2024년 한 해를 돌아보며: 오늘의 인사이트, 내일의 전망

2024년을 되돌아보면 몇 가지 주요 트렌드가 눈에 띕니다. 한 가지 놀라운 현상은 DNS 공격의 빈도와 효과가 계속 높아지고 있다는 점입니다. Akamai 연구원들이 관찰 한 내용에 따르면 DNS 가 최근 18개월 동안 발생한 레이어 3 및 4 분산 서비스 거부(DDoS) 공격 의 60%에서 구성요소로 사용되었습니다. 하지만 이러한 공격 중 상당수를 제거할 수 있는 솔루션 이 있습니다. 이러한 공격의 대부분은 리플렉터 기반 공격으로, 공격자는 잘못 설정된 서버를 이용합니다. 간단한 DNS 변경으로 이를 방지하고 기업이 의도치 않게 문제에 관여되지 않도록 할 수 있습니다.

세계에서 가장 크고 복잡한 공격을 일으킨 Mirai 봇넷이 다시 부활하는 것을 목격했습니다. Mirai는 가장 흥미로운 공격 툴 중 하나로, 엔드포인트를 장악하고 다른 공격자를 차단하는 방식이 매우 지능적입니다. Mirai는 5년 전에 꽤나 눈에 띄었다가 사라졌지만 이제 복수를 위해 다시 부활했습니다.

이러한 상황을 봤을 때 기업은 공격의 규모뿐만 아니라 공격의 정교함에도 집중해야 할 필요가 있습니다. 공격 캠페인은 훨씬 더 복잡해지고 있습니다. 많은 보안 벤더사가 응답 시간을 단축하기 위해 더욱 지능적인 자동화를 구축하고 있으며, 이는 현 상황을 고려할 때 적절한 조치입니다. 

이와 더불어 저는 보안 전문가에 대한 접근이 여전히 중요하다고 생각합니다. 조만간 모든 중견 및 대기업은 사이버 이벤트에 직면하게 될 것이며 이를 해결하기 위해서는 사람의 전문성이 필요합니다.

애플리케이션 측면에서는 봇 인증정보 도용 이 계속해서 주요 위협으로 부상했습니다. 이러한 공격은 대부분 국가가 공격자가 되어 저지르기 때문에 방어하기가 매우 어렵습니다. 공격자가 봇인지 사람인지 판단하거나 "정상" 봇과 "악성" 봇 을 구분하려면(그림 1) 고유한 고객 환경을 이해하고 적절한 보호 조치를 구축할 수 있는 숙련된 인간 전문가가 필요합니다.

Mirai 봇넷 은 계속해서 중요한 요소가 될 것이며, 공격자들이 코드를 계속 발전시켜 더 많은 변종을 만듦에 따라 더욱 정교해질 것입니다. 이러한 발전에 따라 사이버 보안 전문가들은 전체 네트워크와 애플리케이션 공간의 여러 레이어에서 동시에 이루어지는 공격 캠페인에 맞서게 될 것이며 이는 지속적인 도전 과제가 될 전망입니다.

우리는 프록시를 통해 국가적 활동이 더욱 확대될 것으로 예상할 수 있습니다. 이러한 공격은 금전적 이득이 아니라 순전히 피해를 입히려는 의도에서 동기 부여되는 경우가 많을 것입니다. 

기업은 취약점을 방어하기 위해 API 엔드포인트를 지속적으로 관리해야 할 필요성에 직면하게 됩니다. 적절한 API 식별, 관리 및 보안은 마이크로세그멘테이션과 마찬가지로 강력한 사이버 보안 전략에서 더욱 중요한 구성요소가 될 것입니다.

내년에는 모두가 자신의 환경을 강화하는 데 시간을 할애할 것을 강력히 권장합니다. 기업은 네트워크가 적극적인 공격을 받고 있지 않을 때 방어 체계를 강화해야 합니다. 공격이 발생하기 전에 환경을 개선하면 투자한 노력 대비 상당한 이익을 얻을 수 있습니다.

