M-Trends 2025: 실제 침해 현장의 데이터, 인사이트 및 권장 사항
Jurgen Kutscher
Vice President, Mandiant Consulting, Google Cloud
해당 블로그의 원문은 2025년 4월 24일 Google Cloud 블로그(영문)에 게재되었습니다.
공격자가 끊임없이 진화하는 사이버 방어 환경에 대처하는 한 가지 방법은 공격의 정교함을 높이는 것입니다. 이러한 경향은 특히 중국과 연관된 그룹에 대응할 때 많은 사건에서 볼 수 있습니다. 이들은 맞춤형 멀웨어 생태계를 만들고, 보안 및 기타 어플라이언스의 제로데이 취약점을 식별 및 사용하는 능력을 보여주었습니다. 또한 봇넷과 유사한 프록시 네트워크를 활용하고, 기존에 엔드포인트 탐지 및 대응 기능이 부족했던 엣지 기기 및 플랫폼을 표적으로 삼으며, 멀웨어에 맞춤형 난독화 도구를 사용합니다. 이러한 추가적인 단계들은 탐지를 회피하고, 분석을 방해하며, 궁극적으로 시스템에 더 오래 머무르기 위함입니다.
그러나 모든 성공적인 공격이 고도로 복잡하고 기술적인 것은 아닙니다. 공격자는 종종 자신에게 주어진 기회를 활용하기도 합니다. 여기에는 초기 액세스를 얻기 위해 정보 탈취 악성코드(infostealer) 작전으로 훔친 자격 증명을 사용하는 것이 포함됩니다. Mandiant는 정보 탈취 악성코드 사용이 급증하여, 이제 도난당한 자격 증명이 두 번째로 높은 초기 감염 벡터가 되었으며, 조사 건수의 16%를 차지합니다. 공격자들이 기회를 활용하는 다른 방법으로는 클라우드 마이그레이션에서 발생하는 격차와 위험을 악용하거나, 보안이 취약한 데이터 저장소를 표적으로 삼아 자격 증명 및 기타 민감한 정보를 얻는 것입니다.
오늘 Google은 모든 유형의 공격에 맞서 조직을 돕기 위해 연례 보고서의 16번째 에디션인 M-Trends 2025를 발표했습니다. 저희는 여러 동향을 심층적으로 분석하고, 사고 대응 최전선에서 얻은 데이터와 분석을 공유하여 최신 사이버 위협에 대한 중요한 통찰력을 방어자들에게 제공합니다.
데이터 및 트렌드
M-Trends 2025 데이터는 450,000시간 이상의 Mandiant 컨설팅 조사 결과를 기반으로 합니다. 모든 측정 항목은 2024년 1월 1일부터 2024년 12월 31일 사이에 수행된 표적 공격 활동 조사에 기반합니다. M-Trends 2025의 주요 결과는 다음과 같습니다.
-
2024년 활동한 위협 그룹의 55%가 금전적 동기를 가졌으며, 이는 꾸준히 증가하는 추세입니다. 8%는 스파이 활동을 목적으로 했습니다.
-
익스플로잇이 여전히 가장 일반적인 초기 감염 벡터(33%)였으며, 도난당한 자격 증명이 2024년에 처음으로 두 번째(16%)로 흔한 벡터로 부상했습니다.
-
가장 많이 표적이 된 산업은 금융(17.4%), 비즈니스 및 전문 서비스(11.1%), 첨단 기술(10.6%), 정부(9.5%), 의료(9.3%)였습니다.
-
전 세계 중간 체류 시간은 2023년 10일에서 11일로 증가했습니다. 외부 기관이 통보한 경우 26일, 공격자가 통보한 경우(특히 랜섬웨어 사례) 5일, 조직이 내부적으로 악성 활동을 발견한 경우 10일이었습니다.
M-Trends 2025는 앞서 언급된 정보 탈취 악성코드, 클라우드, 보안이 취약한 데이터 저장소 트렌드와 함께 다음을 포함한 여러 주제를 심층적으로 다룹니다.
-
북한이 시민들을 원격 IT 계약직으로 고용하고 가짜 신원을 사용하여 수익을 창출하고 국가 이익을 위한 자금을 조달하는 방식.
-
이란 연계 위협 행위자들이 2024년에 사이버 작전을 강화했으며, 특히 이스라엘 기관을 표적으로 삼고 침투 성공률을 높이기 위해 다양한 방법을 사용했다는 점.
-
공격자들이 광범위한 액세스 권한을 얻기 위해 싱글 사인온 포털과 같은 클라우드 기반의 중앙 집중식 권한 저장소를 표적으로 삼는 방식.
-
도난, 자금 세탁, 불법 활동 자금 조달을 위해 암호화폐 및 블록체인과 같은 Web3 기술을 표적으로 삼는 사례 증가.
조직을 위한 권장 사항
M-Trends 2025의 각 아티클은 조직의 사이버 보안 태세 강화를 위한 중요한 권장 사항을 제공하며, 이 중 일부는 여러 트렌드에 적용될 수 있습니다. 조직은 다음을 수행하도록 권장됩니다.
-
취약점 관리, 최소 권한 및 보안 강화와 같은 기본 원칙을 강조하는 다계층 보안 접근 방식을 구현합니다.
-
모든 사용자 계정, 특히 권한이 있는 계정에 FIDO2를 준수하는 다단계 인증을 적용합니다.
-
고급 탐지 기술에 투자하고 견고한 사고 대응 계획을 수립합니다.
-
의심스러운 활동을 식별하고 체류 시간을 줄이기 위해 로깅 및 모니터링 관행을 개선합니다.
-
침해 지표를 사전 예방적으로 검색하기 위해 위협 헌팅 연습을 고려합니다.
-
클라우드 마이그레이션 및 배포를 위한 강력한 보안 제어를 구현합니다.
-
취약점 및 잘못된 구성을 파악하기 위해 클라우드 환경을 정기적으로 평가하고 감사합니다.
-
직원(특히 원격 근무자)에 대한 철저한 심사 프로세스를 실행하고, 의심스러운 활동을 모니터링하며, 엄격한 액세스 제어를 적용하여 내부자 위험을 완화합니다.
-
최신 위협 인텔리전스를 계속 파악하고, 이에 따라 보안 전략을 조정하며, 진화하는 위협에 대처하기 위해 보안 정책 및 절차를 정기적으로 검토하고 업데이트합니다.
대응 준비
M-Trends의 사명은 항상 보안 전문가에게 최신 진화하는 사이버 공격에 대한 최전선 통찰력을 제공하고, 더 나은 조직 보안을 위한 실용적이고 실행 가능한 학습 내용을 제공하는 것이었습니다.
오늘 M-Trends 2025 보고서 전문을 읽고, 보고서에서 논의된 데이터, 주제 및 권장 사항에 대한 더 심층적인 정보를 얻으려면 M-Trends 2025 웨비나 시리즈에 등록하세요. 데이터 및 트렌드에 대한 개요와 주요 권장 사항을 담은 M-Trends 2025 Executive Edition도 제공됩니다.
