주요 위협 트렌드
AI 및 LLM 악용 증가
공격 시도 중 15.5%에서 LLM 관련 언급이 확인되었습니다. AI는 정교한 피싱, 악성코드 개발, 사회 공학적 공격의 효율성을 높이는 데 적극적으로 사용됩니다.
공격 표면의 확장
Windows(89.97%)가 여전히 주요 대상이지만, Linux, macOS 및 클라우드(Azure 54%, AWS 37%, GCP 9%) 환경에 대한 공격이 빠르게 급증하고 있습니다.
자격 증명 탈취
다양한 악성코드가 사용자 계정, 금융 정보, API 키 등 민감한 정보를 탈취하는 데 주력하며, 이는 클라우드 계정 탈취(ATO) 공격의 핵심 원인이 됩니다.
RMM 및 합법적 도구 악용
TeamViewer, UltraVNC와 같은 합법적인 원격 관리 도구가 전체 위협의 1.91%에서 탐지를 회피하고 시스템을 제어하는 수단으로 악용되었습니다.
초기 침투 경로 분석
공격자들은 다양한 파일 형식을 사용하여 시스템에 초기 침투를 시도합니다. 실행 파일이 가장 흔하지만, 디스크 이미지와 스크립트 파일의 사용도 주목할 만합니다.
플랫폼별 위협 분석
Windows가 압도적인 공격 대상이지만, Linux와 macOS 환경 역시 특정 유형의 위협에 지속적으로 노출되고 있습니다.
Windows (89.97%)
주요 악성코드: `GhostPulse`(12.2%), `RemCos`(9.33%), `RedLineStealer`(6.67%).
PowerShell, WMI 등 시스템 내장 도구를 악용하는 'Living-Off-the-Land'(LOLBins) 공격이 활발하며, 이를 통해 탐지를 회피합니다.
Linux (9.00%)
주요 C2 프레임워크: `Sliver`(12.43%), `Mythic`(11.99%).
서버 환경의 특성상 `cron` 작업, `systemd` 서비스를 이용한 장기 잠복 기술과 `XMRig`와 같은 암호화폐 채굴 악성코드가 주요 위협입니다.
macOS (1.03%)
주요 위협: `Metasploit` 프레임워크(25.66%), 정보 탈취 악성코드 `MdQueryTCC`(13.27%).
상대적으로 비중은 낮지만, 여전히 금전적 이득을 노리는 정보 탈취 및 암호화폐 채굴 악성코드가 꾸준히 발견됩니다.
클라우드 보안 위협
클라우드 환경에서는 계정 탈취(ATO) 및 잘못된 설정(Misconfiguration)을 노린 공격이 중심을 이룹니다. 공격자들은 클라우드의 유연성을 역이용하고 있습니다.
Microsoft Azure (54.06%)
공격의 90% 이상이 Entra ID(구 Azure AD) 계정 탈취와 관련 있습니다. 공격자들은 OAuth 애플리케이션, 서비스 주체를 악용하여 권한을 상승시키고 데이터를 탈취합니다.
Amazon Web Services (36.83%)
IAM/STS 관련 API(`AssumeRole` 등)를 악용하여 임시 자격 증명을 획득하는 공격이 42.82%에 달합니다. 또한 EC2 인스턴스 장악, RDS 데이터 유출, CloudTrail 로그 조작 시도도 발견됩니다.
Google Cloud Platform (9.11%)
상대적으로 공격 비중은 낮지만, 서비스 계정 키 탈취 및 IAM 권한 상승을 통한 리소스 접근 시도가 관찰됩니다. 다른 클라우드에 비해 상대적으로 보안이 강력한 편입니다.
주요 MITRE ATT&CK® TTPs
공격자들이 가장 많이 사용하는 상위 전술(TTPs)은 방어 회피와 자격 증명 접근입니다. 이는 기존 보안 솔루션을 우회하려는 시도가 얼마나 많은지를 보여줍니다.
방어 회피 (TA0005)
가장 많이 관찰된 전술. 로그 비활성화, 파일 삭제, 보안 도구 무력화 시도 포함.
