구글 클라우드, '자격 증명 탈취' 해킹 위험요인 급부상

심영섭 구글 클라우드 맨디언트 컨설팅 한국·일본 지역 총괄이 27일 서울 중구 서울스퀘어에서 ‘맨디언트 M-트렌드 2025’ 보고서를 소개하고 있다. [사진=한영훈 기자]

SK텔레콤, 위메이드 등 국내 다수 기업이 해킹으로 혼란을 빚고 있는 가운데 초기 위험요소로 ‘자격 증명 탈취’가 급부상했다.
 
27일 구글 클라우드 맨디언트가 발표한 ‘M-트렌드 2025’ 보고서에 따르면, 지난해 해킹 초기 경로 중 자격 증명 탈취를 통한 공격 비중은 16%로 처음 2위에 올랐다. 직전년(10%)보다 6%포인트 증가한 수치다.
 
이는 공격자가 탈취한 자격 증명을 활용해 시스템에 침입하는 방식이다. 이후 데이터 탈‧갈취를 포함한 기타 위협 활동으로 이어진다. 개인용 PC로 회사 업무를 볼 경우, 개인 정보도 탈취당할 수 있다.
 
‘취약점 악용’은 33%로 1위를 차지했다. 한국을 포함한 아시아·태평양 및 일본(JAPAC) 지역의 해당 공격 비율은 전 세계 평균 대비 2배가량 높았다.
 
취약점 중 가장 빈번하게 악용된 건 네트워크 경계에 위치한 보안 장비였다. 이 중 대다수는 제로데이(패치 미존재)를 노린 것으로 나타났다. 해당 경우는 통신, 방위 산업 등 주로 국가 단위로 공격이 이뤄지는 만큼 위험성이 상당히 높다.
 
나머지 감염 경로에는 이메일 피싱(14%), 웹사이트 침해(9%), 이전 침해 사례(8%)가 포함됐다.
 
이번 조사서 관찰된 멀웨어(시스템 손상 소프트웨어)는 205건으로 나타났다. 백도어(숨김형 악성코드)와 랜섬웨어(데이터 암호화)가 각각 35%, 14%로 가장 높았다. 구글 클라우드는 “전통적인 멀웨어를 사용하지 않는 신종 기법도 지속 발견되는 중”이라고 설명했다.
 
드웰타임(침해 발생 후 탐지까지 걸리는 시간) 중앙값은 11일로 전년(10일) 대비 하루 늘었다. JAPAC 지역의 경우, 6일로 비교적 짧았다.
 
가장 자주 표적이 된 산업은 금융(17.4%)이었다. 이어 전문 서비스(11.1%), 첨단 기술(10.6%), 정부(9.5%), 의료(9.3%) 순이다. 해킹 사실을 처음 인지한 비중은 외부 기관(57%)이 조직 내부(43%)보다 높았다. 공격자 중 55%는 금전적 동기를 가지고 있었다.
 
구글 클라우드는 해킹 위험을 최소화하려면 장치 실시간 탐지 및 대응(EDR), 네트워크 트래픽 분석 등 고급 위협 탐지 기술 도입과 최적화가 시행돼야 할 것으로 봤다. 정기적인 취약점 검사와 위험도에 따른 패치 적용 우선순위 지정 등도 필요 조치로 제시했다.
 
보안 인력에 대한 더 많은 투자가 필요하단 의견도 나왔다. 심영섭 구글 클라우드 맨디언트 컨설팅 한국‧일본 지역 총괄은 "미국·유럽 등은 보안 거버넌스(관리 체계) 등이 까다로운 반면, 아시아는 상대적으로 그렇지 않다"며 "보안 인력에 대한 더 많은 투자가 더 필요하다"고 말했다.
 
한편, 이번 조사는 맨디언트 컨설팅이 지난해 전 세계 45만 시간의 침해 사고 대응 활동에서 수집한 데이터를 바탕으로 이뤄졌다.