½Å±Ô Ãë¾àÁ¡ ¾Ç¿ë ¼Óµµ Áö³ »ó¹Ý±â ´ëºñ 43% Áõ°¡...15³â ÀÌ»óµÈ Ãë¾àÁ¡ ¾Ç¿ë »ç·Êµµ ºó¹ø
·£¼¶¿þ¾î °ø°Ý ¹üÀ§ Ãà¼Ò...ÁÖ¿ä »ê¾÷ ºÎ¹® Ÿ±êÀ¸·Î ¼±Á¤Çϴ ǥÀûÇü Àü·«À¸·Î ¼ö¹ý Àüȯ
[º¸¾È´º½º ÀÌ¼Ò¹Ì ±âÀÚ] 2023³â ÇϹݱ⠻çÀ̹ö °ø°ÝÀÚµéÀÇ Ãë¾àÁ¡ ¾Ç¿ë °ø°Ý ¼Óµµ°¡ Á¡Á¡ °¡¼Óȵǰí ÀÖ´Â °ÍÀ¸·Î ³ªÅ¸³µ´Ù. ÀÌ¿¡ µû¶ó ¼±Á¦ÀûÀÎ ±â¾÷ ³»ºÎ Ãë¾àÁ¡ ¹ß°ß ¹× ÆÐÄ¡ °³¹ß¿¡ Àü³äÇØ¾ß ÇÏ´Â Çʿ伺µµ µ¿½Ã¿¡ ºÎ°¢µÆ´Ù. À̸¦ À§Çؼ´Â °ø±Þ¾÷ü ¿ª½Ã Ãë¾àÁ¡ °ø°³¿¡ ´ëÇØ º¸´Ù ºü¸£°í Åõ¸íÇÏ°Ô ÀÌ·ç¾îÁ®¾ß ÇÑ´Ù´Â °ÍÀÌ´Ù.
³×Æ®¿öÅ·¡¤º¸¾È À¶ÇÕ ¼Ö·ç¼Ç ½ÃÀåÀÇ ±Û·Î¹ú »çÀ̹ö º¸¾È ±â¾÷ Æ÷Ƽ³Ý ÄÚ¸®¾Æ(Á¶¿ø±Õ ´ëÇ¥)´Â 3ÀÏ Æ÷Ƽ³ÝÀÇ º¸¾È¿¬±¸¼ÒÀÎ Æ÷Ƽ°¡µå·¦ÀÇ ¡®2023³â ÇϹݱ⠱۷ιú À§Çù µ¿Çâ º¸°í¼(FortiGuard Labs 2H 2023 Global Threat Landscape Report)¡¯ ¹ßÇ¥¸¦ ÅëÇØ »çÀ̹ö °ø°ÝÀÚµéÀÌ »çÀ̹ö º¸¾È ¾÷°è Àü¹Ý¿¡¼ »õ·Ó°Ô È®ÀÎµÈ ÀͽºÇ÷ÎÀÕ È°¿ë ¼Óµµ¿Í »ê¾÷¡¤OT ºÐ¾ß¸¦ Ÿ±êÀ¸·Î ÇÏ´Â ·£¼¶¿þ¾î ¹× ¿ÍÀÌÆÛ È°µ¿ Áõ°¡¿¡ ´ëÇÑ ºÐ¼® ³»¿ëÀ» ¼Ò°³Çß´Ù. Âü°í·Î ÇØ´ç º¸°í¼´Â 2023³â ÇϹݱâ À§Çù µ¿ÇâÀ» ºÐ¼®ÇÑ °ÍÀÌ´Ù.
