이 새로운 ‘슬리퍼웨어’는 경보를 울리거나 시스템을 충돌시키지 않고 몰래 들어가서 기다립니다.

검은색 배경 전면의 빨간 커튼에서 밖을 내다보는 신비한 눈의 종이 공예.

Moment / Getty Images를 통한 MirageC

ZDNET을 팔로우하세요: 우리를 선호 소스로 추가하세요 Google에서.


ZDNET 주요 내용

  • Picus Labs는 MITRE ATT&CK 기술의 순위를 매긴 보고서를 발표했습니다.
  • 보고서에 따르면 랜섬웨어 암호화는 감소세를 보이고 있다.
  • 순위가 올라가는 것은 공격할 수 있을 때까지 죽은 척하는 악성 코드입니다.

대규모 공격 시뮬레이션 데이터를 사용하여 실제 공격자 기술을 분석하는 연구 기관인 연례 Red Report에서 Picus Labs는 사이버 보안 전문가에게 위협 행위자가 공격당 수백만 달러에 달하는 조직을 약탈하기 위한 수단으로 랜섬웨어 암호화에서 기생적인 “슬리퍼웨어” 강탈로 빠르게 전환하고 있다고 경고합니다.

적의 관점을 취하는 것

오늘 발표되어 6년차가 된 278페이지 분량의 Red Report는 “레드 팀”이라고도 알려진 공격자 팀의 관점을 취하는 Picus가 조직한 사이버 보안 훈련에서 이름을 따왔습니다.

또한: 최고의 VPN 서비스(및 귀하에게 적합한 서비스를 선택하는 방법)

이 이름은 소위 레드 팀이 적의 역할을 하고 블루 팀이 방어하는 전쟁 게임 및 기타 시뮬레이션 군사 훈련을 연상시킵니다. 이 보고서는 실제 위협 행위자가 공격을 실행하는 데 사용하는 고유한 기술의 지속적으로 업데이트되는 카탈로그인 MITRE ATT&CK 프레임워크를 통해 적의 관점을 취합니다.

예를 들어, 위협 행위자가 조직의 시스템을 암호화하는 경우(본질적으로 몸값이 지불될 때까지 조직의 자체 정보 기술을 차단하는 경우) 해당 접근 방식을 설명하는 고유한 MITRE ATT&CK 기술 ID는 T1486입니다.

Picus Labs는 2025년에 관찰된 100만 개 이상의 악성 파일과 1,500만 건 이상의 적대 행위에 대한 분석을 기반으로 위협 행위자가 다양한 MITRE ATT&CK 기술에 어떻게 의존하는지 순위를 매긴 다음 해당 기술이 이전 연도와 비교하여 어떻게 증가 또는 감소하는지 주목합니다.

또한: iPhone을 극도로 잠그는 방법 – FBI도 접근할 수 없도록

Picus Labs에 따르면 2025년은 기술의 조합을 통해 본질적으로 죽은 척하고 탐지를 회피하며 적절한 기회가 나타날 때만 공격할 수 있는 믿을 수 없을 정도로 인내심이 강한 형태의 맬웨어의 “대규모 급증”으로 표시되었습니다. 한편, 선호되는 위협 행위자 기술로서 순위 상승은 랜섬웨어 암호화를 희생하면서 이루어졌습니다.

암호화에서 강탈로 전환

보고서는 “지난 10년 동안 CISO의 주요 관심사는 랜섬웨어로 인한 비즈니스 중단이었다. 2026년에는 위험 프로필이 반전됐다”고 지적했다.

“데이터는 랜섬웨어 페이로드 배포가 통계적으로 크게 감소했음을 보여줍니다. 2025년에는 데이터 암호화(T1486)(랜섬웨어 복호화라고도 함)가 샘플의 21.00%에 나타났고, 2026년에는 12.94%로 급락했습니다. 이는 상대적으로 38% 감소한 수치입니다. 이러한 급격한 감소는 위협 행위자가 비즈니스 모델을 ‘데이터 잠금’에서 벗어나고 있다는 구체적인 증거를 제공합니다. (암호화) “데이터를 훔치는 것”(강탈)을 지향하여 장기적인 악용을 위해 호스트를 활성 상태로 유지합니다.

보고서는 또한 “프로세스 주입(T1055)의 지배력은 공격자가 파괴보다 체류 시간을 우선시하고 있음을 나타냅니다. 목표는 더 이상 시스템을 충돌시키고, 도용하고 나가는 것이 아니라 침입하여 눈에 띄지 않게 거주하는 것입니다.”라고 말했습니다.

