공격자 체류 시간, 길어지다 못해 늘어나
Mandiant의 M-Trends 2026 보고서가 나왔는데, 가장 눈에 띄는 수치는 중앙값 공격자 체류 시간의 증가입니다. 무려 14일로, 이전의 11일에서 27%나 늘었습니다. 이건 단순한 통계적 수치가 아닙니다. 공격자들이 탐지를 더 잘 피해 내고, 우리 네트워크에 침투해 발각되기까지 더 많은 시간을 보낸다는 명백한 신호죠. 특히 국가 지원 첩보 그룹이나 북한 연계 공격자 같은 끈질긴 위협만 따로 떼어놓고 보면, 이 체류 시간은 어마어마한 122일로 늘어납니다. 네 달 동안 아무런 제약 없이 마음대로 돌아다녔다는 뜻입니다. 이건 무법천지가 아니라, 치밀하게 계산된 장기 침투 작전입니다.
왜 이렇게 오래 머무는가?
몇 가지 요인이 복합적으로 작용하는 것으로 보입니다. 공격자들은 이제 대부분의 조직이 갖춘 다층 방어 체계를 우회하기 위해 자신들의 침투 기법, 즉 TTP(전술, 기술, 절차)를 분명히 갈고 닦고 있습니다. 보고서는 특히 첩보 활동을 벌이는 공격자들 사이에서 정교함이 눈에 띄게 늘었다고 지적합니다. 이들은 탐지를 피해 시스템에 녹아드는 데 매우 능숙합니다. 아마도 보안 도구가 종종 놓치는, 모니터링되지 않는 엣지 기기나 네트워크 자체의 깊숙이 내장된 기능을 악용하고 있을 가능성이 높습니다. 이제는 무차별 대입 공격보다는 정교한 위장술에 가깝습니다.
익스플로잇은 여전히 왕좌, 그러나 보이스피싱이 폭발적 증가
6년 연속으로 익스플로잇이 초기 감염 벡터의 왕좌를 지켰습니다. 전체 침해 사고의 상당한 비율인 32%를 차지했죠. 하지만 올해 진짜 이야기는 고도로 상호작용적인 음성 피싱, 즉 보이스피싱의 엄청난 부상입니다. 이게 전체 침입 시도의 11%까지 치솟았습니다. 이건 엄청난 도약으로, 명실상부 2위로 올라섰습니다. 이건 할아버지 적의 의심스러운 이메일이 아닙니다. 이건 직접 귀에 꽂히는, 표적화된 인간 기반의 기만 공격으로, 종종 신뢰할 수 있는 출처를 사칭하여 순진한 직원의 계정 정보나 민감한 정보를 빼냅니다. 한편 이메일 피싱은 6%로 줄어들었는데, 이는 해당 공격 벡터에 대한 자동화된 방어 체계가 개선되었음을 증명합니다.
붕괴되는 ‘인계’ 창
사이버 범죄 생태계는 놀라운 수준의 전문화와, 솔직히 말해 효율성을 보여주고 있습니다. 초기 접근 브로커들은 이제 단순히 문턱만 넘는 것이 아니라, 랜섬웨어 갱단에게 끔찍할 정도로 빠른 속도로 길을 터주고 있습니다. 2022년만 해도, 초기 침투 사건과 두 번째 위협 그룹으로의 인계까지의 중앙값 시간은 8시간이 넘었습니다. 그런데 2025년에는 이 시간이 고작 22초로 줄었습니다. 22초. 이건 두 번째 그룹이 이미 악성코드와 설정된 접근 권한을 갖추고, 키가 넘겨지는 순간 바로 페이로드를 배포할 준비가 되어 있다는 뜻입니다. 초기 접근 브로커가 흔히 돕는 사전 침투가 이제 전 세계적으로 세 번째로 흔한 감염 벡터이자, 랜섬웨어 공격의 첫 번째 벡터가 되었으며, 작년에 비해 두 배로 늘었습니다. 이 빠른 인계는 방어자들이 제대로 대처하지 못한 치명적인 병목 현상입니다.
