보안정보
전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.
사이버 보안도 지피지기 백전불태!
2025.02.04
166

01. ‘24년 사이버 위협 타임라인
어느덧 한 해가 지나 2025년이 찾아왔다. 그리고 우리는 그동안의 시간을 돌아보며 다가올 미래를 준비해야 할 시점에 서 있다. 한국인터넷진흥원(이하 KISA)을 비롯한 국내 보안 전문가들은 지난 ‘23년 △소프트웨어(SW) 공급망 위협 △생성형 AI(Generative AI) 악용 △융복합 환경에서의 보안 위협 △정치·사회적 이슈를 노린 공격 등을 ‘24년의 주요 사이버 위협으로 전망했다. 이 중 많은 예측이 현실로 나타났으며, 이를 통해 드러난 위협 상황과 파급력은 여러 과제를 남겼다.

① 소프트웨어(SW) 공급망 위협
지난해 가장 주목받은 사이버 위협 중 하나는 ‘소프트웨어(SW) 공급망 공격’이다. 해당 유형의 공격은 서드파티(3rd Party)와 협력업체를 통해 주로 이루어지며, 피해 기업은 공격 사실조차 인지하지 못한 채 심각한 피해를 입게 된다. 예를 들어 △2월, 악성 PyPI 패키지 유포 △4월, 국내 게임사 대상 공격 △8월, 백신 소프트웨어 취약점을 악용한 악성코드 배포 등 다양한 침해사고가 발생했다.
특히, 오픈소스(Open Source) 환경을 겨냥한 ‘지능형 지속 위협(Advanced Persistent Threat, 이하 APT) 공격이 감행되며 개발자와 소프트웨어 사용자 모두를 위협했다. 공격자는 소프트웨어 업데이트를 가장해 악성코드를 유포하거나 SaaS 환경에 침투해 광범위한 피해를 유발했다. 단순한 기술적 문제를 넘어 기업의 신뢰와 브랜드 가치를 훼손하는 결과를 초래했다.
[대응 방안] 과기부, ‘SW 공급망 보안 가이드라인 1.0’ 발간 등
② 생성형 AI, 사이버 위협의 새로운 도구로
생성형 AI 기술은 지난해 사이버 위협의 새로운 도구로 자리 잡았다. 지난해 10월 오픈AI(Open AI)와 마이크로소프트(MS)에 따르면, 국가 배후 해커그룹이 Chat GPT를 활용해 정보 수집, 코드 디버깅, 피싱 메시지 작성 등을 실행한 사례가 보고됐다. 다크웹에서는 AI 기반 범죄 도구가 확산하고 있으며, 심지어 일반인들까지 딥페이크 영상 제작 등의 불법 행위에 가담하는 모습이 드러났다. 韓 경찰청 자료에 따르면 딥페이크 가해자 중 80%는 10대 청소년으로, 생성형 AI의 악용이 심각한 사회적 문제로 부상하고 있다.
[대응 방안] 허위, 가짜 뉴스 및 정보 식별 위한 솔루션 및 프라이빗 LLM 도입 등
③ ‘OT·ICS·IoT’ 융복합 환경의 취약성
스마트팜과 같은 융복합 시스템에서도 보안 위협이 증가했다. 지난해 11월, 친(親) 러시아 해커조직이 국내 원격제어 시스템을 해킹하고 텔레그램(Telegram)에 관련 영상을 공개했다. 비록 큰 피해는 없었지만, 제어 기능이 포함된 시스템에 대한 해킹은 큰 재앙을 초래할 수 있다는 점에서 우려를 낳았다.
또한, IP 카메라 해킹 문제가 지속적으로 발생하며 개인의 사생활 보호에 대한 국민적 불안을 키웠다. 10월에는 친러시아 해커 ‘서버 킬러스(SERVER KILLERS)’로 인해 국내 CCTV 100대 이상이 해킹 당해 실시간 영상이 유출됐다. 지난 8월에는 음란물 사이트에 ‘17년부터 현재까지 촬영된 다량의 IP 카메라 영상이 올라오며 논란이 됐다.
