전세계 사이버공격이 29% 증가한 것으로 나타났다. 유럽・중동・아프리카의 사이버 공격은 36%로 가장 크게 증가했으며, 미주 34%와 아태지역 13% 순서로 조사됐다.

덧붙여 전세계 랜섬웨어 공격 건수가 93% 증가했다.

체크포인트 소프트웨어 테크놀로지스(Check Point Software Technologies Ltd.)(NASDAQ: CHKP)의 위협 인텔리전스 부문 체크포인트 리서치(Check Point Research, CPR)는 지난 2일 발표를 통해, ‘사이버 공격 트렌드: 2021 중간보고서(Cyber Attack Trends: 2021 Mid-Year Report)’를 발표, 이같이 전했다.

이 보고서는 어떻게 사이버 범죄자들이 전세계적인 하이브리드 근무방식 전환을 악용하고, 정부, 보건, 핵심 인프라 등 모든 부문을 아울러 조직을 타깃으로 하는지를 보여준다.

우선, 전 세계 조직들에 대한 사이버 공격은 29% 증가했다.

유럽・중동・아프리카 지역은 36%로 가장 큰 증가세를 나타냈으며, 뒤이어 미국 34%, 아태지역에 13% 순서로 공격이 늘어났다.

올해는 새로운 삼중강요(Triple Extortion) 랜섬웨어 기술도 등장했다.

악명높은 이모텟 봇넷(Emotet Botnet) 무력화 등 사이버 범죄를 표적으로 하는 성공적인 국제 작전도 있었지만, 위협 행위자들은 광범위한 혼란을 야기하기 위해 조직의 공급망을 악용한 고도화된 공격을 감행했다.

▲ (출처 : 체크포인트 소프트웨어 테크놀로지스 제공)

◆사이버 공격의 글로벌 증가 = 2021년 미국 조직에 대한 공격은 매 주 평균 443건으로, 전년 대비 17% 증가했다.

유럽・중동・아프리카 지역에서 조직 별로 매 주 평균 777건의 공격을 당했으며, 36%가 늘어났다.

아태지역 조직에 대한 주간 공격은 1338건으로 13% 증가한 수치를 보였다. 특히 유럽에서는 27%, 라틴아메리카에서는 19% 증가했다.

◆랜섬 공격과 ‘삼중강요’의 증가 = 전 세계적으로, 조직에 대한 랜섬웨어 공격 건수는 전년 같은기간 대비 2021년 상반기에 93%나 늘어나 증가했다.

조직으로부터 민감한 데이터를 탈취하고 돈을 지불하지 않으면 이를 공개하겠다고 위협할 뿐만 아니라, 공격자들은 조직의 고객 그리고/혹은 사업 파트너들도 점차 표적으로 삼고 그들에게도 대가를 요구하고 있다.

◆공급망 공격(Supply Chain Attacks)의 확대 = 잘 알려진 2021년 솔라윈즈(Solarwinds) 공급망 공격이 그 규모와 영향력으로 인해 두드러진다.

반면, 4월에 코드코브(Codecov) 그리고 가장 최근에는 카세야(Kaseya) 등 다른 고도화된 공급망 공격도 발생했다.

◆이모텟의 후계자가 되기 위한 경쟁 = 1월에 이모텟 봇넷의 무력화 이후, 트릭봇(Trickbot), 드라이덱스(Dridex), 큐봇(Qbot), 아이스드아이디(IcedID) 등 다른 멀웨어가 빠르게 인기를 얻고 있다.

◆2021년 하반기에 대한 예측 = 법 집행이 강화되고 있음에도 불구하고, 멀웨어는 증가할 것이다.

침투 도구의 사용 증가로 활동 중인 해커들은 시시각각 공격을 원하는 대로 변형할 수 있게 됐으며, 최초 공격 대상 피해자를 훨씬 넘어서 부수적 피해가 발행하는 추세이기 때문에 부수적 피해에 대한 전략이 요구된다.

마야 호로비츠(Maya Horowitz) 체크포인트 소프트웨어의 연구 담당 부사장은 “2021년 상반기에 사이버 범죄자들은 혼란을 극대화하기 위해 하이브리드 근무전환, 표적이 되는 조직의 공급망, 파트너와의 연결고리 등을 악용하려 자신들의 작업 방식을 지속적으로 변화시키고 있다”라며 “올해 사이버 공격은 계속해서 기록을 경신하였으며, 솔라윈즈, 콜로니얼 파이프라인, JBS, 카예사 등 세간의 이목을 끄는 인시던트를 비롯해 랜섬웨어 공격 건수 역시 크게 증가하였다. 앞으로 조직은 리스크를 인식하고, 정상적인 업무 흐름에 지장을 주지 않으면서 가장 고도화된 공격을 비롯한 대부분의 공격을 예방할 수 있는 적절한 솔루션을 갖춰야 한다”고 덧붙였다.

◆“랜섬웨어 관련 전쟁은 격화될 예정” = 정부와 사법당국의 투자가 증가하고, 특히 바이든 행정부가 이 사안을 우선순위로 삼고 있지만, 랜섬웨어 공격은 계속 확산될 것이다.

이같은 투자와 점점 더 발전하는 도구를 통해 당국은 어느정도 성공을 거두겠지만, 위협 행위자는 진화할 것이며 랜섬웨어 무기 경쟁에는 새로운 그룹이 등장할 것이다.

◆“중간자(Man-in-the-Middle)가 네트워크에서 해커가 된다” = 지난 2년간, 코발트 스트라이크(Cobalt Strike)와 블러드하운드(Bloodhound) 등 침투 도구 사용의 급격한 증가가 확인됐다.

이같은 도구들은 감지 측면에서 실질적인 어려움을 야기할 뿐 아니라, 활동중인 해커들이 약화된 네트워크에 접근해 원하는 대로 네트워크를 스캔하고 스크롤하며, 시시각각 공격을 원하는 대로 변경할 수 있게 됐다.

보안 담당자들은 이러한 형태의 공격을 감지하고, 앞으로 발생하는 것을 방지하기 위해서 완전히 새로운 능력이 필요하다.

◆“최초 표적을 넘어선 부수적 피해” = 삼중 강요의 증가세, 공급망 공격, 심지어 단순한 원격 사이버 공격도 그 어느때보다 사업에 영향을 줄 수 있다.

현재 랜섬웨어의 삼중 강요 트렌드는 원래 표적 기관만 포함하는 것이 아니라, 그 고객, 파트너, 벤더까지 포함하고 있다.

이는 각 공격의 실제 피해자를 증가시키며, 따라서 특별한 보안 전략을 필요로 한다.

체크포인트는 네트워크, 클라우드, 사용자, 접근 보안 솔루션에 대하여 제로데이 보호를 제공한다. 

회피를 방지하는 체크포인트의 기술은 사업 생산성에 영향을 주지 않고, 제로데이 방어를 극대화한다. 처음으로 기업들은 방지 우선 접근방식을 이행해 알려지지 않은 공격의 리스크를 줄일 수 있게 됐다.

한편, ‘사이버 공격 트렌드: 2021 중간보고서’는 사이버 위협 환경에 대한 전반적 상세 내용을 제시한다.

이번 발견 사항은 2021년 1월부터 6월까지 체크포인트 소프트웨어의 위협 클라우드 인텔리전스(Threat Cloud Intelligence)에서 확보한 데이터를 기반으로 하며, 기업을 공격하기 위해 사이버 범죄자들이 사용하고 있는 주요 전술을 강조하고 있다. 

<김동기 기자>kdk@bikorea.net