¡ã2023³â ÇϹݱâ À§Çù µ¿Çâ[À̹ÌÁö=Æ÷Ƽ³Ý º¸°í¼]
¡®2023³â »ó¹Ý±â ±Û·Î¹ú À§Çù µ¿Çâ º¸°í¼¡¯¿Í ¸¶Âù°¡Áö·Î, ¡®Æ÷Ƽ°¡µå·¦¡¯Àº Ãë¾àÁ¡ Ãʱ⠸±¸®Áî ÀÌÈÄ ÀͽºÇ÷ÎÀÕ(Ãë¾àÁ¡ °ø°Ý)À¸·Î ÀüȯµÇ´Âµ¥ °É¸®´Â ½Ã°£ ¹× ³ôÀº ÀͽºÇ÷ÎÀÕ ¿¹Ãø Á¡¼ö ½Ã½ºÅÛ(EPSS : Exploit Prediction Scoring System, ÀÌÇÏ EPSS)À» °¡Áø Ãë¾àÁ¡ÀÌ ´õ ºü¸£°Ô ¾Ç¿ëµÇ´ÂÁöÀÇ ¿©ºÎ¿Í EPSS µ¥ÀÌÅ͸¦ »ç¿ëÇØ Æò±ÕÀûÀÎ ¾Ç¿ë ½Ã°£À» ¿¹ÃøÇÒ ¼ö ÀÖ´ÂÁö µîÀÇ ¿©ºÎ µîÀ» ÆľÇÇÏ°íÀÚ Çß´Ù.
»çÀ̹ö °ø°ÝÀÚµé, ½Å±Ô Ãë¾àÁ¡ ¿Ü¿¡ ¿À·¡µÈ ¿£µ¥ÀÌ(N-Day) Ãë¾àÁ¡µµ ¿©ÀüÈ÷ ¾Ç¿ë
º¸°í¼¿¡ ÀÇÇϸé, 2023³â ÇϹݱ⿡ °ø°ÝÀÚµéÀº »õ·Î °ø°³µÈ Ãë¾àÁ¡À» ¾Ç¿ëÇÏ´Â ¼Óµµ°¡ 2023³â »ó¹Ý±âº¸´Ù 43%³ª »¡¶óÁ³´Ù. ÀÌ´Â °ø±Þ¾÷üµéÀÌ ÀͽºÇ÷ÎÀÕÀÌ ¹ß»ýÇϱâ Àü ³»ºÎÀûÀ¸·Î Ãë¾àÁ¡À» ¹ß°ßÇÏ°í ÆÐÄ¡¸¦ °³¹ßÇÏ´Â µ¥ Àü³äÇØ¾ß ÇÑ´Ù´Â Á¡(Á¦·Îµ¥ÀÌ Ãë¾àÁ¡ ¿ÏÈ »ç·Ê¿Í µ¿ÀÏ)À» ½Ã»çÇÑ´Ù. º¸°í¼¿¡¼´Â »çÀ̹ö °ø°ÝÀÚµéÀÌ ¡®¿£µ¥ÀÌ(N-Day) Ãë¾àÁ¡¡¯À» ¾Ç¿ëÇϱâ Àü °í°´µéÀÌ ÀÚ»êÀ» È¿°úÀûÀ¸·Î º¸È£Çϴµ¥ ÇÊ¿äÇÑ Á¤º¸¸¦ È®º¸ÇÒ ¼ö ÀÖµµ·Ï °ø±Þ¾÷üµéÀÌ ¼±Á¦ÀûÀÌ°í Åõ¸íÇÏ°Ô Ãë¾àÁ¡À» °ø°³ÇØ¾ß ÇÑ´Ù°í °Á¶Çß´Ù. Æ÷Ƽ³Ý ¿ø°Ý ¼ö½ÅÁ¤º¸(ÅÚ·¹¸ÞÆ®¸®)¿¡ ÀÇÇϸé ÇÑ ´Þµµ ä µÇÁö ¾ÊÀº ½Ã±×´Ïó¿¡¼ ÀͽºÇ÷ÎÀÕÀ» ŽÁöÇÑ Á¶Á÷Àº 41%¿´À¸¸ç, ´ëºÎºÐÀÇ Á¶Á÷µé(98%)ÀÌ ÃÖ¼Ò 5³â°£ Á¸ÀçÇÏ°í ÀÖ´Â ¿£µ¥ÀÌ(N-Day) Ãë¾àÁ¡À» ŽÁöÇÑ °ÍÀ¸·Î ³ªÅ¸³µ´Ù.
