포티넷, ‘2023년 하반기 글로벌 위협 동향 보고서' 발표
포티넷, ‘2023년 하반기 글로벌 위협 동향 보고서' 발표
  • 박시현 기자
  • 승인 2024.06.03 16:50
  • 댓글 0
이 기사를 공유합니다

익스플로잇 활용 속도와 랜섬웨어 및 와이퍼 활동 증가 등 분석

[디지털경제뉴스 박시현 기자] 포티넷 코리아가 ‘2023년 하반기 글로벌 위협 동향 보고서'를 발표했다.

보안연구소인 포티가드랩에서 분석한 이 보고서는 2023년 하반기 위협 동향을 조사 분석한 것으로, 사이버 공격자들이 새롭게 확인된 익스플로잇을 활용하는 속도와 산업 및 OT 분야를 타깃으로 하는 랜섬웨어 및 와이퍼 활동 증가에 대한 내용을 담고 있다.

‘2023년 하반기 글로벌 위협 동향 보고서'의 주요 내용은 다음과 같다.

▪새로운 익스플로잇이 공개된 후 평균 4.76일 후에 공격 시작: ‘2023년 상반기 글로벌 위협 동향 보고서’와 마찬가지로, 포티가드랩은 취약점의 초기 릴리즈 이후 익스플로잇(취약점 공격)으로 전환되는데 걸리는 시간, 높은 익스플로잇 예측 점수 시스템(EPSS)을 가진 취약점이 더 빠르게 악용되는지의 여부, EPSS 데이터를 사용해 평균적인 악용 시간을 예측할 수 있는지의 여부 등을 파악하려고 했다.

보고서에 의하면, 2023년 하반기에 공격자들은 새로 공개된 취약점을 악용하는 속도가 2023년 상반기보다 43%나 빨라졌다. 이는 공급업체들이 익스플로잇이 발생하기 전에 내부적으로 취약점을 발견하고 패치를 개발하는데 전념해야 한다는 점을 시사한다. 포티가드랩은 사이버 공격자들이 엔데이(N-Day) 취약점을 악용하기 전에 고객들이 자산을 효과적으로 보호하는데 필요한 정보를 확보할 수 있도록 공급업체들이 선제적이고 투명하게 취약점을 공개해야 한다고 강조했다.

▪일부 엔데이 취약점은 15년 이상 패치되지 않은 상태로 존재: CISO와 보안팀은 새로 발견된 취약점만 살펴서는 안된다. 포티넷 원격 수신정보에 의하면 한 달도 채 되지 않은 시그니처에서 익스플로잇을 탐지한 조직은 41%였으며, 대부분의 조직들(98%)이 최소 5년간 존재하고 있는 엔데이 취약점을 탐지한 것으로 나타났다.

포티가드랩은 15년 이상 된 취약점을 악용하는 위협 공격자들이 많다는 점을 강조했다. 보고서는 기업들이 보안 위생에 대한 경각심을 유지하면서 네트워크의 전반적인 보안을 향상시키기 위해 ‘네트워크 회복탄력성 연합’과 같은 조직의 베스트 프랙티스와 지침을 활용해 일관된 패치 및 프로그램 업데이트를 실시하고 신속하게 조치를 취해야 한다고 촉구했다.

▪잘 알려진 모든 엔드포인트 취약점 중 9% 미만이 공격의 대상: 2022년, 포티가드랩은 '레드존'이라는 개념을 도입해, 위협 행위자가 특정 취약점을 악용할 가능성을 보다 효과적으로 보여주었다. 이를 위해 지난 세 차례의 글로벌 위협 동향 보고서에서는 엔드포인트를 표적으로 삼는 취약점의 총 개수를 살펴봤다. 2023년 하반기 조사에 의하면 엔드포인트에서 관찰된 모든 CVE 중 0.7%만이 실제로 공격을 받고 있는 것으로 나타났다. 이를 통해 보안팀이 우선순위를 두고 집중해야 할 활성화된 공격 범위는 훨씬 더 적다는 것을 알 수 있다.

▪전체 랜섬웨어 및 와이퍼 샘플의 44%가 산업 부문을 표적으로 삼아: 포티넷의 모든 센서에서 랜섬웨어에 대한 탐지가 2023년 상반기 대비 70%나 감소한 것으로 나타났다. 이는 공격자들이 기존 무작위로 배포하는 ‘스프레이 앤드 프레이’ 전략에서 벗어나, 주로 에너지, 의료, 제조, 운송 및 물류, 자동차 산업을 표적으로 삼는 접근 방식으로 전환했기 때문인 것으로 분석된다.

▪봇넷은 첫 탐지 후 명령 제어(C2) 통신이 중단되는데 평균 85일이 소요: 2023년 상반기 대비 봇 트래픽은 안정적으로 유지되었으며, Gh0st, Mirai, ZeroAccess 등 지난 몇 년간 가장 두드러진 봇넷이 계속 나타난 것으로 나타났다. 또한, 2023년 하반기에는 AndroxGh0st, Prometei, DarkGate 등 3개의 새로운 봇넷이 등장했다.

▪2023년 하반기에 마이터에 등재된 143개의 지능형 위협 그룹 중 38개가 활동: 포티넷의 디지털 리스크 보호 서비스인 ‘포티레콘’의 인텔리전스에 의하면 2023년 하반기에 마이터(MITRE)가 추적하는 143개 그룹 중 38개 그룹이 활동한 것으로 나타났다. 이 중 라자루스 그룹, Kimusky, APT28, APT29, Andariel, OilRig가 가장 활발하게 활동했다. 사이버 범죄자들의 긴 수명과 장기적인 캠페인에 비해 APT 및 국가 주도 사이버 그룹의 표적화 특성과 상대적으로 짧은 수명의 캠페인 등을 고려해 포티가드랩은 이 분야의 진화 및 활동량을 지속적으로 추적할 계획이다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.