2025년, '디지털 재난'의 해

2025년은 사이버 침해사고 신고 건수가 역대 최다를 기록한 해였다. 두바이 소재 암호화폐 거래소 Bybit에서는 약 2조 원 규모의 자산이 단일 사고로 탈취됐고, 일본 Asahi 그룹은 랜섬웨어에 감염돼 30개 공장이 동시에 가동을 멈췄다. 국내에서는 통신사 한 곳에서만 2,696만 건의 USIM 정보가 유출됐고, 유통사 한 곳에서는 3,370만 명의 회원 정보가 빠져나갔다. KISA에 신고된 침해사고만 2,383건으로 전년 대비 26% 증가하며 역대 최다를 기록했다. ‘디지털 재난’이라 해도 과언이 아닌 한 해였다.

그런데 이 재난의 현장에서 공통적으로 발견된 사실이 하나 있었다. 피해 조직은 이미 보안 솔루션을 다 갖추고 있었다는 점이다. 그럼에도 왜 막지 못했을까. 이 글에서는 2025년 주요 침해사고 사례를 통해 그 원인과 대응 방안을 살펴본다.

2025년 공격 환경, 무엇이 달라졌나

1. 랜섬웨어 생태계 재편
2025년 랜섬웨어 생태계는 대형 그룹 중심의 기존 질서가 무너지고 ‘춘추전국시대’에 접어들었다. LockBit 등 대형 랜섬웨어 그룹이 국제 공조 수사로 잇따라 타격을 받자, 중소형 RaaS(Ransomware-as-a-Service) 그룹들이 빠르게 그 공백을 채웠다. 위협이 줄어든 것이 아니라, 오히려 더 많은 그룹이 난립하는 구조로 바뀐 것이다.

이 구조 변화는 위협 탐지를 더 어렵게 만들었다. 대형 랜섬웨어 그룹의 공격 패턴은 오랜 기간 분석되면서 대응 노하우가 축적됐지만, 새롭게 등장한 중소형 그룹의 변종 랜섬웨어는 위협 분석의 난이도를 높였다. 동시에 랜섬웨어 전술도 더욱 공격적으로 변화했다. 파일 암호화에 그치지 않고 탈취 데이터 공개를 협박하고 DDoS 공격까지 병행하는 ‘삼중 갈취' 방식이 확산되며 피해 기업에 대한 압박이 더욱 강화됐다.

2025년 활동량 기준 주요 그룹은 다음과 같았다.

[그림 1] 2025년 랜섬웨어 주요 그룹 및 피해 현황

1위. Akira (622건)
2025년 랜섬웨어 활동량 1위는 Akira였다. 전년 대비 120% 증가했으며, 구형 Cisco VPN 취약점을 악용해 중소기업과 서비스 업종을 중심으로 공격을 확대했다.

2위. Qilin (589건)
역대 최고 활동량을 기록한 Qilin은 화이트라벨 방식의 RaaS 모델을 운영하며 수익의 약 80%를 공격 실행자에게 지급했다. 탈취 데이터 공개 시 발생할 법적 책임을 분석해 협박 전략을 지원하는 ‘Call Lawyer’ 서비스까지 제공했다. 러시아어로 설정된 시스템에서는 실행되지 않도록 설계돼 구 소련·러시아권 기반 조직으로 추정된다.

3위. LockBit (315건)
LockBit은 국제 공조 수사 이후 활동이 전년 대비 45% 감소했지만, 제조업 등 다양한 산업을 대상으로 한 공격은 지속됐다. 신뢰도 하락으로 일부 제휴 공격자가 이탈했음에도 여전히 영향력을 유지했다.

4위. Play (245건)
Play는 독자적인 침투 도구를 사용하고 폐쇄적인 운영 방식을 고수했다. 공공 및 운송 분야를 주요 공격 대상으로 삼았다.

2. 리눅스 타깃 공격 급증

2025년 사이버 공격의 또 다른 특징은 리눅스 환경을 겨냥한 공격의 증가였다. 리눅스는 기업 서버, 클라우드 인프라, 컨테이너 환경의 핵심을 담당하는 운영체제다. 윈도우 대비 상대적으로 안전하다는 인식 탓에 보안 우선순위에서 밀려나 있는 경우가 많았고, 공격자들은 바로 이 허점을 파고들었다.

실제로 2025년에는 전체 공격 탐지 건수가 전년 대비 78% 급증한 가운데, 리눅스를 겨냥한 공격 증가가 특히 두드러졌다. 상대적으로 보안 모니터링이 소홀한 리눅스 환경은 침투 후 장기 잠복에 유리한 조건을 제공했다.