¹®Á¦´Â ÀϺΠ¿£µ¥ÀÌ(N-Day) Ãë¾àÁ¡ÀÌ 15³â ÀÌ»ó ÆÐÄ¡µÇÁö ¾ÊÀº »óÅ·εµ Á¸ÀçÇÑ´Ù´Â °ÍÀÌ´Ù. Æ÷Ƽ°¡µå·¦Àº 15³â ÀÌ»ó µÈ Ãë¾àÁ¡À» ¾Ç¿ëÇÏ´Â À§Çù °ø°ÝÀÚµéÀÌ ¸¹´Ù´Â Á¡À» °Á¶Çß´Ù. µû¶ó¼ CISO¿Í º¸¾ÈÆÀÀÌ »õ·Î ¹ß°ßµÈ Ãë¾àÁ¡¸¸ »ìÆì¼´Â ¾È µÈ´Ù´Â °ÍÀÌ´Ù. º¸°í¼¿¡¼´Â ±â¾÷µéÀÌ ¡®º¸¾È À§»ý(Security Hygiene)¡¯¿¡ ´ëÇÑ °æ°¢½ÉÀ» À¯ÁöÇÏ¸é¼ ³×Æ®¿öÅ©ÀÇ Àü¹ÝÀûÀÎ º¸¾ÈÀ» Çâ»ó½ÃÅ°±â À§ÇØ ¡®³×Æ®¿öÅ© ȸº¹Åº·Â¼º ¿¬ÇÕ(Network Resilience Coalition)¡¯°ú °°Àº Á¶Á÷ÀÇ º£½ºÆ® ÇÁ·¢Æ¼½º ¹× ÁöħÀ» È°¿ëÇØ ÀÏ°üµÈ ÆÐÄ¡ ¹× ÇÁ·Î±×·¥ ¾÷µ¥ÀÌÆ®¸¦ ½Ç½ÃÇÏ°í ½Å¼ÓÇÏ°Ô Á¶Ä¡¸¦ ÃëÇØ¾ß ÇÑ´Ù°í Ã˱¸Çß´Ù.
·£¼¶¿þ¾î °ø°Ý ±âÁ¸ ¡®¹«ÀÛÀ§ ¹èÆ÷¡¯ Àü·«¿¡¼ »ê¾÷ ºÎ¹® Ÿ±ê ¡®Ç¥Àû ¹èÆ÷¡¯ Àü·«À¸·Î
2022³â¿¡ Æ÷Ƽ°¡µå·¦Àº ¡®·¹µåÁ¸(Red Zone)¡¯À̶ó´Â °³³äÀ» µµÀÔÇØ À§Çù ÇàÀ§ÀÚ°¡ Àß ¾Ë·ÁÁø ¸ðµç ¿£µåÆ÷ÀÎÆ® Ãë¾àÁ¡ Áß 9% ¹Ì¸¸À» °ø°Ý ´ë»óÀ¸·Î ƯÁ¤ Ãë¾àÁ¡À» ¾Ç¿ëÇÒ °¡´É¼ºÀ» Á¦±âÇß´Ù. À̸¦ À§ÇØ Áö³ ¼¼ Â÷·Ê¿¡ °ÉÃÄ ¹ßÇ¥ÇÑ ±Û·Î¹ú À§Çù µ¿Çâ º¸°í¼¿¡´Â ¿£µåÆ÷ÀÎÆ®¸¦ Ç¥ÀûÀ¸·Î »ï´Â Ãë¾àÁ¡ÀÇ ÃÑ °³¼ö¸¦ »ìÆìºÃ´Ù. 2023³â ÇϹݱâ Á¶»ç¿¡ ÀÇÇÏ¸é ¿£µåÆ÷ÀÎÆ®¿¡¼ °üÂûµÈ ¸ðµç CVE Áß 0.7%¸¸ÀÌ ½ÇÁ¦·Î °ø°ÝÀ» ¹Þ°í ÀÖ´Â °ÍÀ¸·Î ³ªÅ¸³µ´Ù. À̸¦ ÅëÇØ º¸¾ÈÆÀÀÌ ¿ì¼±¼øÀ§¸¦ µÎ°í ÁýÁßÇØ¾ß ÇÒ È°¼ºÈµÈ °ø°Ý ¹üÀ§´Â ÈξÀ ´õ Àû´Ù´Â °ÍÀ» ¾Ë ¼ö ÀÖ´Ù.
