Incident Response Report 2026 hero banner

보안 사고 대응 보고서 - 2026

글로벌
보안 사고
대응
보고서 2026

개요

2026년의 위협 환경을 형성할 네 가지 주요 트렌드를 살펴봅니다.

첫째, AI는 위협 행위자의 힘을 배가시키는 요소가 되었습니다. 새로운 벡터를 도입하면서 액세스에서 영향에 이르는 공격 라이프사이클을 압축합니다. 이러한 속도 변화는 측정할 수 있습니다. 2025년에는 가장 빠른 공격의 유출 속도가 4배로 증가했습니다.
둘째, 신원 확인은 공격자가 성공할 수 있는 가장 신뢰할 수 있는 경로가 되었습니다. 신원 취약점은 Unit 42 조사의 거의 90%에서 중요한 역할을 했습니다. 공격자들은 점점 더 도난당한 자격 증명과 토큰으로 ‘로그인’하고, 파편화된 신원 자산을 악용하여 권한을 확대하고 측면으로 이동합니다.
셋째, 소프트웨어 공급망 리스크는 취약한 코드를 넘어 신뢰할 수 있는 연결의 오용까지 확대되었습니다. 공격자는 Software as a Service(SaaS) 통합, 공급업체 도구 및 애플리케이션 종속성을 악용하여 대규모로 보안 경계를 우회합니다. 이는 고립된 침해에서 광범위한 운영 중단으로 영향을 미칩니다.
넷째, 국가적 행위자들은 스텔스 및 지속성 전술을 현대의 기업 운영 환경에 맞게 조정하고 있습니다. 이러한 공격자들은 점점 더 페르소나 기반 침투(위장 고용, 신원 위조)와 핵심 인프라 및 가상화 플랫폼에 대한 심층적인 침해에 의존하고 있으며, 이러한 거점을 강화하기 위해 AI를 이용한 수법이 사용되는 초기 징후가 나타나고 있습니다.

이 네 가지 트렌드는 각각 도전 과제를 제시하지만, 공격자의 성공 여부가 단일 공격 벡터에 의해 결정되는 경우는 거의 없습니다. 750건 이상의 보안 사고(인시던트) 대응(IR) 참여에서 침입의 87%는 여러 공격 표면에서 발생한 활동과 관련이 있었습니다. 즉, 방어자는 엔드포인트, 네트워크, 클라우드 인프라, SaaS 애플리케이션 및 신원을 함께 보호해야 합니다. 또한 절반 가까이(48%)가 브라우저 기반 활동과 관련된 것으로 나타났는데, 이는 공격이 이메일, 웹 액세스, 일상적인 SaaS 사용과 같은 일상적인 워크플로우와 얼마나 자주 교차하는지를 반영합니다.

대부분의 침해 사고는 공격자의 정교함이 아닌 노출로 인해 발생했습니다. 실제로 침해 사고의 90% 이상에서 제한된 가시성, 일관성 없이 적용된 제어, 과도한 신원 신뢰 등 예방 가능한 공백이 침입을 실질적으로 가능하게 했습니다. 이러한 조건은 탐지를 지연시키고, 측면 이동 경로를 생성하며, 공격자가 접근 권한을 획득하면 영향을 증가시킵니다.

보안 리더는 공격자가 이용하는 틈새를 좁혀야 합니다. 첫째, 타사 종속성 및 통합을 포함한 애플리케이션 에코시스템을 보호하고 현재 많은 침입이 시작되는 브라우저를 강화하여 노출을 줄이십시오. 이와 동시에 제로 트러스트를 발전시키고 ID 및 액세스 관리(IAM)를 강화하여 과도한 신뢰를 제거하고 측면 이동을 제한함으로써 영향 영역을 줄이십시오. 마지막으로, 최후의 방어선으로서 보안 운영 센터(SOC)가 원격 측정을 통합하고 대응을 자동화하여 머신 속도로 위협을 탐지하고 억제할 수 있도록 하십시오.

1. 소개

2025년에 Unit 42는 750건 이상의 주요 사이버 사고에 대응했습니다. 우리 팀은 갈취, 네트워크 침입, 데이터 도난 및 Advanced Persistent Threat(APT)에 직면한 대규모 조직과 협력했습니다. 대상은 모든 주요 산업과 50개 이상의 국가에 걸쳐 있습니다. 각 경우에서 SOC에서 지원을 요청할 정도로 상황이 악화되었습니다.

요청이 접수되면 사고 대응팀이 신속하게 위협을 조사하고 차단하며 근절합니다. 제어, 가시성 및 복원력을 강화하여 조직이 사고 원인을 규명하고 운영을 복구하며 재발 위험을 줄일 수 있도록 지원합니다.

각 침입에는 공격자가 목표로 삼은 대상, 액세스 권한 획득 방법, 활동 확대 과정, 더 빨리 막을 수 있었던 방법 등 스토리가 담겨 있습니다. 이러한 스토리를 종합하면 트렌드가 되고 글로벌 위협 환경에 대한 인사이트를 얻을 수 있습니다. 적의 공격 기법이 어떻게 변화하고 있는지, 조직이 반복적으로 저지르는 실수는 무엇인지, 그리고 가장 중요한 것은 방어자가 조직을 안전하게 지키기 위해 무엇을 할 수 있는지 보여줍니다. 이 보고서는 이러한 교훈을 정리한 것입니다.

지난 한 해 동안 공격 속도는 계속 빨라졌습니다. 공격자들은 아직 AI 기반 공격 기법을 도입하는 초기 단계이지만, 그 영향력은 이미 가시화되고 있습니다. AI는 정찰, 소셜 엔지니어링, 스크립팅, 문제 해결 및 강탈 작업 전반에서 마찰을 줄여줍니다. 이를 통해 더 큰 규모와 여러 공격을 동시에 실행할 수 있습니다. 그 결과, 최초 액세스 후 처음 몇 분 동안 어떤 일이 발생하느냐에 따라 보안 사고가 침해로 이어질지 여부가 결정되는 탐지 및 봉쇄 기간이 단축됩니다.

동시에 대부분의 침해 사고는 여전히 익숙한 경로를 따르고 있습니다. 그렇기 때문에 보안 문제는 해결할 수 있다는 가장 중요한 결론은 변하지 않습니다. 보안 사고의 90% 이상에서 잘못된 구성이나 보안 범위의 허술함이 침입을 실질적으로 가능하게 했습니다. 공격자들은 적응하고 있지만, 대부분 일관성 없는 제어 배포, 불완전한 원격 측정, 지나치게 허용적인 ID 신뢰, SaaS 및 클라우드 전반의 관리되지 않는 타사 연결 등 예방 가능한 틈새를 악용하여 성공합니다.

이 보고서는 현재 위협 환경에 대한 실용적인 가이드로 구성되어 있습니다:

새로운 위협과 트렌드: 공격자의 수법이 진화하는 방법 - 공격자의 기법이 진화하는 방법 - AI를 통한 역량 증대, 가장 신뢰할 수 있는 성공 경로로서의 신원 확인, 신뢰할 수 있는 연결을 통한 소프트웨어 공급망 위험 확대, 진화하는 국가 지원 공격 전술.
침입 내부: 공격자의 목표, 침입 방법, 이동 속도, 영향력 등 Unit 42 조사에서 관찰된 전술, 기술 및 절차에 대한 종합적인 보기입니다.
방어자를 위한 권장 사항: 보안 침해를 가능하게 하는 격차를 좁히고, 영향 영역을 제한하며, 사고가 확대되기 전에 막을 수 있을 만큼 신속하게 대응 역량을 구축하기 위한 구체적인 조치를 취하십시오.

Unit 42는 사이버 위협으로부터 디지털 세상을 보호하기 위해 24시간 연중무휴로 운영됩니다. 이 보고서의 목표는 간단합니다. 최전선에서 얻은 교훈을 침해가 발생하기 전에 사고를 막는 의사 결정으로 전환하는 것입니다.

2. 새로운 위협 및 트렌드

트렌드 1. 강력한 영향력이 된 AI, 공격자들의 역량을 배가시키는 수단

AI는 침입의 경제성을 변화시키고 있습니다. 공격자의 속도, 규모, 효율성을 높이는 동시에 완전히 새로운 공격 경로를 열어줍니다.

이러한 활동의 대부분은 우리가 직접 관찰할 수 없는 적의 인프라에서 발생하지만, Unit 42의 조사 및 연구를 통해 분명한 변화가 있음을 알 수 있습니다. 2025년에 위협 행위자들은 실험에서 일상적인 운영으로 전환했습니다. AI는 공격자에게 '쉬운 버튼'은 아니지만, 엄청난 마찰을 줄여주는 역할을 합니다. 이를 통해 위협 행위자는 더 빠르게 움직이고, 더 자주 반복하며, 더 적은 인력 제약으로 운영할 수 있습니다.

공격의 속도와 규모를 높이는 AI

AI는 공격 라이프사이클을 단축하고 여러 표적에 걸쳐 작업하는 데 필요한 수작업을 줄여줍니다.

더 빠른 취약점 익스플로잇: 취약점 공개와 악용 사이의 시간은 계속 줄어들고 있습니다. 위협 행위자들은 ‘모니터링 → 변경사항 분석 → 테스트 → 무기화’의 과정을 자동화하고 있습니다. Unit 42의 연구 에 따르면 공격자들은 CVE가 발표된 후 15분 이내에 새로 발견된 취약점을 스캔하기 시작합니다. 익스플로잇 시도는 많은 보안 팀이 취약성 경고를 읽기도 전에 시작되는 경우가 많습니다.

병렬화된 타겟팅: 운영자 시간은 제약이 적습니다. AI 지원 워크플로우를 통해 활동가는 수백 개의 표적에 대한 정찰과 초기 접근 시도를 동시에 실행한 다음 약한 신호를 발견한 곳에 노력을 집중할 수 있습니다.

대규모 랜섬웨어: 배포(스크립트 생성, 템플릿 작성) 및 갈취(메시징 일관성) 과정에서 수작업을 줄이기 위해 공격자가 AI를 사용하는 것을 볼 수 있습니다. 이러한 변화는 랜섬웨어가 새로운 것이 아니라 랜섬웨어를 대규모로 실행하는 데 필요한 공격자의 시간이 줄어들고 있다는 것입니다.

랜섬웨어 자동화

랜섬웨어 조사에서 Unit 42는 페이로드를 배포하고, 측면 이동을 조정하고, 대규모 보안 제어를 손상시키는 데 사용되는 운영 스크립트를 복구했습니다. 이례적으로 철저한 주석 처리, 템플릿화된 변형, 효율성에 초점을 맞춘 대체 로직 등 몇 가지 요소가 AI 지원 개발과 일치했습니다. 그 결과 수백 개의 시스템에서 기계처럼 실행할 수 있어 일반적으로 다단계 배포에 필요한 시간과 노력을 압축할 수 있었습니다.

AI 협상가

한 갈취 사례에서 Unit 42 협상가들은 어조, 문법, 케이던스, 처리 시간 등 모든 면에서 비정상적으로 일관된 응답을 확인했습니다. 이러한 패턴은 템플릿 또는 AI 지원 메시징과 일치합니다. 부분적인 자동화도 중요합니다. 모든 스레드에 사람이 개입하지 않고도 더 많은 동시 협상을 진행하고 더 엄격한 압력을 가할 수 있습니다.

이는 시간 대비 영향력에서 무엇을 의미할까요? 작년에 Unit 42는 AI를 이용한 공격을 시뮬레이션하여 탈출 시간을 25분으로 단축했습니다. 실제 IR 데이터는 이러한 가속화를 반영합니다. 전체 침입의 가장 빠른 25%가 데이터 유출에 1.2시간이 걸렸는데, 이는 전년도 4.8시간에서 감소한 수치입니다.

공격자 성과를 개선하는 AI

AI는 알려진 공격 기법의 성공률을 높이고 있습니다.

초개인화된 소셜 엔지니어링: ‘더 나은 문법을 사용한 피싱’을 넘어섰습니다. 공격자들은 직업적 및 조직적 맥락을 포함한 오픈 소스 정보(OSINT) 수집을 자동화하여 표적이 되는 대상자의 역할과 관계에 맞는 유인 수법을 만들 수 있습니다.

합성 신원(ID):Muddled Libra 및 북한 IT 종사자 와 같은 위협 행위자들은 점점 더 딥페이크 기술을 사용하여 자격 증명을 훔치고 원격 채용 워크플로를 통과하는 방법을 사용하고 있습니다.

멀웨어 개발: Unit 42는 샤이-훌루드 캠페인에서 공격자들이 대규모 언어 모델(LLM)을 사용해 악성 스크립트를 생성했다고 평가했습니다.

진입 장벽을 낮췄습니다: 목적에 맞게 제작된 악성 LLM과 탈옥 공격은 설득력 있는 유인 수법과 기능적 코드 변종을 만드는 데 필요한 기술을 지속적으로 감소시키고 있습니다. 그 결과, 더 많은 공격자들이 실수를 줄이면서 믿을 수 있는 트레이딩을 더 빠르게 실행할 수 있게 됩니다.

