지스케일러(Zscaler)의 계열사이자 위협 탐지 전문 기업인 레드 캐너리(Red Canary, 공동 창립자 키스 맥캐먼)이  클라우드 계정 위협, 생성AI 기반 탐지 회피 기술, 정교한 피싱 공격 기법 등 상반기에 감지된 최신 위협 동향을 분석한 연례 위협 탐지 보고서 중간 업데이트를 발표했다.

보고서에 따르면 사이버 보안 시장은 클라우드 및 신원(ID) 기반 위협의 급증과 함께 새로운 국면을 맞고 있다.

클라우드 및 ID 위협 급증

레드 캐너리는 2025년 상반기 클라우드 계정 관련 탐지 건수가 2024년 대비 약 500% 증가했다고 밝혔다. 이 증가는 비정상 로그인 패턴, VPN 접속, 수상한 사용자 행위 등을 식별하는 AI 기반 탐지 기능 확장에 따른 결과로 분석된다. 클라우드 ID와 인프라 기반 공격이 급증하면서 보안팀은 분산된 환경 전반에 걸친 탐지 체계를 시급히 개선해야 할 필요성이 대두되고 있다.

레드 카나리아는 "클라우드 스토리지 데이터" 및 "클라우드 방화벽 비활성화 또는 수정"이라는 두 가지 기술이 처음으로 상위 10대 탐지 기술에 포함되었다고 밝혔다. 이는 AWS S3 구성 오류, 방화벽 규칙 변경, 포트 오픈 등 명백한 위협뿐 아니라 내부자에 의한 잘못된 설정까지 포함되어 있으며, 클라우드 설정 오류가 침해의 전조로 작용할 수 있음을 보여준다.

레드 캐너리는 수만 건의 피싱 이메일을 분석한 결과, 실제로 악성으로 판별된 비율은 16%에 불과했으나, 피싱은 여전히 핵심 공격 경로로 남아 있다고 밝혔다. 공격자들은 구글 번역 등 합법적 도구를 활용하거나 CAPTCHA 화면을 위조해 사용자 클릭을 유도하는 등 탐지를 회피하는 수법을 발전시키고 있다. 특히 RMM 도구로 알려진 스칼렛 골드핀치(Scarlet Goldfinch)는 가짜 브라우저 업데이트 대신 가짜 CAPTCHA 실행 방식으로 접근 방식을 변경한 것으로 나타났다.

레드 캐너리는 위협 대응을 강화할 수 있는 전략으로 ▲다중 요소 인증(MFA)과 조건부 접근 정책(CAP)을 통해 무단 ID 사용 방지 ▲클라우드 구성 오류 감사를 통해 제로 트러스트 기반 보안 정책을 지속 적용 ▲사용자 대상 피싱 인식 교육을 정기적으로 실시 ▲VPN과 RMM 사용을 제한하고 이상 행위 탐지 기반 모니터링 강화를 제시했다.

레드 캐너리는 2025년 상반기 동안 고객의 엔드포인트, 클라우드 인프라, 네트워크, ID, SaaS 애플리케이션에서 수집된 대규모 원격 측정 데이터를 바탕으로 위협을 분석했다. 이번 보고서는 단순 탐지 통계가 아닌, AI 기반 행위 분석, 클라우드 설정 로그, 피싱 메일 사례 등 구체적이고 복합적인 정황 분석을 통해 실질적 대응 전략을 제시한다.

보안 업계와 기업은 레드 캐너리 보고서를 통해 최신 위협 트렌드를 조기에 파악하고, AI 및 클라우드 시대에 맞는 탐지 체계를 도입하는 계기로 삼아야 한다. 특히 탐지 회피 기술과 내부자 위험 증가에 대응하기 위한 사전적 보안 설계가 절실하다.

[알림] GTT KOREA GTT SHOW는 오는 8월 12일 오후 2시부터 3시까지 “피해 큰 BPF Door 같은 커널 기반 악성코드 막는 EDR과 마이크로세그멘테이션 실전 보안 전략”을 주제로 웨비나를 진행합니다. BPF Door 같은 커널 기반의 악성코드가 사용하는 공격 기법과 침투 단계별 위협의 소개, EDR과 마이크로세그멘테이션이 어떻게 상호보완적으로 작동하여 침입 초기 탐지부터 내부 확산 차단까지 이어지는 보안 체계의 구축 전략과 새로운 형태의 변종 공격에 유연하게 대응하는 제로 트러스트 기반 보안 전략을 실전 사례와 함께 제시합니다.