2025년 보안 위협 회고 및 2026년 보안 위협 전망

안녕하세요 
이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 
 
이스트시큐리티는 2025년에 발생했던 보안 위협들을 정리해보고, 2026년 보안 위협들을 전망해 보았습니다. 

 

2026년 보안 위협 전망

 

 

 

 

1) AI, 전 공격 단계에서 핵심 자원으로 활용  

2026년 이후에는 AI가 사이버 공격의 모든 단계에 전면적으로 활용되며, 공격 체인의 자동화와 지능화가 본격화될 것으로 예상됩니다.  

정찰,취약점 분석,침투,측면 이동,데이터 탈취 및 협상에 이르기까지 공격 전 과정을 AI가 보조하는 형태로 확장될 가능성이 높습니다. 특히 공격자들은 인터넷 노출 자산을 자동으로 파악하고, 서비스별 취약점을 AI가 실시간으로 분석하며, 환경에 맞춰 악성 페이로드를 즉시 생성 및 변형하는 AI 공격 파이프라인도 구축할 것으로 예상됩니다.  

특히 AI 기술의 발전은 고도화된 공격을 수행하기 위한 기술적 장벽을 크게 낮추어, 과거에는 전문 APT 그룹만 가능했던 정교한 공격을 일반 공격자도 수행할 수 있는 환경이 만들어 지며 전 공격 단계에서 AI가 핵심 자원으로 활용될 것으로 예상됩니다.  
 
2) APT 조직들의 랜섬웨어 활용 보편화  

2026년에는 국가 연계 APT 조직의 공격 체계에서 정찰, 정보 수집 중심 공격과 데이터 암호화·갈취를 결합한 ‘혼합형 위협 모델’이 더욱 확대될 것으로 전망됩니다.  

랜섬웨어는 단순한 금전 수익 창출을 넘어, 핵심 산업 부문의 운영을 중단시키거나 사회적 혼란을 유발하는 정치, 전략적 압박 수단으로 활용되고, APT공격은 정찰 및 정보수집이 목적이고, 랜섬웨어는 금전적 이득을 목적으로 한 범죄조직이라는 기존의 개념의 의미는 퇴색되고 국가 차원의 위협과 범죄 기반 공격 생태계가 융합되는 형태로 진화할 것으로 예상됩니다.  

3) 국가 간 갈등심화에 따른 사이버전 격화 

2026년에는 이미 진행 중인 전쟁에서 검증된 사이버 공격 전술들이 다른 갈등 지역으로 확산되면서, 국가 간 사이버전의 양상이 더욱 전략적이고 파괴적인 형태로 고도화될 것으로 예상됩니다.  

와이퍼 악성코드, 위성통신 교란, 핵심 인프라 파괴, 정보전 등은 실제 전장에서 효과가 확인된 공격 모델들로, 2026년 이후 고조되는 국가 간 긴장 상황에서도 정치·군사적 목적 달성을 위한 전면적 사이버전 전술로 재사용되거나 더 정교해진 버전이 등장할 가능성이 큽니다. 

현재 진행되고 있는 여러 국가들의 갈등 상황이 무력 전쟁으로 확대될 경우, 금융, 통신, 에너지 등 국가 기능 전반을 마비시키려는 전략적 사이버 공격도 본격화될 것이며, 강화된 형태의 파괴형 악성코드, 대규모 정보조작, 심리전, 사회 혼란 유발형 공격이 동시에 동원될 가능성이 높습니다.  

또한 국가 지원 해커 그룹을 지원하거나 다양한 국가 지원 해커 그룹을 양성하는 등 국가차원에서 사이버 공격을 더욱 적극적으로 전개할 가능성도 있을 것으로 예상됩니다.  

4) 오픈소스 생태계를 겨냥한 공급망 공격의 심화 

오픈소스 생태계의 의존도가 증가하면서, 공격자들은 오픈소스를 공급망 공격의 취약 지점으로 활용하려는 시도가 증가할 것으로 예상됩니다.  

특히 패키지 레지스트리 자체에 대한 공격 시도가 확대되며, 단일 패키지의 공격이 수만 개의 프로젝트로 전파되는 대규모 피해가 반복될 가능성이 높으며, 단순 패키지 공격 수준을 넘어 오픈소스 레지스트리, 프로젝트 유지관리자, AI 개발 도구까지 하나의 확장된 공격 표면으로 통합되는 단계로 진화할 것으로 예상됩니다.  

5) IOT/OT를 노린 국가 차원의 물리, 사이버 복합 공격 증가 

2026년에는 국가 간 갈등이 심화되는 가운데, 전면적 사이버전과는 별개로 산업 인프라 자체를 직접 교란하는 전술적 하이브리드 공격이 증가할 것으로 예상됩니다. 

스마트 시티 인프라, 에너지 설비, 교통 체계 등 IoT/OT 기반 산업 제어 시스템이 국가 경쟁력의 핵심 자산으로 부각되면서, 공격 표면은 더 넓어지고 있습니다. 특히, 대부분의 OT 환경은 실시간 운영 요구사항과 오래된 레거시 시스템의 특성 때문에 보안 패치 및 업데이트가 어려워 근본적인 방어에 취약점을 안고 있습니다. 