‘바이브 갈취’

정교하지 않은 공격자가 민감한 데이터를 유출했지만 이에 대한 계획이 없었습니다. 이 간극을 메우기 위해 그들은 마감 시한과 압박 전술을 갖춘 전문적인 갈취 전략을 짜기 위해 LLM을 사용했습니다. 그 결과는 초현실적이었습니다: 공격자가 술에 취한 상태에서 침대에서 위협 영상을 촬영했고, 화면에 표시된 AI가 생성한 스크립트를 한 단어 한 단어 읽었습니다. 위협은 기술적 깊이가 부족했지만 모델은 일관성을 제공했습니다. AI는 공격자를 더 똑똑하게 만든 것이 아니라 위험할 정도로 전문적으로 보이게 만들었을 뿐입니다.

결론: AI는 각 단계에서 공격자의 성공률을 향상시킵니다. 이로 인해 유인 수법의 품질을 개선하고 도구를 조정하는 데 필요한 시간을 단축하며 지속적인 공격자 개입에 대한 의존도를 줄여 갈취가 보다 일관성 있고 확장 가능하게 만듭니다.

새로운 공격 벡터를 만드는 AI

엔터프라이즈 AI 도입은 새로운 종류의 위험을 초래합니다: 인공지능의 땅에서 살아가기(LOTAIL). 공격자들이 PowerShell 또는 WMI(Windows 관리 도구)를 오용하는 것처럼, 이제 합법적인 AI 플랫폼과 내장된 지원 도구를 무기화합니다.

AI 플랫폼을 무기로 전환: 위협 행위자는 유효한 자격 증명을 사용하여 엔터프라이즈 AI 플랫폼을 오용합니다. 예를 들어, 최근 Google Vertex AI에 대한 Unit 42의 연구 는 공격자가 사용자 지정 작업 권한을 오용하여 권한을 상승시키고 악성 모델을 트로이 목마로 사용하여 독점 데이터를 유출하는 방법을 보여주었습니다.

공격자의 부조종사: 탈취된 자격 증명을 사용하여 침입자는 통합 가이드, 관리자 런북 또는 네트워크 맵 등 내부 지원 도구를 통해 기계의 속도로 컨텍스트를 가져올 수 있습니다. 이 내부 지원 도구가 침입자의 역량을 증폭하고 실수를 줄이면서 환경을 파악할 수 있도록 도와줍니다.

AI 지원 내부자

내부자가 회사 자체의 AI 지원 도구를 무기화하여 공격을 감행했습니다. 포렌식 분석 결과, 내부자는 이 도구를 사용하여 내부 시스템을 조사하고, 사용자 지정 서비스 거부(DoS) 스크립트를 생성하고, 실시간으로 오류를 해결하는 데 사용했습니다. 이 지원 도구는 기술 격차를 해소하여 AI 지원 없이는 효과적으로 작전을 수행하지 못했을 핵심 인프라를 표적으로 삼을 수 있게 해 주었습니다.

위험은 분명합니다 도구가 직원의 업무 수행에 도움이 된다면 다음과 같은 부분도 있습니다. 침입자가 환경을 이해하고 실수를 줄이면서 이동할 수 있도록 도와줍니다.

대응책: AI 기반 위협으로부터 방어하기

다음 전략이 AI 지원 공격을 방어하는 데 도움이 될 것입니다.

AI 가속 공격 속도에 대응

외부 패치 자동화: 인터넷 연결 자산의 중요 CVE에 대한 자동 패치를 의무화하여 24시간 내 익스플로잇 가능성을 닫습니다.
자율 격리: AI 기반 대응을 배포하여 평균 탐지/대응 시간(MTTD/MTTR)을 단축하고 측면 이동을 자동화하기 전에 위협을 격리합니다.

고도화된 공격 기법에 대비

행동 기반 이메일 보안: 시그니처 기반 필터에서 통신 패턴의 이상 징후를 식별하는 엔진으로 전환합니다.
인텐트 기반 인식: 단순히 직원들에게 오타를 발견하도록 교육하는 것 이상으로 나아가십시오. 모든 민감한 요청(예: 전신 송금, 자격 증명 재설정 또는 원격 채용)에 대해 대역 외(OOB) 인증으로 전환하십시오.

AI 공격 표면 보호

모델 원격 측정을 모니터링: 모델 출력에서 가져온 비정상적인 AI API 호출 또는 스크립트를 알려진 회피 기법과 연관시킵니다.
신속한 가시성: 내부 LLM에 대한 민감한 쿼리(예: ‘모든 암호 찾기’)에 대해 경고하고 토큰 및 서비스 계정에 대한 엄격한 권한 경계를 적용합니다.

트렌드 2. 신원 확인은 공격자가 성공할 수 있는 가장 확실한 경로입니다

지난 한 해 동안 Unit 42가 처리한 90%에 가까운 조사에서 신원 취약점이 실질적인 역할을 했습니다. 우리의 사례에서 신원 도용은 끝에서 끝까지 이어집니다. 이는 유효한 액세스 권한을 사용하여 권한 상승의 통로이자 측면 이동의 메커니즘 역할을 했습니다.

조직이 SaaS, 클라우드 및 하이브리드 환경으로 더 깊이 이동함에 따라 네트워크 경계는 덜 중요해집니다. 사용자, 기계, 서비스, 데이터 간의 연결인 신원은 실질적인 경계가 되었습니다. 대부분의 경우 위협 행위자는 정교한 익스플로잇 체인을 필요로 하지 않습니다. 도난당한 자격 증명, 탈취된 세션 또는 잘못 설정된 권한으로 로그인합니다.

인증된 액세스는 침입의 역학 관계를 변화시킵니다. 이를 통해 적들은 더 빠르게 이동하고, 정상적인 활동 속에 섞여들어 더 적은 장애물로 영향력을 확대할 수 있습니다. 이러한 추세는 머신 ID, 임베디드 AI 애플리케이션, 파편화된 ID이 확대되면서 공격자가 악용할 수 있는 액세스 경로의 수가 증가함에 따라 더욱 가속화되고 있습니다.

들어가는 길: ID 기반 초기 액세스

Unit 42의 사례 데이터에 따르면 초기 접속의 65%가 ID 기반 기술에 의해 이루어지고 있습니다. 방어자가 취약점을 패치하는 데 집중하는 동안 위협 행위자는 사용자와 인증 경로를 표적으로 삼아 소프트웨어 제어를 우회하는 경우가 많습니다.

초기 액세스의 주요 경로는 다음과 같습니다:

신원 관련 소셜 엔지니어링(33%): 신원 기반 피싱(22%)과 기타 소셜 엔지니어링(11%)이 여전히 최신 침해 사고의 주요 원인으로 꼽힙니다. 이러한 수법은 단순한 자격 증명 도용이 아니라 멀티팩터 인증(MFA) 우회와 세션 탈취에 점점 더 초점을 맞추고 있으며, 공격자는 신뢰할 수 있는 ID 워크플로우를 악용하여 인증 제어를 우회하고 측면으로 이동할 수 있습니다.
자격 증명 오용 및 무차별 대입(21%): 이전에 유출된 자격 증명(13%)과 무차별 대입 활동(8%)을 통해 공격자는 거의 상호 작용 없이도 액세스 권한을 얻을 수 있습니다. 공격자들은 이전 침해 사고나 지하 시장에서 얻은 유효한 계정을 사용하여 가상 사설망(VPN), 원격 액세스 게이트웨이, 클라우드 포털에 직접 로그인함으로써 조기 탐지 없이 기존의 경계 방어 시스템을 우회합니다.
신원 정책 및 내부자 위험(11%): 내부 신뢰 구조와 아키텍처 결함에서 비롯된 이러한 공격 벡터는 유효한 권한을 악용합니다. 공격자는 지나치게 허용적인 정책과 같은 IAM의 잘못된 구성(3%)을 활용하여 권한을 상승시키고 액세스 권한을 상속하며, 내부자 위협(8%)은 합법적인 자격 증명의 남용을 수반합니다.

신원 관리와 취약성 관리는 별개의 싸움이 아닙니다. 자격 증명이 유출되면 패치가 적용되지 않은 인터넷 노출 시스템과 동일하게 노출될 수 있습니다.

통과하는 길: ID는 액세스를 영향력으로 전환

초기 액세스 후 ID 격차는 공격자가 영향력이 큰 침해 사고의 발판을 마련하는 가장 일반적인 방법 중 하나입니다. 최신 환경에서는 인증된 동작에 따라 속도와 폭발 반경이 결정됩니다.

Unit 42 가 클라우드 계정의 68만 개 이상의 신원을 분석한 결과, 클라우드 사용자, 역할 및 서비스의 99%가 과도한 권한을 가지고 있었으며, 일부는 60일 이상 사용하지 않은 것으로 나타났습니다. 이렇게 하면 많은 신원이 일상적으로 필요하지 않은 권한을 가지고 있기 때문에 측면 이동이 생각보다 쉬운 환경이 조성됩니다.

공격자는 인간과 기계의 신원을 모두 공격 수단으로 악용합니다:

권한 상승: 과도하게 설정된 역할, 상속된 권한 및 폐기되지 않은 레거시 권한은 더 높은 권한으로 가는 반복적인 경로를 만듭니다. 공격자가 IAM에 쓸 수 있게 되면 새로운 툴을 배포하지 않고도 빠르게 에스컬레이션할 수 있습니다.
자격 증명 재사용 및 측면 이동: 공격자는 일반적으로 다른 시스템에서 손상된 자격 증명을 테스트합니다. 특히 프로덕션 환경과 비프로덕션 환경에서 암호를 재사용하거나 공유 계정이 여전히 존재하는 경우 더욱 그렇습니다.
토큰 및 OAuth 오용: 공격자는 탈취한 세션 토큰과 불법 OAuth 권한을 통해 대화형 인증(MFA 포함)을 우회하고, 반복 로그인 없이 지속하며, 명백한 경고를 거의 받지 않고 활동할 수 있습니다.

신뢰 경로(예: 공유 관리 계정, 위임된 액세스 및 타사 도구)는 측면 이동을 위한 빠른 통로가 됩니다. 엄격한 권한 경계와 강력한 신원 세분화가 없으면 하나의 유출된 신원이 광범위한 액세스 권한으로 확장될 수 있습니다.

확장되는 신원 공격 표면

신원 환경이 확장되고 세분화되고 있습니다. 조직이 클라우드, SaaS 및 AI 지원 워크플로우를 도입함에 따라 신원이 종종 일관된 거버넌스 외부에 있는 영역으로 이동하여 공격자가 가시성이 낮은 상태에서 활동할 수 있는 영역이 생깁니다.

이러한 변화를 주도하는 세 가지 트렌드가 있습니다:

머신 및 AI 신원의 부상: 서비스 계정, 자동화 역할, API 키, 새로운 AI 에이전트와 같은 비인간 신원이 인간 사용자보다 더 많은 경우가 많습니다. 이러한 신원은 종종 권한이 과도하게 부여되고, 수명이 긴 자격 증명에 의존하며, 일관성 있게 모니터링되지 않습니다. 공격자 입장에서는 서비스 계정을 침해하는 것이 사람을 침해하는 것보다 더 큰 영향력을 발휘할 수 있고 조용할 수 있습니다.
섀도 신원: 클라우드 및 AI 도입으로 인해 승인되지 않은 계정, 개발자 환경 및 타사 커넥터의 양이 증가했습니다. 이러한 섀도 신원은 종종 표준 온보딩, 검토 및 로깅을 우회하여 SOC가 영향을 받기 전까지는 알 수 없는 액세스 경로를 생성합니다.
신원 사일로: 대부분의 기업에서는 여러 신원 시스템(예: Active Directory, Okta, 클라우드 네이티브 IAM)을 운영합니다. 인증과 권한 부여가 파편화되면 가시성도 떨어집니다. 공격자는 온프레미스와 클라우드 환경 사이를 이동하면서 단일 제어 영역에 불완전한 흔적을 남길 수 있습니다.

대규모의 잘못된 구성은 신원 확인을 통제에서 책임으로 바꿉니다. 머신 신원 섀도 액세스, 파편화된 신원 자산이 결합되면 공격자는 보다 안정적인 경로를 확보하여 지속 및 확장할 수 있습니다. 그리고 방어자는 엔드투엔드 가시성을 잃게 됩니다.

대응책: 신원 기반의 공격 차단

이러한 전술적 단계는 Unit 42 사례에서 관찰된 신원 기반 공격 기법을 차단할 수 있습니다.

피싱 방지 MFA를 배포: 표준 MFA는 최신 우회 및 중간자 공격 전술에 대응하기에 충분하지 않습니다. 중요도가 높은 역할(관리자, 임원, 개발자)에 대해 FIDO2/WebAuthn 하드웨어 키 또는 패스키의 우선 순위를 지정합니다.
머신 신원을 식별하고 주기적으로 교체: 사람이 아닌 신원(서비스 계정, 자동화 역할, API 키)에 대한 지속적인 검색을 설정하십시오. 90일 동안 변경되지 않은 모든 권한 있는 서비스 계정의 정적 자격 증명을 즉시 교체하고 가능한 경우 자격 증명 수명을 줄이십시오.
세션을 강화: 공격자들은 점점 더 로그인 후 토큰을 훔치고 OAuth 권한을 오용하는 방식으로 공격하고 있습니다. 민감한 애플리케이션의 세션 수명을 줄이고 세션 중에 디바이스 상태, 위치 및 위험을 지속적으로 평가하는 조건부 액세스를 적용하십시오.
스탠딩 관리자 권한을 제거: 권한 있는 액세스를 적시 모델로 이동합니다. 영구적인 관리자 권한을 제거하고 승인 및 강력한 로깅을 통해 시간 제한 승격을 요구하므로, 손상된 계정은 기본적으로 최소한의 권한만 부여받습니다.

