“랜섬웨어 줄었지만, 악성 멀웨어 ‘세포분열’ 더 활발”

[애플경제 김향자 기자]갈수록 랜섬웨어는 줄어드는 반면, Log4j1 등 취약점이나 비컨(Beacon), 시스템BC(SystemBC), 메타스플로이트(Metasploit), 하이브로커(Hivelocker) 등과 같은 악성 프로그램(멀웨어)가 기승을 떨고 있다. 그나마 각국별로 사이버공격에 적극 대처하면서 이같은 멀웨가 확산되고 있음에도, 나름대로 사전 탐지와 대응책이 큰 진전을 보이고 있는 것으로 나타났다.

“역대 조사 중 랜섬웨어 가장 크게 감소”

21일 구글클라우드의 자회사인 ‘맨디언트 인텔리전스(Mandiant Intelligence)’에 따르면 2021년 전체 사이버공격 중 랜섬웨어가 23%였던데 비해 2022년에는 18%에 그쳤다. 이를 인용보도한 보안 매체 ‘멀웨어바이츠’는 “이는 랜섬웨어와 관련된 역대 맨디언트 조사 중 가장 적은 비율”이라고 했다.

역시 맨디언트의 조사 결과를 인용한 ‘사이버리즌’ 등은 “특히 ‘비컨’이 악성 프로그램 변종 중에서 가장 강력한 멀웨어”라고 주목했다.이는 맨디언트가 조사한 모든 사이버공격의 15%를 차지할 정도다.

구글 클라우드 차원에서 지난 한 해 동안의 글로벌 사이버 보안 환경을 집중 분석한 맨디언트 인텔리전스의 조사 보고서 ‘M-Trends 2023’은 특히 중국과 러시아의 정부 후원 해커 집단이나, 재정적 후원을 받는 공격 그룹에 특히 주목했다.

주목되는 것은 해당 악성 프로그램이 중국, 러시아, 이란과 연계된 그룹이나, 무려 700개 이상의 멀웨어 집합체(UNC)에 의해 배포되었다는 점이다. 이 밖에 시스템BC, 메타스플로이트, 하이브로커, 칵봇(Qakbot), 록비트(LockBit), 바스타(Basta) 등도 극성을 떠는 위협 요인들로 지목되었다.

또 전체 사이버 공격의 16%를 차지할 만큼 Log4j1 취약성도 큰 보안 위협 요인으로 떠오르고 있다.

멀웨어 ‘침투 후 체류시간’ 감소 등 보안대책 진전도

그러나 맨디언트 측은 이런 조사 결과를 높고 “우리가 관찰한 랜섬웨어 관련 공격이 약간 감소한 원인에 대해선 정확히 분석한 바가 없지만, 이러한 (사이버공격의) 수치를 낮추는 데 기여했을 여러 진전된 운영 환경 변화가 있었다”고 전했다. 추측컨대, “각국의 사이버보안 당국의 강력한 단속이 랜섬웨어 공격을 위축시켰고, 범죄자들로 하여금 또 다른 수법을 연구하거나 새로운 ‘파트너십’을 개발하도록 강요했을 것”이라고 덧붙이기도 했다.

특히 공격 대상 네트워크나 조직에 침투한 후 머무는 시간(Dwell Time)이 크게 줄어든 점도 이를 반영하고 있다. 즉, 상주 시간이 줄어들고 ‘공격 알림 발령’이 증가함에 따라 조직의 방어 능력이 향상된 반면, 이에 맞서 범죄자들의 수법도 진화하고 또 다른 악성 프로그램이 확산되고 있다는 분석이다.

‘드웰 시간’, 즉 공격자가 탐지되기 전에 대상 네트워크에 잠복한 일수가 감소한 것이 대표적인 현상이다. 즉, 표적이 된 기업이나 조직이 공격자가 침투한 후 단시간에 이를 포착, 대응에 나선 경우가 많아진 셈이다. ‘M-Trends 보고서’에 따르면, “공격자들의 타깃 내 체류 시간은 16일로, 14년 전 맨디언트가 매년 해당 조사를 실시해온 이래 가장 짧았고, 2021년의 21일보다 감소했다”는 것이다.

