랜섬웨어 공격은 탐지와 초기 대응이 지연될수록 피해 범위가 급격히 확대되는 특성을 갖고 있다. 특히 SOC 인력이 줄어드는 시간대는 공격자에게 가장 효율적인 침투 기회를 제공한다. 주말과 공휴일은 많은 기업에서 운영팀이 최소 인력 체제로 전환되며, 경보 대응 속도와 분석 능력이 떨어진다. 또한 기업의 인수합병, 기업공개(IPO), 구조조정 등 주요 비즈니스 이벤트 기간은 내부 거버넌스가 흔들리기 쉬운 시기로 알려져 있다.
공격자는 이 두 가지 조건을 결합해 ‘시간·상황 기반 전술’을 강화하며 공격 성공률을 높이고 있다. 이러한 변화는 신원 기반 보안 체계의 중요성을 확대시키며 ITDR(신원 위협 탐지 및 대응) 기술 도입을 가속화하고 있다.
전 세계 52%가 휴일·주말에 공격 경험...78%는 SOC 인력 절반 축소
AI 기반 ID 보안·사이버 복원력 기업 셈페리스(Semperis)는 2025년 휴일 랜섬웨어 위험 보고서를 발표하며, 전 세계 기업의 52%가 실제로 휴일 또는 주말에 랜섬웨어 공격을 받았다고 밝혔다. 조사 대상은 미국, 영국, 프랑스, 독일, 이탈리아, 스페인, 싱가포르, 캐나다, 호주, 뉴질랜드 등 10개국 기업이다.
특히 응답 기업의 78%는 휴일·주말에 보안 운영 센터(SOC) 인력을 50% 이상 감축한다고 답했다. 이 중 6%는 아예 SOC 운영을 중단한다고 응답해 위험 관리의 큰 공백이 드러났다. 보고서는 이러한 인력 축소가 탐지 지연과 초기 대응 실패를 유발해 공격자에게 최적의 상황을 제공한다고 분석했다.
휴일·주말 SOC 축소 이유: ‘공격받지 않을 것’이라는 잘못된 인식 존재
SOC 인력 축소 이유에 대해 62%는 직원의 ‘일·생활 균형 제공’을 꼽았다. 47%는 “휴일·주말은 회사가 운영되지 않는다”라고 답했으며, 29%는 “그 시기에는 공격을 받지 않을 것”이라고 응답했다. 그
러나 실제 공격 발생 비율은 오히려 휴일·주말에 집중되고 있어 이러한 판단이 현실과 크게 어긋나 있음을 보여준다. 보고서가 지적한 바와 같이, 공격자는 방어 체계가 느슨해지는 시간대를 매우 정확하게 노린다. 이는 조직의 운영 방식과 위협 현실 사이의 간극이 크다는 점을 다시 한 번 확인하는 결과다.
보고서는 랜섬웨어 공격의 60%가 기업공개, 인수합병(M&A), 해고 등 중요한 비즈니스 이벤트 직후에 발생했다고 분석했다. 이 시기에는 조직 내부 책임 체계가 흔들리고 보안 초점이 분산되는 경우가 많아 공격 표적이 되기 쉽다.
공격을 받은 기업 중 54%는 인수 또는 합병 이후 공격을 받았다고 답했다. 셈페리스 전략 고문인 크리스 잉글리스는 “기업 관련 사건은 책임 소재에 혼란을 주며 이는 랜섬웨어 조직이 선호하는 환경”이라고 강조했다. 공격자가 장기적 침투 기회를 기다렸다가 혼란기에 공격을 확대하는 정교한 패턴이 확인된 셈이다.
ITDR 도입 확산...그러나 복구 절차 포함한 계획은 45%뿐
신원 기반 공격 대응 전략인 ITDR은 빠르게 확산되고 있다. 응답 기업의 90%는 ITDR 계획에서 신원 시스템 취약점을 탐지하고 있다고 답했다. 그러나 복구 절차가 포함된 ITDR 계획은 45%에 그쳤다.
더 나아가 신원 시스템 복구를 자동화한 계획은 63%에 불과한 것으로 나타났다. 탐지 중심에 편중된 대응은 랜섬웨어 피해 상황에서 비즈니스 복구 시간을 크게 지연시킬 수 있다는 점에서 문제로 지적된다. 신원 시스템은 사용자 인증, 접근 제어, 애플리케이션 연결 등 주요 기능을 담당하기 때문에 복구 지연은 전체 서비스 운영을 마비시킬 수 있다.
보안 운영 전략의 근본적 전환 필요
휴일·주말, 기업 이벤트 등 특정 시점 기반 공격이 증가하는 추세는 보안 운영 전략의 근본적 전환을 요구한다.
첫째, 기업은 SOC 인력을 영업일 기준이 아닌 ‘위협 시간대 기준’으로 재편성해야 한다.
둘째, 인수합병·IPO 등 주요 기업 이벤트 기간에는 보안 책임 구조를 명확히 유지할 제도적 조치가 필요하다.
셋째, 탐지 중심 ITDR에서 벗어나 자동화된 신원 복구 기능을 강화해야 한다. 이 기능은 랜섬웨어 이후 계정·도메인 서비스·디렉터리를 빠르게 정상화하는 데 필수적이다.
넷째, 다양한 국가에서 동일한 공격 패턴이 나타났다는 점은 시간대 기반 전략이 이미 글로벌 스탠더드가 되었음을 의미한다. 제조, 금융, 공공기관과 같이 24시간 운영이 중요한 산업에서 보안 공백은 장기적 서비스 중단으로 이어질 수 있어 더 큰 피해가 예상된다.
관련기사
- 에이전틱 커머스 확산...글로벌 결제망 겨냥한 5대 사이버 위협
- AI 기반 피싱·딥페이크, 조직 내부 침투 가속...‘복원력 중심 보안’이 기업 생존 조건
- 대기업 대규모 인증 정보 유출 사건...‘인포스틸러·취약한 비밀번호’가 주요 원인
- AI가 해킹 시간을 25분으로 줄였다...팔로알토 네트웍스, 한국 보안 체계 전면 재설계 필요성 강조
- 아태지역 기업 79%, AI 통합 위협 인텔리전스로 ‘지능형 방어’ 확대
- 랜섬웨어 복구의 핵심, ‘교육·암호화·백업’으로 완성
- AI·클라우드 확산에 금융 보안 위협 급증...“혁신 속도만큼 방어도 진화해야”
- AI 공격 급증하는 연말연시...기업을 살리는 10가지 필수 보안 전략
- AI 에이전트 보안 격차 심화, “기업 73% 위험 인식하나 준비된 곳은 30%뿐”
- AI 랜섬웨어와 중국 지하 생태계 결합...아태지역 보안 위협 급상승
- 공격 표면 관리 시장, AI 기반 자산 가시성·위협 탐지 기술 고도화로 연평균 31.2% 쾌속성장
- 신원 사기·SaaS 확산으로 ‘ID 보안’ 필수...IDaaS 시장 연평균 27.5% 고성장