트렌드 3. 소프트웨어 공급망 공격으로 다운스트림 중단이 증가하는 추세

공급망 위험은 더 이상 취약한 코드에만 국한되지 않습니다. 2025년에는 공급망이 SaaS 통합, 공급업체 관리 플레인 및 복잡한 종속성 에코시스템을 포함하도록 확장되었습니다. 결정적인 패턴은 다운스트림 중단과 병렬 평가였습니다. 업스트림 공급업체가 침해 또는 서비스 중단을 보고하면 고객들은 ‘우리도 영향을 받는가’라는 기본적인 질문에 답해야 하는 경우가 많았습니다. 많은 경우 자신의 노출에 대한 가시성이 제한적이었습니다.

새로운 장애 모드는 손상된 고객 한 명이 아닙니다. 업스트림의 상황이 아직 불분명한 상태에서 많은 고객이 병렬 분류로 밀려나고 있습니다. 따라서 공급망은 국가와 범죄 집단 모두에게 높은 가치를 지닌 표적이 됩니다. 현대 비즈니스가 의존하는 신뢰할 수 있는 연결을 통해 한 번의 타협으로 일대다 기회를 창출할 수 있습니다.

SaaS 통합: 대규모로 상속된 권한

SaaS 환경은 OAuth 앱, API 키 및 워크플로 자동화를 통해 서로 연결됩니다. 이러한 연결은 일상적으로 데이터 및 비즈니스 프로세스에 대한 액세스를 수반합니다. 공격자에게는, 손상된 통합이 정상적인 자동화처럼 보이는 측면 이동 경로가 될 수 있습니다.

이 노출은 Unit 42 조사에 반영됩니다. 2024년 18%, 2023년 12%, 2022년 6%에 불과했던 SaaS 애플리케이션의 데이터는 2025년 23%로 증가했습니다. 꾸준한 증가세는 공격자들이 전통적인 경계를 넘어 현대적 업무가 이루어지는 클라우드 기반 도구에 집중하고 있음을 보여줍니다.

위험 요소는 상속된 권한입니다. 조직에서 OAuth를 통해 타사 앱을 통합하면 해당 애플리케이션은 민감한 데이터 읽기, 사용자 관리 또는 기록 수정 기능을 포함하여 원래 부여된 모든 권한을 받게 됩니다. 업스트림 제공업체가 손상되면 동일한 권한이 다운스트림에서도 악용될 수 있습니다.

숨겨진 통합 위험

최근 손상된 영업 참여 플랫폼(Salesloft/Drift 통합)과 관련된 조사에서 공격자는 유효한 OAuth 토큰을 활용하여 다운스트림 Salesforce 환경에 액세스했습니다. 이 활동은 일상적인 고객 관계 관리자(CRM) 자동화와 유사하며 예상되는 통합 트래픽에 섞여 있습니다. 보안 사고 후 검토를 통해 더 심각한 문제가 발견되었습니다. 조직은 Salesforce에 연결된 약 100개의 타사 통합을 추가로 발견했으며, 이 중 상당수는 휴면 상태이거나 모니터링되지 않거나 전 직원이 소유한 것으로 나타났습니다.

오픈 소스 및 AI: 스프롤 및 빌드 시간 침해

오픈소스는 여전히 현대 개발의 기반이지만, 간접적인 종속성에 대한 위험은 점점 더 커지고 있습니다. Unit 42 연구 에 따르면 클라우드 네이티브 애플리케이션의 취약점 중 60% 이상이 코드가 전이 라이브러리에 존재한다고 합니다. 이러한 라이브러리는 코드가 의존하는 패키지를 통해 가져온 '조용한' 종속성입니다.

또한 위협 행위자는 설치 및 빌드 단계에서 실행할 악성 코드를 업스트림 패키지에 주입하여 배포 전에 파이프라인을 손상시키고 있습니다. 개발 속도는 이러한 위험을 더욱 가중시킵니다. GenAI 지원 코딩이 주류가 되면서 팀에서는 더 많은 코드와 더 많은 종속성을 더 빠르게 수집하고 있습니다. 이는 출처, 관리자의 신뢰 및 다운스트림 패키지 동작에 대한 충분한 조사가 이루어지지 않은 상태에서 이루어지는 경우가 많습니다.

악성 패키지

우리는 위협 행위자가 합법적인 npm 패키지의 악성 버전을 업로드한 캠페인을 조사했습니다. 종속성 트리 깊숙이 포함된 하나의 패키지는 설치 즉시 공격자가 제어하는 코드를 실행했습니다. 이 활동은 빌드 및 설치 중에 발생하기 때문에 런타임 탐지를 우회하고 여러 빌드 환경에서 경고를 보기 전에 발판을 마련할 수 있습니다.

공급업체 도구: 관리 채널의 무기화

공급업체 도구, 특히 원격 모니터링 및 관리(RMM) 및 모바일 디바이스 관리(MDM) 플랫폼은 대규모의 권한 있는 관리 작업을 위해 설계되었습니다. 공격자가 공급업체의 관리 인프라(또는 고객의 테넌트)에 액세스하면 일상적인 관리 트래픽에 혼합되는 방식으로 멀웨어를 푸시하거나, 명령을 실행하거나, 구성을 변경할 수 있습니다. 이러한 추세는 현장에서의 관찰이 뒷받침하고 있습니다: 명령 및 제어(C2) 기법의 39%가 원격 액세스 도구(T1219)와 관련된 것으로 확인되었습니다.

또한 기업은 중요한 워크플로 내부에서 실행되는 불투명한 타사 애플리케이션의 위험도 상속받습니다. 고객이 공급업체의 코드베이스 또는 보안 가정을 검사할 수 없는 경우, 잠재적인 백도어, 하드코딩된 자격 증명 또는 노출된 인터페이스가 눈에 띄지 않게 지속될 수 있습니다.

레거시 애플리케이션

다국적 조사에서 기존 타사 결제 애플리케이션이 문서화되지 않고 인증되지 않은 인터페이스를 인터넷에 연결한 것으로 밝혀졌습니다. 기존 제어에서는 트래픽이 정상적인 애플리케이션 동작과 일치하는 것처럼 보였기 때문에 이를 감지하지 못했습니다. 심층 평가 결과 SQL 인젝션 지점 및 숨겨진 셸 기능을 포함한 구조적 결함이 발견되었습니다. 이러한 문제는 고객이 기본 코드를 검사할 수 없었기 때문에 수년 동안 지속되었습니다.

영향력: 대응부터 비즈니스 중단까지

공급망 보안 사고는 불확실성으로 인해 혼란을 증폭시킵니다. 공급업체가 침해당하면 하위 팀은 정보 공백 상태에서 운영하게 됩니다. 그 결과, 팀은 변경 사항을 일시 중지하고, 통합을 검토하고, 종속성을 분리하고, 정상적인 운영을 재개하기 전에 영향이 없는지 확인하려고 시도하면서 조직은 대규모로 ‘평가 모드’로 전환하게 됩니다.

세 가지 시스템적 격차가 이러한 부담을 가중시킵니다:

재고 관리 격차: 많은 조직에서 SaaS 연결, 공급업체 에이전트 및 전이 라이브러리에 대한 통합된 보기가 부족하여 ‘이것이 어디에 사용되는가?’에 대한 답을 늦추고 있습니다.
권한 불투명도: 통합, 에이전트 및 툴링의 효과적인 권한은 수동 검토 없이는 신속하게 파악하기 어렵기 때문에 실제 영향이 불분명합니다.
원격 측정 격차: 활동이 신뢰할 수 있는 채널(업데이트, API 호출, 관리 도구)을 통해 이루어지기 때문에 로그가 합법적으로 보이는 경우가 많아 탐지가 지연되고 조사 시간이 늘어날 수 있습니다.

앞을 내다보기: 조직이 AI 지원 워크플로와 타사 에이전트를 도입함에 따라 이러한 과제는 더욱 복잡해질 것입니다. 공급망 리스크에는 코드 무결성뿐만 아니라 조직을 대신하여 실행되는 모델, 커넥터 및 위임된 작업의 무결성도 점점 더 포함될 것입니다.

대응책: 소프트웨어 공급망 손상 방지

공급망을 방어하려면 노출 및 영향 영역을평가하는 데 필요한 시간을 단축해야 합니다.

SaaS 소유권 및 범위를 매핑: 인벤토리 OAuth 앱 및 통합(SaaS 보안 태세 관리 및 검색). 소유자를 지정합니다. 휴면 통합 및 탈퇴한 사용자와 연결된 통합을 제거합니다.
‘비상 차단(break-glass)’ 분리 계획을 설계: 업스트림 보안 사고 발생 시 즉흥적으로 대처하지 않고 토큰을 취소하고, 커넥터를 비활성화하고, 벤더 에이전트를 격리하는 방법을 미리 정의하십시오.
공급업체 및 통합 활동을 심층적으로 감사 및 기록: 무엇을, 어디서, 누가 실행했는지 답변할 수 있어야 합니다. 권한 변경, 토큰 부여 및 비정상적인 관리자 작업에 대한 알림을 받습니다.
빌드 수집을 강화: 소프트웨어 구성 분석(SCA) 및 출처 제어를 사용합니다. 버전을 고정하고, 새 저장소를 제한하며, 특히 설치 또는 빌드 시 실행되는 새 종속성을 검토해야 합니다.

트렌드 4. 국가적 행위자들이 현대 환경에 맞게 전술을 조정하고 있습니다.

2025년에는국가 단위의 작전 이 확장되어 첩보, 사전 포지셔닝 및 접근 캠페인이 발전했습니다. 중국, 북한, 이란과 관련된 캠페인에서 세 가지 변화가 두드러졌습니다:

ID 기반 액세스의 사용 확대
인프라 및 가상화 계층의 심층적 타협
은밀과 지속성을 목표로 한 AI 기반 공격 기술의 초기 실험이 있었습니다.

중국과 연계된 그룹은 사용자 수준의 활동을 넘어 인프라 및 가상화 플랫폼으로 이동했습니다. 북한과 이란의 공격자들은 접근을 위해 모집 유인 수법, 합성 페르소나, 맞춤형 멀웨어를 광범위하게 사용했습니다. 또한 딥페이크 신원 생성 및 자동화된 C2 생성과 같은 새로운 AI 기반 기술도 관찰했습니다.

이러한 발전은 방어자가 탐지하고 검증하기 훨씬 더 어려운 액세스 방법으로의 전환을 반영합니다.

중국: 엣지 및 가상화에 집중

중국 넥서스 위협 활동은 계속해서 장기적인 액세스 및 데이터 수집에 우선순위를 두었습니다. 2025년에 주목할 만한 변화는 이메일 중심의 스파이 활동에서 애플리케이션, 인프라 및 가상화 계층에 대한 심층적인 악용으로 옮겨갔다는 점입니다.

팬텀 토러스 는 민감한 이메일 수집 중심의 캠페인에서 데이터베이스와 웹 서버를 직접 타깃팅하여 수집 및 유출하는 캠페인으로 진화하면서 이러한 변화의 모범을 보여주었습니다. NET-STAR 멀웨어는 고급 우회 기술을 사용하여 웹 인프라가 노출된 조직에 상당한 위험을 초래했습니다.

마찬가지로, 정보 기술, SaaS 및 비즈니스 프로세스 아웃소싱 조직(Unit 42에서 활동으로 추적한 클러스터 CL-STA-0242)에 대한 1년간의 지속적 캠페인이 관찰되었습니다. 이 캠페인의 배후에 있는 그룹은 IT 서비스 제공업체가 운영하는 가상화 플랫폼을 손상시키고 일반 암호화된 웹 세션 내에 C2 트래픽을 숨겨 네트워크 모니터링을 통한 탐지를 훨씬 더 어렵게 만드는 BRICKSTORM 멀웨어를 배포했습니다. CISA는 공개적으로 브릭스톰 활동을 중국 국가가 후원하는 행위자들에 의한 것이라고 밝혔습니다.

이러한 변화는 사용자 수준의 정보 수집에서 벗어나, 더 깊은 인프라 및 가상화 환경 침해로 지속적으로 이동하고 있음을 보여줍니다. 이러한 환경에서는 장기적인 접근 권한이 더 견고하게 유지되며, 방어자가 이를 탐지하기도 더욱 어렵습니다.

북한: 무기화된 HR 파트 I

북한의 위협 활동은 2025년에도 기업들에게 지속적인 도전 과제로 남았습니다. 광범위한 공개 신고, 법 집행 조치, 다자간 제재 조치에도 불구하고 여러 차례의 장기적인 캠페인이 계속되었습니다.

Unit 42는 최소 두 개의 캠페인을 추적했습니다.

Wagemole: 북한 요원들이 미국 및 유럽 조직에 무단으로 원격 고용되어 은밀하게 수입을 북한 정권에 돌려보냈습니다. 이러한 계약자 및 직원 역할을 통해 얻은 액세스 권한으로 인해 무단 금융 결제와 스파이 활동이 모두 가능해졌습니다. 2023년에 처음 공개적으로 노출된 Wagemole은 2025년에도 계속 활동했으며, 20개 이상의 기업 환경에서 관련 활동을 식별하고 퇴출시켰습니다.
웨이지몰 컨테이저스 인터뷰: 최소 2022년부터 공격자들은 코딩 과제를 통해 멀웨어를 전달하는 허위 채용 면접을 통해 소프트웨어 개발자와 IT 담당자를 표적으로 삼았습니다. 2025년에만 10개 이상의 기업 네트워크에서 Contagious 인터뷰 감염을 제거하여 기업 시스템에서 확인되지 않은 코드를 실행하는 것과 관련된 위험을 강조했습니다.