¡ã·£¼¶¿þ¾î ¹× ¿ÍÀÌÆÛ Å½Áö·®ÀÌ °¡Àå ¸¹Àº »ê¾÷[À̹ÌÁö=Æ÷Ƽ³Ýº¸°í¼]
Æ÷Ƽ³ÝÀÇ ¸ðµç ¼¾¼¿¡¼ÀÇ ·£¼¶¿þ¾î ŽÁöÀ²Àº 2023³â »ó¹Ý±â ´ëºñ 70%³ª °¨¼ÒÇÑ °ÍÀ¸·Î ³ªÅ¸³µ´Ù. ÀÌ´Â °ø°ÝÀÚµéÀÌ ±âÁ¸¿¡ ¹«ÀÛÀ§·Î ¹èÆ÷ÇÏ´ø ¡®½ºÇÁ·¹ÀÌ ¾Øµå ÇÁ·¹ÀÌ(Spray and Pray)¡¯ Àü·«¿¡¼ ¹þ¾î³ª ÁÖ·Î ¿¡³ÊÁö¡¤ÀǷᡤÁ¦Á¶¡¤¿î¼Û¡¤¹°·ù¡¤ÀÚµ¿Â÷ »ê¾÷À» Ç¥ÀûÀ¸·Î »ï´Â Á¢±Ù ¹æ½ÄÀ¸·Î ÀüȯÇ߱⠶§¹®À̶ó°í ºÐ¼®Çß´Ù. »ç½Ç»ó Àüü ·£¼¶¿þ¾î ¹× ¿ÍÀÌÆÛ »ùÇÃÀÇ 44%°¡ »ê¾÷ ºÎ¹®À» Ç¥ÀûÀ¸·Î »ï°í ÀÖ´Â °ÍÀ¸·Î ³ªÅ¸³µ´Ù.
2023³â »ó¹Ý±â ´ëºñ º¿ Æ®·¡ÇÈÀº ¾ÈÁ¤ÀûÀ¸·Î À¯ÁöµÇ´Â °ÍÀ¸·Î ³ªÅ¸³µÀ¸¸ç, ¡âGh0st ¡âMirai ¡âZeroAccess µî Áö³ ¸î ³â°£ °¡Àå µÎµå·¯Áø º¿³ÝÀÌ °è¼Ó ³ªÅ¸³ °ÍÀ¸·Î ³ªÅ¸³µ´Ù. ¶ÇÇÑ 2023³â ÇϹݱ⿡´Â ¡âAndroxGh0st ¡âPrometei ¡âDarkGate µî 3°³ÀÇ »õ·Î¿î º¿³ÝÀÌ µîÀåÇß´Ù. Âü°í·Î º¿³ÝÀº ù ŽÁö ÈÄ ¸í·ÉÁ¦¾î(C&C) Åë½ÅÀÌ ÁߴܵǴµ¥ Æò±Õ 85ÀÏÀÌ ¼Ò¿äµÇ´Â °ÍÀ¸·Î ³ªÅ¸³µ´Ù.
2023³â ÇϹݱ⠸¶ÀÌÅÍ(MITRE)¿¡ µîÀçµÈ 143°³ÀÇ Áö´ÉÇü À§Çù(APT) ±×·ì Áß 38°³°¡ È°µ¿ÇÑ °ÍÀ¸·Î ºÐ¼®µÆ´Ù. Æ÷Ƽ³ÝÀÇ µðÁöÅÐ ¸®½ºÅ© º¸È£ ¼ºñ½ºÀÎ ¡®Æ÷Ƽ·¹ÄÜ(FortiRecon)¡¯ÀÇ ÀÎÅÚ¸®Àü½º¿¡ ÀÇÇϸé 2023³â ÇϹݱ⿡ ¸¶ÀÌÅÍ(MITRE)°¡ ÃßÀûÇÏ´Â 143°³ ±×·ì Áß 38°³ ±×·ìÀÌ È°µ¿ÇÑ °ÍÀ¸·Î ³ªÅ¸³µ´Ù. ÀÌ Áß ¡â¶óÀڷ罺 ±×·ì(Lazarus Group) ¡âKimusky ¡âAPT28 ¡âAPT29 ¡âAndariel ¡âOilRig°¡ °¡Àå È°¹ßÇÏ°Ô È°µ¿Çß´Ù. »çÀ̹ö ¹üÁËÀÚµéÀÇ ±ä ¼ö¸í°ú Àå±âÀûÀÎ Ä·ÆäÀο¡ ºñÇØ APT ¹× ±¹°¡ ÁÖµµ »çÀ̹ö ±×·ì(Nation-state Cyber Groups)ÀÇ Ç¥ÀûÈ Æ¯¼º°ú »ó´ëÀûÀ¸·Î ªÀº ¼ö¸íÀÇ Ä·ÆäÀÎ µîÀ» °í·ÁÇØ Æ÷Ƽ°¡µå·¦Àº ÀÌ ºÐ¾ßÀÇ ÁøÈ ¹× È°µ¿·®À» Áö¼ÓÀûÀ¸·Î ÃßÀûÇÒ °èȹÀÌ´Ù.
