FortiGuard Labs의 글로벌 위협 연구 및 사이버 보안 전략 부문 부사장인 데릭 맨키(Derek Manky)는 "최신 글로벌 위협 환경 보고서는 사이버 범죄자들이 AI와 자동화를 활용하여 전례 없는 속도와 규모로 공격을 가속화하는 방식을 강조하고 있습니다."라고 말했습니다. "기존의 보안 플레이북만으로는 더 이상 충분하지 않습니다. 오늘날 급변하는 위협 환경에서 공격자보다 앞서 나가기 위해서는 AI, 제로 트러스트, 그리고 지속적인 위협 관리를 통합한 선제적 방어 전략으로 신속하게 전환해야 합니다."

특히, 공격자들이 노출된 타겟을 조기에 식별하려고 시도하면서 자동 스캐닝이 사상 최고치를 기록했습니다. 사이버 범죄자들은 ​​새롭게 발견된 취약점을 이용하기 위해 전 세계적으로 자동화된 스캐닝을 실시하고 있습니다. FortiGuard Labs는 매달 수십억 건의 스캔을 관찰하고 기록하는데, 이는 초당 36,000건의 스캔에 해당합니다. 이는 공격자가 SIP, RDP 및 Modbus TCP와 같은 OT/IoT 프로토콜과 같은 노출된 서비스를 매핑하는 데 중점을 두고 있음을 보여줍니다.

성장하는 다크넷 "암시장"으로 인해 사전 구축된 공격 툴킷에 대한 접근이 더 쉬워졌습니다. 2024년에는 사이버범죄 포럼이 익스플로잇 키트의 마켓플레이스 역할을 하는 경우가 점점 더 늘어났으며, 국가 취약점 데이터베이스에 40,000개가 넘는 새로운 취약점이 추가되었는데, 이는 2023년 대비 39% 증가한 수치입니다.

다크넷에 유포되는 제로데이 취약점 외에도 브로커는 기업 인증 자격 증명(20%), RDP 원격 액세스(19%), 관리 콘솔(13%), 웹 셸(12%)을 제공하는 경우가 점차 늘어나고 있습니다. 특히 FortiGuard Labs는 신원 정보 도용 맬웨어에 의해 손상된 시스템에서 사용 가능한 로그가 지난해 500% 증가했으며, 이러한 지하 포럼에서 공유된 도용된 신원 정보 기록이 17억 개에 달한다는 사실을 확인했습니다.

AI를 활용한 사이버범죄 작전이 급속히 확대되고 있습니다. 사이버보안 위협 행위자들은 사기의 진위성을 높이고 기존 보안 통제 수단을 회피하기 위해 AI를 활용하고 있습니다. 그 결과, 사이버 공격이 더 효과적이고 감지하기 어려워지고 있습니다. FraudGPT, BlackmailerV3, ElevenLabs와 같은 도구는 사용 가능한 AI 도구의 한계를 피해 공격 캠페인을 더 확장성, 신뢰성, 효과성 있게 만들어줍니다.

중요한 지역을 표적으로 삼은 공격이 증가하고 있습니다. 제조, 의료, 금융 서비스와 같은 산업에서는 맞춤형 사이버 공격이 계속 증가하고 있으며, 각 산업별로 특정 공격이 계획되고 배치되고 있습니다.

2024년에 가장 많이 타겟이 되는 부문은 제조업(17%), 비즈니스 서비스(11%), 건설(9%), 소매(9%)입니다. 국가 차원의 공격자와 랜섬웨어 서비스(RaaS) 기반 사이버범죄 집단은 이러한 수직적 영역에 노력을 집중하고 있습니다. 이러한 공격의 대부분을 차지한 나라는 미국(61%)이었고, 그 뒤를 이어 영국(6%)과 캐나다(5%)가 뒤따랐습니다.

클라우드와 IoT 보안 위험이 증가하고 있습니다. 클라우드 컴퓨팅 환경은 여전히 ​​주요 타깃이며, 공격자는 오픈 스토리지 서비스, 과도하게 제공된 ID, 잘못 구성된 서비스 등의 취약점을 지속적으로 악용하고 있습니다. 관찰된 사건의 70%에서 공격자는 익숙하지 않은 지역의 자격 증명을 통해 액세스 권한을 획득했으며, 이는 클라우드 방어에서 신원 모니터링의 중요성에 대한 관심을 불러일으켰습니다.

신원 정보는 사이버 범죄자의 "자산"입니다. 2024년 사이버 범죄자들은 ​​지하 포럼에서 1,000억 건이 넘는 손상된 기록을 공유했는데, 이는 전년 대비 42% 증가한 수치입니다. 이는 주로 도난당한 사용자 이름, 비밀번호, 이메일 주소가 포함된 "혼합 목록"의 증가에 기인합니다. 다크넷 게시물의 절반 이상은 유출된 데이터베이스와 관련이 있었고, 이를 통해 공격자는 대규모로 자격 증명을 스터핑하는 공격을 자동화할 수 있었습니다.

BestCombo, BloddyMery, ValidMail과 같은 인기 있는 그룹은 이 기간 동안 가장 활동적인 사이버범죄 그룹이었습니다. 이들은 신임장 준비 서비스 패키지를 제공하여 공격에 대한 장벽을 지속적으로 낮추고 있으며, 이로 인해 계좌 인수, 금융 사기, 기업 간첩 활동이 급증하고 있습니다.

위의 상황에 직면하여 보고서는 CISO를 위한 보안 방어에 대한 권장 사항을 제공하며, 다음과 같은 집중해야 할 여러 전략적 영역을 강조합니다.

기존 위협 탐지에서 "지속적인 위협 노출 관리"로 전환 - 이러한 사전 예방적 접근 방식은 지속적인 공격 표면 관리, 실제 적대자 행동 시뮬레이션, 위험 기반 수정의 우선 순위 지정, 탐지 및 방어 대응 자동화에 중점을 둡니다.

실제 공격 시뮬레이션 – 적대자 시뮬레이션 연습을 실시하고, Red & Purple 팀을 통합하고, MITRE ATT&CK를 활용하여 랜섬웨어 및 간첩 활동과 같은 위협에 대한 방어력을 테스트합니다.

공격 표면 감소 – 공격 표면 관리(ASM) 도구를 배포하여 노출된 자산, 유출된 자격 증명, 악용 가능한 취약점을 감지하고, 새로운 위협에 대해 다크넷 포럼을 지속적으로 모니터링합니다.

위험성이 높은 취약점의 우선순위 지정 – 사이버 범죄 집단에서 활발하게 논의되는 취약점에 대한 수정 노력을 집중하고 EPSS 및 CVSS와 같은 위험 기반 우선순위 정보를 활용하여 패치를 효과적으로 관리합니다.

다크 웹 인텔리전스 활용 – 다크넷 시장에서 새로운 랜섬웨어 서비스를 모니터링하고, DDoS 및 웹사이트 훼손 공격과 같은 위협을 완화하기 위해 조직적인 해커 활동을 추적합니다.

출처: https://doanhnghiepvn.vn/chuyen-doi-so/an-ninh-mang/cac-cuoc-tan-cong-mang-tu-dong-tang-manh/20250508031351243