"지난해 '단발성' 캠페인 위주로 공격이 이뤄졌다면, 올해는 공격이 산업화됐다고 볼 수 있습니다. 공격 효율, 시도, 피해 규모 모두 커졌습니다. 취약점 공격(익스플로잇)에 소요되는 시간도 하루 안쪽으로 들어왔습니다."
김영표 포티넷코리아 정보보호최고책임자(CISO, 이사)는 28일 오전 9시30분 서울 삼성동 소재 포티넷코리아 본사에서 보안 담당 기자들을 상대로 '2026 포티넷 보안 스터디'를 진행하며 이같이 밝혔다. 그는 이날 '2026 포티넷 글로벌 위협 동향 보고서'를 기반으로 최근 공격자들의 동향과 공격 기법의 변화에 대해 설명했다.
발표에 따르면 올해 공격자들의 평균 익스플로잇 시도는 1219억9000만 건으로 전년 대비 25% 증가한 것으로 나타났다. 데이터를 암호화하고 이를 풀어주는 대가로 금전을 요구하는 '랜섬웨어(Ransomware)' 공격으로 피해를 입은 기업도 같은 기간 전 세계 약 1600개 기업에서 7831개 기업으로 389%나 폭증했다. 평균 5.4일 소요되던 익스플로인 소요 시간도 24시간 이내~즉시 이뤄지는 수준으로 빨라졌다.
김 이사가 올해 공격 동향이 산업화됐다고 강조하는 이유다. 공격자들의 인공지능(AI) 악용한 공격 자동화, 공격 세력의 분업·전문화로 올해 공격은 급격히 고도화됐다는 것이 그의 설명이다.
김 이사는 "사이버 공격은 점점 산업화되고 분업화된 생태계로 진화되고 있다"면서 "게다가 기존 공격 행태와 달리 자동화된 에이전트가 지속적이고 체계적으로 공격 작업을 수행하고 있다"고 강조했다.
그는 이어 "블록체인 기술 발달로 암호화폐를 통해 자산을 현금화하려는 시도가 이어진다. 불법 해킹 포럼 등 다크넷 마켓에서는 비트코인, 이더리움 등 가상자산 주소를 이용해 탈취한 데이터나 인포스틸러, 익스플로잇 도구, 취약점, 관리자 권한 등을 거래한다"며 "랜섬웨어 감염 시에도 특정 가상자산 주소로 금액을 입금하면 복호화 키를 제공하는 방식이 사용되고 있다. 암호화폐의 활성화가 사이버 범죄의 산업화와 연관돼 있다는 뜻"이라고 설명했다.
아울러 "공격자들은 전문 분야별로 오랜 시간 데이터 수집과 정제를 담당하는 조직, 실제 공격을 수행하는 조직, 협상하는 조직 등 '점조직' 형태로 분업화됐다"며 "랜섬웨어, 멀웨어(악성코드) 등 서비스가 다른 공격 요소와 결합돼 단순 서비스 주기 이상의 산업화된 생태계가 현성됐다"고 말했다.
김 이사는 "RDP(원격 데스크톱 프로토콜) 등 원격 액세스 권한 탈취, LotL(정상 행위로 위장한 공격) 등 기업들의 불안을 키우는 공격도 여전히 계속되고 있다"면서 "사이버 보안 대응을 위해 다른 국가와 협력하는 것은 물론 포티넷과 같은 글로벌 벤더사와 공조가 필수적"이라고 강조했다.
이 외에도 김 이사는 한국인터넷진흥원(KISA), 국가정보원 등 국내 정보기관에서 발표한 보고서 등을 인용하며, 지속적 위협 노출 관리(CTEM), 제로트러스트 보안 체계 구축 등의 필요성과 더불어 ▲크리덴셜 스터핑(탈취한 계정정보를 무차별적으로 대입해 시스템에 접근하는 공격) 대응 ▲LotL 대응 ▲취약점 체이닝 ▲프롬프트 인젝션(명령어 가로채기) 등 공격에 대한 주의가 필요하다고 부연했다.
다음은 보안 스터디 현장에서 진행된 질의응답.
Q1. AI 에이전트가 다른 AI 에이전트를 공격해 프롬프트 인젝션 공격을 수행하도록 하는 등의 사례가 발견된 적 있는지?
- 실제 이같은 공격 사례가 발견된 적 있다. 하지만 아직 유의미한 성공 사례라고 보기는 어렵다.
Q2. 포티넷도 앤트로픽의 범용 AI 모델 '미토스(Mythos)'가 부분적으로 공개된 '글래스윙 프로젝트'에 참가하고 있는데, 이와 관련한 보고서를 발간할 계획이 있는지?
- 미토스 관련 대응은 내부적으로 하고 있지만, 보고서를 발간할 계획은 없다. 시스코나 클라우드플레어 등 타사에서 발표된 보고서에서도 미토스가 발견한 취약점들이 원론적이고, 현업에서 위기감을 갖고 대응할 만한 것들이 있는지는 아직 의문이다.
Q3. AI 에이전트 권한 범위 수준의 적합성은 어느 정도로 보고 있는지?
- 엔터프라이즈급 회사들은 AI 에이전트의 권한 범위를 적극적으로 제한한다기 보다는 최대한 가시성을 확보해 두고, 권한 밖 행위가 감지됐을 경우에 대응하는 데 초점이 맞춰져 있다. AI 에이전트에 대한 보안의 방향성은 아직까지는 가시성 확보에 중점을 두고 있는 것으로 보인다. 개인 계정으로 AI 모델에 접속하는 행위는 기존 보안 솔루션에서도 차단이 가능한 수준이기 때문에 모니터링에 초점을 맞추고 있는 것으로 판단된다.
관련기사
- 포티넷, 1분기 매출 2조7500억...작년비 20% 성장2026.05.18
- 포티넷코리아, '액셀러레이트 2026' 성료2026.04.29
- [현장] 포티넷 "가시성 없는 SaaS, 해킹 잠재 통로"2026.04.28
- 포티넷코리아, ‘액셀러레이트 2026’ 28일 개최2026.04.24
Q4. 다크넷 마켓에서 크리덴셜, 탈취 데이터, 익스플로잇 툴 등을 판매하는 브로커들 역시 구매자가 믿을 만한 위협 행위자인지 검증을 한다. 그렇다면 신흥 랜섬웨어 조직이나 위협 행위자들은 사이버 범죄 시장에서 검증되지 않았을 텐데, 어떻게 공격 도구들을 손에 얻는지?
- 신흥 랜섬웨어 조직이나 위협 행위자들은 기존에 사용하던 오리지널 소스를 응용한 것이거나 재배포 버전인 경우들이 많다. 신흥 위협 행위자들을 검증하는 방법들은 여러 가지가 있겠지만, 일반적으로 샘플 데이터시트를 공개하면서 이해 관계자간 신뢰를 어느 정도 보여준다. 공격자들 역시 전문가들이기 때문에 데이터 시트를 보면 알려지지 않은 툴인지를 단번에 파악한다.
