2025년 들어 AI를 활용한 사이버 공격이 고도화되며, 사용자의 개입 없이 자동으로 실행되는 악성코드나 정교한 사회공학적 기법이 급증하고 있다. 이러한 웹 기반 위협은 감염 경로의 은밀함과 분석 회피 기법으로 인해 기존 보안 체계만으로는 탐지가 어려워지고 있으며, 이에 따라 머신러닝 기반의 행동 분석과 실시간 위협 대응이 가능한 복합적인 보안 접근 방식이 요구되고 있다.

글로벌 사이버 보안 기업 카스퍼스키(지사장 이효은)가 2025년 1분기 보안 보고서를 통해 올해 1월부터 3월까지 국내에서 탐지된 웹 기반 사이버 공격 건수가 3백만 건을 넘어셨다고 발표했다. 이번 통계는 카스퍼스키의 클라우드 기반 위협 인텔리전스 플랫폼인 ‘카스퍼스키 시큐리티 네트워크(Kaspersky Security Network, 이하 KSN)’를 통해 수집된 데이터에 기반한다.

웹 기반 공격 3백만 건 상회...파일리스 악성코드·소셜 엔지니어링 위협 확대

카스퍼스키는 국내 웹 사용자 중 13.7%가 웹 브라우저를 통한 악성 프로그램 공격에 노출되었으며, 이는 브라우저 및 플러그인의 취약점을 악용하거나 사용자를 속여 악성 콘텐츠를 실행시키는 소셜 엔지니어링 방식이 주요 수단이라고 분석했다. 특히, 사용자의 개입 없이 감염되는 파일리스 악성코드가 확산되고 있으며, 이는 윈도우 레지스트리와 WMI 구독 기능을 활용해 탐지 회피 및 지속성을 유지한다. 이 악성코드는 디스크에 흔적을 남기지 않아 정적 분석을 우회하는 특성을 갖고 있다.

카스퍼스키는 이러한 위협에 대응하기 위해 머신러닝 기반의 행동 분석과 휴리스틱 기술을 활용한 ‘행동 기반 탐지’, 그리고 소프트웨어 취약점을 악용한 익스플로잇을 차단하는 ‘익스플로잇 예방’ 기능을 제공하고 있다. 또한, 보안 솔루션은 난독화된 악성코드를 실시간으로 감지해야 하며, 이로 인해 진화된 탐지 기술이 필수적이라고 설명했다.

로컬 감염 180만 건 이상...USB·오프라인 매체 통한 전파 지속

보고서에 따르면 2025년 1분기 대한민국 내 로컬 감염 위협은 총 180만건 이상으로 사용자 중 21.5%가 로컬 기반 악성코드에 노출된 것으로 집계됐다. 이 감염은 주로 USB 드라이브, CD/DVD 등 오프라인 매체를 통해 전파되는 웜 및 파일 바이러스에 의해 발생하며, 오프라인 환경에서도 고도화된 위협이 여전히 유효함을 보여준다. 이에 따라 안티바이러스 치료 기능, 방화벽, 루트킷 방지, 이동식 장치 제어 등 다계층 보안 기능의 적용이 중요하다고 강조했다.

카스퍼스키의 웹 안티바이러스 시스템이 탐지한 위협 위치 분석에 따르면, 2025년 1분기 동안 대한민국 내에서 호스팅된 서버를 통해 발생한 인시던트는 159만5680건으로 집계됐다. 이 수치는 전 세계 기준으로 19위에 해당하며, 국내 서버가 공격의 발신지로 악용되는 사례가 지속적으로 확인되고 있음을 나타낸다.

카스퍼스키 이효은 한국지사장은 “AI를 활용한 새로운 유형의 사이버 위협이 지속적으로 진화하고 있다”며, “사이버 면역력을 높이기 위해 위협 인텔리전스를 적극적으로 활용하고, 사용자 인식 수준을 높이는 것이 무엇보다 중요하다”고 강조했다. 카스퍼스키는 향후에도 KSN 기반의 글로벌 위협 정보와 머신러닝 기반 탐지 기술을 바탕으로, 실시간 대응 역량을 지속적으로 강화해 나갈 계획이다.