자동화된 사이버 공격 증가

포티가드 랩스의 글로벌 위협 연구 및 사이버 보안 전략 담당 부사장인 데릭 맨키는 "최신 글로벌 위협 환경 보고서는 사이버 범죄자들이 AI와 자동화를 활용하여 전례 없는 속도와 규모로 공격을 가속화하고 있음을 분명히 보여줍니다."라고 말했습니다. "기존의 보안 플레이북으로는 더 이상 충분하지 않습니다. 오늘날 급변하는 위협 환경에서 기업들은 AI, 제로 트러스트, 그리고 지속적인 위협 관리를 결합한 선제적 방어 전략으로 신속하게 전환하여 공격자보다 앞서 나가야 합니다."

특히, 공격자들이 노출된 대상을 조기에 파악하기 위해 노력함에 따라 자동 스캐닝이 사상 최고치를 기록하고 있습니다. 새롭게 발견된 취약점을 악용하기 위해 사이버 범죄자들은 ​​전 세계적으로 자동 스캐닝을 도입하고 있습니다. FortiGuard Labs는 매달 수십억 건의 스캐닝을 관찰하고 기록했으며, 이는 초당 36,000건에 해당합니다. 이는 공격자들이 SIP, RDP와 같은 노출된 서비스와 Modbus TCP와 같은 OT/IoT 프로토콜을 매핑하는 데 집중하고 있음을 시사합니다.

다크넷의 부상으로 사전 제작된 공격 키트에 대한 접근이 더욱 쉬워졌습니다. 2024년에는 사이버 범죄 포럼이 익스플로잇 키트의 거래 장터 역할을 하는 경우가 점차 늘어나면서, 국가 취약점 데이터베이스에 4만 개 이상의 새로운 취약점이 추가되었는데, 이는 2023년 대비 39% 증가한 수치입니다.

다크넷에 유포되는 제로데이 취약점 외에도 브로커들은 기업용 자격 증명(20%), RDP 원격 접속(19%), 관리 콘솔(13%), 웹 셸(12%)을 제공하는 경우가 증가하고 있습니다. 특히 FortiGuard Labs는 지난 한 해 동안 자격 증명 도용 악성코드에 감염된 시스템에서 사용 가능한 로그가 500% 증가했으며, 이러한 지하 포럼에서 17억 건의 도용된 자격 증명 기록이 공유되었다고 밝혔습니다.

AI 기반 사이버 범죄가 빠르게 확산되고 있습니다. 사이버 보안 위협 행위자들은 AI를 활용하여 사기의 진위성을 높이고 기존 보안 체계를 회피함으로써 사이버 공격을 더욱 효과적이고 탐지하기 어렵게 만들고 있습니다. FraudGPT, BlackmailerV3, ElevenLabs와 같은 도구는 기존 AI 도구의 한계를 극복하고 공격 캠페인의 확장성, 안정성, 효과를 향상시킵니다.

중요 분야에 대한 표적 공격이 증가하고 있습니다. 제조, 의료, 금융 서비스 등의 산업에서는 맞춤형 사이버 공격이 지속적으로 증가하고 있으며, 각 분야에 특화된 공격 기법이 계획되고 배포되고 있습니다.

2024년에 가장 많이 공격받는 분야는 제조업(17%), 비즈니스 서비스업(11%), 건설업(9%), 소매업(9%)입니다. 국가 차원의 공격자와 서비스형 랜섬웨어(RaaS) 조직은 이러한 분야에 집중적으로 공격할 것입니다. 미국이 이러한 공격의 가장 큰 타격을 입었고(61%), 영국(6%)과 캐나다(5%)가 그 뒤를 이었습니다.

클라우드 및 IoT 보안 위험이 증가하고 있습니다. 클라우드 컴퓨팅 환경은 여전히 ​​주요 공격 대상이며, 공격자들은 오픈 스토리지 서비스, 과도하게 프로비저닝된 ID, 잘못 구성된 서비스 등의 취약점을 지속적으로 악용하고 있습니다. 관찰된 사고의 70%에서 공격자는 낯선 지역의 자격 증명을 통해 접근 권한을 획득했으며, 이는 클라우드 방어에 있어 ID 모니터링의 중요성을 강조합니다.

자격 증명은 사이버 범죄자들의 화폐와 같습니다. 2024년 사이버 범죄자들은 ​​지하 포럼에서 1,000억 건 이상의 침해된 기록을 공유했는데, 이는 전년 대비 42% 증가한 수치입니다. 이는 주로 도용된 사용자 이름, 비밀번호, 이메일 주소가 포함된 "혼합 목록"의 증가에 기인합니다. 다크넷 게시물의 절반 이상이 유출된 데이터베이스와 관련되어 있어 공격자는 대규모 자격 증명 스터핑 공격을 자동화할 수 있습니다.

BestCombo, BloddyMery, ValidMail과 같은 유명 그룹은 이 기간 동안 가장 활동적인 사이버 범죄 그룹이었으며, 신원 정보 기반 패키지를 제공하여 진입 장벽을 더욱 낮추었고, 그 결과 계정 인수, 금융 사기, 기업 스파이 활동이 급증했습니다.

위의 상황에 직면하여 보고서는 CISO를 위한 보안 방어에 대한 권장 사항을 제공하며, 다음과 같은 집중해야 할 여러 전략적 영역을 강조합니다.

기존 위협 탐지에서 "지속적인 위협 노출 관리"로 전환 - 이러한 사전 예방적 접근 방식은 지속적인 공격 표면 관리, 실제 적대자 행동 시뮬레이션, 위험 기반 수정의 우선 순위 지정, 탐지 및 방어 대응 자동화에 중점을 둡니다.

실제 공격 시뮬레이션 – 적대자 시뮬레이션 연습을 실시하고, Red & Purple 팀을 통합하고, MITRE ATT&CK를 활용하여 랜섬웨어 및 간첩 활동과 같은 위협에 대한 방어력을 테스트합니다.

공격 표면 감소 – 노출된 자산, 유출된 자격 증명, 악용 가능한 취약점을 감지하는 공격 표면 관리(ASM) 도구를 배포하고, 새로운 위협에 대해 다크넷 포럼을 지속적으로 모니터링합니다.

고위험 취약점의 우선순위 지정 – 사이버범죄 집단에서 활발하게 논의되는 취약점에 대한 수정 노력을 집중하고 EPSS 및 CVSS와 같은 위험 기반 우선순위 정보를 활용하여 패치를 효과적으로 관리합니다.

다크 웹 인텔리전스 활용 - 다크넷 시장에서 새로운 랜섬웨어 서비스를 모니터링하고 DDoS 및 웹사이트 훼손 공격과 같은 위협을 완화하기 위해 조직적인 해커 활동을 추적합니다.

출처: https://doanhnghiepvn.vn/chuyen-doi-so/an-ninh-mang/cac-cuoc-tan-cong-mang-tu-dong-tang-manh/20250508031351243