지난해 글로벌 사이버 공격은 신종 해킹 기법보다 이미 알려진 취약점과 장기간 방치된 인터넷 노출 인프라를 반복적으로 악용한 공격이 피해를 키운 것으로 분석됐다.
AI스페라는 이 같은 지난해 세계 사이버 공격 동향을 분석한 '크리미널 IP 2025 위협 인텔리전스 분석 보고서'를 26일 무료 발간했다.
보고서에 따르면 지난해 가장 큰 피해를 야기한 공격은 새로운 기술이 아니었다. 패치가 제공됐음에도 장기간 인터넷에 노출된 엔터프라이즈 인프라를 반복적으로 악용한 사례가 대부분이었다.
인증 서비스, VPN 게이트웨이, 미들웨어, 웹 프레임워크 등 예측 가능한 노출 구조가 주요 공격 경로로 활용됐다. 원격 코드 실행(RCE)과 인증 우회 취약점은 공개 이후 수 년이 지난 시점까지도 대규모 침해의 원인으로 작용했다.
김수키(Kimsuky), 라자루스(Lazarus) 등 국가 배후 세력은 지난해 장기적인 정보 수집 활동에 집중한 것으로 나타났다. 계정 정보 탈취와 기존 취약점 활용을 통해 정부·국방·연구기관 인프라에 지속적으로 잠입했고 공격 대상은 한국을 비롯해 미국, 일본, 영국, 독일 등 기업 인프라 밀집 국가에 집중됐다.
라자루스와 APT41 등 혼합형 위협 행위자는 국가적 목적과 금전적 동기를 결합해 금융 시스템과 기술 공급망, 글로벌 인터넷 노출 서비스 전반으로 침해 범위를 확대했다. 리액트(React), 포티넷(FortiOS) 환경에서도 신규 취약점이 아닌 관리되지 않은 기존 노출 지점이 주요 공격 경로로 활용했다.
AI스페라는 외부 공격 표면 관리(EASM)가 지난해 가장 중요한 보안 통제 요소로 부상했다고 평가했다. 제로데이 인지 여부보다 실제 악용 가능한 노출 자산을 얼마나 신속히 식별하고 우선순위화해 제거했는지가 조직의 전략적·재무적 리스크를 좌우했다는 분석이다.
강병탁 AI스페라 대표는 “2026년 보안 효과성은 패치 속도가 아니라 노출을 얼마나 빠르게 탐지·제거했는지에 의해 평가될 것”이라며 “지속적인 공격 표면 가시성과 노출 거버넌스가 핵심 방어 역량이 될 것”이라고 말했다.
박진형 기자 jin@etnews.com
