지난해 사이버 공격 이후 탐지되기까지 공격자가 피해 시스템에 머무는 기간(드웰타임)이 역대 최저 수준으로 떨어졌다는 조사 결과가 나왔다. 사이버 방어 기술이 향상된 영향도 있지만 금전적 이익을 목적으로 피해 기관·기업에 공격 사실을 바로 알리는 랜섬웨어 공격이 늘어난 결과다.
심영섭 맨디언트 한국 및 일본 지역 컨설팅 대표는 25일 서울 강남구 강남파이낸스센터 구글 코리아 오피스에서 열린 M-트렌드 리포트 미디어 브리핑에서 “랜섬웨어 그룹이 피해 기업을 협박해 금전적 이득을 취해야 하기 때문에 공격 사실을 최대한 빨리 알린다”면서 “비랜섬웨어 공격의 경우 빠른 대응으로 드웰타임이 줄었다”고 말했다.
드웰타임은 보안 침해 이후 탐지되기까지 공격자가 피해 시스템에 머무르는 일수를 의미한다. 지난해 세계 드웰타임 중앙값은 평균 10일로 역대 최저치를 기록했다. 2011년(416일)과 비교해 현격히 감소한 수치로 2022년(16일)보다 6일이 줄었다.
맨디언트는 드웰타임 감소 원인으로 랜섬웨어 공격 증가를 지목했다. 랜섬웨어 공격 비율은 2022년 18%에서 지난해 46%로 크게 증가했다. 또 조직 내 공격 탐지 비율이 2022년 37%에서 2023년 46%로 개선된 점도 긍정적인 영향을 미쳤다.
심영섭 대표는 “공격 지속 시간 단축과 내부 공격 탐지 비율 상승이라는 두 가지 트렌드는 세계 보안 담당자들의 탐지 역량 향상을 시사한다”고 설명했다.
다만 드웰타임은 지열별로 차이를 보였다. 일본 및 아시아태평양(JAPAC) 지역의 드웰타임 중앙값은 2022년 33일에서 지난해 9일로 가장 크게 감소한 반면 같은 기간 유럽·중동·아프리카(EMEA)은 20일에서 22일로 소폭 증가했다.
지난해 가장 많이 표적이 된 산업은 금융 서비스로, 전체 조사의 17%를 차지했다. 비즈니스·전문 서비스(13%), 하이테크(12%), 소매·서비스업(9%), 의료(8%)가 뒤를 이었다.
맨디언트는 독점적인 비즈니스 데이터, 개인 신원 정보, 건강 정보, 재무 기록 등 민감한 정보를 많이 보유하고 있으며, 민감한 데이터를 악용하려는 공격자에게 매력적인 표적이 됐다고 분석했다.
심 대표는 지난해 주요 트렌드로 △공격자의 탐지 우회 집중 △중국 연계 공격자의 스파이 활동 증가 △제로데이 취약점의 악용 증가 △클라우드 도입에 따른 클라우드 표적 공격 등을 꼽았다.
심 대표는 “중국에 기반을 둔 UNC4841 해킹그룹은 아시아태평양을 집중적으로 공격했고, 주요 목적은 중국 정부의 이익”이라면서 “특히 대만 관련 정보를 수집해왔고 아시아 지역에서 중국의 지정학적 목적에 부합하는 타깃을 중심으로 공격이 많이 발견됐다”고 말했다.
조재학 기자 2jh@etnews.com
