생성AI의 확산이 사이버 위협의 판도를 바꾸고 있다. 위장 취업을 통한 내부 침투, AI 에이전트와 클라우드 환경을 노린 공격이 급증하며, 기업의 인사 보안과 비인간 계정 관리까지 새로운 방어 과제로 떠올랐다.

글로벌 클라우드 기반 사이버 보안 기업 크라우드스트라이크가 260개 이상의 공격 세력을 추적한 ‘2025 위협 헌팅 보고서’를 발표했다고 1일 밝혔다.

보고서에 따르면 공격자들은 ▲생성AI를 무기화해 더 신속하고 광범위하게 공격하고 ▲기업 운영을 재편하는 자율형 AI 에이전트를 주요 표적으로 삼고 있다. 특히 AI 에이전트 개발 도구를 목적으로 접근 권한, 자격 증명을 탈취해 악성코드를 배포하는 사례가 증가하고, 기업의 자율 시스템과 머신 아이덴티티가 핵심적인 공격 표적으로 부상했다.

AI 무기화의 대규모 확산

북한 연계 공격 세력 ‘페이머스 천리마(FAMOUS CHOLLIMA)’는 생성AI를 활용해 내부자 공격 프로그램의 전 과정을 자동화했다. 이들은 작년에만 320개 이상의 기업에 침투했으며, 이는 전년대비 220% 증가한 수치다. AI 기반 가짜 이력서 작성, 딥페이크 인터뷰, 허위 신분을 통한 기술 과제 수행 등 새로운 전술을 통해 내부자 위협을 지속적으로 확장했다.

러시아 연계 공격 세력 ‘엠버 베어(EMBER BEAR)’는 친러시아 성향의 메시지를 확산시켰으며, 이란 연계 공격 세력 ‘차밍 키튼(CHARMING KITTEN)’은 LLM 기반 피싱 미끼로 미국과 유럽 조직을 표적으로 삼았다. 

AI 에이전트, 차세대 공격 표적으로 급부상

크라우드스트라이크는 여러 위협 행위자들이 AI 에이전트 개발 도구의 취약점을 악용해 인증 없이 접근하고, 지속성을 확보하며, 자격 증명을 탈취하고, 악성코드와 랜섬웨어를 배포하는 사례들을 확인했다. AI 에이전트 혁신으로 기업의 보안 환경이 빠르게 변화함에 따라, 자율형 워크플로와 비인간 신원이 차세대 공격 표적으로 떠오르고 있다.

사이버 범죄 조직과 해커들이 AI를 악용해 스크립트를 작성하고, 기술 문제를 해결해 악성코드를 개발하는 사례가 증가했다. AI 기반 악성코드의 실질적인 위협을 보여주는 초기 사례로는 ‘펑크락커(Funklocker)’와 ‘스파크캣(SparkCat)’이 있다.

’스캐터드 스파이더(SCATTERED SPIDER)’는 더 신속하고 공격적인 전술로 활동을 재개했다. 보이스피싱과 서비스 센터 사칭을 통해 자격 증명을 재설정하고 MFA를 우회했으며, SaaS 및 클라우드 환경 전반으로 횡적 이동을 시도했다. 특히 초기 침투부터 랜섬웨어 배포까지 불과 24시간이 걸리지 않은 사례도 확인됐다.

중국 연계 클라우드 공격 급증

클라우드 침해 공격은 전년 대비 136% 증가했고, 이 중 40%는 중국 연계 공격 세력에 의해 발생했다. 특히 ‘제네시스 판다(GENESIS PANDA)’, ‘머키 판다(MURKY PANDA)’는 클라우드 설정 오류와 신뢰된 접근 권한을 악용해 탐지를 회피했다.

애덤 마이어스(Adam Meyers) 크라우드스트라이크 공격 대응 작전 총괄은 “공격자들은 생성형 AI를 악용해 사회공학 공격에 속도를 내고 있으며, 기업이 도입한 AI 시스템을 주요 표적으로 삼는다.”라며 “이들은 SaaS 플랫폼, 클라우드 콘솔, 고급 권한 계정을 노리는 동일한 방식으로 AI 에이전트를 공략한다. 향후 사이버 보안의 핵심은 기업이 자사 AI를 어떻게 보호하느냐에 달렸다.”고 전했다.