최근 몇 년 동안 사이버 보안은 조직, 특히 사이버 공격의 급격한 증가로 인해 점점 더 중요한 화두가 되고 있습니다. 올해는 범죄자들이 다방면에서 인공지능을 활용하고, 디지털 시스템의 복잡성이 증가하고, 사이버 범죄자들이 사용하는 기법이 정교해짐에 따라 사이버 보안의 과제는 더욱 복잡해질 것입니다.
유효한 자격 증명 유출의 급격한 증가와 클라우드 환경의 잘못된 구성 악용과 같은 새로운 과제에 대처하기 위해 방어 전략은 더욱 발전해야 합니다. 이러한 관점에서, 2025년에 CISO를 밤잠 못 이루게 할 주요 위협을 다음과 같이 정리했습니다.
유효한 자격증명이 가장 중요한 초점이 될 것입니다.
2024년 IBM 위협 인텔리전스 지수에 따르면 유효한 자격 증명 유출을 노리는 공격이 71% 증가했습니다. 서비스 부문에서는 최소 46%의 사고가 유효한 계정과 관련이 있었고, 제조 부문에서는 이 수치가 31%였습니다.
2024년 처음으로 유효 계정을 악용하는 것이 시스템 침입의 가장 흔한 진입점이 되었으며, 전체 사건의 30%를 차지했습니다. 이는 사이버 범죄자들이 취약점을 악용하거나 피싱 공격에만 의존하는 것보다 자격 증명을 훔치는 것이 더 쉽다는 것을 보여줍니다.
잘못된 클라우드 구성은 회사의 아킬레스건입니다.
수많은 기업이 클라우드 환경을 사용함에 따라, 클라우드 환경 관리의 복잡성과 과제는 더욱 심화될 수밖에 없으며, 전문 인력 확보 또한 어려워질 것입니다. 클라우드에서 데이터 유출이 가장 빈번하게 발생하는 이유 중 일부는 잘못된 클라우드 환경 구성, 즉 액세스 제어 누락, 보호되지 않은 스토리지 버킷, 또는 비효율적인 보안 정책 구현과 관련이 있습니다.
클라우드 컴퓨팅의 이점은 민감한 데이터의 노출을 방지하기 위해 면밀한 모니터링과 안전한 구성을 통해 균형을 이루어야 합니다. 이를 위해서는 지속적인 감사, 적절한 신원 및 접근 관리, 그리고 보안 사고로 이어지기 전에 잘못된 구성을 감지하는 도구 및 프로세스 자동화 등 전사적인 클라우드 보안 전략이 필요합니다.
범죄자들은 다양한 공격 기술을 사용합니다.
단일 제품이나 취약점을 노리는 공격은 이제 사라졌습니다. 올해 사이버 보안 분야에서 가장 우려되는 추세 중 하나는 다중 벡터 공격과 다단계 공격의 증가입니다.
사이버 범죄자들은 다양한 전술, 기법, 절차(TTP)를 조합하여 여러 영역을 동시에 공격하여 방어 체계를 뚫습니다. 또한 웹 기반 공격, 파일 기반 공격, DNS 기반 공격, 랜섬웨어 공격의 정교함과 회피 능력이 더욱 강화될 것이며, 이로 인해 기존의 고립된 보안 도구로는 최신 위협을 효과적으로 방어하기가 더욱 어려워질 것입니다.
AI가 생성하는 랜섬웨어는 위협을 기하급수적으로 증가시킬 것입니다.
2024년, 랜섬웨어 환경은 더욱 정교하고 공격적인 사이버 갈취 전략으로 특징지어지는 엄청난 변화를 겪었습니다. 범죄자들은 기존의 암호화 기반 공격을 넘어, 표적 조직에 대한 압력을 기하급수적으로 증가시키는 이중 및 삼중 갈취 기법을 개척했습니다. 이러한 첨단 접근 방식은 단순히 데이터를 암호화하는 것뿐만 아니라 기밀 정보를 전략적으로 유출하고 공개 위협까지 가하여, 피해자들이 잠재적인 법적 및 명예 훼손을 피하기 위해 몸값 지불을 고려하도록 강요합니다.
랜섬웨어 서비스(RaaS) 플랫폼의 등장으로 사이버 범죄가 보편화되면서 기술적으로 숙련되지 않은 범죄자들도 최소한의 지식만으로도 복잡한 공격을 감행할 수 있게 되었습니다. 중요한 것은 이러한 공격이 의료, 중요 인프라, 금융 서비스와 같은 고부가가치 분야를 점점 더 노리고 있다는 점입니다. 이는 잠재적인 몸값 수익을 극대화하기 위한 전략적 접근 방식을 보여줍니다.
기술 혁신은 이러한 위협을 더욱 증폭시킵니다. 사이버 범죄자들은 이제 AI를 활용하여 캠페인 생성을 자동화하고, 시스템 취약점을 더욱 효율적으로 식별하며, 랜섬웨어 유포를 최적화하고 있습니다. 고처리량 블록체인 기술의 통합과 탈중앙화 금융(DeFi) 플랫폼의 활용은 신속한 자금 이동 및 거래 난독화를 위한 추가적인 메커니즘을 제공하며, 이는 당국의 추적 및 개입에 상당한 어려움을 야기합니다.
AI가 생성하는 피싱 공격이 문제가 될 것입니다.
사이버 범죄자들이 피싱 공격을 만드는 데 생성 AI를 사용하면서 피싱 이메일과 합법적인 메시지를 사실상 구분하기 어려워지고 있습니다. 팔로알토 네트웍스의 자료에 따르면, 작년에 생성 AI 시스템으로 이메일을 작성하거나 재작성했을 때 피싱 시도 성공률이 30% 증가했습니다. 인간은 최후의 방어선으로서 더욱 신뢰할 수 없게 될 것이며, 기업들은 이러한 정교한 공격으로부터 방어하기 위해 AI 기반 고급 보안 기능에 의존하게 될 것입니다.
양자 컴퓨팅은 보안 문제를 야기할 것이다.
지난 10월, 중국 연구진은 양자 컴퓨터를 사용하여 오늘날 널리 사용되는 비대칭 암호화 방식인 RSA 암호화를 해독했다고 발표했습니다. 연구진은 50비트 키를 사용했는데, 이는 일반적으로 1024~2048비트인 최신 암호화 키에 비해 매우 작습니다.
이론상으로는 양자 컴퓨터는 기존 컴퓨터로 수백만 년이 걸리는 문제를 단 몇 초 만에 해결할 수 있습니다. 양자 기계는 현재처럼 순차적으로 계산하는 것이 아니라 병렬로 계산을 처리할 수 있기 때문입니다. 양자 기반 공격은 아직 몇 년 뒤에나 가능하겠지만, 조직은 지금부터 대비를 시작해야 합니다. 가장 귀중한 데이터를 보호하기 위해 양자 암호 해독을 견딜 수 있는 암호화 방식으로 전환해야 합니다.