미래로 나아갈수록 양자 컴퓨팅의 영향에 주목해야 합니다. 이 기술은 업계가 아직 준비되지 않은 극적인 방식으로 공격을 가속할 가능성이 있습니다. 기업은 사이버 공격자의 발전하는 능력에 발맞춰 하드웨어를 전면적으로 교체할 계획을 세워야 합니다. 이러한 계획의 전체적인 영향이 즉각적으로 나타나지는 않겠지만, 지금 논의와 준비를 시작하는 것은 양자 컴퓨팅이 사이버 보안에서 더 널리 보급될 때 원활한 전환을 위해 매우 중요합니다.

지정학적 긴장이 고조되면서 국가가 후원하는 사이버 작전이 크게 증가했습니다. 이러한 국가 차원의 공격은 중요 인프라를 점점 더 표적으로 삼고 있으며, 이에 따라 기업은 선제적인 위협 인텔리전스 및 모니터링 전략을 시급히 도입해야 합니다.

2024년에는 공격자들이 일부 유명 표적을 포함한 기업에 침투하기 위해 써드파티 공급업체를 악용하면서 공급망 유출이 중요한 문제로 부상했습니다. 이러한 트렌드에 따라 보안 관행의 허점이 드러났으며 공급망 파트너에 대한 지속적인 모니터링과 심사의 필요성이 대두되었습니다. 공급망 전반에 걸친 기업이 이러한 리스크를 방어하기 위해 보안 문화를 조성해야 한다는 것은 분명합니다.

가장 우려스러운 점은 사이버 범죄자들이 인공지능(AI)을 이용해 더욱 정교한 공격 기법을 만들어내고 있다는 점입니다. AI 기반 툴로 매우 그럴듯한 피싱 캠페인, 딥페이크, 기타 새로운 기법을 제작할 수 있게 되었습니다. 이렇게 AI가 도입됨에 따라 공격 성공률이 눈에 띄게 증가했습니다. 이러한 위협에 대응하기 위해 기업은 모든 기업 수준에서 한 번 더 의심하는 문화와 교육 문화를 조성하고 민감한 요청에 대한 강력한 검증 프로세스를 구축해야 합니다.

사이버 범죄자들은 계속해서 AI를 사용해 피싱 공격을 자동화 및 개인화할 것이며, 이로 인해 탐지가 더욱 어려워질 것으로 예상합니다. 따라서 기업들은 실시간 위협 탐지를 위해 AI 기반 보안 솔루션에 투자하게 될 것입니다.

또한 2024년의 성공을 기반으로 한 랜섬웨어 공격이 계속될 것으로 예상합니다. 공격 기법은 이중 갈취에서 삼중 갈취(종종 DDoS 공격과 함께)로, 심지어는 사중 갈취(공격자가 피해 기관의 고객, 직원, 기타 연결된 단체에 직접 연락해 민감한 정보가 감염되었음을 알리는 것)로 발전했습니다. 몸값을 지불하는 기업은 다시 공격의 표적이 될 가능성이 높습니다. 기업은 스스로를 보호하기 위해 백업 솔루션을 개선하고 직원 교육을 강화해 이러한 리스크를 방어해야 합니다.

저는 강력한 보안이 결여된 사물 인터넷(IoT) 디바이스에 대한 공격이 증가할 것으로 예상합니다. 공격자가 악용할 수 있는 디바이스는 무수히 많으며, 이러한 공격은 취약점이 확인된 후 빠르게 발생하는 경향이 있습니다. 이에 따라 기업은 물론 소비자 수준에서도 더 강력한 보안 조치와 표준화된 프로토콜의 필요성이 강조됩니다. 패치와 보호  기능을 최신 상태로 유지하고 IoT 사용 공간을 파악하는 것이 중요합니다.

저는 지정학적 긴장이 지속되는 상황에서 특정 국가와 연계된 표적을 전략적으로 겨냥한 사이버 전쟁이 계속될 것으로 예상합니다. 또한 중요한 경보 시스템을 교란함과 동시에 군사 공격을 개시하는 등 물리적 행동과 전략적으로 연계된 사이버 이벤트가 증가할 것으로 예상합니다. 이러한 트렌드를 봤을 때, 특정 국가의 국익을 목표로 하는 사이버 전쟁에 지속적으로 초점이 맞춰질 것입니다. 이를 비추어 보면 멀티레이어 보안 접근 방식을 도입하고 정부 기관과의 협력을 강화해 발전하는 위협에 대한 안정성을 강화하는 것은 필수가 될 것입니다.

