‘차단’에서 ‘복구’로, 사이버 복원력 중심 보안 전략 전환
최근 사이버 위협은 랜섬웨어 공격의 진화와 대규모 정보 유출 사고를 중심으로 기업 비즈니스에 직접적인 영향을 미치고 있다. 특히 랜섬웨어, 정보 유출 악성코드, 국가 배후 공격 그룹의 위협은 공급망 공격과 취약점 악용, 파일리스(Fileless) 공격 등으로 고도화되면서 하나의 보안 솔루션만으로는 탐지와 대응이 어려운 양상으로 전개되고 있다. 이런 흐름은 AI, 오픈소스 공급망, 국가 핵심 인프라, 리눅스 환경 등을 중심으로 이어질 것으로 전망된다. 이에 따라 기업은 위협 차단을 넘어 침해 이후에도 비즈니스를 지속하고 신속히 복구할 수 있는 사이버 복원력 관점의 대응 전략을 함께 갖춰야 한다. 최신 위협 사례를 통해 2026년 사이버 위협 전망과 사이버 복원력 구축 방향을 살펴보자.
사이버 위협의 세 축, 다면적 공격 구조로의 진화
최근 사이버 위협 환경은 랜섬웨어, 정보 유출 악성코드, 국가 배후 공격 그룹의 활동을 중심으로 빠르게 변화하고 있다. 이 세 가지 위협은 서로 다른 방식으로 전개되지만 공통적으로 공격 방식이 복합화되고 있다는 특징을 보인다. 공격자는 단일 악성코드나 단일 침투 경로에 의존하기보다 취약점 악용, 계정 탈취, 공급망 침투, 파일리스 공격 등 다양한 기법을 결합해 공격을 수행한다. 이러한 공격 구조에서는 특정 보안 솔루션 하나만으로 위협을 탐지하거나 대응하기 어렵다.
사이버 공격은 점점 더 기업의 핵심 시스템과 비즈니스 운영에 직접적인 영향을 미치는 형태로 변화하고 있다. 단순한 시스템 감염을 넘어 정보 유출, 서비스 중단, 공급망 피해 확산 등 다양한 방식으로 기업 활동에 영향을 미친다. 이처럼 공격이 다면적으로 전개되면서 보안 대응 역시 개별 기술 중심에서 조직 전체의 대응 체계로 확장될 필요성이 커지고 있다.
랜섬웨어: 데이터 유출과 공급망 공격으로 진화
랜섬웨어는 여전히 기업을 위협하는 대표적인 사이버 공격 유형이다. 과거에는 불특정 다수를 대상으로 무차별적으로 유포되는 경우가 많았고, 일부 랜섬웨어는 복구 툴이나 킬 스위치가 존재하기도 했다.
하지만 최근 랜섬웨어 공격은 이전과 다른 양상으로 변화하고 있다. 공격 조직이 조직화되고 분업화되면서 랜섬웨어 개발, 유포, 취약점 확보, 협상 등 역할이 분리된 구조가 형성됐고, RaaS(Ransomware as a Service) 모델 확산으로 공격 진입 장벽도 낮아졌다.
최근 공격자들은 파일 암호화에 그치지 않고 데이터 유출을 결합한 랜섬웨어 공격 방식을 적극 활용하고 있다. 공격자는 내부에서 확보한 민감 정보를 공개하거나 유출을 암시하며 협상을 압박하고, 직원 개인정보나 내부 문서, 설계 자료 등 다양한 정보를 협상 수단으로 활용한다.
이런 흐름을 보여주는 사례가 ‘킬린(Qilin)’ 랜섬웨어 그룹이다. 2022년 등장한 이 그룹은 최근 국내에서도 활발히 활동하며 금융·자산운용·제조 등 다양한 산업군을 대상으로 공격을 수행하고 있다. 실제로 국내에서는 금융 IT 서비스를 제공하는 업체가 공격을 받으면서 해당 서비스를 이용하던 여러 자산운용사가 동시에 랜섬웨어 피해를 입는 사례도 발생했다.
이처럼 공통 인프라나 협력사를 경유한 공격은 공급망을 통해 피해가 확산될 수 있다는 점을 보여준다. 특정 기업 한 곳의 보안 사고가 다수 기업의 피해로 이어질 수 있기 때문에 협력사와 서비스 제공업체까지 포함한 보안 관리가 중요해지고 있다.