이란: 무기화된 HR 파트 II

2025년에도 이란의 위협 활동은 여러 그룹이 전략 부문에 대한 작전을 계속하면서 높은 수준을 유지했습니다. 특히 주목할 만한 것은 ‘Screening Serpens’과 ‘Curious Serpens’로, 이 둘은 취업을 미끼로 항공우주 및 위성 통신 사업자를 목표로 삼았습니다. 이러한 활동은 민감한 기술 및 운영 정보를 취급하는 조직에 대한 이란의 오랜 관심을 반영합니다.

Unit 42는 다음 캠페인을 추적했습니다:

Screening Serpens(일명 스모크 샌드스톰, UNC1549): 이 그룹은 잘 알려진 항공우주 및 방위 기업을 모방한 사기성 취업 포털을 만들어 중동의 정부 기관을 표적으로 삼았습니다. 이러한 사이트에서는 신뢰성을 높이기 위해 유효한 코드 서명 인증서로 서명된 입사 지원 자료로 패키징된 멀웨어를 배포했습니다. 운영상의 보안 오류로 인해 Unit 42 연구원들은 전체 감염 체인을 검토할 수 있었습니다. 지원자들은 이 체인으로 감염된 설문조사 파일이나 문서 번들을 다운로드하도록 요청받았습니다.
Curious Serpens(일명 APT33, 피치 샌드스톰으로 알려짐): Curious Serpens는 구인 미끼를 이메일로 보내고 채용 관련 웹사이트에 게시하는 방식으로 커뮤니케이션 제공업체를 표적으로 삼았습니다. 이 작전은 인텔리전스를 수집하고 후속 페이로드를 준비할 수 있는 모듈식 백도어를 설치했습니다. 운영자들은 합법적으로 서명된 실행 파일, DLL 사이드 로딩 및 우회 기법에 의존했으며, 최신 보안 제어를 우회하도록 설계된 특수 도구 세트에 지속적으로 투자하는 것으로 나타났습니다.

신뢰할 수 있는 이력서

한 Screening Serpens 조사에서 공격자는 악성코드를 설치하고 합법적인 원격 관리 도구를 사용할 수 있게 하는 맞춤형 이력서 파일을 가지고 LinkedIn과 개인 이메일을 통해 직원에게 접근했습니다. 일단 내부로 진입한 공격자는 자격 증명을 수집하고, 환경을 조사하고, 맞춤형 백도어를 배포하고, 활동 흔적을 제거하려고 시도하는 등 지속성과 은밀성에 중점을 둔 것으로 나타났습니다.

사실적인 고용 테마와 서명된 바이너리를 사용하면 피해자가 악성 파일을 열 가능성이 높아집니다. 이는 민감한 부문에서 채용 관련 활동을 모니터링하고 외부에서 유입된 문서나 코드를 확인해야 할 필요성을 강조합니다.

국가 차원의 인공지능(AI) 도입

국가 주체가 대규모로 AI를 도입했다는 증거는 아직 제한적이지만, 2025년은 일부 그룹이 AI를 운영에 통합하기 시작했다는 초기 징후를 보여주었습니다. 이러한 활동의 대부분은 멀웨어 개발, 인프라 생성 또는 유출된 데이터 분석과 같은 사용 사례의 대부분이 기업 환경 외부에서 기존의 가시성 범위를 벗어나 발생하기 때문에 방어자가 관찰하기 어렵습니다. 역량이 발전함에 따라 각 국가가 AI를 어디에서 실험하고 있는지 이해하는 것이 미래 기술을 예측하는 데 점점 더 중요해지고 있습니다.

공격자들은 지속성을 강화하고 더 튼튼한 거점을 구축하기 위해 AI를 사용하는 데 가장 큰 관심을 보이는 것으로 보입니다. 국가 사업자는 신원 및 신뢰성 중심의 진입점에 대한 의존도가 높아지고 가상화 및 애플리케이션 인프라에 대한 침해가 심화되고 있는 것으로 나타났습니다. 이러한 액세스 방법은 이미 방어자가 검증하기 어려운데, AI는 이를 더욱 효율적이고 방해하기 어렵게 만들 가능성이 높습니다.

가장 명확한 공개 사례 중 하나는 7월에 우크라이나 당국이 CERT-UA 권고에서 러시아 멀웨어로 의심되는 LAMEHUG가 LLM을 사용하여 API를 통해 C2 명령을 생성한다고 보고하면서 나타났습니다. Fighting Ursa(일명 APT28, 팬시 베어)가 주도한 이 활동은 사람 대신 자동화된 워크플로우로 작업자를 대체했습니다.

북한 공격자들도 AI 실험의 징후를 보였습니다. Wagemole 캠페인과 관련된 Unit 42 조사에서 수사관들은 AI 기반 이미지 조작 서비스를 이용해 취업 사기 사기에 딥페이크 페르소나를 생성한 북한 계정으로 의심되는 사례를 확인했습니다. 이와 관련된 Contagious 인터뷰 스타일의 작전에서 공격자들은 AI가 생성한 신원, 용도 변경된 계정, 실제 전문가들의 수정된 프로필을 사용하여 회사 전체를 조작하고 여러 소셜 네트워킹 플랫폼에서 이를 채웠습니다. 그 결과 신뢰를 높이고 채용을 활용한 액세스 작업의 성공률을 향상시킬 수 있는 설득력 있는 기업 외관(위장 조직)이 만들어졌습니다.

대응책: 국가 단위의 적으로부터 방어하기

국가 사업자가 장기적인 액세스를 확보하고 유지하기 위해 사용하는 액세스 경로, 인프라 계층 및 신뢰할 수 있는 채널에 대한 방어에 집중하십시오.

신원 및 채용 워크플로 전반에서 검증을 강화: 계약자 온보딩 및 외부 채용에 대한 점검을 강화하여 합성 페르소나, 딥페이크 및 직무 테마 미끼가 핵심 시스템에 도달하기 전에 이를 포착하십시오.
가상화 및 애플리케이션 인프라 전반으로 모니터링을 확장: 가상화 플랫폼, 웹 대면 애플리케이션 및 서비스 제공업체 환경의 기준 및 로그 활동. 지속성 또는 측면 이동을 나타내는 편차에 대해 경고합니다.
신뢰할 수 있는 도구와 채널의 사용을 강화하고 모니터링: 서명된 바이너리, 암호화된 트래픽, 원격 관리 도구 및 협업 플랫폼이 어떻게 사용되는지 살펴보십시오. 자격 증명 오용 또는 은밀한 활동을 암시하는 패턴에 플래그를 지정하십시오.
민감한 워크플로에서 AI 관련 활동을 계측 및 관리: 신원, 소스 코드 또는 민감한 데이터와 상호 작용할 수 있는 AI 서비스를 제한하십시오. 사용을 기록하고 자동화된 페르소나 생성 또는 AI 기반 작업을 나타낼 수 있는 비정상적인 패턴을 조사하십시오.

3. 침입 내부:

이 섹션에서는 2025년 Unit 42 보안 사고 대응 조사에서 관찰된 행동을 자세히 분석합니다. 이러한 관찰 결과를 네 가지 차원으로 정리하여 공격자가 무엇을 하고 있으며 어떻게 성공하고 있는지 보여줍니다:

공격 표면: 공격자가 공격하는 곳입니다. 이제 침입은 한 차선에 머무르지 않고 엔드포인트, 클라우드 인프라, ID 계층에 걸쳐 동시에 발생합니다.
진입 지점: 그들이 들어오는 방법입니다. 피싱과 취약점이 각각 22%로 주요 초기 액세스 경로로 동률을 이뤘습니다. 공격자는 실용주의자이며, 사람의 실수와 패치되지 않은 시스템을 동일한 빈도로 악용하여 강제로 문을 열려고 합니다.
속도: 그들이 얼마나 빠르게 움직이는지입니다. 평균 시간은 다양하지만, 가장 빠른 공격자 그룹은 그 속도가 빨라지고 있어 효과적인 방어가 가능한 기간이 줄어들고 있습니다.
영향: 이는 피해자가 부담하는 비용입니다. 올해는 암호화에서 데이터 도용 및 갈취로 전환하는 해였습니다.

3.1. 공격 표면: 기업 전반에 걸친 침입

공격이 한 차선에 머무는 경우는 드뭅니다.

표 1은 엔드포인트, 네트워크, 클라우드 서비스, 신원 시스템, 애플리케이션, 이메일, 사용자 중심 활동을 아우르는 2025년 Unit 42 조사와 관련된 주요 공격 표면을 보여줍니다. 이 카테고리는 조사 중에 공격자의 활동을 관찰한 주요 운영 계층을 나타냅니다. 침입은 여러 계층에 걸쳐 발생하는 경우가 많으므로 상호 배타적이지 않으며 100%로 합산되지 않습니다. 하나의 보안 사고에 여러 개의 보안 사고가 동시에 발생할 수 있습니다.

공격 표면	백분율
ID	89%
엔드포인트	61%
네트워크	50%
인간	45%
이메일	27%
애플리케이션	26%
클라우드	20%
SecOps	10%
데이터베이스	1%

표 1. 침입과 관련된 공격 표면으로, 각 표면이 영향을 받은 보안 사고의 비율을 표시합니다.

전체 보안 사고 중 87%는 두 개 이상의 공격 표면에서 발생한 활동과 관련이 있었습니다. 보안 사고의 67%는 3개 이상의 표면에서 발생한 활동과 관련이 있었습니다. 공격의 43%에서 4개 이상의 공격 표면에서 활동이 나타났으며, 최대 8개의 공격 표면에서 활동하는 사례도 관찰되었습니다. 영향을 받는 공격 표면의 분포는 해마다 다르지만, 이러한 패턴은 침입이 단일 표면에 국한되는 경우는 드물고 액세스와 기회가 증가함에 따라 확장되는 경우가 많다는 사실을 강조합니다.

신원 확인은 거의 90%에 달하는 많은 보안 사고에서 두드러지게 나타났으며, 이는 사례에서 가장 일반적으로 관련된 공격 표면 중 하나였습니다.

사람을 대상으로 하는 활동도 자주 발생하여 전체 보안 사고의 45%를 차지했습니다. 이 패턴은 최근사회 공학 보고서의 광범위한 주제를 반영하는 것으로, 인간 계층 간의 상호 작용이 침입 성공에 결정적인 역할을 계속하고 있음을 강조합니다.

브라우저 공격 표면: 휴먼 인터페이스에서의 공격

올해 조사에서 브라우저 활동은 48%(2024년 44%에서 증가)를 차지했습니다. 이는 로컬 제어가 취약할 때 일상적인 웹 세션이 사용자를 악성 링크, 자격 증명 수집 페이지 및 삽입된 콘텐츠에 노출시키는 방식을 반영합니다.

우리가 조사한 한 ClickFix 사건에서 공격자들은 글로벌 산업 기업의 직원이 레스토랑을 검색하는 동안 검색 엔진 최적화(SEO) 중독을 통해 스푸핑된 웹사이트로 유도했습니다. 이 사이트는 사회 공학적인 메시지를 사용하여 직원이 클립보드에 복사된 악성 코드를 실행하도록 유도한 후 공격자가 메모리에서 멀웨어를 실행하려고 시도했습니다. 공격자는 인포스틸러를 다운로드하려고 시도한 것으로 보였지만, 정확한 페이로드를 확인하지는 못했습니다.

한 글로벌 의료 기술 회사는 SEO 포이즈닝으로 시작된 침입을 경험했습니다. 관리자가 악성 버전의 관리 도구를 호스팅하는 스푸핑된 사이트에 액세스한 후 내부 메시징 호출을 통해 도메인 관리자와 링크를 공유했습니다. 이로 인해 손상된 소프트웨어가 실행되었습니다. 발판을 마련한 공격자는 주요 시스템에 랜섬웨어를 배포하고 데이터를 유출한 후 몸값을 요구했습니다. 이로 인해 시스템이 복구되는 동안 제조, 유통, 배송 및 주문 처리에 오랜 기간 동안 장애가 발생했습니다.

관리되지 않는 애플리케이션과 제한된 브라우저 보호 기능으로 인해 한 번의 보안 사고에서 초기 실행 시도가 있었지만 이후에 차단되었습니다. 또 다른 사례에서는 악성 관리 도구의 권한 실행으로 랜섬웨어가 배포되어 광범위한 운영 중단이 발생했습니다.

클라우드 공격 표면: 파이프라인 손상

작년의 패턴을 반영하듯 조사 대상의 약 35%가 클라우드 또는 SaaS 자산과 관련이 있었습니다. 이러한 경우 조사를 위해서는 클라우드 환경에서 로그나 이미지를 수집하거나 외부에서 호스팅되는 애플리케이션 내의 활동을 검토하여 침입이 클라우드 호스팅 자산이나 워크플로에 영향을 미쳤음을 확인해야 했습니다.

클라우드의 취약점은 다양했지만, 기본적인 문제조차도 공격자가 일단 액세스를 확보하면 공격자의 행동을 형성했습니다. 한 조사에서는 민감한 클라우드 자격 증명이 공용 리포지토리에 노출된 것이 발견되어 공격자가 클라우드 환경에 접근하는 데 사용할 수 있는 경로가 확대되었습니다.

