2024년, 사이버공격 실전에서 악용된 취약점 768개...전년 대비 20% 증가

네트워크 장비 최다 공격 대상…전체의 28.2% 차지

취약점 공개 후 한 달 이내 공격 발생…신속한 패치 필요

2024년 한 해 동안 사이버 공격자들이 악용한 공개 취약점 및 노출(CVE, Common Vulnerabilities and Exposures)이 768건에 달한 것으로 나타났다. 이는 2023년 639건에서 20% 증가한 수치로, 해커들이 취약점 익스플로잇을 지속적으로 확대하고 있음을 보여준다.

보안 분석업체 벌른체크(VulnCheck)는 올해 보고된 실전 악용 취약점(KEV, Known Exploited Vulnerabilities) 중 23.6%가 취약점 정보가 공개된 날 또는 그 이전부터 이미 공격자들에게 무기화됐다고 밝혔다. 이는 2023년의 27%에서 소폭 감소한 수치지만, 특정 취약점이 언제든지 공격에 활용될 수 있다는 점을 시사한다.

2024년 주요 익스플로잇 동향…4~5월 집중 발생

2024년 실전에서 악용된 취약점의 보고 시점을 분석한 결과, 4월과 5월에 가장 많은 공격이 발생했다. 특히, RSA 콘퍼런스와 같은 대형 보안 행사가 열리는 시기와 맞물려 보안 연구자들이 발표한 새로운 취약점이 곧바로 악용되는 경향이 뚜렷했다. 또한, 1월부터 섀도우서버(ShadowServer)와 같은 새로운 취약점 탐지 기관이 활동을 시작하면서 전반적인 취약점 보고 건수도 증가한 것으로 분석됐다.

정부 기관부터 민간 보안 기업까지…100곳 이상이 취약점 보고

벌른체크에 따르면 올해 취약점을 보고한 기관은 100곳 이상으로 다양했다. 보안 기업 체크포인트(CheckPoint)와 포티넷(Fortinet), 미국 국방부(Department of Defense, DOD), 미국 사이버보안 및 인프라 보안국(CISA, Cybersecurity and Infrastructure Security Agency), 비영리 단체 섀도우서버(ShadowServer) 등 정부 기관과 민간 기업이 협력해 취약점 정보를 공유하고 있는 것으로 나타났다.

이처럼 다양한 기관에서 취약점을 탐지·보고하면서 공격자들의 활동이 점점 더 빨리 포착되고 있지만, 여전히 많은 기업과 기관이 적절한 패치 적용 및 보안 조치를 시행하지 않아 공격의 위험에 노출되고 있다.

네트워크 장비 최다 공격 대상…전체의 28.2% 차지

올해 가장 많은 익스플로잇이 발생한 취약점 유형을 분석한 결과, 네트워크 엣지(Network Edge) 장비가 전체의 28.2%를 차지하며 가장 큰 비중을 기록했다. 네트워크 엣지 장비에는 라우터, 모뎀, 방화벽 등이 포함되며, 이 장비들은 인터넷에 직접 연결되어 있어 공격자의 주요 타깃이 되고 있다.

다음으로는 오픈소스 소프트웨어(16.7%), 서버 소프트웨어(12.8%) 순으로 높은 비중을 차지했다. 이는 기업과 기관들이 보안 패치를 제때 적용하지 않거나, 최신 버전으로 업데이트하지 않아 공격에 취약하다는 점을 반증하는 결과다.

취약점 공개 후 한 달 이내 공격 발생…신속한 패치 필요

2024년 9월 기준, 보고된 익스플로잇 취약점의 29.5%는 CVE가 공개된 후 한 달 이내에 악용된 것으로 확인됐다. 또한, 53.9%는 1년 이내에 공격자들에 의해 악용됐다. 이 같은 통계는 기업과 기관들이 보안 패치를 신속하게 적용하지 않으면, 취약점을 노린 공격이 지속적으로 발생할 수밖에 없다는 사실을 다시 한번 입증하고 있다.

특히 제로데이(Zero-Day) 취약점에 대한 위협도 여전했다. 2024년 상반기 동안 총 53건의 제로데이 취약점이 발견됐으며, 이 중 상당수가 취약점 정보가 공개되기 전부터 이미 공격자들에게 악용된 것으로 확인됐다. 이는 전체 KEV 목록 중 13.6%에 해당하는 수치로, 제로데이 취약점이 기업 보안에 심각한 위협이 되고 있음을 시사한다.

벌른체크는 이번 보고서에서 기업과 기관들이 공격을 예방하기 위해 ▲취약점이 포함된 기술의 사용 여부 점검 ▲위험 요소에 대한 가시성 확보 ▲최신 위협 인텔리전스 활용 ▲강력한 패치 관리 체계 구축 ▲인터넷에 직접 노출되는 장비의 최소화 등의 조치를 취해야 한다고 권고했다.

[ISDP 2025] 2월 11일, 제13회 전반기 최대 정보보호&데이터 보안 컨퍼런스&전시회 개최(7시간 보안교육 이수 / 구 G-PRIVACY 컨퍼런스)

-주최: 데일리시큐

-후원기관: 개인정보보호위원회, 한국인터넷진흥원, 한국정보보호산업협회

-일시: 2025년 2월 11일 화요일 오전 9시~오후 5시

-장소: 서울 삼성동 코엑스 3층 컨퍼런스룸E(1~6 전관) 및 로비

-참석인원: 개인정보보호 및 정보보안 실무자 1,000여 명

-참가비: 무료(현업 보안실무자에 한해 참석가능/이외 참석불가)

-점심 및 주차: 지원하지 않습니다.

-보안교육이수: 보안교육 7시간(CPPG, CISSP 등 자격증도 7시간 인정)

(※참석 후 설문을 제출해 주신 분에 한해 이수증을 보내드립니다.)

-등록마감: 2025년 2월 9일 오후 6시까지

-전시회: 국내외 최신 정보보호 및 개인정보보호, 데이터 보호 솔루션 전시