글로벌 사이버 보안 기업 크라우드스트라이크의 2025 글로벌 위협 보고서에 따르면, 중국과 북한 등 국가 연계 사이버 공격 세력의 활동이 더욱 조직적이고 공격적으로 진화하고 있는 것으로 나타났다.
특히 중국과 관련된 해킹 그룹의 공격 활동은 전년 대비 150% 증가했으며, 금융, 미디어, 제조업 등 전략적 가치가 높은 산업군에서는 최대 300%까지 급증한 표적 공격이 발생했다. 보고서에서는 지난해 새롭게 식별된 7개의 중국 연계 공격 세력도 언급하며, 이들이 국가 주도의 사이버 첩보 활동을 강화하고 있다고 분석했다.
북한과 관련된 해커 조직 ‘페이머스 천리마(Famous Chollima)’는 지난 한 해 동안 304건의 공격을 자행했으며, 이 중 40%는 내부자 위협에 기반한 것으로 확인됐다. 내부자 위협은 외부의 공격자가 정상적인 직원으로 위장하거나 실제 내부 인원을 매수해 정보를 탈취하고 시스템을 교란하는 방식으로 이뤄진다. 이는 전통적인 보안 체계로는 탐지가 어렵기 때문에, 고도화된 위협 탐지 능력과 실시간 모니터링 체계의 필요성이 더욱 커지고 있다.
AI 기반 보이스피싱 442% 급증, 사회 공학 위협 진화
2024년 하반기, 생성AI를 활용한 보이스피싱(vishing) 공격은 상반기 대비 무려 442% 증가했다. 사이버 범죄 그룹인 컬리 스파이더, 채티 스파이더, 플럼프 스파이더 등은 AI로 생성한 음성과 텍스트를 바탕으로 정교하게 제작된 피싱 메시지를 통해 피해자의 신뢰를 얻고 자격 증명을 탈취했다. 이들은 음성 합성 기술을 이용해 실제 직원이나 가족처럼 위장했으며, 원격 세션을 유도해 시스템에 접근하는 등의 방식으로 피해를 유발하고 있다.
특히 이 같은 AI 기반 공격은 단순한 기계적 반복을 넘어서 타깃의 상황, 말투, 맥락을 반영해 설계되기 때문에 탐지와 대응이 어렵다. 이란 연계 공격 세력의 경우, 생성형 AI를 활용해 취약점을 능동적으로 연구하고, 악용 가능한 기술을 개발하며, 내부 네트워크에 대한 패치 여부까지 분석하는 정밀한 접근을 보였다. 이는 단순한 사이버 공격을 넘어 정부 차원의 조직적 해킹과 정보 수집 활동으로 이어지고 있다.
악성코드 없는 공격 확산, 탐지 속도 경쟁 심화
크라우드스트라이크 보고서는 초기 침입 수단으로 악성코드를 사용하지 않는 공격이 전체의 79%에 달한다고 밝혔다. 이러한 공격은 피해자의 자격 증명을 미리 탈취한 후, 이를 사용해 마치 정당한 사용자처럼 시스템에 접근하는 방식으로 이뤄진다. 이 과정에서 공격자는 수작업으로 네트워크를 탐색하고, 보안 시스템을 회피하며 내부 시스템을 장악해간다. 접근 권한을 사고파는 브로커 광고도 전년 대비 50% 증가하면서, 공격자 간 협업도 활발히 이뤄지고 있다.
사이버 공격의 전개 속도도 점점 더 빨라지고 있다. 평균 침입 시간은 전년의 62분에서 22% 단축된 48분으로 나타났으며, 가장 빠른 공격은 단 51초 만에 성공한 것으로 보고됐다. 이처럼 공격 전개 시간이 급격히 단축됨에 따라 보안팀이 대응할 수 있는 여유 시간은 거의 사라지고 있다. 전통적인 보안 시스템은 이러한 속도를 따라가기 어려우며, AI 기반 실시간 탐지와 사전 차단 기술의 필요성이 강조된다.
클라우드와 신원 중심 공격 확산, 위협 헌팅 중요성 대두
2024년 한 해 동안 클라우드 기반 침입의 형태도 더욱 다양화됐다. 분류되지 않은 신규 클라우드 침입은 전년 대비 26% 증가했으며, 그중 상당수는 클라우드 계정의 도용 및 악용을 통한 침입이었다. 전체 클라우드 보안 사건의 35%가 계정 악용을 수단으로 삼았고, 이는 기존 인증 체계를 넘어서서 더욱 정교한 신원 보안 체계가 요구되고 있다는 점을 시사한다. 특히 공격자는 엔드포인트·클라우드·신원 시스템 간 경계를 넘나들며 교차 도메인 공격을 감행하고 있다.