또한 랜섬웨어 공격은 특정 산업군을 집중적으로 겨냥하는 경향도 나타나고 있다. 금융, 제조, 반도체 등 주요 산업에서 피해 사례가 확인되고 있으며, 특히 생산 설비 중단 시 피해 규모가 큰 제조업에서는 공격 대응 부담이 더욱 크다.
[그림 1] RDP 접속 이후 내부 서버로 확산되는 생산 설비 대상 랜섬웨어 공격 사례
이처럼 랜섬웨어가 기업 운영과 직결되는 위협으로 확대되면서 단순한 시스템 복구만으로는 대응이 충분하지 않다. 공격이 어떻게 시작됐는지, 즉 최초 침투 경로를 파악하는 과정이 무엇보다 중요하다. 최초 침투 경로가 제거되지 않으면 동일한 취약점을 통해 다시 공격이 발생할 수 있기 때문이다.
실제 공격 사례에서는 VPN 계정 탈취나 취약점 악용을 통한 내부 네트워크 침투가 주요 초기 공격 경로로 확인되고 있어, 외부 노출 취약점 관리와 접근 통제 등 초기 침입을 차단하기 위한 보안 관리의 중요성이 강조되고 있다.
정보 유출 악성코드: 정상 플랫폼을 이용한 은밀한 확산
정보 유출 악성코드 역시 랜섬웨어와 함께 증가하고 있는 심각한 사이버 위협이다. 이 악성코드는 사용자 시스템에 저장된 계정 정보와 브라우저 데이터, 문서 파일 등을 수집해 외부로 전송하는 기능을 수행한다.
정보 유출 악성코드는 다양한 경로로 유포되지만, 가장 흔한 방식 가운데 하나는 불법 소프트웨어 다운로드를 통한 감염이다. 사용자가 특정 프로그램을 검색해 다운로드하는 과정에서 공격자가 만든 피싱 페이지에 접속하게 되고, 이 과정에서 악성코드가 함께 설치되는 방식이다.
운영체제 환경에 따라 서로 다른 악성코드가 유포되는 사례도 확인된다. 동일한 유포 사이트에서 윈도우 환경에는 윈도우용 악성코드가, 맥 환경에서는 맥용 악성코드가 다운로드되는 구조다. 일부 악성코드는 해시값을 주기적으로 변경하는 방식으로 보안 솔루션 탐지를 회피하려는 시도도 보인다.
정보 유출 방식 역시 과거와 달라지고 있다. 공격자는 별도의 서버 대신 텔레그램과 같은 메신저 플랫폼을 정보 유출 창구로 활용하기도 한다. 기업 환경에서 이런 서비스는 정상적으로 사용되는 경우가 많기 때문에 탐지와 차단이 어려운 측면이 있다.
피싱 메일을 이용한 계정 탈취 역시 중요한 공격 방식이다. 이메일 계정이 탈취되면 공격자는 내부 시스템이나 협업 플랫폼에 접근할 수 있고, 이를 통해 기업 자산이나 내부 정보를 유출할 수 있다. 특히 클라우드 기반 업무 환경에서는 계정 보안이 조직 전체 보안과 직결되는 경우가 많다.
이런 공격은 재택근무 환경에서도 유사한 사례가 발생할 수 있다. 회사 지급 노트북에서 불법 프로그램을 설치하는 과정에서 정보 유출 악성코드에 감염되고, 브라우저에 저장된 계정 정보나 VPN 인증 정보가 유출되면서 내부 네트워크 침투로 이어질 수 있기 때문이다.
[그림 2] 피싱 메일 기반 계정 탈취를 통한 클라우드 정보 유출 공격 사례
[그림 3] 불법 소프트웨어 감염으로 탈취된 VPN 계정을 이용한 내부망 침투 사례
국가 배후 공격: 워터링 홀과 파일리스 공격 결합
국가 배후 공격 그룹의 활동 역시 주요 사이버 위협 가운데 하나다. 이 공격은 일반적인 범죄형 공격과 달리 특정 목표를 겨냥해 정교하게 진행되는 특징이 있다.
최근에는 국내에서 널리 사용되는 보안·업무용 소프트웨어의 취약점을 악용한 공격 사례도 확인되고 있다. 전자서명, 인증 프로그램 등 다양한 소프트웨어의 취약점을 이용해 시스템에 침투하는 방식이다.
