 배후 사이버 그룹의 표적화 특성, 짧은 기간 동안 집중하는 캠페인 등을 고려해 이 분야의 진화와 활동을 지속적으로 추적할 것"이라고 밝혔다.
