구글 클라우드가 ‘맨디언트 M-트렌드 2025 보고서’를 발표했다. 이번 보고서는 2024년 한 해 동안의 글로벌 사이버 위협 활동을 분석해 기업 보안 대응 전략에 대한 인사이트를 제시했다. 보고서는 특히 금전적 동기를 가진 위협 그룹의 증가, 네트워크 에지 장비를 겨냥한 제로데이 공격, 자격 증명 탈취 시도 확산 등을 주요 이슈로 지목했다.

 

보고서에 따르면 2024년 탐지된 위협 그룹의 55%가 금전적 동기를 가진 집단이었다. 이는 2022년 48%, 2023년 52%에 이어 증가 추세를 보이고 있다. 간첩 목적의 위협 비중은 감소했지만, 러시아 및 중국과 연계된 사이버 첩보 조직의 공격 시도는 오히려 증가한 것으로 나타났다. 특히 제로데이 취약점을 활용한 네트워크 에지 장비 침해가 두드러졌다.

 

초기 감염 경로로는 5년 연속 취약점 공격이 가장 흔했다. 2024년 조사에서 전체 공격의 33%가 취약점 공격으로 시작됐으며, 자격 증명 탈취가 16%로 2위를 차지했다. 이메일 피싱, 웹사이트 침해, 과거 침해 사례 등이 그 뒤를 이었다. 아시아태평양 및 일본 지역에서는 취약점 공격이 64%로 나타나 글로벌 평균보다 두 배가량 높았다.

 

 

조직이 침해 사실을 인지한 경로는 외부 기관 통보가 57%, 내부 인지가 43%였다. 외부 통보 중 14%는 공격자로부터 직접 랜섬 노트를 받은 경우였다. 침해 이후 공격자가 시스템에 머문 기간을 의미하는 드웰 타임의 글로벌 중앙값은 11일로, 2023년보다 하루 늘었다. 아태지역은 평균 6일로 글로벌 대비 짧았다. 전체 침해 사건의 절반 이상이 7일 이내에 탐지됐다.

 

기업 시스템 침해를 유도하는 인포스틸러 악성코드의 증가도 주목됐다. 해당 악성코드는 브라우저나 개인 기기에서 자격 증명을 탈취해 기업 네트워크에 접근하며, 협력업체 시스템을 경유하는 간접 침투도 빈번하게 발생하고 있다.

 

북한 관련 사이버 활동도 보고서에 포함됐다. 북한 IT 인력은 허위 서류로 해외 기업에 취업한 뒤 VPN을 이용해 실제 위치를 숨기고, 정규 직원처럼 기업 시스템에 접근하는 사례가 보고됐다.

 

클라우드 환경을 대상으로 한 공격도 확산 중이다. 공격자들은 통합 인증 시스템, SaaS 애플리케이션, 클라우드 구성 오류 등을 집중 공략한다. 특히 하이브리드 인프라에서 온프레미스와 클라우드 간 보안 통제가 일관되지 않을 경우 공격 표면이 넓어지고 탐지가 어려워진다. 책임 공유 모델에 대한 인식 부족 역시 보안 취약점을 발생시키는 주요 원인으로 지적됐다.

 

암호화폐와 블록체인을 노린 공격도 증가하고 있다. 드레이너 악성코드와 이를 서비스 형태로 판매하는 시장이 형성돼 있으며, 스마트 계약과 사용자 지갑을 표적으로 하는 자산 탈취가 활발하게 이루어지고 있다.

 

맨디언트는 고급 위협 탐지 기술의 도입, 정기적 취약점 관리, 최소 권한 기반 접근 통제, 침해 대응 계획 수립, 레드 팀 기반 검증, 직원 보안 인식 교육 등을 권고했다. 구글 클라우드는 자사 통합 보안 플랫폼을 통해 기업들이 이러한 위협에 대응할 수 있도록 위협 인텔리전스와 AI 기반 보안 기능을 제공하고 있다고 밝혔다.

 

헬로티 구서경 기자 |