또 다른 특징은 워터링 홀(Watering Hole) 전략과 파일리스 공격의 결합이다. 실제 한 사례에서는 특정 웹사이트가 침해된 뒤 해당 사이트를 방문한 사용자 중 일부만을 대상으로 공격이 진행됐다. 공격자는 IP 화이트리스트를 통해 특정 대상에 대해서만 공격이 이루어지도록 설계하기도 했다.
이후 취약점을 악용해 시스템에 침투한 뒤 별도의 악성 파일을 생성하지 않고 정상 프로세스를 활용해 악성 행위를 수행한다. 운영체제의 정상 프로세스를 통해 외부 서버와 통신하거나 내부 정보를 수집하는 방식으로 공격이 진행된다.
이처럼 파일 형태의 악성코드가 생성되지 않는 파일리스 공격은 파일 기반 탐지 방식으로는 식별하기 어렵다. 공격 과정에서 사용되는 대부분의 프로세스가 정상 시스템 프로세스이기 때문이다.
이런 공격은 전통적인 안티바이러스만으로는 탐지가 어려운 경우가 많다. 시스템에서 실행되는 프로세스의 행위나 비정상적인 네트워크 통신 등을 분석하는 행위 기반 보안 대응이 중요해지는 이유다.
[그림 4] 워터링홀 기반 국가 배후 공격 시나리오와 안티바이러스 대비 EDR 탐지 필요성
2026년 사이버 위협, AI와 공급망 중심 확대
이 같은 2025년 위협 흐름을 바탕으로 사이버 공격은 더욱 복잡하고 광범위한 형태로 발전할 것으로 예상된다. 특히 AI 기술의 발전과 소프트웨어 생태계 변화는 공격 방식에도 큰 영향을 미칠 것으로 보인다. 2026년 위협 전망은 크게 5가지 키워드로 정리할 수 있다.
[그림 5] 2026년 사이버 보안 위협 전망
1) AI 기반 사이버 공격의 전방위 확산
AI는 공격 도구이자 공격 대상이 되는 새로운 위협 요소로 부상하고 있다. 공격자는 AI를 활용해 피해자 환경을 분석하고 악성코드를 생성·실행하는 맞춤형 공격을 수행할 수 있다. 또한 딥페이크 기술을 이용한 화상회의나 전화 기반 사기와 같은 사회공학 공격도 증가할 가능성이 있다.
이와 함께 AI 모델 자체를 겨냥한 프롬프트 유출, 학습 데이터 탈취와 같은 새로운 공격 유형도 등장하고 있다. 이는 기존 IT 시스템뿐만 아니라 AI 모델과 데이터까지 보안 범위가 확장되고 있음을 의미한다.
2) 랜섬웨어 공격의 확대 및 피해 심화
랜섬웨어 공격 역시 지속적으로 확대될 것으로 예상된다. 국제 공조로 일부 대형 그룹이 약화되면서 그 반작용으로 소형·신생 랜섬웨어 그룹이 늘어날 수 있다. 여기에 APT 공격 조직과 랜섬웨어 그룹 간 협력까지 더해지면서 RaaS 생태계의 카르텔화가 가속화될 가능성도 있다.
특히 보안 체계 구축이 상대적으로 어려운 중소기업과 협력사가 주요 표적이 되고 있다. 이는 앞서 살펴본 국내 공급망 공격이나 MSP를 경유한 침해, 협력사를 통한 피해 확산과 같은 흐름과도 맞닿아 있다.
3) 오픈소스 생태계를 이용한 공급망 위협
현대 소프트웨어 개발 환경에서 오픈소스 컴포넌트 의존도는 매우 높다. 이 때문에 단일 패키지가 침해될 경우 해당 패키지를 사용하는 다양한 프로젝트와 사용자 환경으로 피해가 빠르게 확산될 수 있다.
공격 범위 역시 소프트웨어 영역을 넘어 클라우드 서비스, MSP, 보안 솔루션 업체까지 확대되고 있으며, 스마트폰이나 셋톱박스, IoT 기기 등 하드웨어 기반 시스템으로도 영향을 미칠 가능성이 있다. 공급망 공격은 특정 기업의 문제가 아니라 디지털 생태계 전체에 영향을 미치는 구조적 위협으로 이해할 필요가 있다.
4) 국가 핵심 인프라에 대한 위협 확대
의료, 제조, 에너지 분야 등 국가 핵심 인프라를 겨냥한 공격도 증가하고 있다. 철도·해상·항공 운송·통신망 등 주요 국가 기반 서비스를 노린 공격도 늘어날 것으로 예상된다.