2024년의 주요 트렌드는 유럽, 중동, 아프리카(EMEA) 지역에서 핵티비즘과 DDoS 공격의 증가였습니다. 3분기에는 유럽과 중동을 표적으로 삼은 공격이 크게 증가했습니다. 이는 이러한 활동의 대부분을 주도하고 있는 두 지역의 전쟁과 관련이 있으며, 이러한 공격이 줄어들 기미가 보이지 않습니다.

또 다른 주목할 만한 발전은 운영 안정성에 초점을 맞춘 NIS2 지침구축입니다. 이 지침은 유럽 연합(EU)의 각 회원국이 법률로 제정하도록 설계되었습니다. EU 회원국들은 2024년 10월 17일까지 NIS2를 국내법에 반영해야 했습니다. 유럽의 기업은 리스크 방어 및 공격 발생 시 안정성 향상에 중점을 둔 이러한 새롭고 업데이트된 요구사항을 준수하는 보안 인프라를 구축해야 합니다.

특히 널리 사용되는 오픈 소스 라이브러리의 취약점을 악용한 XZ Utils 백도어 (CVE-2024-3094)는 흥미로운 사건이었습니다. 이 공격자는 오픈 소스 환경에 멀웨어를 삽입할 수 있을 때까지 약 2년에 걸쳐 XZ 프로젝트에 기여하며 신뢰를 쌓는 장기전을 펼쳤습니다. 이러한 장기전은 통신을 방해할 목적으로 미국의 DSL 라우터에 침투한 Volt Typhoon 캠페인과 유사한 점이 있습니다.

DDoS 공격에 있어서 가장 흥미로운 발견은 아마도 오픈 소스 프린팅 플랫폼인 CUPS(Common UNIX Printing System)에서 Akamai SIRT가 발견한 취약점 일 것입니다. 이 취약점은 공격자들에게 유럽을 공격하기 위한 무기가 될 수 있는 또 다른 공격 기법이었습니다. 특히 인터넷에 CUPS를 사용하는 취약한 디바이스가 수천 대에 달한다는 점을 고려할 때, 한 번만 공격해도 끝없이 트래픽을 발생시킬 수 있다는 점이 특히 흥미로웠습니다.

두 지역에서 전쟁이 여전히 진행 중이기 때문에 핵티비즘 위협이 조만간 줄어들지는 않을 것으로 생각합니다. 실제로 Akamai는 우크라이나 정부와 지속적으로 협력해 주요 온라인 자산을 보호하고 있습니다. 핵티비스트들은 분쟁이나 자신이 불공평하다고 인식하는 것을 동기로 움직이기 때문에 이러한 지정학적 상황이 해결될 때까지 위협 활동이 계속될 것이라고 생각합니다. 이들은 기관에 대한 신뢰를 잃게 하고 정부에 압력을 가해 특정 정권에 대한 지원을 중단하도록 합니다.

저는 공격 기법이 API에 더 집중하는 방향으로 변화할 것으로 예상합니다. 기업이 더 많은 애플리케이션 프로그래밍 인터페이스를 배포할수록 위협에 대한 노출이 증가하고 악용될 리스크도 커질 것입니다. Akamai는 끊임없이 확장되는 위협 환경에 대한 대응으로 오랫동안 API 취약점에 집중해 오며 기업이 강력한 API 보안 전략을 구축할 필요성을 강조해 왔습니다.

2025년에는 암호화 민첩성에 더욱 집중하게 될 것이라고 생각합니다. 기업들은 '양자 안전'을 위해 무엇이 필요한지 파악하기 시작했습니다. 늦어도 몇 년 안에 기업은 일부 인증서와 알고리즘을 업데이트해야 할 것입니다. 이에 따라 어떤 암호화 표준을 사용할지, 언제 어떻게 양자 안전 암호화로 전환할지 등 여러 가지 질문이 제기됩니다. 당장 내일 당장 그런 일이 일어나지는 않겠지만 사람들은 리스크와 그 해결 방법에 대해 생각해야 할 것입니다. 이는 세대교체입니다.