3. APT 공격의 고도화

2025년 APT 공격은 더욱 은밀하고 장기적인 침투 양상을 보였다. 대표적인 사례가 Salt Typhoon이다. 중국 배후로 추정되는 이 그룹은 미국 통신사 9곳 모두의 네트워크에 침투해 수사기관 감청용으로 운영되는 합법적 통신 감청 시스템(CALEA)을 장악했다. 수사기관을 위해 열어둔 합법적 백도어가 오히려 공격의 통로로 악용된 것이다. 이후 1년 이상 은밀히 잠복하며 정부 관계자와 주요 인사의 통화를 도청했으며, 미국 대선 관련 인물들의 통신 기록도 도청 대상에 포함된 것으로 알려졌다.

같은 중국 배후로 추정되는 Volt Typhoon은 전력·수도 등 미국의 물리적 기반시설에 침투하여 국가 간 충돌 상황에서 핵심 인프라를 마비시킬 '디지털 매복'을 조용히 준비했다. 빠른 피해보다 은밀한 침투와 장기 잠복을 우선하는 이 두 사례는, 통신·에너지 등 국가 핵심 기반시설이 APT 공격의 주요 표적임을 보여준다.

보안 솔루션은 다 있었다. 그런데 왜 막지 못했을까?

2025년 주요 침해사고 피해 조직 중 상당수는 보안에 무관심하거나 투자를 게을리한 곳이 아니었다. 대부분은 수년간 다양한 보안에 상당한 비용을 투자해왔고, 이미 다층 방어 체계를 갖춘 상태였다. 가트너의 조사에 따르면 기업이 운영하는 보안 솔루션은 평균 45개에 달했으며, 130개 이상을 보유한 곳도 있었다. 그럼에도 2025년 침해사고 피해는 역대 최대 규모를 기록했다. 보안 솔루션은 충분히 많았는데 왜 막지 못했을까. 문제의 핵심은 보안 솔루션의 부족이 아니라 ‘연계된 보안 운영’의 부재였다.

2025년 주요 침해사고에서 공통적으로 나타난 구조적 원인은 세 가지였다.

[그림 2] 2025년 주요 침해사고의 구조적 원인

원인 1. 복잡해진 보안 운영 환경

보안 솔루션이 늘어날수록 도구의 과잉 자체가 새로운 리스크로 작용했다. 컴플라이언스 대응을 위해 영역별로 도입된 솔루션들이 서로 연계되지 않은 채 누적되고, 초기 구축 당시의 구버전 상태가 그대로 유지되는 경우도 많았다. 솔루션마다 쏟아지는 과도한 알림과 오탐은 담당자의 관리 역량을 초과했고, 정작 중요한 위협 신호는 노이즈 속에 묻혔다. 이처럼 서로 연계되지 않은 보안 솔루션이 무분별하게 누적되는 현상, 이른바 툴 스프롤(Tool Sprawl)이 보안 운영의 복잡성을 크게 높였다.

원인 2. 가시성과 컨텍스트의 부재

여러 보안 솔루션이 분산된 환경에서는 가시성을 확보하고 이벤트 간 상관관계를 파악하기 어렵다. 각 솔루션이 생성하는 로그는 개별 사일로(Silo)에 쌓일 뿐 서로 연결되지 않아, 공격자가 어디에서 침투해 어떤 경로로 이동했는지 흐름을 파악하기 어려웠다. 그 결과 탐지 사각지대가 발생했고, 미인가 IT 자산(Shadow IT)은 APT 위협이 장기간 잠복할 수 있는 환경을 제공하기도 했다.

원인 3. 단절된 보안 운영 체계

IT 운영팀과 보안팀 또한 사일로 구조로 분리되어 운영되면서 사고 발생 시 역할과 책임(R&R)이 명확하지 않은 경우가 많았다. 우선순위 없이 쏟아지는 알림 속에서 대응 골든타임을 놓쳤고, 각 솔루션별 수동 대응의 한계와 팀 간 소통 부재가 맞물리면서 대응 시간(MTTR)도 길어졌다.

보안 대응의 핵심은 연결과 통합

2025년의 교훈은 분명하다. 보안은 도구의 수가 아니라 ‘연결과 운영의 질’로 결정된다. 이에 따라 안랩은 연결과 통합을 기반으로 한 3단계 보안 대응 프레임워크를 제시한다.

