크라우드스트라이크(CrowdStrike)가 4일 발표한 2025 위협 헌팅 보고서에 따르면, CISO와 보안팀은 ‘비즈니스처럼 효율적으로’ 움직이는 정교한 위협 행위자들이 주도하는 새로운 사이버 위협의 시대에 진입하고 있다.
보고서는 “이들 공격자는 전략적으로 정밀하게 움직이며, 목표 달성을 위한 영향을 극대화한다”라며 “이러한 기민한 공격자에 맞서기 위해서는 혁신이 핵심”이라고 분석했다.
새롭게 떠오르는 전술 중 가장 핵심적인 요소는 생성형 AI 기술의 빠른 도입이다. 크라우드스트라이크 수석 부사장 아담 마이어스는 언론 브리핑에서 “고도화된 위협 행위자일수록 생성형 AI를 활용해 공격의 정교함, 속도, 기능을 모두 끌어올리고 있다”라고 설명했다.
마이어스는 “이들은 생성형 AI로 더욱 정교한 피싱 콘텐츠를 제작하고 있으며, 비즈니스 이메일 침해(BEC) 사기에도 이를 활용하고 있다”라며 “자연어 처리 기술 등을 통해 보다 설득력 있는 피싱을 구현하고, 가상의 신원을 만드는 데에도 생성형 AI를 사용하고 있다”라고 전했다.
이처럼 진화한 위협 행위자를 막기 어려운 이유는 이들이 사회공학 기법 등 사람이 가진 통제 불가능한 요소를 노리기 때문이다. 최근에는 AI의 도움을 받아 이 같은 수법이 더욱 강화되고 있으며, 관리되지 않는 디바이스를 표적으로 삼아 탐지를 피해가고 있다.
이번 보고서에서 크라우드스트라이크는 대표적인 위협 그룹 사례를 통해 방어자들이 마주한 고도화된 위협의 실체를 조명했다. 이들은 활동 방식에 따라 크로스 도메인, ID, 클라우드, 엔드포인트, 취약점 기반 등으로 분류된다.
크로스 도메인 위협 : 블로케이드 스파이더와 오퍼레이터 판다
크로스 도메인 공격자는 ID 시스템, 엔드포인트, 클라우드 등 다양한 보안 영역에서 분산된 활동을 벌이며, 탐지를 피하거나 연계된 공격임을 감지하기 어렵게 만든다.
마이어스는 “이제 이러한 공격은 예외나 신기한 사례가 아니라 보편적인 방식이 되고 있다”라며 “크로스 도메인 공격이란 보안 환경 내 여러 도메인을 넘나드는 공격을 뜻한다”고 설명했다. 그는 “예컨대 ID를 탈취한 후 엔드포인트를 노리는 대신, 이를 활용해 클라우드로 이동하고, 다시 미관리 디바이스로 확장하는 방식”이라고 덧붙였다.
크라우드스트라이크는 이 같은 전략을 사용하는 두 위협 그룹의 사례를 제시했다. 하나는 전자범죄 그룹 ‘블로케이드 스파이더(Blockade Spider)’이며, 다른 하나는 중국 정부 연계 조직인 ‘오퍼레이터 판다(Operator Panda)’다.
2025년 초, 크라우드스트라이크는 블로케이드 스파이더가 미관리 VPN을 통해 네트워크에 침입한 후 일련의 악의적 행위를 수행한 정황을 포착했다. 이들은 Veeam 백업 및 복제 구성 데이터베이스에서 크레덴셜을 추출하려 시도했으며, 백업 파일 삭제도 감행했다. 또한 크라우드스트라이크의 팔콘(Falcon) 센서 방해도 지속적으로 시도했다.
이 그룹은 타깃 네트워크에 깊숙이 침투했지만, 크라우드스트라이크는 모든 활동을 면밀히 추적할 수 있었고, 고객은 최종적으로 해당 위협 행위자의 접근을 완전히 차단할 수 있었다.
한편, ‘솔트 타이푼(Salt Typhoon)’이라는 이름으로도 알려진 오퍼레이터 판다는 2024년 중반 미국의 통신사와 전문 서비스 기업을 표적으로 삼아 공격을 감행했다. 이들은 시스코 IOS 및 시스코 IOS XE가 탑재된 시스코 스위치의 취약점을 악용했으며, 흔적을 감추기 위해 감염된 장비의 로그를 조작했다.
또한 이들은 취약점 체인을 활용해 하나의 결함으로 로컬 사용자 계정을 생성한 뒤, 이를 기반으로 시스코 웹 UI 기능의 다른 구성요소에 존재하는 취약점을 악용해 장비에서 임의 명령을 실행했다.
