인터넷 초창기부터 지금까지 적대적 활동은 멈춘 적이 없다. 크라우드스트라이크가 최근 발표한 12회 연례 글로벌 위협 보고서에 따르면 사이버 공간에서의 악의적 활동은 속도를 더 높이고 있을 뿐만 아니라 규모를 확대하고 표적 기업의 신뢰를 악용하는 경우도 늘고 있다.

그나마 좋은 소식은 AI가 위협 활동의 대중화를 촉진한다는 논란에도 불구하고 2025년 정부 및 기업 기관이 상대하는 공격자의 규모 증가세는 주춤하고 있다는 점이다. 크라우드스트라이크의 공격 대응 운영 책임자인 애덤 마이어스는 보고서에 대한 기자회견에서 “지난 1년 동안 24개의 새로운 공격 세력이 추가됐는데, 이는 전년도와 동일한 수치다. 현재 크라우드스트라이크는 281개 이상의 공격 세력과 150개의 활동 클러스터를 추적하고 있다”라고 말했다.

크라우드스트라이크 보고서의 핵심 메시지는 위협 행위자들이 기존의 툴킷 확장에서 이제 회피 모드로 전환했다는 점이다. 마이어스는 “이번 보고서의 전체적인 테마는 이른바 회피적 공격 세력이다. 지난해 테마는 기업가적 공격 세력이었다. 이들은 여러 기법을 실험하고 있으며 지금은 탐지를 피하는 데 초점을 두고 있다. 회피적 공격 세력이라는 명칭도 이런 특성에서 비롯된 것”이라고 설명했다.

적대적 AI를 통해 기존 전술 증폭

크라우드스트라이크 보고서에 따르면 AI를 활용한 공격 세력의 공격은 전년 대비 89%로 크게 늘었다. 위협 행위자들은 생성형 툴을 사용해 피싱 미끼를 정교하게 만들고 맬웨어 스크립트를 생성하고 익스플로잇 문제를 해결하고 정찰을 속도를 높였다. 이 기술은 완전히 새로운 전술을 이끌어내지는 않았지만 기존 전술을 더 빠르고 저렴하고 확장 가능하게 해준다.

또한 보고서는 AI 기반 침투가 더 은밀해졌다는 점도 지적했다. 2025년에 탐지된 사례 중 82%가 맬웨어를 사용하지 않는 기법으로, 2020년의 51%에서 늘었다. 정상적인 사용자 행동에 섞여 들어가는 자격 증명 악용과 직접 침투 활동으로의 전환을 시사한다.

마이어스는 “소셜 엔지니어링에 AI를 무기로 사용할 수 있다. 르네상스 스파이더(Renaissance Spider) 같은 범죄 기업은 생성형 AI를 악용해 클릭 픽스(Click Fix) 미끼를 수정하고 다양한 언어로 현지화하는 것으로 파악됐다”라고 말했다.

AI가 정보 작전에 사용되는 사례도 확인됐다. 마이어스는 지난 몇 개월 사이 발생한 흥미로운 사례 중 하나로 이메일 전송 서비스 포스트마크(Postmark)가 유지 관리하는 합법적인 서버를 사칭한 postmark-mcp라는 이름의 악성 MCP 서버를 지목하며 “이 사례에서 포스트마크 API와 LLM을 연결하는 MCP 서버가 악의적으로 생성돼 실제로 전송된 모든 이메일에 대해 공격 세력을 숨은 참조로 추가했다”라고 말했다.

빅 게임 헌터의 지배력 강화

크라우드스트라이크 조사 결과는 이른바 빅 게임 헌팅(BGH) 랜섬웨어 행위자들이 전자 범죄 세계에서 여전히 지배적인 세력임을 보여준다.

러시아어 기반 아키라(Akira) 랜섬웨어를 개발 및 유지하는 펑크 스파이더(Punk Spider), 그리고 이 기업과 연계된 아키라 전용 유출 사이트의 2025년 침투 횟수는 198회로, 전년도에 비해 134% 늘었다. 피해자 공개 작전도 더 늘어나 전용 유출 사이트에 이름이 게시된 기업 수가 36.8% 증가했다.

