안랩이 2025년 발생할 수 있는 주요 사이버 보안 위협을 분석한 ‘2025년 5대 사이버 보안 위협 전망’을 발표했다.
안랩은 2025년 주목해야 할 5가지 주요 보안 위협으로 △인공지능(AI) 기반 공격 확산 △소프트웨어(SW) 공급망 공격 증가 △클라우드 및 사물인터넷(IoT) 확장에 따른 공격 표면 확대 △적대세력 간 사이버전(戰) 및 핵티비스트 활동 격화 △랜섬웨어 공격 고도화를 선정했다.
안랩 시큐리티 인텔리전스 센터(ASEC) 양하영 실장은 “2025년 사이버 보안 환경은 AI 기술의 발전, 클라우드 및 IoT 확산 등으로 한층 더 복잡하고 도전적인 양상을 보일 것으로 예상된다”며 “조직과 개인은 후속 대응이 아닌 예방 중심의 접근법으로 일상에서부터 보안 수칙을 실천해야 한다”고 말했다.
◇ 2025년 5대 사이버 보안 위협 전망 상세
1. 인공지능(AI) 기반 공격 확산
먼저, 생성형 AI를 비롯한 다양한 AI 기술이 산업 전반에 확산되는 가운데, 2025년에는 이를 활용한 사이버 공격이 한층 더 고도화될 것으로 예상된다. 내년에는 공격자들이 △AI를 이용해 특정 사용자 집단의 언어, 문화, 심리 등을 파악하거나 신뢰하는 인물로 위장한 딥페이크 영상을 공격에 활용하는 ‘사회공학적 해킹’ △프로그램과 시스템의 ‘취약점 발견’ 시도 △시스템 환경을 학습해 탐지 회피를 시도하는 ‘적응형 멀웨어’ 제작 △소규모 해커 그룹의 공격 스케일 확대 등 다양한 공격에 AI를 활용할 것으로 전망된다.
※ 사회공학적 해킹: 시스템의 취약점이 아닌 사람의 심리와 행동을 공략하는 공격 기법
생성형 AI의 발전에 따라 전문 기술이 부족한 공격자도 상대적으로 쉽게 악성코드를 개발하거나 취약점을 탐지할 수 있는 환경이 조성되면서 사이버 공격의 진입장벽이 낮아지고 있어, 조직에서는 안랩 TIP와 같은 위협 인텔리전스(TI, Threat Intelligence) 서비스를 이용해 최신 공격 기법의 변화를 파악하는 등 각별한 주의가 필요하다.
2. 소프트웨어(SW) 공급망 공격 증가
최근 사회적인 디지털 전환에 따라 수많은 SW, 시스템 및 서비스가 서로 연결되는 ‘초연결 시대’로 접어들며, SW 및 IT 시스템에 대한 의존도와 공급망의 복잡도가 그 어느 때보다 높아지고 있다. 공격자들은 이러한 환경을 노려 한 번의 공격으로 공급망 내 여러 조직의 운영에 타격을 줄 수 있는 ‘SW 공급망 공격’을 더욱 활발히 진행할 것으로 보인다.
SW 공급망 공격이란 공격자가 협력업체나 공급업체의 소프트웨어 개발 단계에 침입해 최종적으로 완성된 제품/서비스 및 그 사용자들에 피해를 입히는 공격을 의미한다. 이 방식에서 공격자는 주로 상대적으로 보안 관리가 취약한 중소 협력업체에 대한 공격을 시도하기 때문에, 조직은 SW 공급망 가시성 확보를 위해 협력업체들과 주기적으로 공급망 보안 감사를 실시해야 한다.
3. 클라우드 및 IoT 확산에 따른 공격 표면 증가
공공 및 민간 영역에서 클라우드 도입을 가속화하면서 늘어난 클라우드 취약점을 악용한 공격이 증가할 것으로 예상된다. 특히 최근 많은 조직들이 다양한 공급자(CSP)의 클라우드 서비스를 동시에 활용하는 ‘멀티 클라우드’ 전략을 채택하면서 클라우드 간 상호 작용 관리 및 일관된 보안 운영에 어려움을 겪고 있다. 공격자들은 설정 오류, 잘못된 접근권한 부여, 클라우드 간 데이터 이동 시 침해 등 클라우드의 복잡성으로 인해 발생하는 취약점을 노릴 수 있다.
