첫 사이버 위협 보고서 발간, 사이버 공격자들이 기업형 모델로 모든 주요 산업 노리는 정황 확인
HPE는 첫 사이버 위협 연구 보고서인 ‘인 더 와일드(In the Wild)’의 결과를 발표했다. 이번 보고서는 현대 사이버 공격자들이 전 세계 산업 및 주요 공공 부문에서 대규모로 활동하는 방식에 나타난 변화를 공개했다.
2025년 한 해 동안 전 세계적으로 관찰된 실제 위협 활동에 대한 HPE의 분석에 따르면, 최근 사이버 범죄는 점차 산업화되는 추세다. 사이버 공격자들은 자동화 기술과 오래된 방치형 취약점을 이용해 활동의 규모를 확장하고 있으며, 방어 체계가 미처 가동되기도 전에 고부가가치 산업을 대상으로 지속적으로 공격하고 있다. 따라서 기업은 이러한 공격적인 위협을 효과적으로 방어하고 네트워크 내 디지털 신뢰를 유지하는 것을 최우선 비즈니스 과제로 삼아야 한다고 업체 측은 밝혔다.
보고서는 현재 글로벌 사이버 위협 환경을 '규모, 조직, 속도'라는 세 가지 키워드로 정의한다. 2025년 1월 1일부터 12월 31일 사이 전 세계적으로 발생한 1,186건의 실제 사례를 분석한 결과, 사이버 위협 생태계는 전문성과 자동화, 그리고 전략적 표적화를 바탕으로 빠르게 진화하고 있다. 특히 공격자들은 재사용 가능한 인프라와 기존 취약점을 활용해 고부가가치 산업을 정밀하게 노리고 있다는 설명이다.
무니르 하하드(Mounir Hahad) HPE 위협 연구소(HPE Threat Labs) 총괄은 "이번 발간된 보고서는 통제된 실험실 환경에서의 이론적 테스트가 아닌 실제 위협 활동에 기반을 두고 있으며, 오늘날 기업들이 매일 직면하는 현실을 정확히 반영한다"며, "진행 중인 실제 공격 활동에서 공격자가 어떻게 행동하고 적응하며 어느 부분에서 성공을 거두는지 면밀히 포착했다"고 설명했다. 이어 그는 "이러한 현장 관찰과 인사이트를 통해 탐지 및 보호 기능을 강화함으로써, 고객에게 데이터와 인프라, 운영에 영향을 미칠 가능성이 높은 위협을 보다 명확히 보여준다"며, "갈수록 조직화되고 집요해지는 공격에 맞서 더 강력한 보안과 빠른 대응력, 향상된 복원력을 갖출 수 있도록 지원한다"고 강조했다.
현대 위협 활동을 가속화하는 산업적 규모의 공격 인프라
이번 보고서를 통해 HPE 위협 연구소는 공격 규모의 증가와 함께 공격 전술 및 기법이 한층 정교해졌음을 확인했다. 국가의 지원을 받는 스파이 그룹 및 대규모 사이버 범죄 조직을 포함한 위협 주체들은 점차 글로벌 대기업과 유사한 방식으로 작전을 운영하고 있다. 이들은 명확한 계층적 지휘 체계와 전문화된 조직을 기반으로, 광범위한 산업화된 공격 인프라를 신속하게 구축하며, 기업 내에서 널리 사용되는 업무용 애플리케이션 및 문서 구조에 대해 매우 높은 이해도를 보이고 있다고 업체 측은 전했다.
전 세계적으로 가장 집중적으로 타깃이 된 분야는 정부 기관으로, 연방·주·지방 자치단체 전반에서 총 274건의 공격이 확인됐다. 이어 금융 및 기술 부문이 각각 211건과 179건으로, 공격자들이 고부가가치 데이터 탈취와 금전적 이득을 최우선 목표로 삼고 있음을 보여준다. 국방, 제조, 통신, 의료 및 교육 기관 역시 주요 타깃으로 나타났다. 종합하면 공격자들은 국가 핵심 인프라, 민감 데이터, 경제적 안정성과 직결된 부문을 전략적으로 우선 공략하고 있으나, 결국 그 어떤 산업 분야도 사이버 위협의 안전지대가 될 수 없음을 시사한다.
