[IT동아 김예지 기자] 구글 클라우드가 27일 서울역 서울스퀘어에서 지난해 주요 글로벌 사이버 위협 트렌드를 다룬 ‘맨디언트 M-트렌드 2025(Mandiant M-Trends 2025)’ 보고서를 발표했다. 구글 클라우드는 최근 네트워크 경계(Edge) 취약점을 악용한 침해 사고가 증가하는 가운데, 조직 내 침투한 해커로부터 실제 피해를 막는 선제 방어의 중요성을 강조했다.

M-트렌드 보고서는 구글 클라우드 맨디언트 컨설팅 전담팀이 발행하는 연례 보고서다. 이는 한 해 동안 세계에서 발생한 사이버 위협 동향 분석을 바탕으로 기업의 효과적인 대응 전략을 제시한다. 맨디언트는 세계 45만 시간의 침해 사고 조사(IR) 활동에서 수집한 데이터를 바탕으로, 2024년 1월 1일부터 2024년 12월 31일까지 발생한 표적 공격 활동에 대한 16번째 보고서를 발행했다.

지난해 가장 두드러진 초기 감염 경로는 ‘취약점 공격(제로데이 공격)’이며, ‘자격 증명 탈취’, ‘피싱 이메일’ 등이 뒤를 이었다. 취약점 공격은 2020년부터 급증한 방식으로, 개발자가 인지하지 못한 소프트웨어 취약점을 노리는 기법이다.

특히 최근 빈번하게 악용된 취약점은 네트워크 엣지에 위치한 보안 장비로, 팔로알토(Palo Alto), 이반티(Ivanti) 등의 가상 사설망(VPN) 등이 포함된다. 취약점을 이용해 침투한 해커는 악성코드(멀웨어)를 심어 계정 정보를 획득한 뒤, 내부 도메인 컨트롤러, 이메일 서버에 접근해 자격 증명·이메일·데이터를 탈취한다.

특히 아시아태평양 및 일본에서의 취약점 공격은 64%에 달한다. 더불어 맨디언트는 최근 러시아 및 중국 정부와 연계된 것으로 추정되는 사이버 첩보 조직들의 공격 시도가 눈에 띄게 증가했다고 분석했다. 예컨대, ‘UNC5221’는 중국을 거점으로 주로 미국, 유럽, 일본, 한국의 통신, 금융, 기술 분야를 표적해 이반티 VPN 장비를 공격하는 그룹으로 알려졌다.

심영섭 구글 클라우드 맨디언트 컨설팅 한국 및 일본 지역 총괄은 “결국 해커들은 감시의 사각지대를 노려 엔드포인트 탐지 및 대응(EDR)을 지원하지 않는 장치에 침투한다. 방화벽, 라우터, 이메일 필터링 제품, 가사와 플랫폼, VPN 제품 등을 꾸준히 연구해 취약점을 알아낸다”고 말했다. 2024년 조사된 205개의 멀웨어 유형 중 35%는 백도어(backdoor)였고, 랜섬웨어(14%) 등이 뒤를 이었다. 해커의 과반수 이상은 금전적 동기를 목적으로 범죄를 저지르는 것으로 나타났다.

해커들이 탈취한 자격 증명을 활용해 시스템에 침입하는 ‘인포스틸러 악성코드(infostealer malware)’ 공격도 증가했다. 해커들은 클라우드 전환 과정에서 발생하는 보안 취약점을 공략하거나, 안전하지 않은 데이터 저장소를 공격해 자격 증명 및 중요 정보를 탈취한다. 여기서 탈취된 자격 증명은 데이터 탈취 등으로 이어진다. 이는 특정 기업뿐만 아니라 광범하게 퍼져 개인 PC도 감염하기 때문에 협력 업체에도 문제를 초래할 수 있다. 심영섭 총괄은 “최근 액세스 브로커 등을 통해 탈취한 계정을 판매하는 행위가 늘었다. 이에 SMS가 아닌 중간자 공격을 방지하는 다중인증(다중 키) 방식을 채택해야 한다”고 말했다.

