작성자: 에이미 호건-버니(Amy Hogan-Burney), 고객 보안 및 신뢰 담당 기업 부사장
지난해 마이크로소프트 보안팀이 조사한 사이버 사고의 80%에서 공격자들은 데이터를 탈취하려 했습니다. 이는 정보 수집보다는 금전적 이익이 더 큰 동기가 되고 있음을 보여줍니다. 이고르 치간스키(Igor Tsyganskiy) 마이크로소프트 최고정보보안책임자가 함께 작성한 최신 마이크로소프트 디지털 방어 보고서(Microsoft Digital Defense Report)에 따르면, 동기가 확인된 사이버 공격의 절반 이상이 갈취 또는 랜섬웨어를 목적으로 발생했습니다. 최소 52%의 사건이 금전적 이익을 목적으로 발생했으며, 순수 첩보 활동을 목적으로 한 공격은 단 4%에 불과했습니다. 국가 주도의 위협은 여전히 심각하고 지속적인 위협이지만, 오늘날 조직이 직면하는 대부분의 즉각적인 공격은 이익을 노리는 기회주의적 범죄자로부터 비롯됩니다.
마이크로소프트는 매일 100조 개 이상의 신호를 처리하고, 약 450만 건의 새로운 악성코드 시도를 차단하며, 3,800만 건의 ID 위험 탐지를 분석하고, 50억 건의 이메일을 악성코드 및 피싱으로부터 검사합니다. 자동화의 발전과 손쉽게 구할 수 있는 기성 도구는 기술 전문성이 제한적인 사이버 범죄자들조차 운영을 크게 확장할 수 있도록 만들었습니다. AI의 활용은 이러한 흐름을 더욱 가속화하여, 사이버 범죄자들이 빠르게 악성코드를 개발하고, 더욱 현실적인 합성 콘텐츠를 생성해 피싱 및 랜섬웨어 공격과 같은 활동의 효율성을 높이고 있습니다. 그 결과, 기회주의적인 악의적 행위자들은 이제 규모와 상관없이 모든 사람을 표적으로 삼고 있으며, 사이버 범죄는 우리의 일상으로 스며드는 보편적이고 상시적인 위협이 되었습니다.
이러한 환경에서 조직의 리더들은 사이버 보안을 단순한 IT 문제가 아닌 핵심 전략적 우선순위로 다뤄야 하며, 기술과 운영 전반에 걸쳐 회복탄력성을 구축해야 합니다. 2024년 7월부터 2025년 6월까지의 동향을 다룬 마이크로소프트의 6번째 연례 디지털 방어 보고서에서는 기존의 보안 조치만으로는 더 이상 충분하지 않으며, 위협에 대응하기 위해서는 AI를 활용한 현대적 방어와 업계 및 정부 간의 강력한 협력이 필요함을 강조합니다. 개인의 경우, 강력한 보안 도구를 활용하는 간단한 방법이 있으며, 특히 피싱에 강한 다중 인증(MFA)을 사용하는 것만으로도 큰 차이를 만들 수 있습니다. MFA는 ID 기반 공격의 99% 이상을 차단할 수 있습니다. 주요 인사이트는 아래와 같습니다.
핵심 서비스는 현실에 영향을 미치는 주요 공격 대상입니다.
악의적 행위자들은 여전히 사람들의 삶에 즉각적이고 직접적인 영향을 줄 수 있는 핵심 공공서비스를 집중적으로 공격하고 있습니다. 예를 들어 병원과 지방 정부는 민감한 데이터를 보관하거나, 사이버 보안 예산이 제한적이고 사고 대응 능력이 부족해 오래된 소프트웨어를 사용하는 경우가 많기 때문에 공격 대상이 됩니다. 지난 1년간 이와 관련한 사이버 공격은 응급 의료 서비스 지연, 긴급 서비스 중단, 학교 수업 취소, 교통 시스템 마비 등 현실에서 심각한 결과를 초래했습니다.
랜섬웨어 공격자들은 특히 이러한 핵심 분야를 집중적으로 노립니다. 그 이유는 대상이 선택할 수 있는 대응 옵션이 제한적이기 때문입니다. 예를 들어 병원은 시스템이 암호화되면 환자의 생명이 위험해지므로 신속히 문제를 해결해야 하며, 결국 비용을 지불할 수밖에 없는 상황에 놓일 수 있습니다. 또한 정부, 병원, 연구기관은 범죄자들이 탈취해 암시장에서 판매할 수 있는 민감한 데이터를 보관하고 있으며, 이는 다크웹을 통해 불법 거래로 이어져 추가 범죄 활동을 부추깁니다. 정부와 산업계는 특히 가장 취약한 분야의 사이버 보안을 강화하기 위해 협력할 수 있습니다. 이러한 노력은 지역사회 보호와 의료, 교육, 긴급 대응의 연속성을 보장하는 데 매우 중요합니다.