또 다른 조사에서는 공격자가 오픈 소스 포럼의 개발자를 표적으로 삼아 오염된 디버깅 도구를 다운로드하도록 유도한 사례도 있었습니다. 이로 인해 일상적인 협업이 클라우드 손상의 지점으로 바뀌었습니다.

손상된 툴을 통해 공격자는 개발자의 저장된 클라우드 자격 증명에 액세스할 수 있었습니다. 이들은 이러한 자격 증명을 사용하여 백엔드 시스템에 접근하고 여러 블록체인 네트워크에서 무단 인출을 트리거했습니다. 이 사례는 클라우드 네이티브 개발 워크플로우를 통해 얻은 액세스 권한이 어떻게 오용되어 민감한 시스템에 도달하고 상당한 영향을 미칠 수 있는지 보여줍니다.

3.2. 진입 지점: 예측 가능한 경로를 통한 초기 액세스 제공

2025년의 초기 액세스는 익숙한 패턴을 따랐으며, 대부분의 침입은 잘 알려진 일련의 집중된 벡터를 통해 시작되었습니다. 그림 1은 지난 5년간 이러한 경로의 분포를 보여 주며, 피싱과 소프트웨어 취약성이 지속적으로 주요 진입 지점으로 나타나는 것을 강조합니다. 공격자들은 초기 발판을 마련하기 위해 신뢰할 수 있는 소수의 기법에 계속 의존하고 있으며, 해마다 공격 기법 간의 상대적인 균형은 변화하지만 전반적인 추세는 안정적입니다.

모두 표시

그림 1. 초기 액세스 벡터(2021-2025년). Unit 42 데이터 수집 방법론이 더 세분화되도록 조정되어 ‘기타’ 카테고리가 축소되었습니다. 또한 세분성이 높아지면서 ‘내부자 위협 및 신뢰할 수 있는 관계 및 도구의 오용’과 같은 새로운 카테고리가 도입되었습니다. 특정 연도에 대한 데이터를 사용할 수 없는 경우 ‘해당 없음’으로 표시됩니다.

피싱과 취약성이 공동 우위

피싱과 취약점 악용은 각각 2025년의 보안 사고 중 초기 액세스의 22%를 차지하는 가장 일반적인 초기 접속 경로입니다. 이 동등성은 단순히 두 가지 방법 모두 매우 잘 작동하기 때문에 존재합니다.

피싱 캠페인은 공격자가 기존의 필터를 우회하고 사용자의 참여를 더욱 효과적으로 유도하는 신뢰할 수 있고 오류 없는 유인 방법을 만드는 데 AI가 도움을 주면서 더 높은 전환율을 달성하고 있습니다. 동시에 공격 표면이 확장되고 자동화를 통해 공격자가 방어자가 패치할 수 있는 것보다 더 빠르게 취약점을 스캔하고 악용할 수 있게 되면서 취약점 악용이 가속화되고 있습니다. 두 가지 벡터 모두 신뢰할 수 있는 침해 경로를 제공하기 때문에 공격자들은 두 가지 벡터를 모두 많이 활용하고 있습니다.

피싱과 취약점 악용 외에도 5년간의 데이터 세트에서 다른 주요 초기 접속 경로에 대한 중요한 트렌드를 확인할 수 있습니다.

이전에 침해된 자격 증명의 비중은 2025년에 13%로 감소하여 2023년과 2024년에 보고된 급증한 증가 추세를 되돌렸습니다.
‘기타 소셜 엔지니어링’ 카테고리의 활동은 세분화를 도입한 후에도 2021년 3%에서 2025년 11%로 증가하며 이 기간 동안 크게 증가했습니다. 이러한 성장의 대부분은 Muddled Libra와 같은 그룹이 사용하는 헬프 데스크 조작 기법과 같은 직접적인 상호작용 전술과 맞물려 있는 것으로 보입니다.
무차별 암호 대입은 13%에서 8%로 감소하여 다년간의 상승세를 마감하고 많은 조직에서 더 강력한 신원 제어가 필요함을 시사합니다.
IAM 잘못된 구성은 5년 동안 1%에서 4% 사이에서 나타나는 지속적인 초기 액세스 벡터로 남아 있습니다.

취약점 악용은 새로움이 아닌 기회에 의해 주도됩니다.

공격자는 취약점 익스플로잇이 확실한 운영상의 이점을 제공할 때 취약점 익스플로잇에 의존합니다. 5년간의 패턴은 공격자가 이용할 수 있는 약점의 종류와 이러한 약점을 공격으로 전환하는 데 필요한 노력에 직접적으로 대응하는 것을 보여줍니다.

널리 배포된 시스템에서 영향력이 큰 문제가 발생하면 운영자는 잠재적 영향력이 크고 익스플로잇 자동화에 필요한 작업이 상대적으로 적기 때문에 빠르게 움직입니다.

이 패턴은 공격자의 실용주의를 반영합니다. 운영자는 주어진 순간에 가장 접근하기 쉽고 비용 효율적인 것을 활용하는 경향이 있습니다.

대규모 환경, 더 큰 취약성 노출

데이터에 따르면 대기업의 경우 초기 접속 위험의 균형이 다른 것으로 나타났는데, 2025년에는 이러한 환경에서 취약성이 초기 접속의 4분의 1(26%)을 조금 넘는 반면, 피싱은 17%를 차지했습니다. 이 패턴은 대기업이 더 강력한 이메일 필터링, 사용자 인식 및 신원 제어를 통해 피싱 노출을 줄이고 있음을 나타냅니다. 이러한 조치는 피싱 위험을 제거하지는 못하지만 소규모 조직에 비해 그 효과가 제한적일 수 있습니다.

소유 주체가 혼재하고, 레거시 시스템, 패치 주기가 고르지 않은 대규모 분산 환경에서는 자금이 충분한 조직에서도 악용 가능한 취약점이 쉽게 지속될 수 있습니다. 이 정도 규모의 기업에서는 복잡성 자체가 취약점이 해결되지 않을 가능성을 높이며, 이는 악용이 초기 액세스 벡터로 더 자주 나타나는 이유를 설명합니다.

3.3. 속도: 가장 빠른 공격이 더욱 빨라지고 있습니다

초기 침해와 데이터 도난 확인 사이의 기간을 측정하는 유출까지의 시간은 스펙트럼의 가장 빠른 끝에서 급격한 가속화를 보여줍니다. 그림 2에서 볼 수 있듯이 침입의 가장 빠른 25%는 2024년의 거의 5시간(285분)에서 2025년에는 1시간(72분)이 조금 넘는 크게 단축된 시간 내에 탈출에 성공했습니다. 1시간 이내에 유출되는 보안 사고의 비율도 2024년 19%에서 2025년 22%로 증가했습니다.

그림 2. 2024년과 2025년을 비교했을 때 1사분위수(25%) 공격 속도가 증가했습니다.

전체 데이터 세트에서 유출까지의 중앙값 소요 시간(MTTE)은 2일이었습니다. 가장 빠른 보안 사고보다는 길지만 중간값조차도 공격자가 환경에 진입한 후 얼마나 빨리 데이터에 액세스하고 제거할 수 있는지를 보여줍니다.

방어자는 몇 분 또는 몇 시간 만에 침입에서 탈출까지 진행되는 침입뿐만 아니라 더 깊은 정찰과 끈질긴 지속성을 필요로 하는 며칠에 걸쳐 진행되는 느리고 체계적인 작전에도 대비해야 합니다.

3.4. 영향력: 암호화를 넘어선 탈취

2025년 갈취 사례의 78%에서 암호화가 사용되었는데, 이는 90%에 육박하거나 그 이상 수준이었던 표 2에 표시된 2021-2024년과 비교됩니다. 이는 데이터 세트에서 전년 대비 가장 두드러진 변화로, 전통적인 랜섬웨어가 사라지지는 않았지만 더 이상 랜섬웨어가 갈취 작전에서 균일하게 존재하지 않는다는 것을 보여줍니다.

갈취 전술	2021년	2022년	2023년	2024년	2025년
암호화	96%	90%	89%	92%	78%
데이터 도난	53%	59%	53%	60%	57%
괴롭힘	5%	9%	8%	13%	10%

표 2. 2021-2025년 강탈 전술이 어떻게 변화했는지 알아보십시오.

암호화의 감소는 다른 개별 전술의 증가와 일치하지 않습니다. 이는 공격자들이 점점 더 암호화를 필수가 아닌 선택 사항으로 여긴다는 것을 반영합니다. 2025년에 발생한 몇 건의 침입은 피해자가 시스템에 대한 액세스 권한을 유지한 상태에서도 갈취를 진행했습니다. 이러한 경우 데이터 노출, 직접적인 압력 또는 두 가지 모두, 파일 잠금 없이도 충분한 영향력을 발휘할 수 있었습니다.

데이터 도용은 매년 절반 이상의 사례에서 나타나고 있는 익스플로잇 활동의 일관된 특징으로 남아 있습니다. 위협 행위자들은 암호화 여부와 관계없이 피해자를 압박하기 위해 유출 사이트에 대한 노출 위협과 훔친 데이터의 재판매를 자주 사용했습니다.

괴롭힘은 흔하지는 않지만 여전히 끈질긴 수법입니다. 이러한 행위에는 직원에게 직접 연락하여 내부 정보를 공개하겠다고 협박하거나 피해자가 돈을 지불하지 않으면 고객 데이터를 다른 범죄자에게 판매하겠다고 주장하는 등의 행위가 포함됩니다. 일부 그룹은 고객이나 파트너에게 연락하여 압력을 가중시켰고, 시스템이 계속 접속 가능한 상태에서도 평판 및 운영상의 부담을 증폭시켰습니다.

이러한 패턴은 갈취가 암호화에서 분리되었음을 보여줍니다. 암호화가 여전히 중요하지만, 공격자들은 이제 신뢰할 수 있는 여러 가지 방법을 통해 영향력을 행사할 수 있습니다. 이렇게 하면 갈취가 발생할 수 있는 조건의 범위가 넓어집니다. 또한 공격자의 랜섬웨어 배포 여부에 관계없이 가시성, 신속한 대응, 강력한 데이터 처리 관행의 필요성을 강조합니다.

데이터 도난에 대한 지속적인 영향력 유지

랜섬 경제학은 공격자들이 이러한 작전을 계속 추구하는 이유를 설명하는 데 도움이 됩니다. 표 3은 초기 수요 중앙값이 2024년 125만 달러에서 2025년 150만 달러로 증가했으며, 지급액 중앙값도 상승했음을 보여줍니다.

	2024년	2025년
초기 몸값 요구액 중간값	125만 달러	150만 달러
중위 몸값 지불액	267,500달러	500,000달러

표 3. 랜섬웨어는 여전히 공격자들에게 수익성이 높은 옵션입니다.

이러한 요구는 연간 인식 매출(PAR)과 비교했을 때 전년도 2%에서 감소한 0.55%의 PAR을 차지했습니다. 많은 랜섬웨어 그룹이 피해자의 지불 능력을 조사하고 이 정보를 사용하여 요구 사항을 조정하는 것으로 보입니다. 더 낮은 비율의 PAR을 요청하는 것은 결제 가능성을 높이기 위한 전략을 반영할 수 있습니다.

지급을 선택한 조직 중 중간 지급액은 267,500달러에서 500,000달러로 증가했지만, PAR 대비 지급액은 0.6%에서 0.26%로 감소했습니다. 초기 요구액과 최종 지급액 사이의 격차는 피해자에게 얼마나 많은 협상 여지가 있는지를 보여주며, 재정적인 노출을 줄이는 데 있어 체계화된 협상이 얼마나 중요한지를 강조합니다.

지불 여부 선택은 운영 영향, 규제 고려 사항, 법적 요건 및 비즈니스 연속성 요구 사항에 따라 상황에 따라 달라질 수 있습니다. 2025년 사례에서 협상이 성사된 건의 경우, 초기 요구액과 최종 지급액 사이의 중간 감소율은 53%에서 61%로 증가했습니다. 이는 전반적인 공격자 가격 상승 추세에도 불구하고 숙련된 협상가가 얼마나 자주 비용을 절감할 수 있는지 보여줍니다.

현재 많은 랜섬웨어 그룹은 정의된 역할, 제휴 프로그램, 반복 가능한 협상 플레이북 등 비즈니스와 유사한 구조로 운영되고 있습니다. 일부는 다크웹 커뮤니케이션을 통해 ‘브랜드 평판’을 쌓으며 자신을 예측 가능하거나 전문적인 상대방으로 묘사합니다.

2025년 데이터 세트에서 위협 행위자가 약속을 한 경우의 68%에서 복호화 키를 제공하거나 도난당한 데이터를 삭제하는 등 약속을 이행한 것으로 나타났습니다. 방어자에게는 이러한 인식 가능한 패턴이 협상이나 대응에서 유리한 요소가 될 수 있지만, 범죄 행위자와 연루될 위험을 완전히 없애지는 못합니다.

복구 관행도 갈취 결과를 결정합니다. 피해자의 약 41%는 몸값을 지불하지 않고도 백업에서 시스템을 복원할 수 있어 암호화로 인한 운영상의 영향은 줄였지만 다운타임을 없앨 수는 없었습니다. 복구 후에도 많은 조직은 정상 운영으로 복귀하기까지 시스템 재구축, 격리 작업 및 기타 지연에 직면했습니다. 복구도 취약합니다. 갈취 사례의 26%에서 공격자가 백업에 영향을 미쳐 혼란을 가중시켰습니다.

