'2025년 5대 사이버 보안 위협 전망'
핵비스트 격화·랜섬웨어 공격 고도화

사진=안랩 제공 
사진=안랩 제공 

[데일리한국 이보미 기자] 인공지능(AI)을 기반으로 한 사이버 공격, 소프트웨어(SW) 공급망 공격 등이 앞으로 더 늘어날 것이란 관측이 나왔다.

안랩은 25일 '2025년 5대 사이버 보안 위협 전망'을 발표했다.

내년 주목할 5가지 보안 위협으로는 AI 기반 공격 확산과 SW 공급망 공격 증가뿐만 아니라 클라우드 및 사물인터넷(IoT) 확장에 따른 공격 표면 확대, 적대세력 간 사이버전(戰)과 핵티비스트 활동 격화, 랜섬웨어 공격 고도화 등이 선정됐다.

양하영 안랩 시큐리티 인텔리전스 센터(ASEC) 실장은 "내년 사이버 보안 환경은 AI 기술의 발전, 클라우드 및 IoT 확산 등으로 한층 더 복잡하고 도전적인 양상을 보일 것으로 예상된다"며 "조직과 개인은 후속 대응이 아닌 예방 중심의 접근법으로 일상에서부터 보안 수칙을 실천해야 한다"고 말했다.

안랩은 구체적으로 생성형 AI를 비롯한 다양한 AI 기술이 산업 전반에 확산되는 가운데, 내년에는 이를 활용한 사이버 공격이 한층 고도화될 것이라고 내다봤다. 

특정 사용자 집단의 언어, 문화, 심리 등을 파악하거나 신뢰하는 인물로 위장한 딥페이크 영상을 공격에 활용하는 ‘사회공학적 해킹', 프로그램과 시스템의 ‘취약점 발견' 시도, 시스템 환경을 학습해 탐지 회피를 시도하는 ‘적응형 멀웨어' 제적, 소규모 해커 그룹의 공격 스케일 확대 등 다양한 공격에 AI를 활용할 것이라고 전망한 것이다.

안랩 측은 "생성형 AI의 발전에 따라 전문 기술이 부족한 공격자도 상대적으로 쉽게 악성코드를 개발하거나 취약점을 탐지할 수 있는 환경이 조성되면서 사이버 공격의 진입장벽이 낮아지고 있어, 조직에서는 안랩 TIP와 같은 위협 인텔리전스(TI) 서비스를 이용해 최신 공격 기법의 변화를 파악하는 등 각별한 주의가 필요하다" 조언했다.

또 최근 사회적인 디지털 전환에 따라 수많은 소프트웨어, 시스템 및 서비스가 서로 연결되는 '초연결 시대'로 접어든 가운데 SW·IT 시스템에 대한 의존도와 공급망의 복잡도가 높아지면서 공급자들이 이런 환경을 노려 한번의 공격으로 공급망 내 여러 조직의 운영에 타격을 줄 수 있는 'SW 공급망 공격'도 더욱 활개를 칠 것이라고 전망했다.

SW 공급망 공격이란 공격자가 협력업체나 공급업체의 소프트웨어 개발 단계에 침입해 최종적으로 완성된 제품·서비스 및 그 사용자들에 피해를 입히는 공격을 의미한다. 이 방식에서 공격자는 주로 상대적으로 보안 관리가 취약한 중소 협력업체에 대한 공격을 시도하기 때문에, 조직은 SW 공급망 가시성 확보를 위해 협력업체들과 주기적으로 공급망 보안 감사를 실시해야 한다는 게 안랩 측의 설명이다.

안랩은 아울러 내년에는 공공 및 민간 영역에서 클라우드 도입을 가속화하면서 늘어난 클라우드 취약점을 악용한 공격이 더욱 늘어날 것이라고 내다봤다.

