[더테크=전수연 기자] 포티넷 코리아(이하 포티넷)가 진행한 조사에 따르면 사이버 공격자들이 사이버 보안 업계 전반에서 새롭게 확인된 익스플로잇(취약점 공격)을 활용하는 속도, 산업·OT 분야를 타깃으로 하는 랜섬웨어·와이퍼의 활동이 증가하고 있는 것으로 나타났다.
포티넷은 자사 보안연구소인 포티가드랩의 ‘2023년 하반기 글로벌 위협 동향 보고서(FortiGuard Labs 2H 2023 Global Threat Landscape Report)'를 발간했다고 3일 밝혔다.
포티가드랩은 취약점의 초기 배포 이후 익스플로잇으로 전환되는 데 걸리는 시간, 높은 익스플로잇 예측 점수 시스템(Exploit Prediction Scoring System, 이하 EPSS)을 가진 취약점이 더 빠르게 악용되는지 여부, EPSS 데이터를 사용해 평균 악용 시간을 예측할 수 있는지의 여부 등을 파악하려고 했다.
보고서에 따르면 2023년 하반기 공격자들의 새로 공개된 취약점을 악용하는 속도는 2023년 상반기보다 43% 빨라졌다. 이는 공급업체들이 익스플로잇의 발생 전 내부적으로 취약점을 발견하고 패치를 개발하는 데 전념해야 한다는 점을 나타낸다. 포티가드랩은 사용자 스스로 자산을 보호하는 데 필요한 정보를 확보할 수 있도록 공급업체들이 선제적이고 투명하게 취약점을 공개해야 한다고 강조했다.
포티넷 원격 수신정보에 의하면 한 달도 되지 않은 상태에서 익스플로잇을 탐지한 조직은 41%였으며 대부분의 조직들(98%)은 최소 5년간 존재하고 있는 앤데이 취약점을 탐지한 것으로 나타났다.
포티가드랩은 15년 이상 된 취약점을 악용하는 위협 공격자들이 많다는 점도 강조했다. 기업들이 보안 위생에 대한 경각심을 유지하면서 네트워크 전반의 보안을 향상시키기 위해 네트워크 회복탄력성 연합과 같은 조직의 연습 등을 활용해 일관된 패치·프로그램 업데이트를 신속하게 조치를 위해야 한다고 밝혔다.
이와 함께 포티가드랩은 레드존이라는 개념을 도입해 위협 행위자가 특정 취약점을 악용할 가능성을 나타냈다. 이를 위해 지난 세 차례 글로벌 위협 동향 보고서에서 앤드포인트를 표적으로 삼는 취약점의 총 개수를 확인했다.
2023년 하반기 조사에 따르면 앤드포인트에서 관찰된 모든 CVE(보안 취약점을 가리키는 국제 식별 번호) 중 0.7%만이 실제 공격을 받고 있는 것으로 나타났다. 일르 통해 보안팀이 우선순위를 두고 집중해야 할 활성화된 공격 범위는 더 적다는 것을 알 수 있다.
포티넷은 자사 모든 센서에서 랜섬웨어에 대한 탐지가 2023년 상반기 대비 70% 감소했다고 밝혔다. 이는 공격자들이 기존의 무작위로 배포하는 ’스프레이 앤드 프레이‘ 전략에서 벗어나 주로 에너지, 의료, 제조, 운송·물류, 자동차 산업을 표적으로 삼는 방식으로 전환했기 때문으로 분석된다.
2023년 상반기 대비 봇 트래픽은 안정적으로 유지됐으며 Gh0st, Mirai, ZeroAccess 등 지난 몇 년간 가장 두드러진 봇넷이 지속 나타났다. 또 2023년 하반기에는 AndroxGh0st, Prometei, DarkGate 등 3개의 새로운 봇넷이 등장했다.
이외에도 포티넷의 디지털 리스크 보호 서비스 ’포티레콘‘의 인텔리전스에 의하면 2023년 하반기 마이터가 추적하는 143개 그룹 중 38개 그룹이 활동한 것으로 나타났다. 이 중 라자루스 그룹, Kimusky, APT28, APT29, Andariel, OilRig가 가장 활발하게 활동했다.
사이버 범죄자들의 긴 수명, 장기적인 캠페인에 비해 APT·국가 주도 사이버 그룹의 표적화 특성, 상대적으로 짧은 수명의 캠페인 등을 고려해 포티가드랩은 이 분야의 진화·활동량을 지속 분석할 계획이다.