백업 복원을 통해 암호화가 완화되거나 백업이 완전히 실패하는 경우, 노출의 위협은 피해자를 계속 압박하여 데이터 도난이 여전히 갈취 활동의 중심이 되도록 합니다.

4. 방어자를 위한 권장 사항

이 섹션에서는 공격을 가능하게 하는 시스템적 취약점과 이를 막기 위해 필요한 실질적인 조치에 대해 설명합니다. 증상만이 아닌 근본 원인을 해결함으로써 조직은 일반적인 위협과 새로운 위협을 모두 견딜 수 있도록 방어력을 높일 수 있습니다.

4.1. 일반적인 기여 요인: 공격이 성공하는 이유

공격자가 제로데이 익스플로잇에 성공하는 경우는 거의 없습니다. 2025년에 대응한 보안 사고의 90% 이상에서 예방 가능한 범위의 공백과 일관성 없이 적용된 제어가 침입에 직접적으로 기여한 것으로 나타났습니다.

이러한 격차는 공격자가 얼마나 쉽게 초기 액세스 권한을 얻고, 얼마나 빠르게 측면으로 이동하며, 방어자가 제때 탐지하고 대응할 수 있는지를 결정합니다. 올해 조사에서 세 가지 시스템적 질환이 반복적으로 나타났습니다.

1. 가시성 격차: 누락된 컨텍스트 지연 감지

많은 조직이 초기 단계의 공격자 행동을 관찰하는 데 필요한 원격 측정을 활용하지 못하고 있습니다. 초기 접속 및 초기 공격자 활동에 대한 중요한 지표는 SOC가 엔드포인트, 네트워크, 클라우드, SaaS 계층에서 신호를 운영하지 않기 때문에 눈에 띄지 않는 경우가 많습니다. 그 결과, 방어자는 개별 이벤트를 볼 수는 있지만 활성 침입을 인식할 수 있는 상관관계가 부족하여 컨텍스트가 누락됩니다.

이러한 파편화로 인해 대응자는 서로 다른 도구에서 공격을 수동으로 재구성해야 하므로 공격자가 이를 악용할 수 있는 지연이 발생합니다. 보안 사고의 87%에서 Unit 42 조사관들은 사건의 진상을 규명하기 위해 두 개 이상의 서로 다른 출처에서 증거를 검토했으며, 복잡한 사건의 경우 10개에 달하는 증거를 검토하기도 했습니다. 통합 가시성이 부족하면 지속적으로 탐지가 느려져 방어자가 전체 상황을 파악하기 전에 적들이 측면 이동을 시작할 수 있었습니다.

2. 환경의 복잡성: 불일치가 만들어내는 가장 저항이 적은 경로

보안 기준선이 보편적으로 적용되는 경우는 거의 없습니다. 시간이 지남에 따라 레거시 시스템, 기술 채택 또는 인수합병 활동으로 인한 환경 변화로 인해 기업 전체에 일관된 표준을 적용하기가 어려워집니다.

여러 조사에서 엔드포인트 보호와 같은 중요한 제어 기능이 한 사업부에는 완전히 배포되었지만 다른 사업부에는 누락되었거나 성능이 저하된 경우가 있었습니다. 이러한 불일치로 인해 저항이 가장 적은 경로가 만들어집니다. 데이터 침해의 90% 이상이 새로운 익스플로잇이 아닌 잘못된 설정이나 보안 적용 범위의 차이로 인해 발생했습니다.

3. 신원: 과도한 신뢰는 측면 이동으로 이어집니다

조사 전반에 걸쳐 신원 취약점이 초기 발판을 광범위한 접근으로 전환하는 일이 반복적으로 발생했습니다. 핵심 문제는 과도한 신뢰 권한과 접근 경로가 지나치게 허용적이거나 필요한 시기가 지난 후에도 그대로 유지되는 경우가 많았습니다.

공격자는 폐기되지 않은 레거시 역할과 과도한 권한이 부여된 서비스 계정을 오용하여 권한을 확대했습니다. 이들은 침입하는 대신 조직이 신뢰를 너무 많이 남겨둔 곳에 유효한 액세스 권한을 사용하여 공격했습니다.

이러한 실패는 신원 혼란을 반영합니다. 권한이 누적되고 예외가 지속될수록 침입자는 더 적은 장벽에 부딪히게 됩니다. 보안 사고의 거의 90%가 조사 대상 또는 주요 공격 벡터로서 신원 관련 요소로 거슬러 올라갑니다.

4.2. 방어자를 위한 권장 사항

다음 권장 사항은 위에서 설명한 시스템적 문제를 해결하기 위한 실질적인 조치에 중점을 둡니다.

1. 보안 운영의 역량을 강화하여 더 빠르게 탐지하고 대응하기

현재 가장 빠른 공격은 약 1시간 만에 데이터를 유출하기 때문에 보안 운영은 기계의 속도로 움직여야 합니다. 이는 기업 전반에 걸친 포괄적인 가시성, 노이즈 속 신호를 식별하는 AI, 즉각적인 대응 및 해결을 위한 자동화를 통해 SOC의 역량을 강화하는 데서 비롯됩니다. 이 6가지 기능을 도입하면 SOC가 성공할 수 있는 최상의 위치에 서게 됩니다.

모든 관련 보안 데이터를 수집합니다. 공격자는 사일로에서 활동하지 않지만 방어자는 사일로에서 모니터링하는 경우가 많습니다. 2025년에는 특히 SaaS, 클라우드 ID, 자동화 계층 전반의 가시성 격차가 공격자의 성공을 좌우하는 주요 요인이 될 것입니다. 중요한 원격 측정은 종종 존재했지만 서로 다른 시스템에 갇혀 있었기 때문에 방어자가 세션 토큰과 같은 자동화 출력 또는 브라우저에 저장된 아티팩트와 ID 이동의 상관관계를 파악할 수 없었습니다.
최신 침입을 탐지하려면 조직은 신원 공급업체, 클라우드 플랫폼, SaaS 애플리케이션의 신호를 수집하고 정규화하여 통합된 보기로 만들어야 합니다. 이러한 통합은 공격자가 악용하는 취약점을 차단하여 방어자가 에스컬레이션 경로를 조기에 식별할 수 있도록 합니다. 규칙 기반 탐지를 사용하든 AI를 사용하든 인사이트의 품질은 전적으로 인사이트에 제공되는 데이터의 완전성에 달려 있습니다.
AI 기반 기능으로 위협을 예방, 탐지 및 우선순위를 지정하십시오. 높은 경보 볼륨과 파편화된 도구로 인해 공격자는 시스템 전체에 활동을 확산하여 숨을 수 있습니다. 상관관계가 없으면 이러한 작업은 서로 관련이 없는 것처럼 보이므로 에스컬레이션이 지연됩니다. 이러한 이질적인 신호를 통합된 운영 관점으로 연결하려면 AI 기반 기능이 필수적입니다.
행동 분석은 클라우드 자동화를 통해 규칙 기반 탐지로는 포착하지 못하는 비정상적인 토큰 사용이나 측면 이동과 같은 미묘한 이상 징후를 발견하는 데 도움이 됩니다.
AI는 신원, 엔드포인트, 클라우드, 네트워크 계층 전반에서 이벤트를 상호 연관시켜 방어 기능을 강화하고, 백그라운드 노이즈보다 충실도가 높은 보안 사고의 우선순위를 지정합니다. 이를 통해 보안 팀은 조직화된 공격과 일상적인 활동을 즉시 구분할 수 있으므로 분석가들은 오탐을 쫓는 대신 가장 큰 위험을 초래하는 위협에 집중할 수 있습니다.
자동화를 통해 실시간 위협 대응을 지원합니다. 차단 지연은 종종 소유권이 불분명하고 공격자 자동화를 따라가지 못하는 수동 검증 단계로 인해 발생합니다. 효과적인 대응을 위해서는 토큰을 취소하거나 워크로드를 격리하는 등 자동화된 격리 조치에 대한 명시적인 권한을 할당하여 실행이 주저 없이 진행될 수 있도록 해야 합니다.
즉흥적인 판단을 표준화되고 검증된 플레이북으로 대체함으로써 조직은 감사 가능한 순서에 따라 대응할 수 있습니다. 그러나 최신 위협의 속도에 대응하기 위해서는 에이전트 AI를 궁극적인 방어 가속기로 배치해야 합니다. 이러한 자율 시스템은 복잡한 알림을 동적으로 조사하고 여러 도메인의 데이터를 기계의 속도로 상호 연관시켜 전체 상황을 파악합니다.
검증이 완료되면 에이전트는 마이크로세그멘테이션을 통해 영향을 받는 시스템을 격리하는 것부터 손상된 자격 증명을 자동으로 취소하는 것까지 동적이고 정밀한 격리 조치를 실행할 권한이 부여됩니다. 이러한 체계적이고 지능적인 접근 방식은 운영의 편차를 획기적으로 줄이고 공격자의 체류 시간을 제한하며 고립된 침해가 더 큰 사고로 확대되는 것을 방지합니다.
사후 대응에서 사전 예방적 보안으로 전환하십시오. 사후 대응적 방어에서 벗어나기 위해 조직은 기존의 펜테스팅을 넘어 지속적인 공격적 테스트로 전환해야 합니다. 특정 시점의 감사로는 공격자가 실제 침입에서 악용하는 ID 이동과 클라우드 잘못된 구성의 상호 작용을 포착하는 경우가 거의 없습니다. 방어자는 현실적인 조건에서 제어가 어떻게 작동하는지 검증하여 원격 측정 파이프라인과 대응 워크플로가 의도한 대로 작동하는지 확인해야 합니다.
사전 대응은 복구까지 확장됩니다. 복원력이 있는 조직은 서비스를 복원하기 전에 시스템에 손상된 자격 증명이나 변경된 구성과 같은 남아있는 액세스 권한이 없는지 확인합니다. 단순히 오래된 스냅샷을 복원하는 것이 아니라 근본적인 원인을 해결하면 빠른 재감염을 방지하고 장기적인 복원력을 강화하는 데 도움이 됩니다.
고성능 성과를 위해 SOC를 업그레이드하십시오. 보안 사고가 진행 중일 때 일관성 없는 봉쇄 또는 소유권이 불분명하면 공격자가 다시 접속할 수 있는 구멍이 생깁니다. 고성능 SOC는 분석가나 시간에 관계없이 대응 조치가 균일하게 적용되도록 함으로써 이러한 편차를 제거합니다.
압박 속에서도 일관성을 유지하는 것은 매우 중요하며, 이는 고립된 침해가 더 큰 위기로 확대되는 것을 방지합니다.
이를 달성하려면 보안, IT 및 DevOps 전반에 걸쳐 운영 사일로를 연결해야 합니다. 플레이북은 시스템이 원래 설계된 방식이 아니라 현재 운영되는 방식을 반영하여 자동화된 작업이 실제 비즈니스 로직과 일치하도록 해야 합니다. 분석가에게 알림 분류만 담당하는 것이 아니라 엔드투엔드 보안 사고 대응과 같은 더 광범위한 책임을 부여하면 유지율이 향상되고 활용도가 높아지며 측정 가능한 비즈니스 성과를 창출할 수 있습니다.
IR 리테이너로 벤치를 더 깊게 해서 대응 역량을 강화하십시오. 올바른 리테이너는 비상 대응을 넘어 역량을 확장합니다. 앞서 나가려면 조직은 위협 행위자가 야생에서 사용하는 특정 행동에 대해 제어 기능을 테스트하고 검증해야 합니다. 공격 보안, AI 보안, SOC 프로세스 및 클라우드 보안 전반에 걸쳐 반복적인 평가를 통해 원격 측정 파이프라인과 대응 워크플로가 실제 공격 조건에서 의도한 대로 작동하는지 확인할 수 있습니다.
IR 유지 파트너는 사전 준비 상태 점검, 탐지 엔지니어링 및 검증을 위해 전문가에게 신속하게 접근할 수 있도록 지원하여 시간이 지나도 방어 개선이 지속되도록 해야 합니다. 지속적인 테스트와 유지된 전문 지식을 결합함으로써 조직은 복원력을 향상시킬 수 있습니다.

이러한 핵심 원칙에 따라 SOC를 조정하면 방어 체계를 적을 능가하고 위협이 확대되기 전에 차단할 수 있는 고속 대응 엔진으로 전환할 수 있습니다.

2. 제로 트러스트를 도입하여 영향 영역을 제한하기

제로 트러스트는 ID가 주요 공격 표면이 된 환경에서 전략적으로 필수적인 요소입니다. 목표는 사용자, 디바이스, 애플리케이션 간의 암묵적인 신뢰 관계를 없애고 디지털 상호작용의 모든 단계를 지속적으로 검증하는 것입니다.

실제로 제로 트러스트를 달성하는 것은 복잡합니다. 그러나 작은 개선이라도 공격 표면을 줄이고 측면 이동을 제한하며 환경에 대한 초기 액세스의 영향을 최소화할 수 있습니다. 방어자는 경계 내부의 안전에 대한 가정을 제거함으로써 공격자가 모든 접근을 위해 더 열심히 노력하도록 하여 속도를 늦추고 탐지할 기회를 더 많이 만들 수 있습니다.

