체크포인트 "기업, 매주 평균 약 2천건 사이버공격 받아"

글로벌 사이버 보안 전문기업으로 나스닥 상장사인 체크포인트 소프트웨어 테크놀로지스(Check Point Software Technologies)가 글로벌 사이버 공격 동향에 대한 14번째 연례 분석 보고서인 '2026년 사이버 보안 보고서'를 발표했다고 3일 밝혔다.

보고서에 따르면 기업들은 지난해 매주 평균 약 2천(정확히 1968건)건의 사이버 공격을 경험했다. 2023년 이후 70% 증가한 수치다. 이는 공격자들이 자동화 및 AI를 활용해 더 민첩하게 행동하고, 규모를 쉽게 확장하며, 여러 공격 표면에서 동시에 활동하고 있기 때문이다.

AI는 업계에서 가장 빠른 보안 변화 중 하나로 기업들이 공격 발생, 확산 및 차단 방식에 대한 기존 가정을 재평가하게 만들고 있다. 과거에는 리소스가 풍부한 공격자들만 사용 가능했었던 기법들이 이제는 널리 보급돼 모든 규모의 조직을 대상으로 더욱 개인화되고, 조직적이며, 확장 가능한 공격을 가능하게 하고 있다.

체크포인트의 로템 핀켈스타인(Lotem Finkelstein) 리서치 부문 부사장은 “AI는 사이버 공격의 물량 뿐 아니라 공격 방식 자체를 변화시키고 있다”며 “공격자들은 수동적인 작업에서 점점 더 높은 수준의 자동화로 이동하고 있으며, 자율적인 기술의 초기 징후도 나타내고 있다. 이러한 변화에 대응하기 위해서는 AI 시대에 맞는 보안 기반을 재검토하고, 위협이 확산되기 전에 차단해야 한다"고 짚었다.

아래는 이번 보고서의 주요 내용이다. 보고서는 인간의 기만(Human Deception)과 기계 속도의 자동화를 결합한 통합형 다채널 공격으로의 뚜렷한 변화를 강조했다.

-AI 기반 공격 자율성 증가: AI는 공격 워크플로우 전반에 걸쳐 점점 더 많이 통합돼 정찰, 소셜 엔지니어링 및 운영 의사 결정을 가속화한다. 3개월 동안 기업의 89%는 위험한 AI 프롬프트를 경험했으며, 약 41개 프롬프트 중 1개는 고위험으로 분류돼 AI가 일상적인 비즈니스 워크플로에 통합됨에 따라 새로운 위험으로 드러나고 있다.

-랜섬웨어 공격 지속적인 세분화와 규모 확장: 랜섬웨어 생태계는 더 작고 전문화된 그룹으로 분산돼 랜섬웨어 피해자 수가 지난해 대비 53% 증가했으며, 서비스형 랜섬웨어(RaaS) 그룹도 50% 늘어났다. 이제 AI는 타겟팅, 협상 및 운영 효율성을 가속화하는 데에도 사용되고 있다.

-소셜 엔지니어링 공격은 이메일을 넘어 확장 중: 공격자들은 이메일, 웹, 전화, 협업 플랫폼 등 다양한 채널을 통해 공격을 조직적으로 수행하고 있다. 특히, 클릭픽스(ClickFix, 사용자가 무심코 클릭하거나 복사·붙여넣기 같은 행동을 하도록 유도해 스스로 악성코드를 실행하게 만드는 사회공학 기반 공격 기법) 관련 공격은 500% 급증했는데, 사용자 조작을 위해 사기성 기술 프롬프트를 사용했다.

또한, 전화 기반 사칭 공격은 더욱 체계적인 기업 침입 시도로 진화하고 있다. AI가 브라우저, SaaS 플랫폼, 협업 도구에 통합됨에 따라 디지털 작업 공간은 공격자들이 악용할 수 있는 중요한 신뢰 영역으로 부상하고 있다.

-엣지 및 인프라 취약점으로 인한 노출 증가: 모니터링되지 않는 엣지 디바이스, VPN 어플라이언스, IoT 시스템이 정상적인 네트워크 트래픽에 섞여 운영 중계 지점으로 사용되는 사례가 증가하고 있다.

-AI 인프라에서 새로운 위험 등장: 체크포인트 자회사인 라케라(Lakera)의 분석에 따르면, 검토 대상인 1만 개의 MCP(Model Context Protocol) 서버 중 40%에서 보안 취약점이 발견됐다. 이는 AI 시스템, 모델, 에이전트가 기업 환경에 내장됨에 따라 노출 위험이 증가하고 있다는 것을 보여준다.

■ 보안 리더들을 위한 권장 사항

이번 체크포인트의 ‘2026년 사이버 보안 리포트’는 AI 기반 위협에 대한 방어가 단순히 더 빠르게 대응하는 것이 아니라 보안 설계 및 시행 방식을 재고해야 한다는 것을 보여준다. 체크포인트는 이번 보고서에서 관찰된 동향을 바탕으로 조직에 다음과 같은 사항을 권장했다.

-AI 시대에 맞는 보안 기반 재검토: AI 기반 공격은 머신 속도 위협에 맞춰 설계되지 않은 환경 전반에서 속도, 자동화 및 신뢰를 악용한다. 조직은 자율적이고, 조직적인 공격을 조기에 차단하기 위해 네트워크, 엔드포인트, 클라우드, 이메일 및 SASE 전반에 걸친 보안 제어를 재평가해야 한다.

-안전한 AI 도입 활성화: AI가 일상적인 워크플로에 통합됨에 따라 AI 사용을 차단하면 위험이 증가할 수 있다. 보안 팀은 고위험 프롬프트, 데이터 유출 및 오용으로 인한 노출을 줄이기 위해 승인된 AI 사용과 비승인 AI 사용 모두에 대해 거버넌스와 가시성을 적용해야 한다.

-디지털 워크스페이스 보호: 소셜 엔지니어링 공격은 이제 이메일, 브라우저, 협업 툴, SaaS 애플리케이션 및 음성 채널까지 확산됐다. 보안 전략은 인간의 신뢰와 AI 기반 자동화가 교차하는 워크스페이스를 보호해야만 한다.

-엣지 및 인프라 강화: 모니터링되지 않는 엣지 디바이스, VPN 어플라이언스 및 IoT 시스템은 더 은밀한 침입 경로로 악용되고 있다. 이러한 자산을 적극적으로 파악하고, 보호하면 숨겨진 취약점과 공격자의 지속성을 줄일 수 있다.

-예방 우선 접근 방식 도입: 공격이 머신 속도로 실행되는 상황에서 위협이 확산(Lateral Movement)되기 전에 차단하려면 예방 중심의 보안이 필수적이며, 그렇지 않은 경우 데이터 손실이나 금전적 갈취가 발생할 수 있다.