포티넷 코리아(대표 조원균 www.fortinet.com/kr)는 3일 본사 보안연구소 포티가드랩의 ‘2023년 하반기 글로벌 위협 동향 보고서(FortiGuard Labs 2H 2023 Global Threat Landscape Report)'를 발표했다.

이 보고서는 2023년 하반기 위협 동향을 분석한 것으로, 사이버 공격자들이 사이버 보안 업계 전반에서 새롭게 확인된 익스플로잇을 활용하는 속도와 산업 및 OT 분야를 타깃으로 하는 랜섬웨어 및 와이퍼 활동 증가에 대한 분석을 담고 있다.

◆새로운 익스플로잇이 공개된 후 평균 4.76일 후에 공격 시작 = ‘2023년 상반기 글로벌 위협 동향 보고서’와 마찬가지로, 포티가드랩은 취약점의 초기 릴리즈 이후 익스플로잇(취약점 공격)으로 전환되는데 걸리는 시간, 높은 익스플로잇 예측 점수 시스템(Exploit Prediction Scoring System, 이하 EPSS)을 가진 취약점이 더 빠르게 악용되는지의 여부, EPSS 데이터를 사용하여 평균적인 악용 시간을 예측할 수 있는지의 여부 등을 파악하려고 했다.

보고서에 의하면, 2023년 하반기에 공격자들은 새로 공개된 취약점을 악용하는 속도가 2023년 상반기보다 43%나 빨라졌다.

이는 공급업체들이 익스플로잇이 발생하기 전에 내부적으로 취약점을 발견하고 패치를 개발하는데 전념해야 한다는 점(제로-데이 취약점의 완화 사례와 같이)을 시사한다.

덧붙여 보고서에서는 사이버 공격자들이 엔데이(N-Day) 취약점을 악용하기 전에 기업이 자산을 효과적으로 보호하는데 필요한 정보를 확보할 수 있도록 공급업체들이 선제적이고 투명하게 취약점을 공개해야 한다고 강조했다.

◆일부 엔데이(N-Day) 취약점은 15년 이상 패치되지 않은 상태로 존재 = CISO와 보안팀은 새로 발견된 취약점만 살펴서는 안된다.

포티넷 원격 수신정보(텔레메트리)에 의하면 한 달도 채 되지 않은 시그니처에서 익스플로잇을 탐지한 조직은 41%였으며, 대부분의 조직들(98%)이 최소 5년간 존재하고 있는 엔데이(N-Day) 취약점을 탐지한 것으로 나타났다.

또한, 포티가드랩은 15년 이상 된 취약점을 악용하는 위협 공격자들이 많다는 점을 강조했다.

보고서는 기업들이 보안 위생(security hygiene)에 대한 경각심을 유지하면서 네트워크의 전반적인 보안을 향상시키기 위해 네트워크 회복탄력성 연합(Network Resilience Coalition)과 같은 조직의 베스트 프랙티스와 지침을 활용해 일관된 패치 및 프로그램 업데이트를 실시하고 신속하게 조치를 취해야 한다고 촉구했다.

◆잘 알려진 모든 엔드포인트 취약점 중 9% 미만이 공격의 대상 = 2022년, 포티가드랩은 '레드존(red zone)'이라는 개념을 도입, 위협 행위자가 특정 취약점을 악용할 가능성을 보다 효과적으로 보여줬다.

이를 위해 지난 3차례의 글로벌 위협 동향 보고서에서는 엔드포인트를 표적으로 삼는 취약점의 총 개수를 살펴봤다.

2023년 하반기 조사에 의하면 엔드포인트에서 관찰된 모든 CVE 중 0.7%만이 실제로 공격을 받고 있는 것으로 나타났다.

이를 통해 보안팀이 우선순위를 두고 집중해야 할 활성화된 공격 범위는 훨씬 더 적다는 것을 알 수 있다.

◆전체 랜섬웨어 및 와이퍼 샘플의 44%가 산업 부문을 표적으로 삼아 = 포티넷의 모든 센서에서 랜섬웨어에 대한 탐지가 2023년 상반기 대비 70%나 감소한 것으로 나타났다.

이는 공격자들이 기존 무작위로 배포하는 ‘스프레이 앤드 프레이(spray and pray)’ 전략에서 벗어나, 주로 에너지, 의료, 제조, 운송 및 물류, 자동차 산업을 표적으로 삼는 접근 방식으로 전환했기 때문인 것으로 분석된다.

◆봇넷은 첫 탐지 후 명령 제어(C2) 통신이 중단되는데 평균 85일이 소요 = 2023년 상반기 대비 봇 트래픽은 안정적으로 유지되었으며, Gh0st, Mirai, ZeroAccess 등 지난 몇 년간 가장 두드러진 봇넷이 계속 나타난 것으로 나타났다.

또한, 2023년 하반기에는 AndroxGh0st, Prometei, DarkGate 등 3개의 새로운 봇넷이 등장했다.

◆2023년 하반기에 마이터(MITRE)에 등재된 143개의 지능형 위협(APT) 그룹 중 38개가 활동 = 포티넷의 디지털 리스크 보호 서비스인 ‘포티레콘(FortiRecon)’의 인텔리전스에 의하면 2023년 하반기에 마이터(MITRE)가 추적하는 143개 그룹 중 38개 그룹이 활동한 것으로 나타났다.

이중 라자루스 그룹(Lazarus Group), Kimusky, APT28, APT29, Andariel, OilRig가 가장 활발하게 활동했다.

사이버 범죄자들의 긴 수명과 장기적인 캠페인에 비해 APT 및 국가 주도 사이버 그룹(nation-state cyber groups)의 표적화 특성과 상대적으로 짧은 수명의 캠페인 등을 고려해 포티가드랩은 이 분야의 진화 및 활동량을 지속적으로 추적할 계획이다.

데릭 맨키(Derek Manky) 포티가드랩 CSS(Chief Security Strategist) 겸 위협 인텔리전스 부문 글로벌 부사장(VP)은 “포티가드랩의 2023년 하반기 글로벌 위협 동향 보고서는 위협 행위자들이 새롭게 공개된 취약점을 얼마나 빠르게 악용하고 있는지를 지속적으로 보여주고 있다. 날로 진화하는 위협 환경에서는 공급업체와 고객에게 각자의 역할이 있다. 공급업체는 제품 개발 수명 주기의 모든 단계에서 강력한 보안 조사를 도입하고, 취약점 공개에 대한 투명성과 책임감을 가져야 한다. 미국표준기술연구소(NIST)에 의해 인용된 바와 같이, 2023년 2000여개 공급업체가 2만 6447개 이상의 취약점을 발견한 것으로 알려졌다. 익스플로잇 위험을 줄이기 위해서는 고객들이 엄격한 적용 방식을 유지하는 것이 매우 중요하다”라고 말했다.

<김동기 기자>kdk@bikorea.net