AI, 모바일 기술, 디지털 결제가 일상화되면서 사이버 보안 환경도 빠르게 변화하고 있다. 공격자들은 기술 발전 속도를 따라잡으며 공격 수단을 고도화하고 있으며, 사용자 기기·플랫폼·서비스를 가리지 않고 침투하는 새로운 형태의 위협이 증가하고 있다.

특히 소셜 엔지니어링, 서비스형 맬웨어, 모바일 기반 위협 등은 탐지와 방어가 더욱 어려워지고 있는 추세다. 이러한 위협 환경의 변화에 따라 기업과 개인은 보다 복합적이고 능동적인 보안 전략이 요구되는 상황이다.

신종 공격 클릭픽스, 500% 이상 급증

2025년 상반기 위협 동향 중 가장 주목할 만한 변화는 클릭픽스 공격의 급증이다. 글로벌 보안 솔루션 기업 이셋(ESET)이 최신 위협 보고서를 통해 클릭픽스 공격이 2024년 하반기 대비 500% 이상 증가했다고 밝혔다. 이 공격은 가짜 오류 메시지를 통해 피해자가 악성 명령을 복사·붙여넣고 실행하게 만드는 방식이다.

클릭픽스는 윈도우, 리눅스, 맥OS 등 모든 운영체제에 영향을 미치며, 2025년 상반기 기준 전체 차단 공격의 8%를 차지하며 피싱에 이어 두 번째로 흔한 공격 벡터로 자리 잡았다.

이셋 위협 예방 연구소장 지리 크로파치(Jiří Kropáč)는 “클릭픽스로 유포되는 위협에는 인포스틸러, 랜섬웨어, 원격 액세스 트로이목마, 크립토마이너, 국가 연계 맞춤형 맬웨어까지 포함된다.”라고 설명했다.

인포스틸러 위협의 재편...스네이크스틸러 부상

인포스틸러 환경도 재편되고 있다. 한때 대표적인 위협이던 에이전트 테슬라(Agent Tesla)의 활동이 감소한 반면, 스네이크스틸러(Snake Stealer)가 원격 측정상 가장 많이 탐지된 인포스틸러로 부상했다. 스네이크스틸러는 키 입력 로깅, 자격 증명 탈취, 스크린샷 캡처, 클립보드 데이터 수집 기능을 포함한다.

이셋은 또한 루마 스틸러(Lumma Stealer)와 다나봇(Danabot)을 겨냥한 주요 교란 작전에 참여했다. 교란 작전 이전 2025년 상반기 기준으로 루마 스틸러 활동은 전기 대비 21%, 다나봇은 52% 증가했다. 이는 해당 두 위협이 여전히 강력한 영향을 미치고 있음을 보여준다.

랜섬웨어 조직 간 경쟁과 신뢰 붕괴

보고서에 따르면 랜섬웨어 공격 건수와 조직 수는 증가했지만, 실제 몸값 지불액은 감소한 것으로 나타났다. 이는 랜섬웨어 조직 간의 경쟁 격화, 내부 분열, 그리고 피해 기업들의 신뢰 저하 등이 복합적으로 작용한 결과로 분석된다. 특히 서비스형 랜섬웨어(RansomHub)를 포함한 복수의 조직 간의 갈등은 전체 위협 환경을 더욱 불안정하게 만들고 있다.

모바일 위협, 애드웨어 급증과 NFC 기반 사기 확대

안드로이드 기반의 모바일 환경에서도 위협이 심화되고 있다. 애드웨어 탐지율은 전년 대비 160% 급증했으며, 이는 칼레이도스코프(Kaleidoscope)라는 악성 앱이 주요 원인으로 지목되었다. 이 앱은 침입형 광고를 통해 기기 성능을 저하시킨다.

또한, NFC 기술을 악용한 사기는 35배 이상 급증했다. 고스트탭(GhostTap)은 피해자의 카드 정보를 도난하여 공격자의 디지털 지갑에 저장하고 비접촉식 결제를 위해 휴대전화를 도청하는 방식이다. 슈퍼카드X(SuperCard X)는 이러한 기능을 최소한의 맬웨어로 구현해, NFC 앱으로 위장해 카드 데이터를 실시간으로 캡처하고 빠르게 결제에 악용한다.

이셋의 지리 크로파치(Jiří Kropáč)는 “새로운 소셜 엔지니어링 기법부터 정교한 모바일 위협, 주요 정보 탈취 공격까지 2025년 상반기 위협 환경은 결코 지루하지 않았다.”라며 “신종 공격 벡터와 위협 도구가 끊임없이 진화하고 있는 만큼, 기존 보안 체계만으로는 충분하지 않다.”라고 경고했다.

이번 보고서는 공격 유형의 다변화와 위협 고도화가 급속하게 진행되고 있음을 보여준다. 이에 따라 기업과 개인 모두는 정형화된 보안 툴을 넘어, 실시간 탐지, 위협 인텔리전스 기반 대응, 다계층 보안 전략으로의 전환이 필요하다는 점이 강조된다.