또한 전체 공격 중 52%는 패치 전 취약점을 노려 초기 접근을 시도한 것으로 나타났다. 이는 보안팀이 취약점을 인지하고 대응하기 전에 이미 공격이 시작될 수 있다는 점을 보여준다.
크라우드스트라이크 애덤 마이어스(Adam Meyers) 공격 대응 작전 총괄은 “공격 세력은 신원 정보를 탈취하고, 사회 공학적 기법을 활용하며, 여러 도메인을 넘나들며 공격하고 있다. 이는 기존 보안 체계만으로 방어하기 어렵다.”라며, “이러한 공격에 효과적으로 대응하기 위해, 신원, 클라우드, 엔드포인트 데이터를 실시간으로 연계 분석하는 통합 위협 인텔리전스 플랫폼과 위협 헌팅 기능이 필수”라고 강조했다.
크라우드스트라이크 팔콘 플랫폼은 AI 기반 행동 분석 및 머신러닝 기법을 활용해 공격의 전 과정을 실시간으로 추적하고 차단할 수 있도록 설계되어 있다.
관련기사
- 제조업체 투자 1순위 “사이버 보안 태세 강화”
- 심각한 내부자 위협 막는 '크라우드스트라이크 인사이더 리스크 서비스'...내부 보안 취약점 사전 식별 및 차단
- “AI API, 연평균 32.2% 쾌속 성장”...‘AI 자동화·생성AI·사전 훈련 모델’ 수요 증가가 견인
- “엔터프라이즈 리눅스 취약점, 전문가 인식과 실제 환경 달라”
- AI와 클라우드 보안 대 통합...강력해지는 기업 보안
- 전 세계 기업들 대대적인 IT 공급망 재고...원인은 크라우드스트라이크 사태 방지
- [2025년 전망] IT 공급망 주요 5대 위험 ‘대형 AI 서비스, AI 도구, 위성망, 물리시설, OS’
- ‘ID 위험 관리 솔루션’ 복잡하고 심각해지는 기업 디지털 ID 위협 차단
- [2025년 전망] ‘PQC·신뢰·AI피싱’ 사이버 보안 명암 가려
- 크라우드스트라이크 장애 사태는 ‘전화위복’
- AI로 보안·ESG 강화된 ‘제 3자 위험 관리 플랫폼’
- 멀티클라우드·AI 기반 환경 지원 ‘CNAPP’ 가파른 성장세
- 시도때도 없는 SW 공급망 공격, AI로 진화하며 피해는 막대
- 피싱에 사칭되는 10대 브랜드와 예방법
- 보안 위협 사전 탐지 및 차단하는 ‘자격 증명 기반 ID 인텔리전스 솔루션’
- 사이버 침입, 몇 시간 안에 잡는 ‘사이버 조사 서비스’...SMB·MSSP 위험 감소
- AI로 진화하는 사이버 보안, 위협과 대응 전략 총망라...‘SECaaS Summit 2025’ 5월 29일 개최
- ‘北 IT 인력 지원’ 중국 기업 네트워크 적발
- 크라우드스트라이크, AI 기반 신원 보호 강화한 ‘팔콘 특권 액세스’ 공개
- 중국 연계 해커, 조용히 침투해 오래 통제해 사이버위협 고조
- 북한 연계 악성코드 오터쿠키, 가짜 구인 제안 악용해 신원 정보 훔쳐
- ‘AI 기반 비싱 대응 시뮬레이션’...조직 내 보이스 피싱 대응 역량 강화
- AI 기반 도메인 공격 증가, 기업 보안 대응력 ‘심각한 격차’
- 섬나라 도메인 악용 사이버 위협 급증...DNS 보안 업데이트 필요
- 신원 기반 사이버 위협, 인증 이후 행동으로 내부 위협·계정 탈취 탐지·차단
- 내부자 위협 막는 가장 빠른 방법 ‘AI 조사 자동화 플랫폼’
- 오프라인·에지 환경 맞춤형 보안 AI 헌트 키트...기업 사이버 방어 필수
- 크라우드스트라이크, “북한, 320개 기업에 위장 취업”
- FSB 연계 해킹그룹, 정밀 스파이웨어와 대규모 침투 결합해 글로벌 보안 위협