사용자, 디바이스, 애플리케이션을 지속적으로 확인합니다. 공격자는 초기 로그인 후에도 유지되는 정적 신뢰를 악용하는 경우가 많습니다. 일단 내부에 들어가면 탈취한 세션 토큰이나 유효한 자격 증명을 사용하여 합법적인 사용자로 가장하고, 경계 통제를 완전히 우회하는 경우가 많습니다. 출입구에 설치된 정적인 점검 지점만으로는 더 이상 충분하지 않습니다.
지속적인 확인은 세션 중 조건이 변경되면 결정을 재검토하여 신뢰를 동적으로 처리합니다. 신원 컨텍스트, 디바이스 상태 및 애플리케이션 동작을 실시간으로 확인하면 조직은 합법적인 세션이 탈취되거나 사용자 동작이 표준에서 벗어나는 시점을 감지할 수 있습니다. 그 결과, 침해된 계정이나 디바이스는 제한된 기간 동안만 공격자에게 유용하게 사용되므로 액세스 권한을 확장하거나 데이터를 스테이징할 수 있는 기회가 줄어듭니다.
공격자의 이동을 제한하기 위해 최소 권한을 적용합니다. 과도한 권한은 공격자의 역량을 배가시키는 수단으로 작용합니다. 2025년에 발생한 많은 보안 사고에서 침입자는 조직이 제거하지 못한 누적된 권한과 폐기되지 않은 역할을 사용하여 신원 이동을 이용하여 내부 제어를 우회했습니다. 복잡한 익스플로잇에 의존하는 대신, 유효하지만 과도하게 프로비저닝된 액세스 경로를 통해 측면으로 이동했습니다.
최소 권한을 적용하면 사용자, 서비스 및 애플리케이션이 해당 기능에 필요한 액세스 권한으로만 제한되어 공격 표면이 줄어듭니다. 이는 인간 사용자를 넘어 머신 신원 및 서비스 계정까지 확장되어야 하며, 종종 광범위하고 제대로 모니터링되지 않는 권한을 보유하는 경우가 많습니다. 불필요한 권한을 제거하면 공격자가 의존하는 단순한 액세스 경로가 제거되어, 그 결과 방어자가 탐지하기 쉬운 더 눈에 잘 띄고 어려운 기술을 사용하게 됩니다.
신뢰할 수 있는 트래픽과 신뢰할 수 없는 트래픽에 일관된 검사를 적용하십시오. 신뢰할 수 있는 트래픽과 신뢰할 수 없는 트래픽에 일관된 검사를 적용하십시오. 공격자는 경계가 지켜지는 동안 워크로드 간의 내부 ‘동서’ 트래픽이 검사 없이 통과하는 경우가 많다는 것을 알고 있습니다. 이들은 암호화된 내부 연결을 사용하여 경보를 트리거하지 않고 데이터를 측면으로 이동하고 스테이징하는 방식으로 이러한 신뢰를 악용합니다.
일관되고 광범위한 위협 분석을 수행하려면 조직은 모든 네트워크, 클라우드 및 보안 액세스 서비스 에지(SASE) 보안을 하나의 통합 플랫폼으로 통합해야 합니다. 이 통합 패브릭은 모든 곳에서 일관된 계층 7 검사를 제공하여 하나의 관리 플레인을 통해 자동으로 정책을 시행합니다.
이러한 통합을 통해 고급 클라우드 제공 보안 서비스로의 전략적 전환이 가능해집니다. 이러한 전환을 통해 내부 워크로드 간에 이동하는 트래픽에 대한 중요한 복호화 및 검사를 포함하여 모든 트래픽을 실시간으로 인라인 분석할 수 있습니다. 이 기능은 공격자가 숨을 수 있는 지점을 제거하여 알려지지 않은 피싱, 제로데이 멀웨어 및 회피형 C2 활동을 선제적으로 차단합니다.
데이터 액세스 및 이동을 제어하여 영향을 줄이십시오. 많은 보안 사고에서 가장 큰 피해를 주는 결과는 초기 침해가 아니라 후속 데이터 액세스, 스테이징 및 유출 과정에서 발생합니다. 공격자는 종종 제어가 취약하거나 흐름이 제대로 모니터링되지 않는 리포지토리를 검색하여 탐지되기 전에 민감한 정보를 조용히 수집합니다.
데이터 액세스, 공유 및 전송 방식에 대한 강력한 거버넌스는 민감한 정보가 이동할 수 있는 위치와 조건을 제한하여 이러한 기회를 줄입니다. 데이터 경로를 엄격하게 제어하고 지속적으로 모니터링하면 공격자가 귀중한 자산을 준비하거나 추출할 수 있는 옵션이 줄어들어 침해가 발생하더라도 잠재적 손실의 규모와 심각성을 줄일 수 있습니다.

암묵적 신뢰를 체계적으로 제거하면 공격자가 의존하는 모빌리티를 제거하여 단일 침해 지점이 기업 전체의 위기로 이어지지 않고 보안 사고가 제한되도록 할 수 있습니다.

3. 더 강력한 ID 및 접속 관리로 신원 공격 차단

신원은 이제 보안의 경계가 되었지만, 여전히 보안이 취약한 경우가 많습니다. 2025년에 조사된 침입의 절반 이상에서 신원 취약점이 결정적인 요인이었는데, 이는 주로 신원 저장소가 이를 관리하기 위한 통제보다 빠르게 확장되었기 때문입니다.

공격자들은 이러한 거버넌스 이동으로 인해 생긴 틈새를 통해 지속적으로 이동하여 레거시 권한과 모니터링되지 않는 서비스 계정을 악용하여 경계 방어를 우회했습니다. 이를 중단하기 위해 조직은 신원을 정적인 자격 증명 목록이 아닌 전체 수명 주기에 걸쳐 동적인 운영 자산으로 관리해야 합니다.

사람과 기계의 신원 관리를 중앙화하십시오. 보이지 않는 것을 다스릴 수는 없습니다. 신원 데이터가 레거시 디렉터리, 클라우드 제공업체, SaaS 환경에 파편화되어 있는 경우 공격자는 그 취약점을 이용합니다.
사용자 및 머신 신원을 권한 있는 디렉터리로 중앙화하면 인증 절차가 간소화되고 지속적으로 모니터링하기 어려운 숨겨진 액세스 경로가 제거됩니다. 이러한 통합에는 타사 통합 및 API 커넥터도 포함되어야 하므로 사람, 서비스 계정, AI 에이전트 등 액세스를 요청하는 모든 주체가 보안 팀에 시각적으로 표시되어야 합니다. 통합 제어 플레인이 구축되면 방어형 AI는 로그인 이상 징후와 의심스러운 활동의 상관 관계를 파악하여 신원을 정적인 자격 증명 목록이 아닌 능동적인 운영 신호로 전환할 수 있습니다.
지속적인 수명 주기 관리로 거버넌스 이탈을 방지하십시오. 운영상의 변화가 이를 안내하도록 설계된 제어보다 빠르게 진행되는 거버넌스 드리프트는 공격자가 우위를 확보하는 데 여전히 큰 기여를 하고 있습니다.
역할 전환, 빠른 배포 주기, 일상적인 단축키가 서면 정책과 실제 액세스 사이의 간극을 넓혔습니다. 워크플로 도구 및 서비스 커넥터가 보유한 권한은 종종 정책이 의도한 범위를 초과합니다. 이로 인해 공격자가 기존 권한과 모니터링되지 않는 서비스 계정을 통해 악용할 수 있는 에스컬레이션 경로가 만들어졌습니다. 자동화를 현재 요구 사항으로 제한하고 시간이 지나면 과도한 액세스를 폐기함으로써 신원을 수명 주기로 취급하면 이러한 격차를 줄이고 초기 액세스 이후 공격자의 움직임을 제한하는 데 도움이 됩니다.
신원 기반 위협을 탐지하고 대응하십시오. 방어형 AI는 신원이 정적 자격 증명이 아닌 운영 자산으로 관리되는 환경에서 가장 효과적으로 작동합니다. 조사 결과, 강력한 신원 기반을 갖춘 조직은 로그인 이상 징후, 자동화 활동, 주변 신원 이벤트를 조기에 연결하여 더 빠르게 차단하는 것으로 나타났습니다.
거버넌스가 강력한 곳에서는 탐지 파이프라인이 더 명확하고 신뢰할 수 있는 지표를 생성하여 팀이 에스컬레이션 행동을 조기에 파악하는 데 도움이 되었습니다. 반대로 거버넌스가 취약하면 이러한 신호를 가리는 노이즈가 발생했습니다. 정기적인 검토를 통해 권한을 실제 요구 사항에 맞게 조정하여 감지 신호의 정확성을 높이고 AI 지원 제어가 효과적으로 작동하도록 합니다.
AI 및 자동화 무결성을 보호하십시오. 조직이 AI 에이전트와 자동화된 워크플로를 핵심 프로세스에 도입함에 따라 이러한 시스템은 매력적인 조작 대상이 되고 있습니다. 조사 과정에서 광범위한 기본 액세스 권한과 자동화 도구가 배포된 어시스턴트 계정이 무결성 검증 없이 실행되는 것을 확인했습니다.
이러한 도구가 공격의 벡터가 되는 것을 방지하려면 보안 팀은 인간 사용자에게 적용하는 수준과 동일한 거버넌스의 엄격함을 AI 시스템에도 적용해야 합니다. 여기에는 자동화 단계를 프로덕션에 배포하기 전에 명시적으로 검증하고 AI 지원 워크플로에 무결성 검사를 적용하고 어시스턴트 계정이 오용되지 않도록 강화되었습니다.

신원을 정적 디렉터리가 아닌 동적 운영 시스템으로 취급하면 공격자가 사용하는 숨겨진 경로를 제거하고 보안 팀이 오용이 발생하는 순간 이를 탐지할 수 있습니다.

4. 코드 투 클라우드에서 애플리케이션 수명 주기 보호

현대 기업을 보호하려면 인프라를 보호하는 것 이상의 것이 필요합니다. 이를 위해서는 이를 제작하는 공장을 보호해야 합니다.

2025년에 공격자들은 소프트웨어 공급망과 클라우드 API를 표적으로 삼아 기존의 경계를 우회하여 코드에 취약점을 주입하거나 취약한 통합을 악용하여 프로덕션에 도달하기 전에 공격하는 경우가 점점 더 많아지고 있습니다. 이에 대응하기 위해 조직은 개발 초기 단계부터 런타임까지 보안 보호 장치를 확장하여 AI 모델, 빌드 파이프라인 및 타사 코드를 내부 시스템과 동일한 수준으로 엄격하게 처리해야 합니다.

보안 문제가 프로덕션 환경에 도달하지 못하도록 차단하십시오. 보안은 개발 속도에 맞춰 작동해야 합니다. DevOps와 지속적 통합 및 CI/CD 파이프라인에 안전 장치를 통합하면 배포 전에 사용자 지정 코드, 오픈 소스 구성 요소 및 AI 구성의 취약성을 식별하고 수정하는 데 도움이 됩니다.
모델 보안 및 구성에 대한 조기 평가가 다운스트림 위험을 줄이는 AI 시스템에도 동일한 접근 방식이 적용됩니다. 개발 도구를 강화하고 오픈 소스 종속성을 관리하면 공격자가 비즈니스 워크플로 내에서 신뢰를 얻기 위해 악용하는 취약점을 제거할 수 있습니다.
소프트웨어 및 AI 공급망을 보호하십시오. 가장 일반적인 공격 벡터는 아니지만, 공급망 침해는 특히 성숙한 조직에서 가장 큰 영향을 미칩니다. 빌드 시스템, 통합 서비스 및 AI 관련 리포지토리의 취약점으로 인해 공격자는 방화벽과 상호작용하지 않고도 다운스트림 환경에 도달할 수 있습니다.
이러한 노출을 줄이려면 엄격한 출처 확인이 필요합니다. 빌드 환경과 배포 파이프라인에는 명확한 신원 제어 및 무결성 보호 기능이 있어야 합니다. 외부 소프트웨어 라이브러리, API 커넥터 및 AI 구성 요소는 채택하기 전에 액세스 패턴과 업데이트 관행에 대해 평가해야 합니다. 효과적인 공급망 거버넌스는 탐지 프로세스에 신뢰할 수 있는 기준을 제공하므로 신뢰할 수 있는 종속성이 예기치 않게 작동하기 시작하는 시점을 쉽게 파악할 수 있습니다.
런타임 공격을 식별하고 차단하십시오. 애플리케이션이 가동되면, 그다음은 격리 조치로 초점이 옮겨갑니다. 공격자는 합법적인 클라우드 ID, API 또는 워크로드 권한을 오용하여 액세스를 지속하고 확장하려는 시도를 자주 합니다.
행동 모니터링, 명확한 네트워크 경계, 예기치 않은 API 상호 작용 제한과 같은 일관된 런타임 제어와 결합된 실시간 탐지는 이러한 수법을 차단하는 데 도움이 됩니다. 모델 드리프트 및 무단 데이터 액세스에 대한 모니터링을 통해 초기 침해 이후에도 공격자의 움직임을 제한하는 AI 호스팅 환경에도 동일한 보호 기능을 적용해야 합니다.
이미지 클라우드 탐지 및 대응(CDR). 클라우드에서는 속도가 중요한 유일한 지표입니다. 영향을 받는 워크로드를 격리하거나 오용된 신원을 취소하는 것이 지연되면 공격자가 공격을 확대할 수 있는 여지가 생깁니다.
자동화를 통해 SecOps 팀은 기본 클라우드 제어를 사용하여 클라우드 기반 위협을 지속적으로 탐지하고 대응하여 보안 사고를 신속하게 억제할 수 있습니다. 손상된 컨테이너를 격리하거나 의심스러운 세션 토큰을 취소하는 등의 조치를 취하면 국지적인 문제가 더 광범위한 서비스 중단이나 데이터 손실로 확대되는 것을 방지할 수 있습니다.
안전한 AI 및 개발 문화를 구축하십시오. 이제 AI는 단순한 도구가 아니라 운영의 자산입니다. 지원 도구와 자동화된 프롬프트가 일상적인 워크플로에 포함됨에 따라 기술적 제어만으로는 해결할 수 없는 행동 위험이 발생하고 있습니다.
강력한 보안 문화는 AI 시스템을 중요 인프라와 동일한 규율로 취급합니다. 여기에는 어시스턴트 사용 방식 검토, 프롬프트에서 민감한 데이터 노출 방지, AI가 생성한 코드의 유효성 검사 등이 포함됩니다. 팀에서 효과적인 AI 활용에 있어 인간의 판단이 여전히 핵심이라는 점을 이해하면 거버넌스 통제를 우회하지 않고 강화하여 자동화를 위한 추진 속도가 이를 감독하는 능력을 능가하지 않도록 합니다.