그럼에도 사이버 위협 그룹은 전체적으로 증가하고 있다. 맨디언트 조사만 봐도 2022년에는 한 해 전보다 900개가 추가된 3,500개를 추적해왔다.

보안장치들이 오히려 ‘먹잇감’, ‘자격증명’ 도용도

맨디언트에 따르면 사이버 범죄자들 또한 “점점 더 현명하면서도 효과적으로 수법을 변경시키고 있다”고 주목했다. 특히 최근에는 지하 사이버 범죄 시장의 데이터를 사용하여 기업 네트워크로 자연스레 수평 이동하는 ‘사회 공학’적 수법을 쓰기도 한다.

대표적으로 SQL 주입이나, 사이트 간 스크립팅과 같은 공격이 가장 일반적인 공격 벡터로 밝혀졌다. 이는 2021년에 비해 가장 크게 늘어난 수법으로 지목되었고, 그 다음으로 ‘피싱’이 차지했다.

또 취약성에 대한 공격도 크게 늘어나고 있다. 특히 방화벽이나, 가상화 솔루션, 가상 사설 네트워크 장치(VPN) 등 인터넷에 노출된 보안 장치들이 오히려 ‘먹잇감’이 되고 있다는 분석이다.

주목할 만한 취약성은 전체 취약성 공격의 16%를 차지하는 Log4j1이다. 그 뒤를 이어 공격 대상이 되는 취약성은 ‘F5 Big-IP2’, ‘VMware Workspace ONE Access and Identity Manager’ 등인 것으로 밝혀졌다.

특히 자격증명을 훔쳐 공격하는 사례도 늘어나고 있다. 기업 내에서 암호를 재사용하거나, 개인 계정을 사용하는 경우가 특히 대상이 되고 있다. 이런 경우 기업이나 조직의 밖에서 자격 증명을 도용한 후, 이를 무기로 공격에 나선다.

다시 말해 “2022년에는 예년에 비해 광범위한 정보를 도용한 맬웨어와, 자격 증명 구매 수법이 특히 증가한 것으로 나타났다”는 것이다.

‘랩서스’, ‘UNC3944’ 등 MS‘윈도우’ 집중 공격

보고서에 따르면 또 마이크로소프트 윈도우가 가장 공격을 많이 받은 것으로 나타났다. 특히 윈도우 맬웨어는 새로 식별된 맬웨어 제품군의 92%를 차지할 정도다.

반면에 리눅스의 경우는 상대적으로 멀웨어 공격이 감소했고, VMware사에서 생성한 운영 체제 ‘VMkernel’을 악용하도록 설계된 멀웨어가 처음으로 발견되기도 했다. 이에 대해 “아직은 널리 확산되고 있지 않지만, VMware가 널리 사용되기 때문에 누구나 주의를 기울여야 할 것”이라고 언급했다.

특히 주요 기업을 목표로 하는 악명높은 그룹으로 UNC3661의 일종인 ‘랩서스’나, UNC3944로 레이블이 매겨진 멀웨어가 있다. 이들은 “지하 사이버 범죄 시장을 이용하거나, 영악한 사회 공학적 수법, 심지어 뇌물로부터 얻은 데이터를 사용했다”는 맨디언트측은 “특히 UNC3661은 남미에서 기승을 떨다가 세계적으로 퍼져 나갔는데, 소스 코드와 지적 재산을 훔쳐서 시장의 혼란을 부추기고 기업의 명성을 추락시키곤 한다”고 주의를 요망했다.

맨디언트는 또 지난해 등장한 ‘UNC3944’를 특히 지목했다. “이는 SMS 피싱 작업에서 얻은 도용된 자격 증명을 사용하여 액세스하여, 돈을 갈취하는 해킹 클러스터”라고 했다.

그러면서 “모든 기업이나 공공기관들은 이처럼 날로 새롭고 노골적인 위협을 가해오는 불순세력들을 늘 경계하고, 끊임없이 방어책을 강구해야 할 것”이라고 강조했다.