국가 주도 행위자들은 활동을 확장하고 있습니다.
사이버 범죄자들은 규모 면에서 가장 큰 사이버 위협이지만, 국가 기반 행위자들도 여전히 주요 산업과 지역을 표적으로 삼으며 첩보 활동에 대한 초점을 확장하고, 일부 경우에는 금전적 이익에도 초점을 넓히고 있습니다. 지정학적 목표는 국가 주도 사이버 활동의 급격한 증가를 이끌고 있으며, 특히 통신, 연구, 학계 분야를 겨냥한 공격이 두드러지게 늘어나고 있습니다.
주요 인사이트:
- 중국은 산업 전반에 걸쳐 첩보 활동을 수행하고 민감한 데이터를 탈취하기 위한 광범위한 압박을 지속하고 있습니다. 국가 연계 행위자들은 정보 수집을 위해 비정부기구(NGO)를 점점 더 많이 공격하고 있으며, 은밀한 네트워크와 취약한 인터넷 연결 장치를 이용해 침입하고 탐지를 피하고 있습니다. 또한 새로 공개된 취약점을 악용하는 속도가 빨라졌습니다.
- 이란은 첩보 활동을 확대하는 일환으로 중동에서 북미까지 그 어느 때보다 광범위한 표적을 노리고 있습니다. 최근 이란의 국가 연계 해커 그룹 3곳은 유럽과 페르시아만의 해운 및 물류 회사를 공격해 민감한 상업 데이터를 지속적으로 확보하려 했습니다. 이는 이란이 상업 해운 운영을 방해할 수 있는 능력을 사전에 준비하고 있을 가능성을 높이고 있습니다.
- 러시아는 여전히 우크라이나 전쟁에 집중하고 있지만, 표적을 확장했습니다. 마이크로소프트는 러시아 국가 연계 행위자들이 우크라이나를 지원하는 국가의 소규모 기업들을 표적으로 한 것을 관찰했습니다. 실제로 우크라이나 외 지역에서 러시아 사이버 활동의 영향을 가장 많이 받은 상위 10개 국가는 모두 북대서양조약기구(NATO) 회원국으로, 지난해보다 25% 증가했습니다. 러시아 행위자들은 이러한 소규모 기업을 더 적은 자원으로 접근할 수 있는 경유지로 보고, 이를 통해 더 큰 조직에 접근하려는 것으로 보입니다. 또한 이들은 공격을 위해 사이버 범죄 생태계를 점점 더 많이 활용하고 있습니다.
- 북한은 여전히 수익 창출과 첩보 활동에 집중하고 있습니다. 특히 수천 명의 북한 국가 연계 원격 IT 근로자들이 전 세계 기업에 취업해 급여를 송금 형태로 정부에 전달하는 동향은 주목받고 있습니다. 적발된 일부 근로자들은 체제에 돈을 가져오기 위한 또 다른 방법으로 협박에 나서기도 했습니다.
국가 주도 사이버 위협은 점점 더 광범위하고 예측하기 어려워지고 있습니다. 또한 일부 국가 주도 행위자들이 사이버 범죄 생태계를 더욱 활용함에 따라 공격의 주체를 파악하는 것은 훨씬 더 복잡해질 것입니다. 이는 조직이 업계에 대한 위협을 지속적으로 파악하고, 업계 동료 및 정부와 협력해 국가 기반 행위자가 야기하는 위협에 대응해야 함을 보여줍니다.
2025년에는 공격자와 방어자 모두 AI 활용이 크게 늘었습니다.
지난 1년 동안 공격자와 방어자 모두 생성형 AI의 힘을 활용했습니다. 위협 행위자들은 AI를 사용해 피싱 자동화, 소셜 엔지니어링 확장, 합성 미디어 제작, 취약점 신속 탐지, 적응형 악성코드 제작 등 공격을 강화하고 있습니다. 국가 주도 행위자들 역시 사이버 영향력 작전에 AI를 지속적으로 통합하고 있습니다. 이러한 활동은 지난 6개월 동안 더욱 활발해졌으며, 행위자들은 기술을 활용해 공격을 더 정교하고, 확장 가능하며, 표적화된 형태로 만들고 있습니다.