[대응 방안] 선박, 자동차, 빌딩 등 새로운 OT 환경에 대한 OT 보안 중요성 피력 및 솔루션 적용 확대
④ 정치·사회적 이슈를 노린 사이버 위협
’24년에는 전 세계적으로 주요 선거는 물론 국가, 지역 간의 전쟁 등이 이어졌다. 국내 총선과 미국 대선을 비롯해 러시아-우크라이나/이스라엘-헤즈볼라 전쟁 등 정치적 긴장 상태는 사이버 공격이 크게 확산되는 계기가 됐다. 북한 배후 해커조직은 국내 여론조사 업체와 정부기관을 대상으로 해킹 시도를 이어갔고, 이란 해커그룹은 미국 대선을 겨냥한 공격을 감행했다. 정치적 성향을 드러내는 핵티비스트(Hacktivist)는 공공기관을 대상으로 DDoS 공격을 감행해 시스템 혼란을 조장하기도 했다.
[대응 방안] 국가적 차원의 핵심 인프라 식별하여 통합 관리 및 각종 안보위협 대응
사이버 보안에 대한 중요성이 널리 강조되고 있음에도 불구하고 사이버 공격의 유형은 물론 공격자들이 활용하는 수단(Tool 등)이 고도화됨에 따라 사이버 침해 사고는 지속적으로 증가하는 추세이다. 이와 관련해 KISA는 민간분야 침해사고를 DDoS 공격, 악성코드 감염, 서버 해킹 및 기타유형(정보유출, 스팸 문자 및 메일 발송 등) 유형을 구분해 신고를 받는 중이다. 하단의 [표1-1]에서도 확인할 수 있듯이, 최근 국내 침해사고 신고 건수는 지속적으로 증가 중이다. 국내에서는 특히나 DDoS, 서버 해킹이 기하급수적으로 증가하고 있는 것을 확인할 수 있는데, 이러한 사이버 위협에 대비하기 위해서는 어떠한 사전대비를 해야할까?

02. 미리 대비하자! ‘25년도 보안 위협 전망은?
“지피지기 백전불태(知彼知己 百戰不殆)”라는 사자성어가 존재한다.
지피지기 백전불태의 원전은 손무의 손자병법 모공편의 결구인 ‘知彼知己, 百戰不殆, 不知彼而知己, 一勝一負, 不知彼不知己, 每戰必殆(지피지기 백전불태 부지피이지기 일승일부 부지피부지기 매전필태)’ 중 ‘지피지기 백전불태’라는 구절에서 유래한다. 이를 해석하면 ‘적을 알고 나를 알면 백번 싸워도 위태로움이 없으며, 적을 알지 못하고 나를 알면 한 번 이기고 한 번 지며, 적을 모르고 나를 모르면 싸움마다 반드시 위태롭다’는 뜻이다.
원전을 보면 알겠지만 손자병법에 나온 것은 백전백승이 아니라 불태다. 너를 알고 나를 안다고 무조건 이기는 건 아니고 적어도 위태롭지는 않을 것이지만 너를 모르고 나도 모르면 백패가 맞다. 다양한 산업 분야 중 사이버 보안 분야는 지피지기 백전불태라는 사자성어가 가장 잘 어울리는 산업 분야 중 하나이다. 단지 적(사이버 공격자)의 공격을 예상한다(적을 알면)해서 이를 모두 막아낼 수 없기 때문이며, 이를 위해서는 개별 조직이 보유한 자산 등에 대한 가시성(나를 알면)이 매우 중요하기 때문이다.
먼저 적에 대해 알기 위해 ’25년도 국내외 사이버 위협 전망에 대해 알아보고자 한다.
1) ’25년도 국내외 사이버 위협 전망
자사를 포함한 국내 주요 사이버 보안 기업들과 공공기관(과기정통부, 금융보안원) 그리고 해외 주요 사이버 보안 벤더들이 전망한 ’25년도 사이버 위협 전망을 분석한 결과, △생성형 AI 등으로 인한 보안 위협 증가 △딥페이크, 큐싱, 피싱 등 공격 증가 △공격 표면 확대 △국가 주도 공급망 공격 △랜섬웨어 공격 벡터 다양화와 같은 이슈가 발생할 것으로 예측됐다.