2025년 BGH 행위자는 단순히 규모를 늘리는 데 그치지 않고 수법도 더 정교하게 발전시켰다.

BGH 행위자는 치밀하게 모니터링되는 엔드포인트에서 랜섬웨어를 실행하는 방법 대신 윈도우 서버 메시지 블록(SMB) 공유를 통해 원격으로 데이터를 암호화하는 수법으로 선회했다. 즉, 흔적을 최소화하고 관리되는 호스트에서 랜섬웨어를 실행할 필요 자체를 회피하는 추세다.

관리되지 않는 인프라를 악용한 빅 게임 헌터도 있다. 한 사건에서 전자 범죄 기업 스캐터드 스파이더(Scattered Spider)는 최초 액세스 후 3시간이 지나지 않아 관리되지 않는 가상머신에서 액티브 디렉터리 자격 증명을 덤프했는데, 이 과정에서 이가 상호작용한 대상은 관리되는 엔드포인트 한 개가 전부였다.

대규모 무기화된 공급망 공격

크라우드스트라이크에 따르면 2025년 위협 행위자가 회피적 전술을 사용하도록 이끈 주된 동인 중 하나는 공급망 공격이다.

가장 극적인 사례는 2월에 발생했다. 북한의 국가 지원 위협 행위자인 프레셔 촐리마(Pressure Chollima, 일명 라자루스)가 암호화폐 거래소 바이비트(Bybit)를 지원하는 디지털 자산 관리 플랫폼 세이프월렛(SafeWallet)을 침해해 역사상 최대 규모인 14억 6,000만 달러의 암호화폐를 탈취했다. 이들은 신뢰받는 프론트엔드에 악성 코드를 주입하고 실행 직후 이를 복구하는 수법으로 합법적인 거래 과정에 있던 자금을 다른 곳으로 돌렸으며, 이 과정에서 탐지도 피했다.

오픈소스 생태계 역시 취약하기는 마찬가지다. 침해된 한 npm 패키지가 자가 전파형 인포스틸러인 샤이훌루드(ShaiHulud) 맬웨어를 배포했는데, 이 패키지는 발견되기 전까지 200만 회 이상 다운로드됐다. 또 다른 캠페인에서는 공격자와 연계된 패키지가 8,000회 이상 다운로드됐으며, 많은 경우 종속성 체인을 통해 확산되면서 최초 표적을 훨씬 넘어 하위 사용자까지 감염시켰다.

제로 데이 악용의 가속

크라우드스트라이크에 따르면 2025년 동안 정보 공개와 악용 사이의 속도 차이는 며칠, 경우에 따라서는 몇 시간 수준으로 좁혀졌다.

연구진은 2025년 제로데이 악용이 전년 대비 42% 증가했다고 보고했다. 공격자가 최초 액세스, 원격 코드 실행, 권한 상승을 위해 이전에 알려지지 않았던 수십 개의 취약점을 무기화한 데 따른 결과다.

더 우려되는 점은 전자범죄의 평균 브레이크아웃 시간(최초 액세스 이후 횡적 이동까지 소요되는 시간)이 29분으로 줄어 2024년 대비 65% 더 빨라졌다는 점이다. 가장 극단적인 한 사례에서는 27초 만에 공격자가 이동했다.

특히 중국 연계 행위자의 움직임이 빨라서, 여러 사례에서 정보 공개 후 2~6일 이내에 악용이 시작됐다. 방어자 입장에서는 네트워크가 탐지되거나 침해되기 전에 상황을 평가하고 우선순위를 정해 패치할 시간이 거의 없는 셈이다.

제로데이가 단순한 전술적 우위를 넘어 전략적 가속 수단이 되면서 방어 체계가 상황에 맞춰 조정되기도 전에 엣지 디바이스와 VPN 어플라이언스, 메일 서버, 엔터프라이즈 소프트웨어에 대한 은밀한 진입이 가능하게 됐다.

클라우드로 직접 연결되는 진입 경로도 늘어나는 추세다.

