전체메뉴

[애플경제 이윤순 기자] 2025년 들어 국내를 포함, 전세계적으로 사이버공격이 전에 없이 급증하고 있는 것으로 나타났다. 말 그대로 ‘역대급’이라고 할 만한 이런 현상은 무엇보다 AI가 사이버공격에 적극 활용되고 있기 때문이다. 또한 랜섬웨어가 비즈니스 모델로 자리 잡았다는 점도 그 중요한 요인이다.

글로벌 사이버보안 SW업체인 체크포인트의 새로운 연구에 따르면, 2025년 들어 기업을 대상으로 한 사이버 공격이 엄청나게 증가하고 있다. 통계에 따르면 전 세계 기업들은 1분기에 매주 평균 1,925건의 사이버 공격을 당하고 있는데, 이는 전년 같은 기간에 비해 무려 47% 증가한 수치다.

국내서도 ‘보안 업데이트’ 권고 급증

국내에서도 지난 달 중순 이후만 해도 이같은 조짐을 엿볼 수 있었다. 특히 인터넷진흥원과 인터넷보호나라 사이트 등엔 하루가 멀다하고 글로벌 기업들의 제품 보안 업데이트 권고가 이어졌다. 이는 직접적인 공격과는 별개로, 새로운 취약점 노출이 그 만큼 빈번해짐을 보여주는 대목이다.

대표적으로 MS의 보안 업데이트 권고는 정기 보안의 일종으로 매주 지속되고 있다. 이 외에 브로드컴 제품과 포티넷, 이반티 삼성전자 제품 보안 업데이트가 권고되었다.

앞서 체크포인트에 따르면 교육 분야가 가장 큰 타격을 입었다. 교육 기관 한 곳당 주당 평균 4,484건의 공격을 받았다. 그 뒤를 이어 정부 기관과 통신 분야가 뒤따랐는데, 그 중에서도 통신 분야는 전년에 비해 무려 94%나 급증세를 보였다.

통신 산업의 경우 디지털 인프라에 대한 의존도가 높아지고, 대중에게 공개되는 특성이 있다. 이처럼 중요한 인프라 부문이 정작 취약점을 악용하려는 사이버 범죄자들의 주요 표적이 되고 있다.

사이버 보안 전문가들은 이러한 급증의 원인을 점점 더 체계화된 범죄 수법에서 찾고 있다. 사이버위협 인텔리전스 회사인 ‘HYAS’의 CEO인 데이비드 래트너는 ‘아즈 테크니카’에 “랜섬웨어를 비롯한 사이버 공격이 크게 증가한 것은 사이버 공격 수법의 변화 때문”이라고 말했다.

랜섬웨어 “프랜차이즈 기업처럼 운영”

이에 따르면 이들 범죄자들은 다른 범죄자들에게 판매할 도구를 만드는 ‘정상적인 사업’처럼 운영되고 있다. 이를 통해 비전문가나 초보 해커들도 맬웨어, 랜섬웨어나 각종 공격을 더 쉽고 저렴하게 실행할 수 있다.

공공 기록 디렉터리인 ‘인포트레이서’(Infotracer)에 따르면 10년 전만 해도 대부분의 사이버 공격은 매우 임의적이거나 개별적이었다. 그러나 이젠 마치 프랜차이즈 기업처럼 운영된다. 이처럼 조직화된 집단은 공급망이나, 원격 근무 인프라, 패치되지 않은 엔터프라이즈 소프트웨어를 악용하곤 한다,

이들은 또 광범위한 피싱 공격을 통해 의료, 교육 등 특정 산업을 겨냥한 ‘전문 사냥꾼’으로 변환하는 사례가 비일비재한 상황이다. 또한 랜섬웨어 서비스(RaaS) 모델도 증가하면서 악의적인 공격자들의 진입 장벽을 크게 낮추었다.

실제로 수치를 보면, 2025년 1분기에만 2,289건의 랜섬웨어 공격이 보고되었다. 이는 2024년 동기 대비 126% 증가한 수치다. 예를 들어 영국에서만 2024년과 2025년에 세인즈버리, 모리슨, M&S, 코옵 슈퍼마켓, 법률 지원 기관, 그리고 NHS 운영을 방해한 병리학 회사 시노비스를 포함한 여러 유명 랜섬웨어 공격이 발생했다.

앞서 체크포인트의 조사 결과 역시 이런 상황을 분석한 것이다. 무려 15만 개의 네트워크와 수백만 개의 엔드포인트 장치를 모니터링하고 매일 스캔되는 여러 외부 피드로 보완되는 글로벌 위협 인텔리전스 네트워크를 기반으로 한 것이다.

사이버 범죄자들은 ​특히 각종 AI모델을 적극 활용하고 있다. 보안 전문가들도 또한 인공지능 도구에 대한 범죄자들의 접근성 향상을 급증의 주요 요인으로 꼽고 있다. 실제로 AI가 널리 활용되면서 초보 공격자는 더 이상 익스플로잇(공격 도구)을 구축할 필요가 없다. 이들은 사전 패키지 접근 권한을 구매하거나, 텔레그램 채널이나 다크웹 포럼을 통해 침해된 환경에 대한 접근 권한을 임대할 수도 있다. 이러한 상품화는 대부분의 중소기업의 방어력을 뛰어넘는 공격을 가능하게 했다.

AI 생성 악성코드, 자동화된 랜섬웨어, 임원 사칭 딥페이크 등

연구에 따르면 챗GPT, 제미니, 클로드 등을 포함, 쉽게 접근 가능한 AI 챗봇 중 상당수가 프롬프트를 활용한 즉시 공격(prompt-based attack)을 통해 조작되어 유해한 콘텐츠를 생성할 수 있다. ‘WormGPT’나 ‘GhostGPT’와 같은 탈옥된 악성 버전도 지하 포럼에서 유포되고 있다. 이들은 흔히 매우 싼 가격, 혹은 무료로 제공되고 있다.

유로폴(Europol)의 최근 보고서도 이를 뒷받침하고 있다. 이에 따르면 유럽의 조직범죄단이 사기, 데이터 유출, 자금 세탁에 AI를 사용하고 있다. AI가 생성하는 악성코드나, 자동화된 랜섬웨어, 고위 임원을 사칭하는 딥페이크와 같은 눈에 띄는 위협을 동반하고 있다.

그래서 “많은 기업이 효율성 향상을 위해 AI를 도입하고자 하지만, 전문가들은 그렇게 할 경우 새로운 취약점이 발생할 수 있다”는게 전문가들의 경고다. 보험사 QBE(Query by Example)의 연구도 마찬가지다. 작년에 사이버 공격을 경험한 영국 기업의 56%가 AI 공급업체를 포함한 제3자 공급업체와 연계되었다는 설명이다.

특히 깃허브 코파일럿이나, 챗GPT와 같은 AI 코딩 도구를 악용하는 수법이 증가하고 있다. 이러한 도구는 때때로 환각을 유발한다. 존재하지 않는 소프트웨어 패키지로 인해 개발자들이 의도치 않게 악성 코드를 다운로드하게 되는 경우가 많다. 이런 점 역시 악의적인 사이버 공격의 유효한 수단으로 지적되고 있다.