고도화되는 사이버 공격에 대비해 구글 클라우드는 기업의 신속한 탐지 및 대응을 강조했다. 심영섭 총괄은 “지난해 드웰 타임(Dwell time, 조직이 공격을 탐지하기 전까지 해커가 침해된 환경에 머무른 기간)의 세계 중앙값은 11일로, 2023년보다 1일 늘었다. 그런데 외부기관에서 통보한 경우 드웰 타임이 26일이었던 반면, 내부에서 공격을 파악한 경우 10일에 불과했다”고 말했다. 그러나 “여전히 약 70%의 침해 사고가 외부 기관에 의해 탐지되고 있어 조직 내부의 보안 가시성과 대응 역량 개선이 지속적으로 필요하다는 점을 시사한다”고 말했다.

구글 클라우드는 기업이 실질적인 사이버 피해 발생 전 위협을 대비해야 한다고 주장한다. 심영섭 총괄은 “해커가 내부로 들어왔다고 바로 피해가 발생하는 건 아니다. 피해가 발생하는 지점, 즉 해커가 침입한 시점부터 실제 목표를 달성하는 시점까지의 기간이 중요하다”며, “방어자는 공격 표면을 관리해야할 뿐만 아니라 주도권을 가지고 자사의 시스템을 면밀히 파악해 방어한다면 우위를 선점할 수 있다”고 말했다.

또한 그는 “공격자를 정확하게 측정하는 것은 점점 어려워지고 있다. 과거에는 공격자 그룹이 사용하는 특정 형태가 있었지만, 최근에는 오픈 소스 등 다양한 방식을 이용해 우회 네트워크를 구성하기 때문이다. 따라서 공격자가 누군지 추적하는 것보다 침입을 최대한 빨리 발견해 피해를 입지 않도록 대응하는 솔루션이 더 중요하다”고 덧붙였다.

오진석 구글 클라우드 코리아 시큐리티 기술 총괄은 “VPN 우회가 고전적인 방법임에도 불구하고 여전히 문제가 되는 이유는 기업이 이에 효과적으로 대응하지 못하고 있기 때문이다. 제로 트러스트 등 새로운 보안 솔루션을 도입해 기업의 보안 패러다임을 바꾸지 않으면 위협을 피하기 어렵다”며, “보안팀의 인원은 제한적이고, 모든 공격을 한번에 해결하는 하나의 장비는 없기 때문에 우선 내부 시스템을 가시적으로 파악하고, 이 가운데 특정 위협들을 예측할 수 있는 정보를 확보하는 것이 가장 중요하다. 해커가 공격을 시도하고 성공하기까지 중간에 알아챌 수 있는 방법 중 하나는 기록이다”고 말했다.

그러면서 “구글 클라우드는 기업이 선제적인 위협 인텔리전스와 빠른 탐지 능력을 확보해 강력한 보안 태세를 구축하도록 ‘구글 통합 보안 플랫폼(GUS)’를 제공한다”고 덧붙였다. 또한 구글 클라우드 맨디언트는 선제 위협 대응을 위한 이해를 돕도록 보안 정보 및 솔루션을 제공하고 있다.

한편, 이날 구글 클라우드는 ▲고급 위협 탐지 기술 도입 및 최적화 ▲정기적인 취약점 검사 ▲접근 권한 제어 강화 ▲침해 사고 대응 및 복구 계획 수립, 정기적인 테스트 진행 ▲방어 체계 검증을 위한 레드 팀 투입 ▲보안 인식 교육 및 피싱 공격 시뮬레이션에 대한 지속적인 투자 등의 권고사항을 통해 국내 기업이 보다 효과적으로 위협을 탐지하고 한층 강화된 보안 환경을 구현할 수 있는 방안을 소개했다.

IT동아 김예지 기자 (yj@itdonga.com)