Home > 전체기사

해킹그룹들, 네트워크에서 피해자 찾는데 1시간 32분 걸렸다

  |  입력 : 2021-09-23 15:42
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
크라우드스트라이크, 2021년 위협 헌팅 보고서 ‘숨을 곳이 없다(Nowhere To Hide)’ 발간
중국 Nexus 공격 그룹의 텔레콤 및 소매업체 타깃으로 한 공격, 지난해보다 2배 이상 증가


[보안뉴스 원병철 기자] 2021년 들어 평균 브레이크아웃 타임(공격 그룹의 침입자가 초기 거점 침투로 부터 네트워크 내 다른 시스템으로 확산 이동 공격을 시작하는 데 걸리는 시간)이 단 1시간 32분으로 감소했으며, 이는 2020년 대비 1/3로 감소한 것이라는 보고서가 나왔다. 이 섬뜩한 통계는 공격그룹이 어떻게 전술, 기술 및 절차(TTP)를 지속적으로 활용해 목표 대상 접근을 가속화하고 있는지 보여주는 것이다.

[이미지=utoimage]


클라우드 기반 엔드포인트 및 워크로드 보호 부문의 선두업체인 크라우드스트라이크(CrowdStrike)는 ‘숨을 곳이 없다(Nowhere To Hide)’라는 제목으로, 2021년 위협 헌팅 보고서를 발표했다(보고서 대상 기간 : 2020년 7월~2021년 6월). 이 보고서는 규모와 속도 측면에서 악의적 공격 그룹의 활동이 폭발적으로 증가하고 있다는 것을 강조하고 있다. 크라우드스트라이크의 위협 헌팅 전문가가 모든 산업 분야 및 지역에 걸쳐 60% 증가한 침입 시도를 추적했다. 위협 헌팅 보고서의 주요 내용은 다음과 같다.

△공격그룹은 악성코드 수준을 넘어섬
- 공격그룹은 갈수록 정교하고 은밀한 탐지 회피 맞춤형 기술을 사용하고 있다. 지난 3개월간 크라우드스트라이크의 탐지 항목 중 68%는 악성코드가 없는 침투 시도였다.
△중국, 북한 및 이란의 공격 그룹이 가장 적극적으로 정부 차원의 지원을 받고 있음
- 이 보고서는 공격 그룹의 타깃 공격 시도 대부분이 중국, 북한 및 이란 기반임을 밝히고 있다.
△텔레콤 업계를 표적으로 한 양방향 침입 시도가 급격히 증가
- 이 침입 시도는 모든 주요 지역에서 발생하며 광범위한 공격 그룹과 연계되어 있다.
△WIZARD SPIDER가 가장 활발하게 활동하는 사이버 범죄 조직임
- 사실상 이 그룹은 다른 사이버 범죄 조직에 비해 거의 두 배로 침입 시도가 증가한 것으로 나타났다. WIZARD SPIDER가 Ryuk, 그리고 최근에는 Conti 랜섬웨어를 사용하는 표적 공격의 배후로 지목받고 있다.
△가상화폐 가격 상승과 상관관계가 있는 크립토재킹 사례가 전년 대비 100% 증가
△액세스 브로커가 득세한 한 해

- 네트워크를 침해해 해당 액세스 권한을 획득한 후, 다른 사이버 범죄 조직에게 판매하는 전문 사이버 범죄 조직인 액세스 브로커의 활동 및 영향력이 증가했다.

“지난해 업계에서는 전에 없던 복잡한 공격의 맹습을 매일 받았습니다. 크라우드스트라이크 위협 헌팅 팀인 Falcon OverWatch는 복잡한 위협을 탐지하고 중단시키는 타의 추종을 불허하는 역량을 보유하고 있습니다. 악의적 사용자가 숨을 곳이 없어요”라고 크라우드 스트라이크의 Falcon OverWatch 담당 부사장인 Param Singh이 설명했다. 또한, 그는 “최근 사이버 공격 그룹이나 범죄조직의 은밀하고 대담한 전술과 기술을 저지하려면, 조직에서는 전문적인 위협 탐지 및 위협 인텔리전스를 보안 스택에 통합하고 머신러닝을 지원하는 엔드포인트 탐지 및 대응(EDR)을 네트워크에 통합하는 것은 물론, 엔드포인트에 대한 종합적인 가시성을 확보해 악의적 사용자를 경로에서 궁극적으로 차단시킬 수 있어야 한다”고 덧붙였다.

▲크라우드스트라이크 2021년 위협 헌팅 보고서[자료=크라우드스트라이크]

이 보고서는 크라우드스트라이크의 업계 최고인 위협 헌팅팀 Falcon OverWatch와 크라우드스트라이크 인텔리전스 및 서비스팀 공동의 위협 데이터로 구성되어 있으며, 현재의 위협 환경 들여다보기, 주목할 만한 공격 그룹의 동정 및 전술, 사이버 복원력 향상을 위한 권장사항 등을 제공한다. 2021년 보고서 대상 기간 동안, 크라우드스트라이크의 위협 헌팅 전문가는 6만 5,000개 이상의 잠재적 침입 위협을 탐지 및 식별하고 차단했다. 이는 약 8분에 1개 꼴로 침입 위협을 차단한 것이다.

한편, 위협 헌팅팀인 Falcon OverWatch의 미션은 업무에 특화된 스마트한 전문가를 통해 Falcon 플랫폼의 강력하고 자율적인 보호를 강화해 안전하게 유지하는데 필요한 결과를 제공하는 것이다. Falcon OverWatch는 CrowdStrike의 클라우드 데이터 저장 및 분석 풀인 Threat Graph®의 막강한 파워를 탑재하고 풍부한 크라우드스트라이크 위협 인텔리전스를 갖춰 복잡한 위협 시도를 추적 및 조사하고 자문을 제공한다.

매일 수집되는 약 1조 개의 엔드포인트 관련 이벤트를 160개 이상의 악의적 사용자 그룹 상세 기술 정보에 결합하고 CrowdStrike Falcon® 플랫폼의 자동화를 통해 강화한 클라우드 규모의 원격 측정으로 OverWatch 팀은 최신 위협을 신속하게 식별하고 중단시킬 수 있는 탁월한 역량을 갖출 수 있다. 새롭고 복잡한 공격그룹의 행태에 대한 OverWatch의 인사이트는 Falcon의 보호 수준을 지속적으로 개선하도록 지원함으로써 약 24만 8,000개의 엔드포인트에서 악의적 활동을 탐지해 사전에 예방한 바 있다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아이티스테이션 파워비즈모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)