클라우드는 새로운 전장

SaaS와 하이브리드 ID 시스템에 대한 기업의 의존이 심화되면서 공격자 역시 그 뒤를 따라가고 있다.

크라우드스트라이크는 2025년 클라우드 관련 침입이 전체적으로 37% 증가했으며 국가 연계 행위자의 활동은 266% 급증했다고 밝혔다. 유효 계정 악용이 클라우드 사건의 35%를 차지했는데, 공격자들이 맬웨어보다는 훔친 자격 증명과 세션 토큰을 활용했음을 보여준다.

마이어스는 “흥미로운 점은 클라우드 침입의 35%가 사실상 합법적인 자격 증명을 사용한다는 것이다. 클라우드 관련 침입 활동에서 국가 연계 위협 행위자의 비중이 266% 증가했다. 전자범죄 행위자가 몇 년 전에 알아차린 사실, 즉 바로 클라우드가 이상적인 공격 표적이라는 점을 이제 국가 관련 단체도 인식했음을 의미한다”라고 말했다.

이들이 선호하는 툴이 된 중간 적대자(adversary-in-the-middle) 피싱 키트는 위협 행위자가 인증 흐름을 가로채고 마이크로소프트 365 및 세일즈포스 환경에서 실시간 세션 토큰을 탈취할 수 있게 해준다. 온프레미스와 클라우드 인증을 동기화하는 하이브리드 ID 시스템은 특히 매력적인 표적이 됐으며, 일단 침해되면 광범위한 액세스 범위를 제공한다.

더 많은 공격자들이 침입 대신 로그인을 택하고 있다. 이런 전략이 가장 체계적으로 드러난 곳은 바로 중국 연계 행위자들이 실행한 캠페인이다.

중국 연계 활동이 여러 지역과 산업으로 확대

크라우드스트라이크의 분석에 따르면 2025년 중국 연계 공격자의 전체적인 표적 침입 활동은 38% 증가했다. 표적으로는 물류 분야 85%, 통신 30%, 금융 서비스가 20% 증가했다. 모두 장기적 정보 수집과 경제적 우선순위가 맞물린 분야다.

마이어스는 이런 활동의 상당 부분이 “중국 위협 행위자가 활용하는 제로데이 취약점과 익스플로잇의 대규모 증가에 의해 촉진됐다”라고 말했다.

여기서 드러난 일관적인 패턴을 보면 먼저 경계 침해가 발생한다. 중국 연계 행위자가 악용한 취약점의 67%는 즉각적인 원격 코드 실행을 허용했고 40%는 VPN, 방화벽, 게이트웨이와 같은 엣지 디바이스를 표적으로 삼았다. 모두 견고한 모니터링과 적시 패치가 잘 이뤄지지 않는 인프라다. 일부 캠페인에서는 정보 공개 후 2~3일 이내에 익스플로잇이 전개됐다.

마이어스는 “오퍼레이터 판다(Operator Panda)라는 이름으로 추적되는 솔트 타이푼(Salt Typhoon), 그리고 뱅가드 판다(Vanguard Panda, 볼트 타이푼으로도 알려짐)와 같은 행위자들을 감안하면 중국은 네트워크 디바이스를 표적으로 삼는 것을 중요하게 여긴다. 이런 디바이스는 취약점이 많이 발견되는 데다 관리도 되지 않기 때문에 눈에 띄지 않게 활동할 수 있다”라고 말했다.

중국의 침입은 일회성 약탈 작전이 아니다. 여러 사례에서 행위자는 몇 개월, 때로는 몇 년 동안 지속적인 액세스를 유지했다. 즉, 단기적 교란보다는 장기적 정보 수집을 우선시하는 모습을 보였다. 종합하면 2025년에 드러난 추세는 뚜렷하다. 공격자는 더 빠르고 더 은밀하게 활동하며, AI 툴과 SaaS 플랫폼부터 오픈소스 코드와 경계 디바이스에 이르기까지 현대 인프라에 내재된 암묵적 신뢰를 적극적으로 악용하고 있다.

dl-itworldkorea@foundryco.com