ID 기반 위협 : 스캐터드 스파이더
ID 중심 위협 행위자는 사회공학 기법과 AI 기반 도구를 활용해 인간의 취약점을 노리고, 탈취한 자격 증명을 통해 네트워크에 접근한다.
마이어스에 따르면, 특히 음성 기반 피싱은 빠르게 확산되고 있으며, 2024년 한 해 동안 사용 사례가 443% 증가했다. 그는 “2025년 말까지 이 수치는 두 배로 늘어날 전망”이라며 “위협 행위자들은 헬프데스크에 전화를 걸어 ‘내 계정에 접근할 수 없다, 비밀번호를 재설정해야 한다’며 실제 사용자처럼 행세해 보안 통제를 우회하고 있다”고 설명했다.
마이어스는 “스캐터드 스파이더(Scattered Spider)는 사회공학 공격의 진화를 이끌고 있는 대표적인 그룹”이라고 평가했다.
이 그룹은 한동안 활동을 중단한 듯 보였으나, 2025년 4월 다시 활발한 움직임을 보이며 여러 조직을 표적으로 삼아 사칭 캠페인을 벌였다. 크라우드스트라이크는 보고서에서 “2025년 발생한 한 랜섬웨어 사건에서 스캐터드 스파이더는 초기 침투부터 암호화까지 단 24시간 만에 진행했다”고 밝혔다. 이는 2024년 평균인 35.5시간, 2023년의 80시간보다 훨씬 빨라진 수치다.
보고서는 이처럼 랜섬웨어 조직들이 침투 후 24시간 이내에 피해자에게 몸값을 요구하는 경향이 업계 전반에서 나타나고 있다고 지적했다.
클라우드 위협 : 제네시스 판다와 머키 판다
지난 1년간 크라우드스트라이크는 중국 연계 그룹의 클라우드 침입 사례가 40% 증가한 것으로 관찰했다. 아담 마이어스는 “클라우드는 이상적인 공격 표적”이라며 “규모가 방대하고 방대한 양의 데이터를 보유하고 있어, 중국 연계 위협 행위자들이 ORB(Operational Relay Box) 네트워크 같은 기법을 활용해 탐지를 회피하고 있다”고 설명했다.
크라우드스트라이크는 대표 사례로 ‘제네시스 판다(Genesis Panda)’를 소개했다. 이 그룹은 2024년 3월부터 클라우드 서비스 환경에서 도구 배포, 명령·제어(C2) 통신, 데이터 유출 등을 수행해 왔다. 특히 클라우드 서비스 제공업체(CSP)의 계정을 공격해 접근 권한을 확장하고 지속적인 침입을 유지하는 전략을 취했다.
2024년 10월, 크라우드스트라이크는 제네시스 판다가 클라우드 컴퓨트 인스턴스에 설치한 악성코드를 통해 키보드 기반 직접 조작(hands-on keyboard) 활동을 벌인 정황을 포착했다. 이들은 클라우드 가상머신(VM)의 크레덴셜을 탈취해 조직의 클라우드 계정을 직접 노린 것으로 분석됐다.
이어 2025년 3월 초, 공개된 젠킨스 서버를 악용한 후 인스턴스 메타데이터 서비스(IMDS)를 조회해 클라우드 계정의 크레덴셜을 확보한 침입 사례가 확인됐다. 제네시스 판다는 이후 SSH 키를 추가하고, 백도어 접근 키를 생성해 향후 접근에 재활용했다.
또 다른 중국 연계 그룹인 ‘머키 판다(Murky Panda)’는 북미 지역 조직의 클라우드 테넌트를 공격하기 위해 파트너 조직 간 신뢰 관계를 악용한다.
2024년 말, 크라우드스트라이크는 머키 판다가 북미 조직의 공급업체를 침해한 후, 해당 공급업체의 관리자 권한을 이용해 피해 조직의 Entra ID 테넌트에 임시 백도어 계정을 추가한 사건을 조사했다. 이후 이 그룹은 Entra ID 상의 기존 서비스 프린시플 중 일부를 조작해 액티브 디렉터리(AD) 관리 및 이메일 관련 기능에 백도어를 설치한 것으로 파악됐다.
엔드포인트 위협 : 글레이셜 판다
엔드포인트 기반 위협 행위자는 장기적인 침투 전략을 통해 은밀하게 접근 권한을 유지하면서 데이터를 수집하고 향후 작전을 준비한다. 특히 중국 연계 위협 그룹들은 이 같은 접근 방식에 능숙한 것으로 분석된다.
