- 패치 이후 방치된 엔터프라이즈 노출 구조, 주요 공격 경로로 지목

- “2026년 보안 효과성, 제로데이보다 공격 표면 가시성이 좌우할 것”

AI 기반 사이버 보안 기업 AI스페라는 2025년 한 해 동안 확인된 글로벌 사이버 공격 동향을 분석한 ‘크리미널 IP 2025 위협 인텔리전스 분석 보고서’를 발표했다고 밝혔다.

보고서에 따르면 2025년 큰 피해를 야기한 사이버 공격은 새로운 기술적 기법이 아닌, 이미 패치가 제공됐음에도 장기간 인터넷에 노출된 엔터프라이즈 인프라를 반복적으로 악용한 사례가 다수를 차지했다. 인증 서비스, VPN 게이트웨이, 미들웨어 플랫폼, 웹 프레임워크 등 예측 가능한 노출 구조가 주요 공격 경로로 활용됐으며, 원격 코드 실행(RCE)과 인증 우회 취약점은 공개 이후 수년이 경과한 이후에도 대규모 침해의 원인으로 작용한 것으로 나타났다.

AI스페라는 2025년 한 해 동안 Kimsuky(김수키), Lazarus(라자루스) 등 국가 배후로 분류되는 세력들이 장기적인 정보 수집 활동에 집중한 점을 주요 특징으로 분석했다. 이들은 계정 정보 도용과 기존 취약점 악용을 통해 정부·국방·연구기관 등에 지속적으로 침투했으며, 공격 대상은 한국을 비롯해 미국, 일본, 영국, 독일 등 기업 인프라가 밀집된 국가에 집중됐다.

또한 Lazarus(라자루스)와 APT41과 같은 혼합형 위협 행위자는 국가 차원의 목적과 금전적 동기를 결합해 금융 시스템과 기술 공급망, 글로벌 인터넷 노출 서비스 전반으로 침해 범위를 확대했다. React(리액트), FortiOS(포티넷) 등 다양한 엔터프라이즈 기술 환경에서는 신규 취약점보다 이미 알려졌으나 관리되지 않은 노출 지점이 주요 공격 경로로 활용된 것으로 분석됐다.

보고서는 이러한 흐름 속에서 외부 공격 표면 관리(EASM)가 2025년 핵심적인 보안 통제 지점으로 부상했다고 평가했다. 제로데이 인지 여부보다 실제 악용 가능한 노출 자산을 얼마나 신속하게 식별하고 우선순위를 정해 조치할 수 있는지가 조직의 전략적·재무적 리스크에 영향을 미쳤다는 설명이다.

2026년 전망과 관련해 강병탁 AI스페라 대표는 “글로벌 위협 환경은 취약점 기술의 혁신보다 노출 구조의 경제성에 의해 더욱 크게 좌우될 것”이라며 “인터넷에 노출된 인증 서비스, 엣지 장비, 엔터프라이즈 관리 플랫폼을 우선적으로 노릴 가능성이 크다”고 말했다.

이어 그는 “2026년 보안 효과성은 패치가 얼마나 빨리 배포됐는지가 아니라, 노출이 얼마나 신속하게 탐지·우선순위화·제거됐는지에 의해 평가될 것”이라며 “공격 표면에 대한 지속적인 가시성과 노출 거버넌스가 향후 가장 결정적인 방어 역량이 될 것”이라고 덧붙였다.

‘크리미널 IP 2025 위협 인텔리전스 분석 보고서’ 전문은 AI스페라 공식 홈페이지를 통해 무료로 다운로드할 수 있다. 한편 AI스페라는 Criminal IP ASM(공격표면관리)과 Criminal IP TI(위협 인텔리전스)를 기반으로 글로벌 보안 기업 Palo Alto Networks(팔로알토 네트웍스)의 Cortex XSOAR와 연동되는 위협 인텔리전스 서비스를 운영하며 국내외 보안 시장에서 입지를 확대하고 있다.