※ 해외 전망의 경우 자사 솔루션 및 서비스를 강조하기 위한 내용이 국내에 비해 다수 포함되어 있음에 따라, 해당 유형의 전망은 제외하여 집계
[표 2] ’25년도 국내외 사이버 위협 전망 및 Top 5 리스트 (출처: 각 사, 재구성: 이글루코퍼레이션)
2) ’25년도 국내외 사이버 위협 Top 5
① 악성 LLM, 생성형 AI 등으로 인한 보안 위협 증가
AI 기술이 빠르게 발전하면서 디지털 전환(Digital Transformation, 이하 DX)을 넘어 AI 전환(AI Transformation, 이하 AX)의 시대를 향해 나아가고 있다. 특히 챗GPT(ChatGPT)를 필두로 한 생성형 AI의 등장 이후, AI는 전 산업에 걸쳐 사용되고 있다. AI는 우리에게 혁신과 편리함을 가져다 주었지만, 이를 악용하는 공격자들이 등장하고 있다. 이들은 목적(Tactics), 목적을 이루기 위한 공격방식(Techniques), 공격방식을 달성하기 위한 상세 기법(Procedures)의 기술적 효율성을 도모하기 위해 AI를 무기화하여 기존 보안 체계를 우회하거나 무력화한다.
공격자들은 기존 생성형 AI 모델을 악용하는 것은 물론, 악성 생성형 AI 모델을 통해 사이버 공격을 시도하고 있다. 지난해 2월, 마이크로소프트와 오픈AI는 중국, 이란, 북한, 러시아와 관련된 위협 행위자와 관련된 오픈AI 계정이 오픈소스 정보 질의, 번역, 코딩 오류 찾기, 기본적인 코딩 작업 실행 등의 행위에 사용된 정황을 확인하여 계정을 삭제했다고 발표했다. 또한 공격자들은 다크웹을 중심으로 웜GPT (WormGPT), 프러드GPT(FraudGPT) 등 악성 생성형 AI 모델을 사이버 범죄에 활용하고 있다. 이러한 모델들은 일정 비용을 지불하면 사용자가 특정 기능을 사용할 수 있는 HaaS(Hacking as a Service) 형태로 제공되며, 가드레일(Guardrail)을 우회하는 방법을 사용하는 경우가 많다.
② 딥페이크(Deep Fake), 큐싱(Qshing), 피싱(Phishing) 등의 공격 증가
딥페이크는 광고, 영화, 음반 등 다양한 분야에서 활용되면서 콘텐츠 제작에 혁신을 가져왔지만, 사회 공학적 공격에 악용되면서 심각한 보안 위협으로 떠올랐다. 사회 공학적 공격은 사람 간의 신뢰 관계를 기반으로 조작된 지시를 따르게 만드는데, 딥페이크 기술의 발전으로 더욱 교묘해지고 있다. 각국 정부와 기업들이 딥페이크를 악용한 공격에 대응하기 위해 다양한 조치를 취하고 있음에도 불구하고, 딥페이크 기반의 공격은 빠르게 증가하고 있어 예방책 마련이 시급한 상황이다.
QR코드가 일상생활 곳곳에서 사용되면서 이를 악용한 큐싱(Qshing) 공격이 본격화될 것으로 보인다. 공격자들은 QR코드의 진위 여부를 육안으로 판별하기 어렵다는 점, QR코드가 이미지로 인식되어 이메일 보안 검사 등을 우회할 수 있다는 점 등을 악용하여 다양한 형태로 공격을 시도하고 있다. 이에 지난 3월, 경찰청은 가짜 QR코드 유포, 공식 QR코드 위에 가짜 QR코드 덧붙이기 등 온·오프라인에서 발생할 수 있는 큐싱 사기룰 주의할 것을 홍보했다. 특히 금융권에서 큐싱은 다양한 금융사기 기법과 연계되어 공격 방식이 더욱 고도화될 것으로 예상된다.