랜섬웨어, 복구 방해로 진화
랜섬웨어는 더 이상 단순히 데이터를 암호화하는 데 그치지 않습니다. 이제는 정교한 복구 방해 전략으로 진화했습니다. Mandiant는 Akira, Qilin과 같은 유명 그룹들이 파일을 잠그는 것을 넘어, 백업 인프라, ID 관리 서비스, 가상화 관리 플레인을 적극적으로 표적으로 삼아 파괴하고 있음을 관찰했습니다. 잠시만 생각해 보세요. 그들은 단순히 당신의 귀중품을 훔치는 것이 아니라, 금고를 부수고 열쇠를 녹여버리고 있는 겁니다. 공격자들은 Active Directory Certificate Services의 잘못된 설정을 악용하여 지속적인 관리자 계정을 만들고, 클라우드 스토리지에서 백업 객체를 아예 삭제해버리고 있습니다. 데이터 유출 및 암호화에서 복구 기능 자체의 파괴로의 전환은 랜섬웨어 공격의 영향력과 심각성에서 중대한 escalating입니다.
“전 세계 중앙값 공격자 체류 시간이 11일에서 14일로 증가했습니다. 이 변화는 특히 방어 회피에서 증가하는 정교함을 반영할 가능성이 높습니다.”
보고서의 이 인용문이 가장 냉혹한 지표입니다. 조직들이 갑자기 위협 탐지를 못하게 된 것이 아니라, 위협 자체가 본질적으로 탐지하기 어려워졌다는 것입니다. 도난당한 자격 증명에 대한 의존도가 높아지고, 제3자 SaaS 공급업체를 악용하여 하드코딩된 키와 세션 쿠키에 접근하는 방식 때문에, 공격자들은 내부자 수준의 권한으로 운영되고 있습니다. 대규모 데이터 도난을 실행하기 위해 다운스트림 고객 환경으로 이동하는 쉬운 경로는 이러한 진화하는 공격 표면의 직접적인 결과입니다.
내부 탐지 증가… 당분간은
하지만 아주 작은 희망의 불씨는 있습니다. 조직들이 내부적으로 악성 활동을 탐지하는 데 더 나아지고 있다는 것입니다. 2025년에는 조사 시작의 52%가 내부 탐지로 시작되었는데, 이는 2024년의 43%에서 주목할 만한 증가입니다. 이는 탐지 및 대응 기능에 대한 투자가 결실을 맺기 시작했음을 시사합니다. 그러나 이러한 긍정적인 추세는 늘어나는 체류 시간과 위협 행위자들의 엄청난 적응력 때문에 빛이 바랠 수 있습니다. 이건 경쟁이며, 방어자들이 일부 영역에서 앞서 나가고 있지만, 공격자들은 다른 영역, 특히 탐지되지 않고 작전을 지속하는 능력에서 빠르게 발전하고 있습니다.
첨단 기술 산업, 새로운 금융권 표적 되다
지리적으로 볼 때, 금융 산업을 제치고 첨단 기술 산업이 가장 많이 표적이 되는 산업이 되었습니다. 전체 침해 사고의 17%를 차지했으며, 금융 산업은 14.6%였습니다. 지난 2년간 1위를 유지했던 금융 산업이 이 자리에서 밀려난 것은, 공격자들이 새로운 침투 경로를 찾고 있음을 시사합니다. 이는 아마도 지적 재산권 탈취, 공급망 공격, 또는 기술 산업 자체의 지속적인 디지털 전환 노력과 관련이 있을 것입니다.
🧬 관련 인사이트
자주 묻는 질문
Mandiant의 M-Trends 보고서는 무엇을 분석하나요?
M-Trends는 지난 한 해 동안 Mandiant가 전 세계에서 수행한 50만 시간 이상의 최전선 침해 사고 조사 데이터를 분석하여 새로운 사이버 위협 전술, 기술 및 절차(TTP)를 파악합니다.
제 조직은 보이스피싱 공격으로부터 안전한가요?
어떤 조직도 완전히 안전할 수는 없습니다. 보이스피싱의 증가는 사회공학 기법에 대한 직원 교육 강화, 강력한 통화 검증 프로토콜 시행, 통신 패턴의 이상 징후를 탐지할 수 있는 보안 솔루션 사용을 필수적으로 만듭니다.
사이버 보안에서 체류 시간이 중요한 이유는 무엇인가요?
체류 시간이란 공격자가 네트워크 내에서 탐지되지 않은 채로 남아있는 기간입니다. 체류 시간이 길어질수록 공격자는 권한을 강화하고, 데이터를 유출하며, 악성코드를 배포하고, 발견 및 제거되기 전에 더 큰 피해를 입힐 기회를 갖게 됩니다.