작년 한 해 동안 14만 7,000개 이상의 악성 도메인과 약 5만 8,000개의 멀웨어 파일을 배포했으며, 549개의 취약점을 적극적으로 악용했다. 전문화된 사이버 범죄는 공격 실행 패턴의 예측 가능성은 높였지만, 동시에 작전의 일부 요소를 차단하더라도 전체 공격 활동이 중단되지 않은 경우가 많아 위협을 근본적으로 무력화하기는 더욱 어려워졌다는 설명이다.
공격 속도와 파급력을 극대화하는 자동화 및 AI 툴
공격자들은 작전의 속도와 파급력을 극대화하기 위해 새로운 기술도 발 빠르게 도입하고 있다. 일부 조직은 텔레그램(Telegram)과 같은 플랫폼상에서 자동화된 '어셈블리 라인(assembly line)' 방식의 워크플로우를 구축해 탈취한 데이터를 실시간으로 외부로 유출했다. 또한 생성형 AI를 활용해 정교한 음성 합성과 딥페이크 비디오를 제작해 표적형 비디오 피싱 및 기업 임원 사칭 사기 범죄에 악용하기도 했다. 한 랜섬웨어 갈취 조직의 경우, 침투 전략 최적화를 위해 사전에 가상사설망(VPN) 취약점에 대한 시장 조사까지 수행하는 치밀함을 보였다.
이 같은 전술을 통해 위협 주체들은 전보다 훨씬 빠르고 광범위하게 표적에 액세스할 수 있었으며, 국가 인프라 및 주요 데이터, 경제 안정성과 직결된 부문에 역량을 집중했다. 범죄 운영 프로세스를 간소화하고 고부가가치 표적을 우선 공략함으로써, 돈의 흐름을 쫓는 전략을 기반으로 효율적인 금전적 이득을 추구했다.
사이버 복원력 강화를 위한 실질적 대응 방안
본 보고서는 효과적인 사이버 방어 체계가 단순히 최신 보안 솔루션을 추가하는 것보다 네트워크 전반에 걸친 유기적인 조정, 가시성 확보 및 신속한 대응력 향상에 달려 있음을 강조한다. 기업 및 조직은 전반적인 보안 태세를 강화하기 위해 다음의 실질적인 조치들을 취할 수 있다.
· 사일로 현상 해소: 위협 인텔리전스를 기업 내 각 부서, 고객 및 산업 전반에 공유해 사일로 현상을 해소하고, SASE(Secure Access Service Edge) 방식을 도입해 네트워킹과 보안을 통합함으로써 공격 패턴을 조기에 탐지해야 한다.
· 주요 진입점 패치 및 취약점 차단: VPN, 쉐어포인트(SharePoint), 엣지 디바이스 등 주요 침입 경로에 패치를 적용해 노출 위험을 줄이고, 네트워크로 침투하는 데 자주 악용되는 경로를 차단한다.
· 제로 트러스트(Zero Trust) 원칙 적용: 제로 트러스트 원칙을 도입해 인증 프로세스를 강화하고 내부 확산을 제한하며, 제로 트러스트 네트워크 액세스(ZTNA)를 통해 액세스 권한을 부여하기 전 사용자와 디바이스를 지속적으로 철저히 검증해야 한다.
· 가시성 확보 및 AI 기반 대응력 강화: 위협 인텔리전스, 디셉션 기술, AI 네이티브 탐지 기능을 통해 가시성과 대응력을 높임으로써, 조직이 더욱 빠르고 정확하게 공격을 탐지·분석·대응할 수 있도록 지원한다.
· 기업 경계를 넘어선 보안 영역 확장: 기업 경계를 넘어 가정용 네트워크, 서드파티 툴, 공급망 환경까지 보안 범위를 확장한다.
이를 통해 조직은 더욱 신속히 대응하고 점점 더 조직적이고 집요해지는 공격에 대해 보다 효과적으로 대응할 수 있다고 업체 측은 밝혔다.
<저작권자(c)스마트앤컴퍼니. 무단전재-재배포금지>