아울러 AI 등 신기술과 디지털 페르소나(Digital Persona)의 결합으로 사기 기법이 진화하고 있다. 해외에서는 디지털 페르소나를 악용한 사칭 사기나 가상의 신원을 생성하는 합성 신원 등에 의한 신원도용 사고가 발생하고 있다. 홍콩의 한 회사에서는 자사 CFO로 위장한 딥페이크 영상에 속은 직원이 2억 홍콩달러(한화 약 340억 원)에 해당하는 금액을 송금한 것으로 드러났다. AI 활용 등으로 디지털 페르소나 악용 수법이 갈수록 정교화될 것이므로 경각심을 제고할 필요가 있다.
③ 클라우드, IoT 등 디지털 융복합 시스템 등으로 인한 공격 표면(Attack Surface) 확대
클라우드와 운영 기술(OT) 환경의 확산 등으로 인해 나날이 공격 표면이 확대되고 있다. 여기서 공격 표면이란 주어진 환경 내에서 권한이 없는 사용자가 악용할 수 있는 모든 취약성과 진입점을 뜻하는데, 이는 공격자가 무단 액세스를 얻기 위해 표적으로 삼는 디지털 및 물리적 구성 요소를 모두 포함한다. 많은 조직에서 여전히 OT 환경이 에어 갭을 통해 보호되고 있다고 믿고 있지만, IT/OT 융합으로 인해 OT는 그 어느 때보다 IT와 더 많이 연결되어 있으며, 클라우드와도 연결되어 있다. 이로 인해 공격 표면이 확대되고 OT 네트워크에 대한 위험이 크게 증가했으나 사이버 제어에 대한 투자는 늘지 않은 상황이다.
OT 환경의 확산뿐만 아니라 클라우드의 확산 역시 공격 표면의 확대에 큰 영향을 미치고 있다. 美 보안 업체 팔로알토 네트웍스(PaloAlto Networks)에 따르면 공격 표면의 대부분을 클라우드가 차지하는 것으로 나타났다. 공격 표면 비율을 분석하면 온프레미스는 19%인데 반해 클라우드가 80%로 대부분을 차지하는 등 앞으로도 공격 표면은 가파르게 증가할 것으로 예상된다. 올해는 조직이 가장 중요한 비즈니스 시스템을 보호하고 증가하는 위험을 수용 가능한 수준으로 관리하기 위해 공격 표면에 대한 투자를 늘릴 것으로 예상된다.
④ 국가 주도 공급망 공격 및 사이버 안보 위협 증가
러시아-우크라이나 전쟁, 이스라엘-하마스 전쟁 등 국가 간 갈등이 올해도 지속되면서 국가 주도의 사이버 공격이 확대될 전망이다. 본래 북한, 이란, 러시아, 중국 등 반(反) 서방 국가들의 핵티비스트(Hacktivist) 그룹들은 정치적인 성격을 강하게 띄고 있어, 자신들의 메시지를 전달하기 위해 사이버 공격을 가하는 데 그쳤다. 그러나 핵티비즘의 범위가 확장되면서 핵티비스트 그룹들은 정치적, 경제적, 군사적 이익을 달성하기 위해 금융, 의료, IT 등 분야를 가리지 않고 공격을 전개하고 있다. 이들의 공격은 주요 기반 시설이나 정부 시스템을 노리는 등 더욱 파괴적인 형태를 띨 것으로 예측된다.
⑤ 랜섬웨어 공격 벡터 다양화
랜섬웨어는 최근 몇 년간 꾸준히 발생하고 있는 보안 위협으로, 랜섬웨어로 인한 피해 규모는 점차 증가하고 있다. 사이버 범죄 분석 전문 업체 스파이클라우드에 따르면, ‘23년 기준 랜섬웨어에 지불된 금액은 10억 달러를 넘어섰다. 또한 단독 행위자부터 록빗(Lockbit), 아키라(Akira) 등 강력한 제휴 비즈니스 모델을 갖춘 랜섬웨어 패밀리까지 공격 규모, 빈도, 범위, 신규 참여자 수가 급증한 것으로 나타났다. 영국, 미국 등 국제 수사기관들은 공조를 통해 록빗 등 주요 랜섬웨어 그룹을 장악하는 데 성공했지만, 콘티(Conti)와 류크(Ryuk) 등 기존 그룹 간 연계로 인해 새로운 랜섬웨어 패밀리가 등장하면서 공격이 끊이지 않고 있다.
