[데이터넷] 신원탈취 공격 위험성이 점점 더 높아지고 있다. IBM의 ‘엑스포스 위협 인덱스 2024’ 보고서에 따르면 지난해 유효한 계정을 악용하는 사이버 공격이 가장 일반적인 방법이 되고 있으며, IBM이 대응한 전체 사고의 30%가 유효한 계정 악용 공격이었다. 이는 전년대비 71% 증가한 수치다.

자격증명 탈취를 위한 인포스틸러는 무려 266% 늘었으며, 다크웹에서 판매되는 클라우드 자산의 90%가 클라우드 계정 정보였다. 초기 액세스를 위해 유효한 계정을 사용하는 사례는 평균 인시던트보다 190% 높다.

이 공격기법이 널리 사용되면서 피싱 시도가 크게 줄었다. 피싱은 IBM이 대응한 인시던트의 30%를 차지해 전년대비 44% 감소했다. 피싱 방어 기술과 전략이 발달하면서 기존 피싱 방법은 공격 성공률이 낮아진데다가, 유효한 인증정보를 이용하면 더 쉽게 침투할 수 있다는 사실이 입증됐기 때문이다.

그래서 공격자는 지능적인 인포스틸러 멀웨어 개발에 집중 투자하고 있으며, 인증정보 저장소 침투를 시도해 기존 신원인증 체계를 무너뜨릴 것으로 예상된다. 엑스포스가 탐지한 자격증명 손상 멀웨어 중 ‘케르베로스팅(Kerberoasting)’은 지난 1년간 100% 증가한 것으로 집계됐다. 이 멀웨어는 마이크로소프트 윈도우 액티브 디렉토리 자격증명 손상을 시도한다. IBM은 유효계정과 피싱을 연계해 초기 액세스 기법으로 사용하고 있다는 증거라고 IBM은 설명했다.

공격자는 멀웨어 뿐만 아니라 합법적인 도구를 이용해서도 신원정보를 획득한다. 32%의 공격이 합법적인 도구를 악의적으로 사용한 것이었으며, 인증정보 도용, 정찰, 원격 액세스, 데이터 유출 등에 사용됐다.

MFA 탈취위한 피싱 시도 늘어  

피싱 공격의 비중이 줄었다고 해서 위험성이 낮아진 것은 아니다. AI를 이용하면 5분 내에 타깃 맞춤형 피싱 제작이 가능해 공격자는 2일 이상 시간을 줄일 수 있다. 또한 중간자 공격(AitM)을 사용해 MFA를 우회하는 공격이 크게 늘고 있다. 공격자는 리버스 프록시 피싱 페이지로 안내하는 메시지를 보내 사용자의 자격증명과 MFA 입력, 세션 쿠키를 수집한다. 이를 이용해 초기 액세스 권한을 획득하고, 내·외부 피싱을 추가로 시도하며, 중요 애플리케이션 액세스를 위한 자격증명을 입수한다.

잘못 설정된 보안 구성으로 인한 공격도 심각도를 더한다. 엑스포스 침투테스트에서 전 세계 클라이언트 환경에서 가장 많이 관찰된 웹 애플리케이션 위험은 보안 설정 오류였으며, 웹 애플리케이션 취약점 중 보안 구성이 잘못되어 있는 비율은 30%에 달한다. 이러한 잘못된 구성 중 가장 큰 위반 사례는 애플리케이션에서 동시 사용자 세션을 허용하는 것으로, 세션 하이재킹을 통해 멀티팩터 인증(MFA)을 약화시킬 수 있다.

AI에 대한 보안 우려도 높다. 단일 AI 기술이 시장 점유율 50%에 근접하거나 시장이 3개 이하 기술로 통합되면 사이버 범죄 생태계는 AI 기술을 겨냥한 도구와 공격 경로 개발에 투자할 동기를 얻게 될 것으로 보인다. 아직 AI로 설계된 공격이 매우 뛰어나게 진보한 것으로 보이지는 않지만, AI 활용이 늘어날수록 공격자는 수익성이 높은 AI 타깃 공격을 펼칠 것으로 예상된다.

전체 공격 중 제조업 노린 공격 25.7%

공격자가 가장 집중하는 산업군은 제조업으로, 상위 10대 공격 산업 중 25.7%가 제조산업을 대상으로 한 것이었다. 탐지된 멀웨어 중 45%가 제조업을 타깃으로 했고, 랜섬웨어 중 17%가 제조업을 공격했다.

제조업을 포함한 중요 인프라 타깃 공격 위험이 높아지고 있는데 엑스포스는 자산 및 패치 관리, 자격 증명 강화, 최소 권한 원칙과 같은 모범 사례와 보안 기본 사항을 통해 초기 접근 경로를 완화 수 있다고 설명하면서 전체 공격의 84%가 이러한 조치로 대응할 수 있다고 설명했다.

김선애 기자 다른기사 보기