마이어스는 “이들 공격자는 엔드포인트의 구조와 위협 헌터들이 어떤 도구로 이를 들여다보는지, 어떤 유형의 탐지 기법이 사용되는지를 깊이 이해하고 있다”라며 “이에 따라 탐지를 회피하는 방식으로 움직인다”라고 설명했다.
대표적인 사례는 중국 연계 그룹 ‘글레이셜 판다(Glacial Panda)’다. 크라우드스트라이크는 이 그룹이 주로 통신 업계를 대상으로 활동하며, 특히 구형 기술을 지원하는 리눅스 시스템 등 레거시 시스템을 노리는 것으로 파악하고 있다.
이들은 감염된 리눅스 호스트에 트로이목마화된 오픈SSH 도구를 배포해 사용자 인증 로그를 수집하고, 원격 연결 기록을 추적해 수평 이동을 시도한다. 크라우드스트라이크는 이 기법을 ‘쉴드슬라이드(ShieldSlide)’라고 명명했다.
취약점 기반 위협 : 그레이스풀 스파이더
크라우드스트라이크에 따르면, 2024년 관측된 전체 취약점 가운데 52%가 초기 침투와 관련돼 있었으며, 특히 인터넷에 노출된 애플리케이션을 통한 공격이 일반적인 방식으로 나타났다. 이는 제로데이 취약점 악용에 대응하기 위한 취약점 관리의 중요성을 보여준다.
아담 마이어스는 “국가 주도의 공격자가 제로데이 취약점을 발견해 블로그 등에 문서화되면, 전자범죄 조직은 이를 빠르게 습득해 광범위한 악용에 나선다”고 설명했다.
보고서에서 크라우드스트라이크는 ‘그레이스풀 스파이더(Graceful Spider)’의 활동을 대표 사례로 제시했다. 2024년 말, 이 그룹은 데이터 전송 솔루션 업체 클레오(Cleo)의 제품을 공격 대상으로 삼았다.
2024년 12월 7일, 크라우드스트라이크는 윈도우 및 리눅스 서버에 설치된 여러 클레오 제품에서 악성 활동을 감지했다. 다양한 산업과 지역의 클레오 인스턴스가 침해됐으며, 위협 행위자의 표적, 속도, 범위, 전술 등을 종합적으로 고려한 결과, 이 공격은 이전에 보고된 취약점과 관련된 제로데이 파일 업로드 취약점을 이용한 원격 코드 실행으로 분석됐다.
방어 전략을 위한 핵심 시사점
크라우드스트라이크의 위협 분석을 바탕으로 마이어스는 보안 담당자들이 참고할 주요 시사점을 다음과 같이 정리했다.
- ID 위협 탐지 기능 도입 : ID 기반 위협에 대응하려면, ID 위협 탐지 및 대응(IDR) 기능을 도입해 크레덴셜을 추적할 수 있어야 한다. ID 전반을 살필 수 있는 위협 헌팅 역량이 중요하다.
- 강력한 다중 인증(MFA) 필수 : SMS가 아닌 방식의 다중 인증(MFA) 도입은 필수다. 이는 보안의 기본 중 기본으로 여겨져야 한다.
- 클라우드 보안 강화 : 많은 조직이 적절한 보안 조치를 구현하지 않아 클라우드가 취약점으로 부상하고 있다. 클라우드를 방어하라.
- 크로스 도메인 가시성 확보 : ID, 클라우드, 미관리 디바이스 등 모든 영역에 대한 가시성을 확보해야 한다. EDR 같은 도구를 배포하거나, EDR이 불가능한 경우에는 차세대 SIEM 솔루션으로 계측해야 한다.
- 패치 우선순위 재정비 : 여전히 많은 조직이 ‘심각도’에 따라 패치 우선순위를 정하지만, 우리는 ‘실제로 악용되고 있는 취약점’을 우선시해야 한다고 본다. 미국 CISA가 매주 발표하는 ‘악용 중인 취약점 리스트’를 기반으로 패치 전략을 수립하는 것이 매우 중요하다.
- 공격자에 대한 이해 : 누가 공격자인지, 어떤 방식으로 활동하는지, 어떤 목표를 노리는지, 어떻게 전술을 바꾸고 있는지를 파악하고, 그에 따라 방어 전략을 구축해야 한다.
dl-ciokorea@foundryco.com
Read More from This Article: “정교해진 공격, 빨라진 침투”···크라우드스트라이크가 짚은 2025년 보안 위협과 대응 방안
Source: News