IoT 기기의 급증과 클라우드 연결 지점 확산으로 인한 공격 표면도 확대될 전망이다. 최근 급증하고 있는 IoT 기기는 사용자의 보안 업데이트 지연 등으로 취약점이 방치되는 경우가 많아 공격자들에게 손쉬운 공격 통로가 될 수 있다. 또한, 취약한 기기가 클라우드에 연결될 시 침해가 네트워크 전체로 확산될 가능성이 높아 사용자들은 보안 업데이트 적용 등 기본 보안 수칙을 반드시 지켜야 한다.
※ 사물인터넷(IoT): 디바이스, 차량 등 각종 사물에 센서와 통신 기능을 내장해 인터넷에 연결하고 제어하는 기술
4. 적대세력 간 사이버전(戰) 및 핵티비스트 활동 격화
전 세계에서 발생하고 있는 이념, 종교, 이권 갈등이 사이버 공간으로까지 확전되고 있다. 이에 따라 적대 세력 간 사이버 공격과 핵티비스트들의 활동은 내년에도 활발히 이어질 것으로 보인다. 공격자들은 정치적·사회적 메시지를 퍼뜨리기 위해 디도스(DDoS) 공격, 웹사이트 변조, 정보 유출, 딥페이크 영상 유포 등 다양한 방식을 활용할 것으로 예상된다.
※ 핵티비스트: 핵티비스트는 해커(hacker)와 행동주의자(activist)를 합친 말로, 정치적·사회적 이슈에 대한 투쟁의 수단으로 해킹을 사용하는 활동가를 의미
이와 함께 단순히 메시지 전파를 넘어 상대방의 전력, 통신 등 주요 기반 시설을 표적으로 삼을 가능성도 크다. 내년에도 러시아-우크라이나 전쟁과 이스라엘-팔레스타인 분쟁 등 다양한 세력 간 크고 작은 갈등이 이어질 것으로 예상되는바, 이에 따라 사이버전 및 핵티비스트 활동은 더욱 파괴적인 형태로 진화할 것으로 보인다.
5. 랜섬웨어 공격 고도화
2025년 랜섬웨어 위협은 더욱 진화할 것으로 전망된다. 2024년에 발생한 주요 랜섬웨어 공격들은 그 피해가 특정 국가나 산업군에 국한되지 않으며, 광범위한 영역에서 사람들의 실생활에 영향을 미쳤다. 각국 및 국제 사법 기관은 랜섬웨어 그룹에 대한 대응을 강화했으나, 공격자들은 직접적인 수익원이 되는 랜섬웨어 공격을 내년에도 변함없이 이어갈 것으로 보인다.
기술적인 측면에서는 레드오션화되는 랜섬웨어 시장에서 공격 그룹 간 기술 경쟁으로 인한 랜섬웨어 정교화가 촉진될 것으로 예상된다. 자가 전파 능력을 갖춘 ‘크립토웜’의 변종 등 새로운 형태의 랜섬웨어가 급격히 성장할 것으로 전망된다. 또한, 협상 시에도 대규모 언어 모델(LLM)을 사용하는 등 더욱 고도화된 전술을 사용할 것으로 예상된다.
이 같은 보안 위협을 예방하기 위해 조직 차원에서는 △PC, 운영체제, SW, 웹사이트 등에 대한 수시 보안 점검 및 패치 적용 △지속적인 임직원 보안 교육 △주요 계정에 대한 인증 이력 모니터링 △멀티팩터인증(Multi-Factor Authentication) 도입 △위협 인텔리전스 서비스 활용으로 최신 공격 기법 파악 △협력업체와 주기적인 공급망 보안 체계 점검 등 조직의 환경에 최적화된 대응책을 마련해야 한다.
또한, 개인은 △출처가 불분명한 메일 속 첨부파일·URL 실행 자제 △콘텐츠·SW 다운로드는 공식 경로 이용 △SW·운영체제·인터넷 브라우저 등 최신 보안 패치 적용 △ 로그인 시 비밀번호 외에 이중 인증 사용 △백신 최신 버전 유지 및 실시간 감시 기능 실행 등 보안 수칙을 지켜야 한다.
