사이버 인텔리전스 솔루션 기업 KELA가 2024년 사이버 위협에 대한 심층 분석과 2025년에 대한 인텔리전스 기반 위협 트렌드를 예측한 연례 사이버 범죄 현황 보고서를 발표했다.

이 보고서는 공격자들이 서로 동맹을 맺고 AI를 활용하며, 기존 보안 조치에 도전하는 새로운 수익 창출 모델로 전환하는 등 진화하는 사이버 범죄 환경을 분석했다.

2024년 한 해 동안 KELA는 전 세계적으로 430만 대 이상의 감염된 기기를 추적해 3억 3천만 개 이상의 유출된 자격 증명을 알아냈으며, 5230명 이상의 랜섬웨어 피해자를 조사했다.

공격자들은 탈취한 자격 증명을 이용해 랜섬웨어 캠페인과 대규모 데이터 유출을 촉발하고 있었으며, 이중 인포스틸러 악성코드가 주요 초기 액세스 벡터로서 지속적으로 우위를 점하고 있었다.

한편 랜섬허브(RansomHub) 랜섬웨어 그룹은 가장 왕성한 활동을 하는 행위자로서 록빗을 능가했으며, 사이버 범죄자들은 기존의 암호화 외에도 데이터 탈취 전술로 변화하는 경향을 보였다.

한편, 랜섬웨어 및 인포스틸러 외에도 이 보고서는 국가 후원 행위자, 핵티비스트 및 전통적인 사이버 범죄 그룹 간의 융합이 증가하고 있음을 강조한다. 200개 이상의 새로운 핵티비스트 그룹이 등장하여 종종 지정학적 사건에 대응하여 3500회 이상의 분산 서비스 거부(DDoS) 공격을 수행했다.

한편, 사이버 범죄와 신냉전과 같은 지정학적 요인은 추적 경로를 흐리게 하여 조직이 위협을 추적하고 완화하는 것을 더욱 어렵게 만들었다. 또한 사이버 범죄자들이 대규모 언어 모델(LLM)을 탈옥하고, AI 기반 플랫폼에 대한 자격 증명을 훔치며, 사기 및 영향력 캠페인에 딥페이크를 활용한 사례도 발견됐다.

KELA의 CEO인 데이비드 카미엘(David Carmiel)은 “사이버 범죄는 공격자들이 지속적으로 전술을 적응하고 진화시키면서 전례 없는 수준의 정교함에 도달했다.”라며 “인포스틸러와 랜섬웨어의 급증, 그리고 AI 기반 위협의 증가와 함께, 조직은 보안 태세를 재고하고 보다 능동적인 인텔리전스 주도 접근 방식을 채택해야 할 긴급한 필요성을 강조한다.”라고 말했다.