사이버 범죄자는 점점 더 은밀한 전술을 사용해 네트워크에 침투하고 있다. AI 기술을 겨냥한 공격도 새로운 위협으로 떠오르고 있다. 이는 IBM 엑스포스(X-Force)가 최근 발표한 ‘2025 엑스포스 위협 인텔리전스 인덱스(The 2025 X-Force Threat Intelligence Index)’의 핵심 내용이다. 이번 보고서는 사이버보안 사고 대응 사례, 다크웹 활동, 기타 위협 인텔리전스 출처를 바탕으로 분석한 공격 추세를 담았다.

IBM에 따르면, 난독화는 위협 행위자에게 점점 더 중요한 전술이 되고 있다. PDF 맬웨어는 악성 URL을 암호화하거나, 압축된 스트림에 숨기거나, 16진수로 표현해 이메일 보안 솔루션의 자동 분석을 회피하는 추세다. 전체 PDF 중 42%는 난독화된 URL을 사용했고 28%는 PDF 스트림에 URL을 숨겼으며, 7%는 암호와 함께 암호화된 형태로 전달된 것으로 조사됐다.

위협 행위자가 자주 사용하는 또 다른 교묘한 공격 방식은 정상 설치 프로그램처럼 보이도록 맬웨어를 위장하거나 트로이 목마로 만드는 것이다. IBM은 “사용자는 피싱, SEO 오염, 악성 광고 같은 기법에 속아 악성 설치 파일을 다운로드하고 실행하게 된다. SEO 오염은 검색 알고리즘을 조작해 악성 웹페이지를 상위에 노출시키고, 악성 광고는 사용자를 가짜 웹사이트로 유도해 데이터를 탈취한다. 이런 기법은 정상 웹사이트를 위조해 사용자의 실제 자격 증명을 확보하고 이를 통해 복잡한 해킹 없이 간단히 로그인할 수 있게 만든다는 점에서 침해 체인의 핵심적인 역할을 한다”라고 말했다.

IBM 엑스포스는 현재까지 AI 모델과 솔루션을 광범위하게 겨냥한 공격은 아직 나타나지 않았다고 전했다.

IBM 엑스포스의 전략 위협 분석가 크리스 카리디는 이번 인덱스에 관한 블로그에서 “AI 기술을 겨냥한 대규모 공격은 아직 본격화하지 않았지만, 보안 연구자들은 위협 행위자보다 한발 앞서 취약점을 식별하고 선제적으로 해결하는 데 속도를 내고 있다. 엑스포스가 AI 에이전트 개발 프레임워크에서 발견한 RCE(Remote Code Execution) 취약점처럼 앞으로 이와 유사한 문제는 더 자주 발생할 것이며, 취약점이 존재하는 곳에는 반드시 공격자가 뒤따르게 된다”라고 말했다.

지난해 엑스포스는 “AI 기술이 시장 지배력을 확보하게 되면, 즉 하나의 기술이 시장 점유율 50%에 근접하거나 시장이 3개 이하의 기술로 통합되는 시점이 되면 공격자가 AI 모델과 솔루션을 겨냥한 전용 공격 도구 개발에 투자할 유인이 생길 것”이라고 예측한 바 있다. 그 시점에 도달했는지에 대해 이번 보고서에서는 “아직은 아니다. 하지만 도입 속도는 빠르게 증가하고 있다”라고 언급했다. 2024년 AI를 적어도 하나 이상의 비즈니스 기능에 통합한 기업의 비율은 72%로, 전년 대비 55% 증가한 수치를 기록했다. 오늘날 AI 도구가 코드 작성이나 이메일 작성 등 업무 자동화를 위해 사용되는 점은 이런 보안 위협을 더욱 현실적인 문제로 만들고 있다.

IBM은 “생성형 AI와 같은 새로운 기술은 새로운 공격 표면을 만든다. 보안 연구자들은 공격자보다 먼저 취약점을 찾아내고 이를 해결하기 위해 속도를 내고 있다. 최근에는 널리 사용되는 오픈소스 AI 프레임워크를 겨냥한 실제 공격 캠페인이 발견됐고 교육, 암호화폐, 바이오 제약 등 여러 분야에 영향을 미쳤다. AI 기술의 취약점은 결국 공격자가 악용할 수 있는 보안 위협으로 이어진다”라고 지적했다.

