딜라이트닷넷

[딜라이트닷넷] 사이버 스파이 활동, 세계적으로 증가 추세

이종현
[IT전문 미디어 블로그=딜라이트닷넷]
사이버 스파이 활동과 첩보 공작이 지속해서 증가 추세를 보이고 있다. 러시아-우크라이나 전쟁이 이와 같은 활동의 확산을 야기한 것으로 보인다.

사이버위협 인텔리전스 기업 맨디언트는 미국 현지시각 기준 18일, 2023 M-트렌드 보고서를 공개했다. 맨디언트의 연례 보고서로 전 세계적으로 큰 영향을 미친 사이버공격에 대한 조사 내용과 전문가의 분석이 담겼다.

맨디언트가 보고서를 통해 주목한 것 중 사이버 스파이 활동과 악성코드 계열이 전 세계적으로 증가 추세를 보이고 있다는 점이다.

2022년2월24일 러시아의 우크라이나 침공 작전과 그후 광범위한 사이버 스파이 활동, 첩보 공작이 확인됐는데, 침공 전 UNC2589와 APT28의 활동이 포착됐고 이는 직전 8년대비 2022년 첫 1~4월 동안 우크라이나를 타깃으로 한 파괴적인 사이버공격이 관찰됐다.

또 2022년 신종 악성코드 계열 588개를 추적한 결과 백도어(34%), 다운로더(14%), 드로퍼(11%), 랜섬웨어(7%), 런처(5%) 등 순으로 툴셋이 확장된 것을 확인했다. 악성코드 카테고리는 수년 동안 변함없이 유지됐고 백도어의 비중은 새로 추적된 악성코드 계열에서도 3분의 1을 넘었다.

맨디언트의 조사에서 포착된 가장 흔한 악성코드 계열은 다기능 백도어인 비컨(BEACON)으로 지난 수년 간의 동향과 일치했다. 비컨은 2022년 맨디언트가 조사한 모든 침투 중 15%에서 포착됐고 모든 지역에 걸쳐 가장 많이 발견됐다.

비컨은 중국, 러시아, 이란과 연계된 국가 지원 위협 그룹뿐만 아니라 금전적 목적의 위협 그룹, 700여개의 UNC 그룹 등 맨디언트가 추적한 광범위한 위협 그룹에서 사용하고 있다. 보고서에 따르면 이러한 편재성은 비컨의 일반적 접근성, 높은 사용자 정의 가능성, 사용 용이성에 기인한다.

맨디언트 컨설팅 최고기술책임자(CTO) 찰스 카마칼(Charles Carmakal)은 ”새로운 공격자들이 점점 고도화되고 효과적으로 진화하는 가운데 맨디언트는 이들이 수행한 공격 중 일부를 조사했다. 공격자들은 지하 사이버 범죄 시장에서 유래된 데이터를 활용하고, 음성 통화 및 문자 메시지를 통해 교묘한 사회공학 기법을 동원하고, 네트워크 액세스 권한을 얻기 위해 직원 매수까지 시도한다”고 지적했다.

이어서 “이러한 기술은 방어가 어렵기 때문에 강건한 보안 프로그램을 갖춘 조직에도 상당한 위험이 된다. 조직은 계속해서 보안 팀, 인프라, 역량을 구축해 나가며, 설계 목표에 이러한 공격자들에 대한 방어를 포함시켜야 한다”고 부연했다.

글로벌 공격지속 시간이 줄고 있다는 데이터도 발견됐다. 2023 M-트렌드 보고서에 따르면 공격자가 탐지되기 전 표적의 환경에서 머무는 시간의 중앙값으로 산출되는 전 세계 공격지속 시간 중앙값이 2021년 21일에서 2022년 16일로 줄었다.

맨디언트 인텔리전스 부사장 산드라 조이스(Sandra Joyce)는 “관찰된 랜섬웨어 관련 공격이 소폭 감소한 데에 원인이 단 하나라는 데이터는 없다. 운영 환경 상의 여러 변화가 이처럼 낮은 수치에 기여한 것으로 보인다”고 추측했다.

예상되는 요인으로는 정부와 법 집행당국의 노력으로 공격자가 툴 정비나 새로운 파트너십을 개발해야 했다는 점, 또 러시아-우크라이나 전쟁의 발발과 매크로다 디폴트로 비활성화돼 가는 세계에서 공격자가 초기 접근 동작을 수정해야 할 필요성, 조직들의 랜섬웨어 탐지 및 예방능력 강화 등을 제시했다.

이밖에 주목할 만한 사이버보안 이슈로 ▲감염 벡터 ▲공격 표적 산업 ▲자격증명 도용 ▲데이터 도난 ▲북한의 암호화폐 활용 등을 꼽았다.

맨디언트는 2022년 북한 공격자들이 전통적인 인텔리전스 수집 작전, 와해성 공격과 함께 암호화폐 탈취와 사용에 많은 관심을 보였다고 분석했다. 또 이들의 공작은 매우 수익성이 높아 2023년에도 줄어들지 않으리라 전망했다.

[이종현 기자 블로그=데이터 가드]
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널