2024년에 특히 두드러진 트렌드는 아시아 태평양 및 일본(APJ) 지역을 표적으로 삼은 레이어 7 DDoS 공격이 크게 증가했다는 점입니다. 이에 대해서는 애플리케이션에 대한 위협에 초점을 맞춘 인터넷 보안 현황(SOTI) 보고서 위협받는 디지털 요새에서 자세히 다루었습니다. Akamai 연구원들은 2023년 1월부터 2024년 6월까지 APJ 지역의 레이어 7 DDoS 공격 건수가 5배 증가했다는 사실을 발견 했습니다(그림 3). 영향력이 큰 이러한 종류의 공격이 증가하는 추세는 매우 우려스럽습니다.

또한 주목할 만한 점은 DDoS 공격의 급증 시기가 중요한 지정학적 이벤트가 발생한 시기와 일치한다는 사실입니다. 2024년에는 인도, 인도네시아, 대만 등 APJ 지역 내 3개국에서 주요 선거가 있었는데, 이러한 이벤트가 있었던 시기에 DDoS 공격이 증가했습니다.

이러한 공격의 증가는 핵티비스트들이 자신의 이념이나 신념과 충돌한다고 생각하는 국가나 업계를 겨냥하는 핵티비즘의 증가 때문일 수 있다고 생각합니다. 이 같은 트렌드가 관찰됨에 따라 기업은 수익을 창출하려는 사이버 범죄자뿐만 아니라 정치적 의제에 따라 언제든지 공격할 수 있는 핵티비스트 또한 방어해야 합니다.

 DDoS 공격은 분명히 큰 문제이지만, APJ의 많은 기업이 아직 이에 대해 적절히 대비하지 못하고 있다고 생각합니다. 이는 심각하게 받아들여야 하는 실제적인 위협입니다. DDoS 공격은 영리 기업뿐만 아니라 은행 시스템부터 교통, 공공시설에 이르기까지 중요한 인프라를 표적으로 삼고 있습니다. DDoS 공격이 성공하면 그 영향은 우리 일상생활에서 느낄 수 있을 것입니다.

2025년에는 세계의 다른 지역과 마찬가지로 APJ의 기업 또한 비즈니스와 수익성을 개선하는 AI를 모든 업계에서 훨씬 더 빠른 속도로 도입할 것입니다. 그러나 AI를 서둘러 도입하는 과정에서 필수적인 보안 안전장치를 놓치지 않아야 합니다. 10여 년 전 클라우드 컴퓨팅과 사이버 보안을 서둘러 도입할 때도 비슷한 상황을 목격했습니다. 도입 속도에 가려 보안이 간과되는 경우가 많았고 이로 인해 필연적으로 여러 건의 대규모 데이터 유출 사고가 발생했습니다.

현재 우리는 AI로 가능한 일의 겉부분만 이해하고 있으며 기업은 근본적인 잠재적 보안 영향을 완전히 이해하지 않고 있을 수 있다고 생각합니다. AI가 비즈니스 운영에 더욱 깊숙이 자리 잡으면서 AI 보안을 위한 노력이 기업 전략의 최우선 순위에 놓여야 할 것입니다. 안타깝게도 과거를 비추어 봤을 때 기업과 규제 당국이 갑자기 관련 보안 프레임워크와 규제에 집중하게 만드는 대규모 데이터 유출 사고가 발생하지 않는 한 그러한 일이 이뤄질 가능성은 상대적으로 낮습니다.

2025년부터는 AI 보안의 두 가지 측면, 즉 AI 시스템 보호와 AI 기반 공격 방어에 대한 관심이 높아질 것으로 예상됩니다. 결국 사이버 범죄자들은 AI를 활용해 더 탐지하기 어렵고, 더 효율적이고, 더 효과적인 공격을 만드는 방법을 배우고 있습니다. AI는 공격자의 진입 장벽을 낮추는 동시에 취약점을 식별하고 악용하는 능력을 빠르게 발전시킬 것입니다. Akamai는 이미 자체 AI 모델을 구축하고, 공격 방법을 탐색하며, 보안 솔루션을 강화하기 위해 어떤 보호 기능이 필요한지 이해함으로써 몇 걸음 앞서가고 있으며, 다양한 AI 증강 기능 또한 구축했습니다. 이 분야는 2025년 이후에도 Akamai가 지속적으로 역량을 발전시켜 나갈 분야입니다.

