이 연례 보고서는 2022년의 위협 환경을 조사하여 Recorded Future의 위협 연구팀인 Insikt Group이 1년간 수집한 인텔리전스를 요약한 것입니다. 전 세계 동향을 분석하고 중요한 사이버 보안 이벤트, 지정학적 상황, 취약성 공개 등을 평가하여 2022년 사이버 위협 환경에 대한 폭넓고 전체적인 관점을 제공합니다.

Executive Summary

우크라이나의 물리적 분쟁과 이것이 2022년 내내 사이버 위협 환경에 미친 영향은 2022년에 발생한 중요한 사이버 위협 사건과 지정학적 동향에 대한 논의의 틀을 제공하며 사이버와 지정학적 위협 환경의 융합이 증가하고 있음을 강조합니다.

레코디드 퓨처는 물리적 침입 이전과 침입 기간 내내 분산 서비스 거부(DDoS) 공격, 핵티비스트 활동, 와이퍼 멀웨어의 광범위한 배포 사례가 증가하는 것을 관찰했습니다. 러시아의 우크라이나 침공이 키네틱 및 사이버 하이브리드 작전에 대한 논의를 지배하는 동안, 이란, 중국, 북한 등 다른 주요 국가와 연계된 위협 행위자들은 지정학적 긴장, 경쟁, 정치적 이해관계가 고조된 시대에 힘입어 연중 내내 사이버 공격을 수행했습니다.

또한 사이버 범죄 그룹이 수행하는 사이버 위협을 포함하여 더 광범위한 위협 환경에 대한 사이버 위협 이벤트도 분석했습니다. 피싱 캠페인과 랜섬웨어 공격이 모든 산업과 지역에 걸쳐 조직을 괴롭히는 가운데, Recorded Future는 1분기와 4분기 사이에 정보 탈취 멀웨어를 통해 판매된 인증정보의 수가 600% 증가했으며, 조직의 공급망에서 자주 사용되는 소프트웨어를 대상으로 한 공격이 전년 대비 크게 증가했고, 다크웹 마켓플레이스와 지하 포럼에서 '서비스형' 제품이 확산되면서 점점 더 관리 서비스 모델로 전환되고 있는 것을 확인했습니다. 초기 액세스 브로커는 인포스틸러 멀웨어의 사용 증가와 훔친 데이터로 수익을 창출할 수 있는 능력으로 인해 점점 더 활발해지고 있습니다.

인포스틸러의 효과적인 사용은 종종 취약점을 성공적으로 익스플로잇하는 데 달려 있습니다. 2022년에 주목할 만한 취약점 관련 동향으로는 랜섬웨어와 중국 국가 지원 위협 행위자들이 제로데이 취약점을 빠르게 악용하는 것, 2022년 모든 분기에 걸쳐 Log4Shell의 지속적인 악용, 매크로 자동 비활성화에 대한 Microsoft의 진동이 미치는 영향 등이 있습니다.

마지막으로 랜섬웨어는 2022년에도 여전히 상존하는 위협이었습니다. 일부 랜섬웨어 조직은 해체되었지만, 다른 조직은 빠르게 자신들의 지배력을 주장하고 막대한 자원을 사용하여 산업 전반에 걸쳐 모든 규모의 조직을 대상으로 캠페인을 수행했습니다. 랜섬웨어 지불은 2021년과 2022년 사이에 약 60% 감소했지만, 이는 랜섬웨어 지불을 포기하라는 정부의 지침 강화와 랜섬웨어 공격에 대한 보험 인수 시 보험사의 사이버 보안 표준 실사 강화로 인해 2023년에도 랜섬웨어는 계속해서 조직에 큰 위협이 될 것으로 예상됩니다.

Key Takeaways

• 자칭 핵티비스트 활동은 풀뿌리 활동과 국가가 후원하는 활동이 혼합된 것으로 보이며, 위협 행위자 그룹이 러시아 또는 우크라이나에 대한 충성심을 바탕으로 공격을 수행하면서 올해 상반기에 급증했습니다. 이러한 활동의 대부분은 분쟁에 관여하거나 동유럽과 가까운 지역에 위치한 조직을 표적으로 삼는 것으로 제한되었지만, 일부 핵티비스트 활동은 다른 지역의 조직과도 관련이 있었습니다.
• 와이퍼 멀웨어 배포와 핵티비스트 활동의 파급 효과는 우크라이나 전쟁에 직접적으로 관여하지 않은 조직에 대한 주요 사이버 위협이었습니다.
• 북한은 2023년에도 탄도미사일 실험을 계속할 가능성이 높습니다. 서태평양에서 미국의 군사력 증강과 일본의 국방비 지출 및 대비 조치 증가는 중국도 이에 상응하는 조치를 취할 가능성이 높습니다.
• 이란 핵합의(JCPOA, 포괄적 공동행동계획)를 둘러싼 외교 협상은 진전을 이루지 못할 것으로 보입니다. 한편 이란 이슬람 공화국은 핵무기를 개발하기 위해 우라늄 농축을 계속하고 있습니다. 이스라엘 정부는 시리아에서 활동 중인 이슬람혁명수비대 쿠드스군(IRGC-QF)에 대한 공습을 계속하는 한편 이란 내 핵 시설에 대한 공습 옵션도 열어두고 있는 것으로 보입니다.
• 2022년은 위협 환경에서 새로운 서비스형 피싱(PaaS) 제품의 존재, 서비스형 랜섬웨어(RaaS) 모델의 지속적인 성공, 새로운 변종 멀웨어의 개발 및 사용 등을 확인하면서 '서비스형'의 해였습니다.
• 오픈 소스 또는 독점 소프트웨어 패키지는 2022년 내내 대상이 되었습니다. 지난 한 해 동안의 효과를 고려할 때 2023년에는 이러한 유형의 공격이 더욱 심각해질 가능성이 높습니다.
• 위협 행위자들이 인포스틸러를 점점 더 많이 사용하고 있으며, 인포스틸러가 수집한 인증 정보의 광고가 증가하면서 멀티팩터 인증(MFA) 보안 솔루션에 위험을 초래하고 있습니다.
• 매크로를 기본적으로 비활성화하는 등의 대응책을 채택하는 것은 매우 효과적이지만, 많은 위협 행위자들은 새로 개발되거나 구현된 보안 보호 기능을 무력화하기 위해 작전을 전환하고 있어 심층 방어 보안 전략을 실행해야 할 필요성이 강조되고 있습니다.
• 널리 사용되는 제품의 익스플로잇과 Log4Shell과 같이 이전에 보고된 취약점의 지속적인 익스플로잇은 위협 공격자들이 장기간 사용할 수 있는 공격 벡터에 지속적으로 집중하고 있음을 보여줍니다.
• 랜섬웨어 공격의 규모는 2023년에도 줄어들지 않을 것으로 보입니다. 그러나 2021년부터 2022년까지 관찰된 것처럼 랜섬웨어 공격으로 인한 금전적 이득이 계속 감소한다면, 위협 공격자들은 랜섬웨어 공격에 대한 과거의 금전적 인센티브를 계속 실현하기 위해 전술을 조정할 가능성이 높습니다.