공격자들은 이러한 IoT/OT의 특징을 노려, 취약한 IoT 단말을 침투 지점으로 활용하고, OT/ICS 영역까지 침투하는 단계적 공격 방식을 시도할 것으로 예상되며, 이러한 흐름은 국가 인프라의 실질적 운영 중단, 장비 손상, 물리적 사고 유발까지 이어질 수 있어 사이버전과는 다른 차원의 산업 기반 위협으로 자리 잡을 것으로 전망됩니다. 

 

 

2025년 보안 위협 회고

 

 

 

1) APT 조직들의 랜섬웨어 활용 본격화  

기존의 정보 수집 중심의 APT 공격과 달리, 2025년에는 데이터 암호화, 탈취, 협박을 결합한 복합 공격 전략을 구사하는 APT 조직들이 발견되었으며, 이는 APT 조직의 공격 목적이 정찰, 정보 탈취와 금전적 수익 창출의 경계를 넘어 다목적화되고 있음을 의미합니다.  

북한 국가 지원 해킹 그룹인 ScarCruft(APT37), 중국의 지원을 받는 Strom-2603그룹이 전통적인 첩보 활동과 더불어 암호화폐 거래소 공격, 랜섬웨어 배포 등 금전적 이익을 추구하는 활동을 병행하고 있음이 확인되었습니다.  

이러한 변화는 국가 차원의 자금 조달 수단으로서 사이버 범죄가 활용되고 있으며, APT와 사이버 범죄 조직 간의 경계가 모호해지는 새로운 위협 환경이 조성되고 있다고 볼 수 있습니다.  

2) AI기반 사이버 공격의 본격화 

2025년은 사이버 보안 분야에서 AI의 위협적 활용이 현실화되면서, AI를 무기로 한 공격 시대가 본격 개막된 해였습니다.  

단순 취약점 익스플로잇이 아닌 AI 기술을 활용한 AI-powered 랜섬웨어가 확인되었고, 한 AI가 생성한 합성 음성을 활용한 CEO 사칭 사기, 실시간 얼굴 교체 기술을 이용한 화상 면접 해킹 등 새로운 유형의 공격도 증가했습니다. 특히 AI의 활용은 공격 코드의 생성 속도를 극적으로 높이고 대규모의 표적 맞춤형 피싱 공격을 자동화하며 위협의 규모와 정교함을 한 차원 끌어올렸다는 중요한 특징이 있습니다. 

3) 대규모 서비스 기업 중심의 사이버 공격 확산  

2025년에는 국내 핵심 디지털 서비스 기업을 겨냥한 공격이 전례 없이 빈번하게 발생하며, 대규모 플랫폼 중심의 사이버 리스크가 한층 부각된 한 해였습니다.  

특히 통신, 전자상거래, 금융 등 일상생활과 산업 전반을 지탱하는 인프라 기업들이 공격 시도의 주요 표적이 되었고, 일부 조직에서는 내부 계정 탈취, 주요 시스템 마비, 대규모 개인정보 유출 등 심각한 사고가 발생했습니다.  

사회적 파급력이 큰 서비스 영역을 중심으로 정교한 침투 기법과 공격 경로가 반복적으로 활용되면서, 유출된 개인정보들을 활용한 2차 피해도 우려되고 있습니다. 

이러한 사이버 공격의 흐름을 통해 공격자들이 단순한 취약점이 아닌 대규모 사용자 기반과 높은 경제적 가치를 기준으로 목표를 선정하고 있다는 점을 알 수 있습니다.  

4) 공급망 공격 지속 및 확산  

다양한 산업군에서 공급망 공격이 연속적으로 발생하며, 신뢰된 개발/운영 생태계가 공격의 주요 경로로 활용되는 경향이 더욱 강화되었습니다.  

3월에는 GitHub Actions 워크플로가 공격자에 의해 변조되는 CI/CD 공급망 공격 발견되며 개발자가 사용하는 자동화 도구 자체가 위협 벡터로 사용될 수 있음이 확인되었습니다. 또한 GlassWorm 사례처럼 신뢰된 오픈소스 패키지를 조용히 변조해 장기간 잠복하는 형태의 공격이 광범위한 생태계에 확산될 수 있음도 확인되었습니다.    

공격자들이 더 이상 단일 시스템을 공격하지 않고, 서드파티,  패키지, CI/CD, 지갑 등 소프트웨어 공급망 전반을 노려 대규모 확산을 추구하고 있는 형태로 공격이 변화하고 있다는 점을 알 수 있습니다.  

5) OT 보안위협의 현실화 및 공격 표면 확대  

IT/OT 결합이 가속화 되면서, 과거에 분리 운영되었던 OT 시스템에서 IT 환경의 위협이 그대로 전파될 수 있는 구조로 변화하고 있습니다.  

레거시 시스템, 취약한 인증 및 원격 접근, 기본 설정 사용 등 많은 OT 환경이 여전히 안전성을 이유로 패치되지 않은 오래된 OS나 보안 기능이 취약한 장비를 사용하며, 다요소 인증(MFA)이나 강력한 접근 제어 없이 운영되는 경우가 많이 있습니다. 또한 원격 접근기능 확대와 클라우드 연동 증가로 인해 OT 환경의 공격 표면이 크게 증가하고 있습니다.  

 

2025년 한 해동안 발생한 보안이슈들을 정리해 보았으며, 2026년도 보안이슈들을 전망해 보았습니다. 

 

이스트시큐리티는 2026년도에도 안전한 세상을 만들수 있도록 최선을 다하겠습니다. 

새해 복 많이 받으세요. 

 

감사합니다.