마지막으로, 사람들이 AI라는 눈부신 최신 기술에 정신이 팔려 있는 동안에도 탄탄한 보안 기본기를 잊지 않는 것이 중요합니다. 공격자들은 앞으로도 API 엔드포인트를 노릴 것이며 2025년에도 여전히 피싱 공격을 수행할 것입니다. 따라서 우리도 패치를 적시에 배포하고, 보호 장치를 상시 가동하며, 악성 활동을 식별하고 방어할 수 있도록 사람들을 지속적으로 교육해야 합니다. AI가 있든 없든 이러한 위협은 사라지지 않을 것이기 때문입니다.

사이버 보안에 대한 규제 환경은 전 세계적으로 계속 발전하고 있습니다. 2023년 아누 브래드포드(Anu Bradford)는 시장 중심, 국가 중심, 권리 중심 모델이라는 세 가지 새로운 접근 방식을 개략적으로 제시했습니다. 이 프레임워크는 미국 증권거래위원회의 사이버 중요성 보고 요건도입, EU의 DORA, 중국의 데이터 보안법등 2024년의 새 규제를 이해하는 데 유용한 관점을 제공했습니다. 새로운 규정이 여러 지역에 영향을 미치면서 컴플라이언스에 대한 세계적인 관점이 필요해졌습니다. 규제가 새로 중점을 두고 있는 분야로는 API, 생성형 AI, 랜섬웨어 결제 정책 등이 있으며, 이에 대한 면밀한 모니터링이 필요합니다.

이와 동시에 DDoS 공격은 주로 범죄 기업이 사용하는 툴에서 국가와 핵티비스트가 사용하는 지정학적 툴로 발전했습니다. 우리는 기록적인 DNS NXDOMAIN 공격 (PRSD(Pseudo-Random Subdomain) 공격이라고도 부름)과 분쟁 지역의 금융 기관을 표적으로 한 레이어 3 및 4(인프라) DDoS 공격이 증가한 것을 보았으며, 애플리케이션과 API 모두를 대상으로 한 레이어 7(애플리케이션 레이어) DDoS 공격이 확산되는 것을 목격했습니다. 이러한 트렌드는 모든 업계와 지역 전반에 걸쳐 관찰되었으며, 이에 따라 강력하고 적응력 있는 사이버 보안 조치의 필요성이 강조되었습니다.

사이버 보안 환경은 계속해서 발전하고 있으며 보안팀의 주요 관심사로는 사기가 점점 중요한 문제로 떠오르고 있습니다. 보호에 대한 고객의 수요 증가로 작성된웹 스크레이핑에 대한 Akamai의 최신 보고서에 따르면 금융 서비스 업계가 가장 큰 영향을 받은 것으로 나타났습니다. Akamai의 데이터 에 따르면 탐지된 의심스러운 도메인의 36%가 금융 기관을 표적으로 삼은 것으로 나타났습니다(그림 4). 특히, 이러한 스푸핑된 금융 서비스 사이트의 68%는 피싱 기법을 사용해 인증정보를 비롯한 개인 식별 정보를 획득함으로써 계정 탈취 및 신원 도용을 쉽게 만들었습니다. 이처럼 증가하는 사기를 방지하기 위해서는 기업 간 협력이 필수적입니다.

생성형 AI는 아직 초기 단계에 있지만OWASP(Open Worldwide Application Security Project)에서는 이미 LLM(Large Language Model)에 대한 상위 10대 보안 리스크 목록을 발표했습니다. 이러한 리스크에는 DDoS 공격, 민감한 정보 유출, 런타임 보안 문제와 같은 위협에 대한 방어가 필요합니다. 또한 사이버 보안 팀은 이러한 모델을 효과적으로 활용하고 보호할 수 있는 기술을 개발해야 합니다.

