사이버 공격 초기 침입 방식의 변화: 도난당한 인증 정보의 급부상과 대응 전략

최근 사이버 공격의 초기 침입 방식에 주목할 만한 변화가 감지되고 있습니다. 버라이즌과 맨디언트의 보고서에 따르면, 과거 주요 침입 경로였던 피싱 공격의 비중이 줄어들고 도난당한 인증 정보가 새로운 주요 공격 벡터로 떠오르고 있습니다. 이는 기업 보안 전략에 중요한 시사점을 던져줍니다.

도난당한 인증 정보, 피싱을 넘어선 주요 침입 경로

맨디언트의 조사 결과, 2024년 침입 사고에서 도난당한 인증 정보가 초기 침입 경로로 활용된 비율이 피싱을 넘어섰습니다. 이는 정보 탈취형 악성코드(인포스틸러)의 확산과 관련이 깊습니다. 공격자들은 유출된 인증 정보를 다크웹 등에서 구매하거나, 인포스틸러를 통해 직접 사용자 기기에서 인증 정보를 수집합니다. 이러한 추세는 다중 인증(MFA)의 중요성을 더욱 강조합니다.

취약점 악용, 여전히 주요 공격 벡터

여전히 취약점 악용은 가장 흔한 초기 침입 수단입니다. 특히 네트워크 파라미터 장비, 즉 방화벽이나 VPN 장비의 취약점을 노리는 공격이 증가하고 있습니다. 팔로알토 네트웍스, 이반티, 포티넷 등의 장비에서 발견된 제로데이 취약점이 활발하게 악용되고 있습니다. 따라서 네트워크 장비의 최신 패치 적용과 보안 설정 강화가 중요합니다.

다양해지는 초기 침입 방식

웹사이트 침해, 초기 침입 브로커를 통한 접근 권한 판매, 무차별 비밀번호 추측 공격, 내부자 위협 등 다양한 초기 침입 방식이 존재합니다. 특히 북한 IT 인력의 허위 취업을 통한 내부자 위협이 새로운 트렌드로 떠오르고 있습니다. 기업은 다각적인 보안 위협에 대비하여야 합니다.

금전적 이득과 데이터 탈취, 주요 공격 목표

대부분의 사이버 공격은 금전적 이득 또는 데이터 탈취를 목표로 합니다. 랜섬웨어 공격, 암호화폐 채굴, BEC(Business Email Compromise), 데이터 판매 등이 금전적 이득을 위한 주요 수단입니다. 데이터 탈취는 사이버 스파이 활동, 인증 정보 수집, 경쟁사 정보 탈취 등 다양한 목적으로 이루어집니다.

외부 기관의 탐지 의존도 심화

대부분의 침입 사고는 피해 조직이 자체적으로 인지하지 못하고 외부 기관의 통보로 알게 됩니다. 이는 기업의 자체 탐지 능력 강화가 시급함을 보여줍니다. 공격자의 잠복 기간은 줄어들고 있지만, 외부 기관에 의해 탐지되는 경우 잠복 기간이 여전히 길다는 점도 문제입니다.

늘어나는 위협 그룹과 악성코드

맨디언트는 수많은 위협 그룹과 악성코드를 추적하고 있습니다. 공격자들은 새로운 악성코드를 제작하기보다는 기존 도구를 활용하거나, 아예 악성코드를 사용하지 않는 침입 사례도 증가하고 있습니다. 코발트 스트라이크와 같은 레드팀 툴의 사용률은 감소했지만, 여전히 다양한 백도어, 랜섬웨어, 정보 탈취 악성코드 등이 사용되고 있습니다.

클라우드 환경의 보안 위협 증가

클라우드 환경 역시 피싱, 도난당한 인증 정보 등을 통해 침해되는 사례가 많습니다. 클라우드 침해 사고의 주요 목표는 데이터 탈취와 금전적 이득입니다. 따라서 클라우드 환경에 대한 강력한 접근 통제와 보안 설정 강화가 필요합니다.

결론

사이버 공격의 초기 침입 방식이 변화함에 따라, 기업은 기존의 보안 전략을 재검토하고 새로운 위협에 효과적으로 대응할 수 있도록 보안 투자를 확대해야 합니다. MFA 도입, 네트워크 장비 보안 강화, 직원 보안 교육, 클라우드 보안 강화 등 다각적인 노력을 통해 사이버 공격으로부터 기업의 자산을 보호해야 합니다.