이 외에 엑스포스 인덱스에 포함된 내용은 다음과 같다.

• 레거시 기술에 대한 의존과 느린 패치 주기는 주요 인프라 조직에 지속적인 과제로 남아 있다. 2024년 IBM 엑스포스가 이 분야에서 대응한 보안 사고의 1/4 이상은 알려진 취약점을 악용한 공격이었다. 다크웹 포럼에서 가장 자주 언급된 CVE를 분석한 결과, 상위 10개 중 4개는 국가 지원 위협 그룹을 포함한 정교한 공격 세력과 연관돼 있었다. 이는 시스템 마비, 정보 수집, 금전적 갈취 등의 위험을 한층 더 키우고 있다고 엑스포스는 분석했다.
• 랜섬웨어 공격은 여전히 기승을 부리고 있다. 다크웹 데이터를 분석한 결과, 랜섬웨어 활동이 전년 대비 25% 증가했다. 윈도우와 리눅스를 모두 겨냥하는 크로스 플랫폼 방식의 랜섬웨어가 일반화되면서 공격 표면이 더욱 확대되고 있다. 비록 다른 전술에 비해 랜섬웨어의 주목도는 낮아지고 있지만, 여전히 주요 위협 벡터다. 가장 위험한 흐름은 다중 갈취(multiple extortion) 기법의 사용이다. 랜섬웨어는 전체 맬웨어 사고 대응 사례의 약 1/3(28%), 전체 보안 사고의 11%를 차지하며, 수년 전보다 감소한 수치다.
• 피싱 공격은 전반적으로 감소했지만, IBM은 2024년에 정보 탈취형 악성코드를 담은 피싱 이메일이 84% 급증한 것을 확인했다. 2025년 초 집계된 데이터에서는 이 수치가 180%까지 증가해 더욱 가파른 상승세를 보였다. 이렇게 탈취된 자격 증명은 이후 신원 기반 공격에 악용된다.
• 엔드포인트 탐지 및 대응(Endpoint Detection and Response, EDR) 솔루션이 피싱을 통한 백도어 침투를 효과적으로 탐지하게 되면서 위협 행위자들은 피싱을 정보 탈취형 악성코드 인포스틸러(Infostealer)를 배포하는 은밀한 경로로 활용하기 시작했다. 2024년, 엑스포스는 피싱을 통해 유포된 인포스틸러가 84% 증가한 것을 관찰했다. 다크웹에서 거래되는 인포스틸러 자격 증명도 전년 대비 12% 증가해 실제 활용이 늘고 있음을 시사한다. 또한 지난해에는 데이터를 암호화한 경우(11%)보다 훔쳐 간 경우(18%)가 더 많았다. 이는 탐지 기술의 발전과 수사 기관의 압박이 강화되면서 공격자가 빠르게 수익을 회수할 수 있는 방식으로 전략을 바꾸고 있음을 보여준다.
• BM 엑스포스는 레드햇 인사이트(Red Hat Insights)와의 협업을 통해 RHEL(Red Hat Enterprise Linux)를 사용하는 고객 환경의 절반 이상에서 최소 하나 이상의 치명적인 CVE가 여전히 조치되지 않은 상태임을 확인했다. 그중 18%는 다섯 개 이상의 취약점을 안고 있는 것으로 나타났다. 동시에 엑스포스는 현재 활동 중인 주요 랜섬웨어 공격집단(예 : 아키라, 클롭, 록빗, 랜섬허브 등)이 윈도우와 리눅스를 모두 지원하는 형태로 진화한 점도 확인했다.
• 제조업은 4년 연속 가장 많은 사이버 공격을 받은 산업으로 나타났다. 2024년 랜섬웨어 공격 건수도 가장 많았다. 이 분야는 다운타임에 대한 허용 범위가 극히 낮기 때문에 공격자가 파일을 암호화한 뒤 금전을 요구하는 방식의 수익성이 여전히 높은 산업으로 분석됐다.

dl-itworldkorea@foundryco.com