최근 많은 조직들이 다양한 공급자(CSP)의 클라우드 서비스를 동시에 활용하는 '멀티 클라우드' 전략을 채택하면서 클라우드 간 상호 작용 관리와 일관된 보안 운영에 어려움을 겪고 있는 가운데 공격자들이 설정 오류, 잘못된 접근 권한 부여, 클라우드 간 데이터 이동시 침해 등 클라우드의 복잡성으로 인해 발생하는 취약점을 노릴 수 있다는  것이다.

안랩 측은 "IoT 기기의 급증과 클라우드 연결지점 확산으로 인한 공격 표면도 확대될 전망인데, 최근 급증하고 있는 IoT 기기는 사용자의 보안 업데이트 지연 등으로 취약점이 방치되는 경우가 많아 공격자들에게 손쉬운 공격통로가 될 수 있다"고 했다. 

그러면서 "취약한 기기가 클라우드에 연결될 시 침해가 네트워크 전체로 확산될 가능성이 높아 사용자들은 보안 업데이트 적용 등 기본 보안 수칙을 반드시 지켜야 한다"고 당부했다.

내년에는 또한 전 세계에서 발생하고 있는 이념, 종교, 이권 갈등이 사이버 공간으로 확대되면서 적대 세력 간 사이버 공격과 핵티비스트 활동도 활발해질 것으로 점쳐진다.

핵티비스트는 해커(hacker)와 행동주의자(activist)를 합친 말로, 정치적·사회적 이슈에 대한 투쟁의 수단으로 해킹을 사용하는 활동가를 의미한다. 공격자들은 정치적·사회적 메시지를 퍼뜨리기 위해 디도스(DDoS) 공격, 웹사이트 변조, 정보 유출, 딥페이크 영상 유포 등 다양한 방식을 활용할 것으로 예상되고 있다.

안랩은 "단순히 메시지 전파를 넘어 상대방의 전력, 통신 등 주요 기반 시설을 표적으로 삼을 가능성도 크다"며 "내년에도 러시아-우크라이나 전쟁과 이스라엘-팔레스타인 분쟁 등 다양한 세력간 크고작은 갈등이 이어질 것으로 예상되는 바, 이에 따라 사이버전 및 핵티비스트 활동은 더욱 파괴적인 형태로 진화할 것으로 보인다"고 설명했다. 

더욱이 내년 랜섭웨어 위협은 더욱 진화할 것으로 전망된다. 올해 발생한 주요 랜섬웨어 공격들은 그 피해가 특정 국가나 산업군에 국한되지 않았고 각국 및 국제 사법 기관은 랜섬웨어 그룹에 대한 대응을 강화했음에도 불구하고 공격자들은 직접적인 수익원이 되는 랜섬웨어 공격을 내년에도 변함없이 이어갈 것으로 예상된다.

기술적인 측면에서는 레드오션화되고 있는 랜섬웨어 시장에서 공격 그룹 간 기술경쟁으로 인한 랜섬웨어 정교화가 촉진될 것으로 예상됐다. 자가 전파 능력을 갖춘 ‘크립토웜'의 변종 등 새로운 형태의 랜섬웨어가 급격히 성장할 것으로 전망됐다. 또 협상시에도 대규모 언어 모델(LLM)을 사용하는 등 더욱 고도화된 전술을 사용할 것으로 예상된다.

안랩은 "이같은 보안 위협을 예방하기 위해 조직 차원에서는 PC, 운영체제, SW, 웹사이트 등에 대한 수시 보안점검 및 패치 적용, 지속적인 임직원 보안교육 주요 계정에 대한 인증 이력 모니터링 등을 통해 최적화된 대응책을 마련해야 한다"고 설명했다.

또 "개인은 출처가 불분명한 메일 속 첨부파일∙URL 실행 자제, 콘텐츠∙SW 다운로드는 공식 경로 이용, SW∙운영체제∙인터넷 브라우저 등 최신 보안 패치 적용, 로그인 시 비밀번호 외에 이중인증 사용, 백신 최신버전 유지 및 실시간 감시기능 실행 등 보안 수칙을 지켜야 한다"고 강조했다. 

저작권자 © 데일리한국 무단전재 및 재배포 금지