랜섬웨어는 여러 산업 분야에 영향을 미치고 있으며, 나아가 전 세계의 인프라와 사회 시스템까지 위협하고 있다. 중국 배후의 해킹 그룹 볼트타이푼(Volt Typhoon)은 전 세계 주요 인프라를 공략하는 대표적인 조직이다. 이들은 랜섬웨어를 활용하여 통신, 에너지, 교통 시스템, 상하수도 시스템을 포함한 미국의 주요 인프라를 공격하여 피해를 야기했다. 이처럼 랜섬웨어 공격은 금전적 목적으로 시스템을 잠그거나 데이터를 암호화하는 데 그치지 않고, 사회기반시설 및 인프라를 마비시켜 국가 차원의 혼란을 불러올 수 있다. 또한 기업들의 보안 수준 향상으로 인해 수익이 감소하고, 랜섬웨어 시장이 포화 상태에 다다르면서 공격 전략과 기법이 고도화될 것으로 예상된다. 특히 랜섬웨어 그룹들은 피해 기업과 연관된 협력사나 고객사를 협박하거나 디도스(Distributed Denial of Service, DDoS) 공격을 병행해 기업의 핵심 업무를 방해하는 등 다중 협박 전략을 취하고 있다. 이러한 전략은 강한 협상 압박을 통해 수익을 늘리는 방식으로 올해도 지속될 것으로 보인다.
03. 나 자신을 알자, 복원력과 가시성의 중요성
지금까지 올 한해 사이버 생태계를 위협할 보안 위협 TOP 5에 대해 알아봤다. 적(사이버 공격자)에 대해 알아봤다면 이제는 ‘나 자신(나를 모르면 싸움마다 반드시 위태롭다)’을 파악하기 위한 방법에 대해 알아보고자 한다.
앞서 언급했듯이 사이버 공격자들은 생성형 AI, 랜섬웨어 등 나날이 고도화된 수법으로 사이버 환경을 위협하고 있다. 이에 대응하기 위한 방안으로 국내외 사이버 보안 기업들은 △제로트러스트(Zero Trust) △확장된 탐지 및 대응(eXtended Detection and Response, 이하 XDR)과 같은 통합보안플랫폼을 내세우고 있다. 다만 이제는 증가하는 사이버 위협에 단지 ‘대응(Respond)’ 하는 것뿐만 아니라 ‘예방(Prevent)’에도 집중해야 한다.
① 사이버 복원력(Cyber Resilience)의 확보
잠재적인 사이버 위협으로부터 조직이 보유하고 있는 중요 시스템 및 데이터를 효과적으로 보호하기 위해서는 전사 차원에서 사이버 보안 사고를 사전, 사후적으로 관리하는 조직의 능력(사이버 복원력, Cyber Resilience)을 강화하는 것이 필수적이다. 이를 위해서는 데이터 처리 전 단계에 걸쳐 데이터 처리 흐름(Flow)을 파악하기 위해 지속적으로 모니터링하고, 기업 특성에 맞는 보안 조치, 업계 표준 및 내부 규정 등의 정비가 우선시되어야 한다.
이를 위한 사이버 복원력에 대해 美 국립표준기술연구소(NIST)를 포함한 글로벌 기관들은 ‘임무수행을 보장하기 위해 사이버 역량을 활용하거나 이를 통해 운용되는 조직이 불리한 환경이나 압력, 공격, 또는 강요받는 상황을 예측하고 견디며, 이로부터 회복하고 적응하는 능력’이라고 정의하고 있다. 보다 쉬운 이해를 위해 사이버 복원력과 사이버 보안과의 차이를 다음과 같이 정리했다.

사이버 복원력은 급변하는 상황에 민첩하게 적응할 수 있는 ‘역량(Adaptive Capacity)’과 실제 사고 발생 시에 대응할 수 있는 ‘능력(Coping Ability)’으로 평가될 수 있으며, 정태적인 보안 체계의 산출물이기보다는 위의 두 가지 역량의 상호작용을 통한 동태적 활동이라고 정의된다.