또한: iPhone 및 iPad를 위한 최고의 VPN 서비스(예, 하나를 사용해야 합니다)

보고서에 따르면 상위 3가지 MITRE ATT&CK 기술은 2024년부터 변경되지 않았으며, 프로세스 주입이 명령 및 스크립팅 해석기(T1059)와 암호 저장소의 자격 증명(T1555)보다 먼저 순위를 매겼습니다. 그러나 아마도 순위에서 가장 눈에 띄는 변화는 가상화/샌드박스 회피(T1497)가 4위로 급등했다는 점일 것입니다.

디지털 기생충의 등장

보고서는 “가상화 및 샌드박스 회피(T1497)는 상황 인식 악성 코드가 아티팩트 검사, 타이밍 및 사용자 상호 작용 패턴을 통해 분석 환경(예: 샌드박스)을 탐지하는 방법을 학습함에 따라 ATT&CK 기술 4위로 상승했습니다”라고 밝혔습니다.

“이제 많은 샘플이 관찰 시 실행을 거부합니다. 파일은 자동화된 게이트웨이를 통과하고 프로덕션에서만 활성화되어 위험하고 잘못된 안전감을 조성할 수 있습니다.”

Picus Labs의 공동 설립자이자 부사장인 Süleyman Özarslan 박사는 준비된 자료에서 “우리가 관찰하고 있는 것은 디지털 기생충의 증가입니다.”라고 말했습니다.

“공격자들은 호스트를 파괴하는 것보다 호스트에 거주하는 것이 더 수익성이 있다는 것을 깨달았습니다. 그들은 신뢰할 수 있는 ID와 물리적 하드웨어까지 사용하여 운영상 눈에 띄지 않는 상태에서 액세스를 제공하기 위해 환경 내에 자신을 내장하고 있습니다. 보안이 ‘침입’ 탐지에 의존한다면 이미 로그인되어 있기 때문에 이미 손실을 입은 것입니다.”

또한: 개인 파일을 잠그고, 암호화하고, 저장하는 데 사용하는 7가지 앱 – 대부분은 무료입니다.

Özarslan은 ZDNET에 다음과 같이 말했습니다. “많은 경우 공격자는 훔친 자격 증명을 사용하여 일반 사용자처럼 로그인하므로 보안 제어를 통과할 수 있습니다. 다음으로 그들이 하는 일은 이상해 보이지 않기 때문에 경보를 울리지 않고 계정이 이미 접근할 수 있는 이메일, 공유 드라이브, 클라우드 앱, HR 또는 재무 시스템으로 이동하는 것입니다.

“모든 것을 한 번에 확보하는 대신 시간이 지남에 따라 소량의 귀중한 데이터를 가져가 조용히 지내는 경향이 있습니다. 충분한 데이터를 확보한 후에는 특정 파일, 기록 또는 샘플과 같은 액세스한 증거를 가지고 돌아와 해당 데이터를 노출하겠다는 위협을 활용합니다. 시스템 암호화는 여전히 발생할 수 있지만 더 이상 첫 번째 단계가 아닌 경우가 많습니다.”

Red Report의 조사 결과는 다른 사이버 보안 연구원들의 2026년 예측과 일치합니다. ZDNET의 2026년 예상되는 10대 사이버 보안 위협에서 언급된 바와 같이 연구원들은 랜섬웨어 암호화에서 더욱 정교한 형태의 강탈로 진화할 것으로 예상합니다.

NCC 그룹 이사인 나이젤 기븐스(Nigel Gibbons)는 “랜섬웨어는 단순히 시스템을 암호화하는 것이 아니라 백업, 클라우드 서비스, 공급망을 표적으로 삼아 민감한 데이터를 훔치고, 조작하고, 유출하거나 변경하겠다고 위협하는 더 큰 역동성을 갖게 될 것”이라고 말했습니다.

또한: VPN으로 IP 주소를 변경하는 방법(및 변경해야 하는 이유)

이 보고서는 사이버 보안 전문가가 이 기생 슬리퍼웨어 및 기타 고위급 위협을 가장 잘 방어하기 위해 따라야 할 자세한 권장 사항을 제공합니다.

랜섬웨어 암호화 순위는 6위에서 10위로 떨어졌지만 여전히 심각한 위협입니다. ZDNET의 앞서 언급한 상위 10대 보고서에서 언급한 바와 같이 Cybersecurity Ventures의 연구에서는 랜섬웨어 피해로 인한 전 세계 총 비용이 2025년 570억 달러에서 2026년 740억 달러로 30% 증가할 것으로 예측합니다.

Red Report에 따르면 “암호화 기능이 감소하더라도 백업은 파괴적인 와이퍼 공격으로부터 복구하는 데 여전히 중요합니다. 백업이 변경 불가능하고 기본 네트워크에서 격리되어 있는지 확인하세요.” 레드 리포트는 Picus Labs 웹사이트에서 다운로드할 수 있습니다.

관련 기사

댓글 남기기