외부와 분리돼 비교적 안전하다고 여겨졌던 OT(Operational Technology) 환경도 디지털 전환 과정에서 외부 네트워크와 연결되는 사례가 늘고 있다. 이로 인해 IT 시스템을 먼저 침해한 뒤 OT 환경으로 확산되는 공격 시나리오가 현실적인 위협으로 떠오르고 있다. 이런 변화는 산업 현장의 사이버 복원력 강화의 필요성을 더욱 높이고 있다.
5) 리눅스 위협 증가
클라우드 인프라 대부분이 리눅스 기반으로 운영되는 점도 주요 위험 요인으로 지목된다. 하나의 시스템이 침해될 경우 가상머신이나 컨테이너 환경 전체로 피해가 확산될 수 있기 때문이다.
특히 아키라(Akira) 랜섬웨어가 게스트 OS가 아닌 하이퍼바이저(Hypervisor) 계층을 직접 공격해 가상 머신 디스크 파일을 암호화한 사례는 리눅스 공격이 단순 서버 악성코드를 넘어 가상화·클라우드 기반 서비스 전체에 영향을 미칠 수 있음을 보여준다.
완벽한 방어보단 ‘사이버 복원력’ 중심 전략으로
이처럼 2026년 위협은 더 빠르고 정교해지면서 모든 공격을 사전에 완벽하게 차단하는 전략만으로는 대응이 어려워지고 있다. 최근 보안 전략에서는 이를 “No More Perfect Guard”로 설명한다. 완벽한 방어를 전제로 한 보안 체계에서 벗어나, 공격이 발생하더라도 핵심 업무를 유지하고 빠르게 정상 상태로 복구할 수 있는 사이버 복원력이 중요한 전략으로 떠오르고 있다는 의미다.
사이버 복원력은 사이버 공격이나 침해 사고 상황에서도 조직이 비즈니스 기능을 지속적으로 운영하고 신속하게 회복할 수 있는 능력을 의미한다. 이는 단순히 시스템을 보호하는 수준을 넘어 위협을 예측·보호·탐지·대응·복구·적응하는 전반적인 대응 역량을 포함한다. 기존 재해 복구가 시스템 장애 이후 복원에 초점을 맞췄다면, 사이버 복원력은 공격과 데이터 유출, 공급망 침해 등 다양한 위기 상황에서도 업무 연속성을 유지하는 것을 목표로 한다.
[그림 6] 재해 복구와 사이버 복원력의 개념 변화와 대응 범위 비교
이를 위해서는 기술과 조직을 아우르는 종합적인 대응 체계가 필요하다. 기술 측면에서는 백신, 샌드박스 솔루션, EDR/XDR, OT 보안, 위협 인텔리전스 등을 연계한 다계층 방어 체계가 핵심이다. 백신은 알려진 악성코드를 차단하고, 샌드박스 솔루션은 알려지지 않은 위협을 분석해 탐지하며, EDR은 파일리스 공격과 침투 경로를 추적한다. OT 보안은 산업 환경을 보호하고, 위협 인텔리전스는 새로운 공격 흐름을 선제적으로 파악하는 역할을 한다. 이런 보안 계층을 유기적으로 결합해 위협 가시성과 대응 능력을 높이는 것이 사이버 복원 전략의 기반이 된다.
[그림 7] 사이버 복원력 강화를 위한 주요 기술 보안 전략
복원 전략은 기술에만 국한되지 않는다. 사고 대응 체계와 의사결정 구조, 재무적 대비, 법률·규제 대응, 로그 관리와 포렌식 체계 등 조직 차원의 준비도 필요하다. 침해 사고를 단순한 보안 문제가 아니라 기업 전체의 위기 관리 관점에서 대응해야 한다는 의미다.
결국 앞으로의 보안 전략은 공격을 얼마나 완벽하게 막느냐보다, 공격 상황에서도 핵심 업무를 유지하고 얼마나 빠르게 회복할 수 있는지에 달려 있다. 랜섬웨어와 정보 탈취 악성코드, 국가 배후 공격 등 다양한 위협이 확대되는 환경에서 사이버 복원력은 기업의 보안 경쟁력과 신뢰를 좌우하는 핵심 전략으로 자리 잡고 있다.
출처 : AhnLab
