글로벌 네트워크 보안 융합 기업 포티넷(CEO 켄 지)이 ‘2026 글로벌 위협 환경 보고서’를 발표했다. 2025년 사이버 위협 동향을 종합 분석한 보고서다. 악성 행위자들이 에이전틱 AI(agentic AI)를 활용해 더 정교한 공격을 실행하기 시작했고, 사이버 범죄가 개별 캠페인이 아닌 하나의 ‘산업형 시스템’으로 진화했다고 진단했다.
보고서에 따르면, 전 세계에서 전년 대비 25% 증가한 약 1219억 건의 익스플로잇(exploit, 취약점을 이용한 침투)이 발생했다. 랜섬웨어 피해는 전년 대비 389% 증가한 7831건으로 집계됐다. 악성 행위자들은 공격을 자동으로 수행하는 '섀도우 에이전트(shadow agents)'를 활용해 공격 개시까지의 시간을 단축했다.
■ 취약점 공개 당일 공격 시작… AI가 바꾼 사이버 위협 속도
포티넷의 위협 인텔리전스 기관인 포티가드 랩스(FortiGuard Labs)는 취약점 공개 후 최초 공격 시도까지 걸리는 시간(TTE, Time-to-Exploit)이 평균 24~48시간으로 단축됐음을 확인했다. 직전 보고서에서 TTE가 평균 4.76일이었던 것과 비교해 크게 줄어든 수치다. 실제로 원격 코드 실행(RCE) 취약점인 React2shell 취약점은 공개 직후 수 시간 만에 공격이 시도됐다.
CTEM(지속적 위협 노출 관리) 솔루션인 포티레콘(FortiRecon) 인텔리전스가 집계한 2025년 전 세계 랜섬웨어 피해 사례는 7831건으로, 전년도 약 1600건 대비 389% 증가했다. WormGPT·FraudGPT·BruteForceAI 등 AI 기반 범죄 서비스 키트의 확산이 주요 배경으로 꼽힌다. 피해가 가장 집중된 업종은 제조업(1,284건), 비즈니스 서비스(824건), 소매업(682건) 순이었다.
클라우드 보안 플랫폼 포티CNAPP(FortiCNAPP) 인텔리전스는 2025년 클라우드 침해 사고의 대부분이 인프라 취약점이 아닌 탈취·노출된 자격증명에서 비롯됐음을 확인했다. 유효한 계정 정보만 확보되면 멀웨어나 별도 취약점 없이도 클라우드 환경에 접근할 수 있기 때문이다. 병원·의원 및 소매 업종이 1순위 표적으로 지목됐으며, 대규모 계정 관리 환경과 복잡한 클라우드 연동 구조가 주요 요인으로 분석됐다.
■ 해킹 문턱 낮춘 AI… 숙련도 낮아도 자동화된 공격 가능
포티레콘 인텔리전스가 다크웹에서 포착한 AI 기반 공격 도구들은 일반 소프트웨어처럼 서비스 형태로 광고·유통되고 있다. 대표적으로 'HexStrike AI'는 공격 대상 탐색과 침투 경로 설계를 자동화하는 도구이며, 'BruteForceAI'는 AI를 활용해 웹 양식을 분석한 뒤 멀티스레드 방식의 대량 자동 공격을 수행한다. 'WormGPT·FraudGPT'의 강화 버전도 함께 유통되고 있다. 이러한 도구들은 숙련도가 낮은 공격자의 기술 요건을 낮추고 공격 속도를 높인다.
포티넷의 방화벽 솔루션인 포티게이트(FortiGate) IPS(침입 방지 시스템) 텔레메트리는 무차별 대입(brute force) 시도가 전년 대비 22% 감소한 것을 확인했다. 무차별 대입이란 아이디·비밀번호 조합을 대량으로 시도해 계정 정보를 탈취하는 방식이다. 시도 횟수는 줄었지만 위협이 감소한 것이 아니라 효율화된 것으로, 공격자들은 AI를 활용해 표적을 더 정밀하게 선별한 뒤 집중 시도해 성공률을 높이고 있다. 실제로 전 세계 무차별 대입 시도는 연간 약 676억 건(하루 1억 8,500만 건)에 달한다. 한편 소프트웨어·시스템의 취약점을 직접 이용해 침투하는 익스플로잇 시도는 전년 대비 25.49% 증가했다.
보고서에 따르면 약 46억 2000만 건의 스틸러 로그(인포스틸러 악성코드에 감염된 기기에서 탈취된 계정·브라우저 데이터 묶음)가 다크웹에서 거래된 것으로 나타났다. 이는 전년 대비 79% 추가 증가한 수치다.
다크웹 내 데이터 거래에서 스틸러 로그는 67.12%로 가장 높은 비중을 차지했다. 스틸러 로그가 선호되는 이유는 브라우저에 저장된 쿠키·세션 정보 등 맥락 데이터를 함께 포함하고 있기 때문이다. 단순히 아이디·비밀번호만 대량으로 입력해보는 방식보다 훨씬 빠르고 정확하게 계정에 침투할 수 있다.
■ 사이버 범죄 생태계 파괴를 위한 포티넷 노력
포티넷은 위협 인텔리전스 수집·공유를 통해 글로벌 사이버범죄 차단에 앞장서고 있다. 일례로 인터폴(INTERPOL) 주도의 '레드 카드 2.0 작전(Operation Red Card 2.0)'은 아프리카에서 온라인 사기, 모바일 머니 사기, 사기 대출을 운영한 사이버범죄 네트워크의 인프라와 운영자를 차단했다.
포티넷은 세계경제포럼(WEF)이 주관하는 민관 협력 이니셔티브인 사이버범죄 아틀라스(Cybercrime Atlas)의 창립 멤버이기도 하다. 오픈소스 인텔리전스를 활용해 사이버범죄 네트워크를 지도화하고 인프라 취약점을 식별해 법 집행 기관의 공동 차단 작전을 지원하고 있다. '세렝게티 2.0 작전(Operation Serengeti 2.0)' 역시 이 협력 체계를 통해 진행됐다.
관련기사
- 포티넷코리아, '액셀러레이트 2026' 성료2026.04.29
- [현장] 포티넷 "가시성 없는 SaaS, 해킹 잠재 통로"2026.04.28
- 포티넷코리아, ‘액셀러레이트 2026’ 28일 개최2026.04.24
- "쿠팡 나와"...물 들어올 때 컬리로 노젓는 네이버2026.05.06
또한 포티넷과 크라임 스토퍼스 인터내셔널(Crime Stoppers International)이 공동 출시한 '사이버범죄 바운티 프로그램'은 시민과 보안 연구자(윤리적 해커)들이 사이버위협 정보를 안전하게 익명으로 제보할 수 있는 채널을 제공한다.
데릭 맨키(Derek Manky) 포티넷 글로벌 위협 인텔리전스 부사장은 "이번 보고서는 악성 행위자들이 에이전틱 AI(agentic AI)를 활용해 더 정교한 공격을 실행하기 시작했음을 보여준다"며 "사이버 방어자들도 보안 운영을 산업화된 방어 체계로 전환하고, 최신 위협에 동일한 속도로 대응하는 AI 기반 도구를 채택해야 한다"고 말했다.