[그림 3] 안랩의 3단계 통합 보안 대응 프레임워크

1단계. 선제 대응: ZTNA

기존 경계 보안은 '내부 네트워크는 신뢰할 수 있다'는 전제 위에 설계됐다. 그러나 일단 경계를 뚫으면 내부 전체가 노출되는 이 구조는 더 이상 유효하지 않다. ZTNA는 ‘절대 신뢰하지 말고, 항상 검증하라’는 원칙 아래 IP가 아닌 신원 중심으로 접근을 통제해 공격 표면을 최소화한다.

안랩의 방화벽 솔루션 AhnLab XTG는 이러한 ZTNA의 세 가지 핵심 원칙에 기반해 설계됐다. 첫째, 최소 권한 접근으로 비인가 접근 및 우회 접속을 차단하고, 둘째, 마이크로세그멘테이션으로 내부 측면 이동을 차단하며, 셋째, 연속 인증으로 세션 중 이상 행위를 실시간으로 감지한다. 1년 이상 내부에 잠복한 Salt Typhoon 유형의 공격도, ZTNA가 적용됐다면 경계 침투 이후의 측면 이동 단계에서 차단됐을 것이다.

2단계. 탐지 및 대응: EDR

ZTNA가 초기 침투 가능성을 줄이는 단계라면, EDR은 공격자의 침투 이후 내부 활동을 탐지·대응하는 단계다. 시그니처 기반의 기존 백신 솔루션은 정상 도구 악용, 파일리스 공격, 신종·변종 위협 앞에서 한계를 드러낸다.

AhnLab EDR은 행위 기반으로 위협을 탐지해 이 한계를 보완한다. 비정상 프로세스 실행, 권한 상승 등 공격자의 악성 행위를 실시간으로 식별하고, 공격 체인 시각화를 통해 유입 경로와 확산 흐름을 빠르게 파악할 수 있다. 랜섬웨어 감염 시에는 롤백(Rollback) 기능으로 암호화 이전 시점의 파일을 복구할 수 있다. 백신 탐지 우회 전술을 구사한 Akira와 Qilin도, EDR의 행위 기반 탐지 엔진 앞에서는 암호화 행위 단계에서 차단됐을 것이다.

3단계. 통합 운영: XDR

ZTNA로 침투를 차단하고 EDR로 위협을 탐지했다면, 마지막 단계는 이 모든 데이터를 하나로 연결해 조직 전체의 위협을 통합 관리하는 단계다. 개별 솔루션이 아무리 뛰어나도 서로 연결되지 않으면 조직은 여전히 취약하다. 이 연결과 통합을 담당하는 것이 바로 XDR이다.

AhnLab XDR은 각 보안 솔루션에서 생성되는 데이터를 하나의 플랫폼으로 통합하고, 이벤트 간 상관관계를 분석해 전체 공격 체인을 시각화한다. 개별 솔루션의 알림만으로는 정상으로 보이던 행위도 전체 맥락(Context) 속에서 연결되면 그 안에 숨겨진 위협의 흐름이 드러난다. 식별된 리스크는 심각도에 따라 자동으로 우선순위화되며, 반복적인 대응 작업은 플레이북이 대신 처리한다. 그 결과 보안 담당자는 단순 알림 처리에서 벗어나 진짜 중요한 위협에 집중할 수 있다.

2025년이 남긴 교훈: 보안은 완벽함이 아니라, 신속한 대응이다.

보안 전문가 브루스 슈나이어는 2000년에 이렇게 말했다. "보안은 제품이 아니라, 프로세스다."

당시에는 이론처럼 들렸을지 모르지만, 2025년 이 말은 현실이 됐다. 과거에는 보안 제품을 도입하는 것만으로도 상당수의 위협을 막을 수 있었지만, 이제 공격을 100% 차단하는 것은 현실적으로 불가능에 가까워졌다.

하지만 피해 규모는 대응 속도(MTTR)에 반비례한다. 침투를 며칠 만에 탐지한 조직과 수개월이 지나서야 인지한 조직의 피해 차이는 비교가 되지 않는다. 랜섬웨어 감염 직후 격리한 조직과 전사로 확산된 뒤 대응한 조직의 복구 비용 역시 수십 배까지 차이가 날 수 있다.

결국 보안의 경쟁력은 완벽한 방어가 아니라 얼마나 빨리 발견하고 대응하느냐에 달려 있다. 그리고 그 속도를 결정하는 것은 개별 솔루션의 성능이 아닌, 연결된 통합 운영 체계다. 2025년은 그것을 증명한 해였다.

출처 : AhnLab