아크로니스(지사장 고목동, www.acronis.co.kr)는 오늘, 2021년 사이버 위협 동향을 정리하고, 2022년 전망을 담은 연례 보고서인 ‘아크로니스 사이버위협 보고서 2022(Acronis Cyberthreats Report 2022)’를 발표했다.

보고서에 따르면 PSA(프로페셔널 서비스 자동화), RMM(원격 모니터링 관리) 등의 관리 툴이 사이버 범죄에 사용되는 사례가 늘어나며 MSP(매니지드 서비스 기업)들이 특히 위험에 처해있으며, 공급망 공격에 더욱 취약해질 수 있는 것으로 분석됐다.

MSP를 향한 공급망 공격은 지난해 발생했던 솔라윈즈(SolarWinds) 및 2021년 카세야 VSA(Kaseya VSA) 공격에서 볼 수 있듯 기업과 클라이언트 모두에 액세스할 수 있기 때문에 한번이라도 공격에 성공하고 나면 수백 또는 수천 개의 SMB가 무력화될 수 있다. 보고서는 또한 2021년 하반기 동안 공격받지 않았다고 보고한 기업이 20%에 불과한 것을 지적하며, 지난해에는 32%였던 것과 비교하여 전반적으로 공격 빈도가 증가했다고 밝혔다.

아크로니스 칸디드 뷔스트(Candid Wuest) 사이버 보호 연구소 부사장은 "사이버 범죄 산업은 클라우드와 머신 인텔리전스를 사용하여 운영을 확장하고 자동화하는 등 첨단 장비와 같이 진화하고 있다”고 말하며, “2022년에는 공격 표면이 더욱 더 늘어날 것으로 전망되는 가운데, 사이버 보호 자동화만이 보안을 강화하고, 리스크를 줄이는 동시에 비용을 절감하고 효율성을 높이는 유일한 대안이 될 것이다”고 설명했다.

이번 ‘아크로니스 사이버위협 보고서 2022(Acronis Cyberthreats Report 2022)’는 사이버 공격자들의 효율성 증가가 MSP 및 중소 기업들에 미치는 영향을 포함하여 다양한 분석이 담겨있다.

피싱은 여전히 주요 공격 벡터: 악성 프로그램의 94%가 이메일을 통해 전달되고 있으며, 여기에는 사용자가 악의적인 첨부 파일이나 링크를 열도록 유도하는 소셜 엔지니어링 기법이 사용된다. 팬데믹 이전에도 피싱은 상위권을 차지하였으며 여전히 빠른 속도로 성장하고 있다. 아크로니스는 올해 2분기와 비교했을 때 3분기에 23% 더 많은 피싱 메일과 40% 더 많은 멀웨어 메일을 차단한 것으로 나타났다.

피싱 공격자들은 새로운 속임수를 개발해 메신저로 이동: 오쓰(OAuth: 새로운 계정을 생성하는 대신 페이스북이나 구글, 애플처럼 신뢰할 수 있는 사이트의 로그인 정보를 다른 사이트에 제공하는 오픈 프로토콜) 및 멀티 팩터 인증 툴(MFA)을 대상으로 하는 새로운 공격 기법으로 공격자들이 계정을 탈취할 수 있게 됐다. 일반적인 안티-피싱 도구를 우회하기 위해 텍스트 메시지, 슬랙, 팀 채팅 및 이메일 기반 공격(BEC)와 같은 공격 도구를 사용한다. 실제로 최근 FBI 이메일 서비스를 노린 악명 높은 하이잭킹 공격 사례가 발생하였으며, 2021년 11월부터 스팸 메일이 발송되고 있다.

랜섬웨어는 대기업과 중소기업 모두에게 여전히 가장 큰 위협: 랜섬웨어 공격자들이 지속적으로 체포되고 있음에도 불구하고 공공, 헬스케어, 제조 등 고부가가치 타겟층을 중심으로 랜섬웨어는 가장 수익성 높은 공격으로 꼽힌다. 아크로니스는 올해 연말까지 랜섬웨어 피해액이 2백억 달러를 상회할 것으로 예측하고 있다.

공격자들은 암호화폐를 선호: 디지털 지갑 주소를 탈취하는 인포스틸러(Infostealers)와 같은 멀웨어가 등장하고 있으며, 2022년에는 이러한 스마트 거래 방식을 직접적으로 겨냥하는 암호화폐 프로그램 공격이 증가할 것으로 전망된다. 웹 3.0 애플리케이션을 향한 공격도 늘어나고 있으며, 플래시 론(flash loan)과 같이 고도의 복잡한 공격을 통해 암호화폐 풀에서 수백만 달러 규모의 피해가 발생할 수 있는 상황이다.

‘아크로니스 사이버위협 보고서 2022’는 아크로니스 CPOC(사이버 보호 운영센터)에서 24x7 모니터링을 통해 수집한 공격 및 위협 데이터를 기반으로 작성됐다. 멀웨어 데이터는 MSP를 통해 사용하는 고객을 포함하여 아크로니스 사이버 프로텍트(Acronis Cyber Protect)가 구동되는 65만개의 고유한 엔드포인트를 통해 수집됐다.