자격 증명 접근 (TA0006)
브라우저, OS 캐시 등에서 비밀번호, 토큰, API 키를 탈취하려는 시도.
실행 (TA0002)
PowerShell, WMI, 예약된 작업 등 시스템 내장 도구를 이용한 악성 코드 실행.
주요 악성코드 심층 분석
- BANSHEE (macOS): Rust로 개발된 macOS용 정보 탈취 악성코드. 시스템 기본 도구를 활용해 탐지를 회피합니다.
- EDDIESTEALER (Windows): 'ClickFix' 미끼를 통해 유포되는 Rust 기반 정보 탈취 도구. 브라우저, FTP 클라이언트 정보를 노립니다.
- PUMAKIT (Linux): LD_PRELOAD, LKM 등을 이용하는 정교한 Linux 악성코드. 백도어 설치 및 시스템 제어 기능이 특징입니다.
- FINALDRAFT (REF7707 그룹): Microsoft 365 환경을 노려 Microsoft Graph API를 통해 이메일 및 중요 정보를 탈취합니다.
- ARECHCLIENT (Windows): PowerShell과 .NET을 활용하는 GHOSTPULSE의 변종. 정보 탈취 후 추가 악성코드를 설치합니다.
Elastic Security의 통합 대응
Elastic Security는 본 보고서에서 논의된 복잡하고 진화하는 위협에 대응하기 위한 포괄적인 솔루션을 제공합니다.
엔드포인트 보안
Windows, macOS, Linux 전반에서 악성코드를 높은 정확도로 탐지하고, 권한 상승 및 비정상적 활동을 모니터링하여 엔드포인트를 보호합니다.
클라우드 보안
클라우드 환경의 잘못된 설정(CSPM)을 자동으로 탐지하고, 의심스러운 API 호출 및 계정 활동을 추적하여 클라우드 자산을 안전하게 유지합니다.
위협 인텔리전스 및 SIEM
AI 기반의 자동화된 공격 탐지 시스템(Attack Discovery)과 최신 위협 인텔리전스를 결합하여 복잡한 공격 체인을 식별하고 신속하게 대응합니다.
핵심 보안 권장 사항
비밀번호만으로는 더 이상 안전하지 않습니다. SMS, 앱, 하드웨어 키 등 두 가지 이상의 인증 수단을 모든 중요 계정(클라우드, 이메일, VPN)에 적용하여 자격 증명 탈취 공격을 원천적으로 방어해야 합니다.
"절대 신뢰하지 말고, 항상 검증하라"는 원칙을 모든 네트워크와 시스템에 적용하세요. 최소 권한 원칙에 따라 사용자 및 기기에 꼭 필요한 접근 권한만 부여하고, 모든 접근 요청을 지속적으로 인증하고 모니터링해야 합니다.
공격자는 알려진 취약점을 가장 먼저 노립니다. 운영체제, 애플리케이션, 라이브러리 등 모든 소프트웨어에 대해 신속하고 체계적인 패치 관리 프로세스를 수립하여 공격 표면을 최소화해야 합니다.
보안의 가장 약한 고리는 사람일 수 있습니다. 정기적인 피싱 시뮬레이션 훈련과 최신 위협 동향 교육을 통해 임직원의 보안 의식을 높이고, 의심스러운 활동을 즉시 보고하는 문화를 정착시켜야 합니다.
클라우드 환경의 잘못된 설정은 주요 침해 원인입니다. CSPM(클라우드 보안 형상 관리) 도구를 활용하여 S3 버킷, IAM 정책, 네트워크 설정 등을 지속적으로 검토하고, 비정상적인 API 호출과 리소스 접근을 24시간 모니터링해야 합니다.
최신 공격 그룹, 악성코드, TTPs(전술, 기술, 절차)에 대한 정보를 적극적으로 활용하여 방어 전략을 업데이트해야 합니다. Elastic Security와 같은 최신 보안 솔루션은 이러한 위협 인텔리전스를 자동으로 반영하여 탐지 및 대응 능력을 강화합니다.