API 리스크는 빠른 확장성으로 인해 계속해서 중요한 문제가 될 것입니다. OWASP 10대 API 보안 리스크 목록은 비즈니스 로직 공격을 해결하기 위한 기술과 보안 제어의 필요성을 강조합니다. API는 로컬 파일 인클루전과 같은 기존 위협에 여전히 취약하지만 빈번히 발생하는 이 새로운 공격 기법으로 인해 가시성과 신속한 대응을 위한 향상된 기능이 필요합니다. 2025년에는 관리되지 않는 "좀비"가 되는 악성 또는 잊힌 시스템을 식별하고, 일반적인 취약점에 대해 개발자를 교육하고, 보안 코드 배포의 런타임을 검증하는 것이 더욱 중요해질 것입니다. 퍼블릭 API 남용으로 인한 심각한 유출 사고가 증가함에 따라 이러한 활동이 중대한 영향을 끼치기 전에 지속적으로 모니터링하고 방어하는 것의 중요성이 강조되고 있습니다.

올해 가장 눈에 띄었던 점은 공격표면이 크게 증가했다는 것입니다. 이는 새로운 기술 구축이 원인일 뿐만 아니라 기술 자체가 새로운 공격자를 만들어내기 때문이기도 합니다. 멀웨어를 작성하는 ChatGPT에 대해 이야기하는 것이 아닙니다. 이는 완전히 다른 문제입니다. 기술적 진입 장벽이 크게 낮아져 결과적으로 보안팀과 공격자 간의 격차가 더욱 벌어지고 있으며, 생성형 AI와 LLM이 표준으로 자리 잡으면 그 격차는 사실상 큰 구멍이 될 수 있습니다.

기술은 이전에는 상상할 수 없었던 속도로 발전하고 있습니다. 우리는 국가 수준의 정교함과 싸우고 있을 뿐만 아니라 특정 목적이나 불만이 있는 스키디 와도 싸우고 있습니다. 공격자의 시장 출시 시간은 공개 후 단 몇 시간 으로 단축되었으며, 일부 공격자는 여러 가지 악용 옵션을 보유하고 있습니다. 보안팀은 폭격 수준의 공격을 받고 있으며 매년 상황이 더 악화되는 것으로 보입니다. 

새로운 기술은 또한 낡은 위협으로부터 새로운 공격 경로를 개척해 왔습니다. 이전에 방어했던 위협에 이제 완전히 새로운 엔트리 포인트가 생겼을 수도 있으며 공격 기법은 악용 후더 큰 피해를 입힐 수 있습니다. 올해 발견된 멀웨어 중 상당수는 10년 이상 된 Log4Shell과 같은 오래된 취약점을 이용했으며 심지어 적절한 CVE가 지정되지 않은멀웨어도 있었습니다. 노련한 봇넷 제작자는 난독화가 더 어려운 Golang 기반 멀웨어를 포함하도록 툴킷을 확장할 수 있으며, 신용 카드에 접속할 수 있는 사람이라면 누구나 인터넷 쇼핑을 하듯 쉽게 본격적인 랜섬웨어 또는 DDoS 공격을 실행할 수 있습니다.

인터넷이라는 끊임없이 변화하는 디지털 숲이 점점 더 상호 연결됨에 따라 공격자들이 공격할 수 있는 장소가 더 많이 등장할 것입니다. 내년에 기업은 기본으로 돌아가 패치 관리 및 인시던트 대응 전략을 재검토 및 쇄신해야 합니다. 또한 이전에는 대수롭지 않게 여겼던 취약점도 잊지 말아야 합니다. 공격자가 빛의 속도로 취약점을 스캔하고 멀웨어를 퍼뜨릴 수 있으며 입력 불일치 가 전 세계에 영향을 미칠 수 있다는 점을 고려할 때 2025년에는 유출 사고 발생을 가정하는 것이 올바른 접근 방법입니다.

유비무환이라는 말이 있듯이, Akamai는 고객, 동료, 대중에게 현재 기업에 영향을 미치고 있는 위협은 물론 향후 발생할 수 있는 위협에 대한 정보를 제공하기 위해 최선을 다하고 있습니다.

또한 오늘날의 위협에 대한 실질적인 솔루션뿐만 아니라 AI가 공격 전략과 방어에 가져올 혁신적인 변화에 대해서도 집중적으로 연구하고 있습니다. Akamai 연구원들은 양자 컴퓨팅을 비롯한 차세대 기술에도 관심을 기울이고 있으며 고객이 미래를 대비할 수 있도록 고객과 함께 협력하고 있습니다.