2025년 2월 발표된 크라우드스트라이크(CrowdStrike) 2025 글로벌 위협보고서(Global Threat Report)는 2024년 한 해 동안 전 세계 사이버 위협 환경이 얼마나 빠르고 정교하게 진화했는지 상세히 분석했다. 이번 보고서는 중국의 사이버 스파이 활동 급증, AI 기반 사회공학 공격의 확산, 그리고 악성코드 없이 신원정보를 악용하는 공격의 폭발적 증가 등, 조직이 직면한 최신 위협 트렌드를 집중 조명한다.

크라우드스트라이크는 2024년 한 해 동안 중국 연계 해킹조직의 국가 주도 사이버 작전이 150% 증가했다고 밝혔다. 금융, 미디어, 제조, 산업 등 주요 분야를 겨냥한 공격은 최대 300%까지 치솟았다. 2024년에는 7개의 새로운 중국발 해킹그룹이 식별되었으며, 남북한, 이란, 러시아 등 다양한 국가 기반 공격자도 활발히 활동했다.

AI 기반 피싱과 사칭 공격이 크게 늘었다. 특히 AI가 생성한 음성피싱(vishing)은 2024년 상반기 대비 하반기에 442%나 증가했다. 해커들은 이메일, 전화, IT 지원 사칭 등 다양한 수법으로 신원정보와 인증 정보를 탈취하고, 이를 이용해 원격 접속을 시도한다. 대표적인 e크라임 그룹 CURLY SPIDER, CHATTY SPIDER, PLUMP SPIDER 등이 이런 수법을 적극 활용했다.

2024년 크라우드스트라이크가 탐지한 공격 중 79%는 악성코드가 아닌, 합법적 계정정보(신원)를 탈취해 내부로 침투하는 방식이었다. 공격자들은 피싱, 음성피싱, 사회공학으로 얻은 계정정보를 활용해 정식 사용자처럼 시스템에 접근하며, 탐지 회피와 신속한 lateral movement(횡적 이동)로 보안망을 우회한다. 실제로 초기 침입 후 공격자가 주요 자산까지 도달하는 ‘breakout time’은 평균 48분, 최단 51초로 단축됐다.

공격자들은 엔드포인트, 클라우드, 신원 등 다양한 영역의 취약점을 교차로 활용하는 ‘크로스도메인’ 공격을 늘리고 있다. 2024년 발견된 취약점의 52%가 초기 침입과 관련됐으며, 클라우드 환경에서는 유효 계정 악용이 전체 사고의 35%를 차지했다. 악성코드 없이 손쉽게 내부망을 장악하는 ‘hands-on-keyboard’ 공격이 급증했다.

내부자 위협도 계속 늘고 있다. 북한(DPRK) 연계 조직의 내부자 활용 사례가 크게 증가했으며, 접근 브로커(Access Broker) 광고도 연간 50% 늘었다. 이들은 자격증명 탈취, 원격제어 도구 악용, 랜섬웨어 조직과의 협업 등으로 공격을 고도화하고 있다.

크라우드스트라이크는 “공격자들은 점점 더 빠르고 영리해지고 있다. 실시간 위협 탐지, 신원 및 접근관리 강화, 클라우드 환경의 취약점 보완, AI 기반 위협헌팅 등 선제적 방어 전략이 필수”라고 강조한다. 특히, MFA(다중인증) 우회, 사회공학, 내부자 위협에 대한 대응이 시급하다고 지적했다.

크라우드스트라이크 2025 글로벌 위협보고서는 “2025년, 공격자는 더 빨라진다. 방어자는 그 속도를 따라잡아야 한다”고 경고한다.

Source: CrowdStrike