방어자에게도 AI는 매우 유용한 도구로 입증되고 있습니다. 예를 들어, 마이크로소프트는 AI를 활용해 위협을 탐지하고, 탐지의 빈틈을 메우며, 피싱 시도를 잡아내고, 취약한 사용자를 보호합니다. AI의 위험과 기회가 빠르게 진화함에 따라 조직은 AI 도구의 보안과 팀 교육을 우선시해야 합니다. 업계부터 정부까지 모든 주체가 점점 더 정교해지는 공격자에 대응하고, 방어자가 공격자보다 앞서 나갈 수 있도록 적극적으로 대응해야 합니다.
공격자는 침입하지 않고 로그인합니다.
사이버 위협이 점점 더 정교해지는 가운데, 한 가지 통계가 두드러집니다. ID 공격의 97% 이상이 비밀번호 공격이라는 점입니다. 2025년 상반기에만 ID 기반 공격이 32% 급증했습니다. 이는 조직이 받는 악의적 로그인 시도의 대부분이 대규모 비밀번호 추측 공격을 통해 이루어진다는 뜻입니다. 공격자들은 이러한 대량 공격을 위해 사용자 이름과 비밀번호(자격 증명)를 주로 대량 자격 증명 유출을 통해 얻습니다.
그러나 자격 증명 유출만이 공격자가 자격 증명을 얻는 유일한 경로는 아닙니다. 올해 우리는 사이버 범죄자들이 인포스틸러(Infostealer) 악성코드 사용을 급격히 늘린 것을 확인했습니다. 인포스틸러는 브라우저 세션 토큰과 같은 온라인 계정 정보를 대규모로 은밀하게 수집할 수 있습니다. 사이버 범죄자들은 탈취된 정보를 사이버 범죄 포럼에서 구매할 수 있으며, 이를 통해 누구나 손쉽게 계정에 접근해 랜섬웨어 배포와 같은 목적으로 사용할 수 있습니다.
다행히도 ID 탈취를 막는 해결책은 간단합니다. 피싱에 강한 다중 인증(MFA)을 구현하면 공격자가 올바른 사용자 이름과 비밀번호를 가지고 있더라도 이러한 유형의 공격의 99% 이상을 차단할 수 있습니다. 악성 공급망을 겨냥하기 위해 마이크로소프트의 디지털 범죄 단위(DCU)는 인포스틸러를 악용하는 사이버 범죄자들에 맞서 싸우고 있습니다. 지난 5월, DCU는 미국 법무부와 유로폴과 협력해 가장 널리 사용되는 인포스틸러인 루마 스틸러(Lumma Stealer)를 차단했습니다.
앞으로 사이버 보안은 공동의 방어 우선순위입니다.
위협 행위자들이 점점 더 정교하고, 지속적이며, 기회주의적으로 변함에 따라 조직은 경계를 늦추지 말고 방어 체계를 지속적으로 업데이트하며 정보를 공유해야 합니다. 마이크로소프트는 시큐어 퓨처 이니셔티브(Secure Future Initiative)를 통해 제품과 서비스를 강화하는 데 최선을 다하고 있습니다. 또한 다른 기관과 협력해 위협을 추적하고, 표적 고객에게 경고하며, 필요할 경우 대중과 인사이트를 공유하고 있습니다.
그러나 보안은 단순한 기술적 과제를 넘어 거버넌스의 필수 요소입니다. 방어 조치만으로는 국가 주도 공격자를 억제하기에 충분하지 않습니다. 정부는 국제 규칙을 위반하는 악의적 활동에 대해 신뢰할 수 있고 상응하는 결과를 보여주는 프레임워크를 구축해야 합니다. 정부가 사이버 공격을 외국 행위자에게 귀속시키고, 기소나 제재와 같은 조치를 취하고 있다는 점은 고무적입니다. 이러한 투명성과 책임성의 강화는 집단적 억지력을 구축하는 중요한 단계입니다. AI의 부상으로 가속화되는 디지털 전환 속에서, 사이버 위협은 경제 안정성, 거버넌스, 개인 안전에까지 위험을 초래합니다. 이러한 과제를 해결하기 위해서는 기술 혁신뿐 아니라 사회 전반의 조율된 대응이 필요합니다.