개발 및 런타임 환경의 패브릭에 보안을 내재화하면 AI 및 클라우드 혁신의 속도가 시스템 리스크가 아닌 비즈니스 성장을 주도할 수 있도록 지원합니다.

5. 공격 표면 및 휴먼 인터페이스 보호

이제 조직을 보호하려면 회사 노트북을 넘어서야 합니다. 최신 공격 표면은 관리되지 않는 계약업체 디바이스, 퍼블릭 클라우드 자산, 기업의 주요 작업 공간이 된 웹 브라우저 자체로 확장되었습니다.

방어자로서 우리는 이중의 도전에 직면해 있습니다. 공격자가 지속적으로 스캔하는 외부 노출 지점을 엄격하게 관리하는 동시에 사용자가 데이터, AI, 개방형 웹과 상호 작용하는 휴먼 인터페이스를 함께 보호해야 합니다. 이렇게 방대한 환경을 보호하려면 보안의 범위를 외부 엣지에서 브라우저 세션까지 확장해야 합니다.

적극적인 노출 관리로 공격 표면을 줄이십시오. Unit 42는 소프트웨어 취약성이 올해 보안 사고 초기 접속의 22%를 차지한 것으로 나타났고 단순한 발견을 넘어 적극적인 위험 우선순위 지정으로 전환해야 한다는 점을 강조했습니다. 효과적인 노출 관리는 기존 스캔이 놓치는 섀도 인프라와 승인되지 않은 AI 도구를 포함하여 디지털 풋프린트에 대한 완전하고 지속적인 인벤토리를 생성하여 이러한 격차를 해소합니다.
특히 이 전략은 위협 인텔리전스를 사용하여 노이즈를 걸러내어 실제 공격 환경에서 활발하게 표적이 되고 있고(예: CISA KEVs) 보상 제어가 부족한 자산만 우선순위를 정해야 합니다. 팀은 제한된 리소스를 악용 가능한 비즈니스 크리티컬 위험에 집중함으로써 공격자가 열린 문을 찾기 전에 기회의 창을 닫을 수 있습니다.
휴먼 인터페이스를 보호하십시오. 브라우저는 새로운 엔드포인트이자 새로운 기업 데스크톱입니다. 브라우저는 직원들이 데이터에 액세스하는 곳이고, 계약업체가 업무를 수행하는 곳이며, 안타깝게도 피싱과 같은 소셜 엔지니어링 공격이 가장 효과적인 곳이기도 합니다.
이 인터페이스를 보호하려면 관리형 및 비관리형 기기 모두에 대해 완전히 격리되고 안전한 기업 업무 공간을 구축하는 엔터프라이즈급 보안 브라우저가 필요합니다. 이 강력한 계층은 기본 하드웨어에 관계없이 실시간으로 데이터 제어를 시행합니다. 민감한 페이지에서 복사 및 붙여넣기를 비활성화하고, 알 수 없는 출처의 파일 다운로드를 방지하며, 표준 이메일 필터를 회피하는 지능형 피싱 사이트를 식별할 수 있습니다. 브라우저를 강화함으로써 조직은 섀도 AI 사용에 대한 세분화된 가시성을 확보하고 중요한 기업 데이터가 승인되지 않은 GenAI 도구로 유출되는 것을 직접적으로 방지할 수 있습니다.
타사 및 관리되지 않는 액세스를 보호합니다. 모든 계약자 또는 인수 대상에게 기업 노트북을 배송하는 경직된 모델은 더 이상 지속 가능하지도 않고 안전하지도 않습니다. 조직은 기존 가상 데스크톱 인프라(VDI) 솔루션의 비용과 복잡성 없이 관리되지 않는 디바이스에서 제로 트러스트 액세스를 강제할 수 있는 방법이 필요합니다.
브라우저를 통해 업무 공간을 보호함으로써 기업은 계약자 및 BYOD 사용자에게 기업 애플리케이션에 대한 안전한 액세스 권한을 부여하는 동시에 비즈니스 데이터를 개인 환경과 엄격하게 격리할 수 있습니다. 이러한 접근 방식은 인수합병 통합 및 계약자 온보딩을 가속화하는 동시에 손상된 개인 디바이스가 기업 네트워크에 침입하는 디딤돌로 사용되지 않도록 보장합니다.
통합 원격 측정을 수집하고 대응을 자동화하십시오. 엔드포인트를 관리하는 기업에게 데이터는 방어의 원동력입니다. 정교한 공격을 탐지하려면 프로세스, 네트워크 연결 및 신원 행동 전반에 걸쳐 높은 신뢰도의 원격 측정을 수집한 다음, 중앙 플랫폼 내에서 해당 데이터를 통합해야 합니다.
이 데이터를 AI 기반 엔진으로 분석하면 개별적으로는 보이지 않던 이상 징후가 침해의 명확한 손상 지표가 됩니다. 하지만 탐지는 전투의 절반에 불과합니다.
피해를 최소화하려면 대응 메커니즘을 자동화해야 합니다. 보안 팀은 손상된 엔드포인트를 격리하고, 포렌식 스캔을 시작하고, 머신 속도로 위협을 해결하여 국지적인 감염이 시스템 침해로 이어지지 않도록 할 수 있는 역량을 갖춰야 합니다.

브라우저를 기본 작업 공간으로 보호하고 외부 공격 표면을 엄격하게 관리함으로써 기존 엔드포인트 제어가 더 이상 도달할 수 없는 사용자와 자산을 보호할 수 있습니다.

5. 부록

이 섹션의 데이터를 3차원으로 정리하여 2025년에 우리가 관찰한 패턴을 방어자가 보다 명확하게 파악할 수 있도록 했습니다. 먼저, 각 전술과 가장 밀접하게 연관된 MITRE ATT&CK^® 기술을 간략하게 설명합니다. 그런 다음 지역과 업종에 따라 조사 유형이 어떻게 변화하는지를 보여주는 지역 및 산업 수준의 보기를 제시합니다.

5.1 전술별 관찰된 MITRE 기법 개요

다음 일련의 차트(그림 3-14)는 특정 전술과 관련하여 관찰한 MITRE ATT&CK^® 기법을 보여줍니다. 표시된 백분율은 각 전술에 대해 식별된 다른 종류의 기법들과 비교했을 때 각 기법이 차지하는 비중을 나타냅니다. 이 백분율은 해당 기법이 사례에서 얼마나 자주 나타나는지를 나타내지 않습니다(고유 기법 및 사례에 대한 데이터를 살펴보려면 웹사이트 버전을 참조하세요).

초기 액세스

그림 3: 초기 접근 전술과 관련하여 관찰된 기술의 상대적 발생 비율입니다.

5.2 지역별 조사 유형

그림 15~17은 2025년 동안 Unit 42에서 처리한 조사에 대한 지역 및 산업 수준의 시각을 제공합니다. 이 보고서는 북미, EMEA 및 태평양 지역에서 보안 사고 유형이 어떻게 다른지 보여주며, 데이터에서 가장 많이 나타나는 산업에서 가장 일반적인 조사 카테고리에 대한 분석도 함께 제공합니다. 이러한 인사이트를 통해 리더는 활동이 어디에 집중되어 있는지와 부문 및 지역별로 노출이 어떻게 다른지 파악할 수 있습니다.

지리적 데이터는 지역별 조사 유형의 차이를 강조하고, 산업별 차트는 위협 활동이 부문별 특정 운영 및 기술 스택과 어떻게 연계되는지에 대한 명확한 패턴을 보여줍니다. 첨단 기술, 제조, 금융 서비스 및 의료 분야는 각각 서로 다른 변수를 반영하여 침입 유형이 뚜렷하게 혼합되어 나타나며 공격 표면, 신원 아키텍처 및 클라우드 성숙도의 차이를 반영합니다. 이러한 관점을 종합하면 보안 리더는 위협이 가장 활발하게 발생하는 위치와 운영 환경이 Unit 42가 조사하는 침입을 어떻게 형성하는지 보다 명확하게 파악할 수 있습니다.

북미

그림 15: 지역별 조사 유형: 북미.

5.3 산업별 조사 유형

아래 그림 18~24는 보안 사고 대응 데이터에서 가장 많이 나타나는 산업과 관련된 상위 조사 유형을 분석한 결과입니다.

첨단 기술

그림 18: 업종별 조사 유형: 첨단 기술.

6. 방법론

이 보고서의 데이터는 2024년 10월 1일부터 2025년 9월 30일 사이에 Unit 42가 대응한 750건 이상의 사례를 기반으로 작성되었으며, 2021년까지 올라가는 이전 사례 데이터의 지표와 비교했습니다. Unit 42의 고객은 50명 미만의 소규모 조직부터 Fortune 500대 기업, Global 2000대 기업, 10만 명 이상의 직원을 보유한 정부 기관에 이르기까지 다양합니다.

영향을 받은 조직들은 50개 국가 이상에 본사를 두고 있었습니다. 이 사례에서 표적이 된 조직의 약 65%가 북미에 본사가 위치해 있었습니다. 유럽, 중동 및 아시아 태평양 지역에 기반을 둔 조직과 관련된 사례가 나머지 35%를 차지했습니다. 공격은 조직의 본사가 있는 지역을 넘어 영향을 미치는 경우가 많습니다.

이 사례 데이터와 제품 원격 측정, 다크웹 유출 사이트에서의 관찰 및 기타 오픈 소스 정보를 통해 얻은 위협 연구 인사이트를 결합했습니다. 또한 보안 사고 대응자들은 고객과의 직접적인 업무를 바탕으로 주요 트렌드에 대한 현장 관찰 내용을 제공했습니다.

보다 성숙한 보안 태세를 갖춘 대규모 조직과 협력하는 추세를 포함하여 여러 가지 요인이 데이터 세트의 특성에 영향을 미칠 수 있습니다. 또한 새로운 트렌드를 보여주는 사례에 중점을 두어, 일부 주제에서는 전체 데이터 집합의 작은 부분에 초점을 맞추는 것을 의미합니다.

일부 분석 영역의 경우 왜곡된 결과를 피하기 위해 데이터를 선별하여 필터링하기로 결정했습니다. 예를 들어, 우리는 CVE 2024-0012 및 2024-3400의 잠재적 영향을 조사할 수 있도록 보안 사고 대응 지원을 제공했으며, 고객이 데이터 세트에서 이러한 취약점이 과도하게 나타나는 현상이 발생했습니다. 적절한 경우 이러한 과대 대표 현상을 보정했습니다.

우리의 전반적인 기본 원칙은 현재 및 새로운 위협 환경에 대한 인사이트를 제공하여 방어자가 공격자가 현재 무엇을 하고 있는지, 그리고 앞으로 어떤 방향으로 나아갈지에 대한 대비 태세를 강화할 수 있도록 하는 것입니다.

기여자:

Amelia Albanese

Sheida Azimi

Jim Barber

Maxfield Barker

Jeremy Brown

Mark Burns

Josh Costa

Kasey Cross

Michael Diakiwski

Dan O’Day

Richard Emerson

Robert Falcone

Elizabeth Farabee

Byrne Ghavalas

Wyatt Gibson

Alexis Godwin

Evan Gordenker

Daniel Gott

Evan Harrington

Tim Heraldo

Brandon Hicks

Manisha Hirani

Jack Hughes

Margaret Kelley

Seth Lacy

Samantha Le

Yang Liang

Chia Hui Mah

Mitch Mayne

Eva Mehlert

Vraj Mehta

Danny Milrad

Jacqui Morgan

David Moulton

Lysa Myers

Erica Naone

Aisling O'Suilleabhain

Aryn Pedowitz

Andy Piazza

Nicholas Pockl-Deen

Brendan Powers

Nathaniel Quist

Adam Robbie

Laury Rodriguez

Sam Rubin

Doel Santos

Mike Savitz

Andrew Scott

Steve Scott

Ram Shenoy

Michael Sikorski

Scott Simkin

Ray Spera

Samantha Stallings

Jenine Sussman

Virginia Tran

Amy Wagman

JL Watkins

Kyle Wilhoit

전문가에게 문의