Æ÷Ƽ°¡µå·¦ÀÇ CSS(Chief Security Strategist) °â À§Çù ÀÎÅÚ¸®Àü½º ºÎ¹® ±Û·Î¹ú ºÎ»çÀå(VP)ÀÎ µ¥¸¯ ¸ÇÅ°(Derek Manky)´Â ¡°Æ÷Ƽ°¡µå·¦ÀÇ 2023³â ÇϹݱ⠱۷ιú À§Çù µ¿Çâ º¸°í¼´Â À§Çù ÇàÀ§ÀÚµéÀÌ »õ·Ó°Ô °ø°³µÈ Ãë¾àÁ¡À» ¾ó¸¶³ª ºü¸£°Ô ¾Ç¿ëÇÏ°í ÀÖ´ÂÁö¸¦ Áö¼ÓÀûÀ¸·Î º¸¿©ÁÖ°í ÀÖ´Ù¡±¸é¼, ¡°³ª³¯ÀÌ ÁøÈÇÏ´Â À§Çù ȯ°æ¿¡¼´Â °ø±Þ¾÷ü¿Í °í°´ ¸ðµÎ °¢ÀÚÀÇ ¿ªÇÒÀÌ Áß¿äÇÏ´Ù¡±°í °Á¶Çß´Ù.
ÀÌ¾î ±×´Â ¡°°ø±Þ¾÷ü´Â Á¦Ç° °³¹ß ¼ö¸í ÁÖ±âÀÇ ¸ðµç ´Ü°è¿¡¼ °·ÂÇÑ º¸¾È Á¶»ç µµÀÔ°ú Ãë¾àÁ¡ °ø°³¿¡ ´ëÇÑ Åõ¸í¼º°ú Ã¥ÀÓ°¨À» °¡Á®¾ß ÇÑ´Ù¡±¸é¼, ¡°¹Ì±¹Ç¥Áرâ¼ú¿¬±¸¼Ò(NIST)¿¡ ÀÇÇØ ÀοëµÈ ¹Ù¿Í °°ÀÌ Áö³ÇØ 2õ¿© °³ °ø±Þ¾÷ü°¡ 2¸¸6,447°³ ÀÌ»óÀÇ Ãë¾àÁ¡À» ¹ß°ßÇÑ °ÍÀ¸·Î ¾Ë·ÁÁ³°í ÀÌ·¯ÇÑ ÀͽºÇ÷ÎÀÕ À§ÇèÀ» ÁÙÀ̱â À§Çؼ´Â °í°´µéÀÌ ¾ö°ÝÇÑ Àû¿ë ¹æ½ÄÀ» À¯ÁöÇÏ´Â °ÍÀÌ ¸Å¿ì Áß¿äÇÏ´Ù¡±°í µ¡ºÙ¿´´Ù.
ÇÑÆí Æ÷Ƽ³ÝÀÇ ¡®2023³â ÇϹݱ⠱۷ιú À§Çù µ¿Çâ º¸°í¼¡¯ÀÇ º¸´Ù ÀÚ¼¼ÇÑ ³»¿ëÀº À¥»çÀÌÆ®¸¦ Âü°íÇÏ¸é µÈ´Ù.
[ÀÌ¼Ò¹Ì ±âÀÚ(boan4@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>