(출처: Towards a novel conceptualization of cyber resilience, 2020 IEEE SERVICES, 재구성: 이글루코퍼레이션)
② 충분한 가시성(Visibility)의 확보
사이버 복원력의 확보뿐만 아니라 개별 조직에서는 적의 위협에 맞서기 위한 충분한 가시성(Visibility)의 확보에도 집중해야 한다. 개별 조직이 보유한 자산 등에 대한 가시성이 확보되지 않는다면, 보안 취약점의 증가 및 운영상의 리스크가 발생할 수 있기 때문이다. 그리고 이러한 리스크는 조직의 보안 사고 발생 가능성을 높이고, 비즈니스 연속성을 저해 시킨다. 실제로 최근 클라우드 환경으로 전환하는 조직이 많다 보니 가시성 확보에 대한 중요성이 더욱 높아졌는데, 바로 △섀도우 IT(조직 내 허가받지 않는 IT 자산이 보안 위험을 초래) △클라우드 마이그레이션(클라우드 환경에서 가시성이 부족하여 잘못된 설정으로 데이터 유출 발생)과 같은 이슈가 빈번하고 발생하고 있기 때문이다.
사이버 보안 측면에서 가시성 확보를 위한 방안으로는 △자산 관리 솔루션 사용 △자동화 모니터링 △주기적인 감사 및 평가 △통합 보안 플랫폼 구축 등을 꼽을 수 있으며, 이글루코퍼레이션 역시 ‘지피지기 백전불태’를 위한 다양한 솔루션과 서비스를 제공하여 보다 안전한 사이버 환경을 올해도 구축하고자 한다.

04. 마무리
‘25년 보안 위협 전망은 전년과 유사하지만 더욱 정교화·고도화되는 양상을 보이고 있다. 생성형 AI를 활용한 사이버 공격이 보편화되고, 국가 주도의 핵티비스트 활동이 증가하여 국제적 긴장을 유발할 가능성이 높아졌다. 또한 랜섬웨어의 공격 기법이 복잡해지면서 개인과 기업 모두를 위협하고, 증가한 공격 표면과 신종 사이버사기는 더욱 심각한 보안 문제로 부상할 것으로 예상된다. 즉, ’25년은 이전에 나타났던 보안 위협이 다차원적으로 전개되는 시기로 볼 수 있다.

이러한 보안 위협들이 실제로 발생하지 않는다면 좋겠지만, 안타깝게도 매년 발표되는 보안 위협들은 현실로 다가와 우리의 삶을 위협하곤 한다. 이에 이글루코퍼레이션을 비롯한 각 기관과 기업들은 보안 위협에 대한 효과적인 대응 전략과 기술을 지속적으로 연구하여 공개하고 있다. 특히 기술 발전 속도에 맞는 적극적 대응과 사전 예방적 접근이 중요성이 강조되고 있다. 이러한 전략을 바탕으로 보다 견고한 보안 체계를 구축하고, 안전한 디지털 환경을 조성할 수 있기를 기대한다.
05. 참고자료
1. 2024년 사이버보안 위협 정리해보니… 2025년 대응방안이 보인다. 보안뉴스:
https://m.boannews.com/html/detail.html?tab_type=1&idx=134987
2. 올해 상반기 침해사고 신고 건수 899건, 전년 동기대비 35% 증가, 보안뉴스:
https://m.boannews.com/html/detail.html?idx=131560
3. 2025년 사이버 보안 위협 및 기술 전망 보고서 발표, 이글루코퍼레이션
https://www.igloo.co.kr/newsroom/press/2025%EB%85%84-%EC%82%AC%EC%9D%B4%EB%B2%84-%EB%B3%B4%EC%95%88-%EC%9C%84%ED%98%91-%EB%B0%8F-%EA%B8%B0%EC%88%A0-%EC%A0%84%EB%A7%9D-%EB%B3%B4%EA%B3%A0%EC%84%9C-%EB%B0%9C%ED%91%9C/
4. [KISA Insight 2024 Vol.05] 침해사고 등 사이버 공격 대응 관점에서의 사이버 복원력(Cyber Resilience) 정책 이슈 분석 및 시사점, 한국인터넷진흥원:
https://www.kisa.or.kr/20301/form?postSeq=27&page=1