2025년 상반기는 사이버 보안 환경이 중대한 변곡점을 맞이했음을 명확히 보여주었습니다. 과학기술정보통신부와 한국인터넷진흥원(KISA)이 발간한 「2025년 상반기 사이버 위협 동향 보고서」는 인공지능 기술의 양면성과 함께, 기본적인 보안 수칙의 중요성을 그 어느 때보다도 강조하고 있습니다.
본 보고서는 크게 두 부분으로 구성됩니다. Part 1은 실제 침해사고 신고 현황과 주요 위협 사례를 분석하며, Part 2는 인공지능 기본법, 개인정보 보호 규제, 새로운 인공지능 프로토콜(모델 컨텍스트 프로토콜/에이전트-투-에이전트), 그리고 차세대 보안 전략(관리형 탐지 및 대응)에 대한 전문가들의 심층적인 통찰을 제공합니다.
이 블로그에서는 보고서의 핵심 내용을 요약하고, 기업과 개인이 나아가야 할 방향을 제시하고자 합니다.
Part 1. 2025 상반기 사이버 위협 동향
1-1. 침해사고 신고 현황: 기본이 무너진 현장
2025년 상반기 침해사고 신고 건수는 총 1,034건으로, 전년 상반기 대비 15% 증가했습니다. 이는 사물인터넷 기기를 이용한 분산 서비스 거부 공격과 서버 해킹의 증가, 그리고 SK텔레콤 침해사고 이후 관련 법 개정 및 기업들의 신고 인식이 개선된 영향이 복합적으로 작용한 결과입니다.
주요 현황은 다음과 같습니다.
서버 해킹 (51.4%): 여전히 가장 높은 비중을 차지하며(531건), 보안 대책이 미흡한 기업 시스템이 주된 표적이 되고 있습니다.
분산 서비스 거부 공격 (23.0%): 전년 상반기 대비 55.5% 급증했으며(238건), 특히 도메인 네임 시스템 서버를 노린 'DNS Query Flooding' 공격이 71%를 차지했습니다.
랜섬웨어 (7.9%): 신고 건수 자체는 82건으로 전년 대비 11% 감소했으나, 피해의 93%가 정보보호 인력 및 투자가 부족한 중소·중견기업에 집중되었습니다.
백업의 함정: 랜섬웨어 피해 기업의 백업 비율은 76.8%로 증가했지만, 그중 44.4%는 백업 시스템까지 함께 감염되어 복구에 실패했습니다. 이는 오프사이트 백업 및 복구 훈련의 부재가 치명적인 결과로 이어짐을 보여줍니다.
1-2. 주요 사이버 위협 분석: '약한 고리'를 노리다
2025년 상반기 주요 침해사고들은 GS리테일, SK텔레콤, YES24 등 국민 생활과 밀접한 분야에서 발생하여 큰 사회적 파장을 일으켰습니다. 이들 사고의 공통점은 기업의 가장 '약한 고리'를 정교하게 파고들었다는 점입니다.
크리덴셜 스터핑 (GS리테일, 알바몬, 티머니): 공격자가 다른 곳에서 유출된 ID와 비밀번호 목록을 이용해 무작위 대입 공격을 감행했습니다. 이는 다수 사용자가 여러 사이트에서 동일한 계정 정보를 사용하는 보안 불감증과 기업의 다중 인증 도입 미비가 빚어낸 합작품입니다.
랜섬웨어와 백업 부재 (YES24): 6월 발생한 YES24 랜섬웨어 사고는 5일간 서비스 중단을 야기했습니다. 가장 큰 문제점은 정부가 강조해 온 '오프사이트 백업 체계'가 구축되어 있지 않았다는 것이며, 결국 공격자와의 협상을 통해 정상화되었습니다.
소프트웨어 공급망 공격 (가상자산 거래소, 법인보험대리점): 공격자들은 더 이상 견고한 '성문'을 직접 공격하지 않습니다.
가상자산 해킹 (바이비트, 위믹스): 글로벌 거래소 바이비트(Bybit)는 지갑 보안 솔루션 업체(Safe Wallet)가 해킹당하는 공급망 공격으로 약 2조 700억 원의 피해를 입었습니다. 위믹스(WEMIX) 역시 연계된 대체 불가 토큰 서비스(나일)의 인증키가 탈취되어 90억 원 규모의 자산이 유출되었습니다.
협력사 해킹 (법인보험대리점): 솔루션 개발자의 PC가 악성코드에 감염되어 고객사(법인보험대리점) 시스템 접속 계정이 탈취되었고, 이를 통해 개인정보가 유출되었습니다.
Part 2. 전문가 칼럼: 심층 분석 및 전망
보고서의 Part 2는 현재 보안 환경의 핵심 쟁점들을 짚어보는 전문가 칼럼으로 구성되어 있습니다.
2-1. 인공지능 기본법: 진흥과 규제의 균형점을 찾다
2025년 1월 제정된 인공지능 기본법(2026년 1월 시행)은 유럽연합에 이어 세계에서 두 번째로 제정된 포괄적 인공지능 법안입니다.
방향성: 유럽연합 인공지능 법안이 '규제 중심'의 강력한 모델인 반면, 한국의 인공지능 기본법은 '산업 진흥 중심'에 '최소한의 규제'를 더한 균형 잡힌 모델을 지향합니다.
주요 내용: '고영향 인공지능'과 '생성형 인공지능'을 주 규제 대상으로 정의하며, 산업 진흥을 위한 제도적 기반(인프라 확충, 인재 양성 등)을 마련합니다.
시사점: 이 법은 인공지능 산업이라는 수레를 움직이는 '진흥'과 '규제'라는 두 개의 바퀴를 제도화한 것과 같습니다. 특히 '인공지능안전연구소'의 법적 근거를 마련함으로써, 향후 인공지능 거버넌스 및 안전성 관련 신규 보안 산업의 성장을 촉진할 전망입니다.
2-2. 개인정보 유출: '규제 준수'를 넘어 '위험 관리'로
보고서는 한국의 개인정보 규제가 세계적으로 엄격함에도 불구하고, 유출 사고가 끊이지 않는 '규제의 역설'을 지적합니다. 2025년 상반기 4개월 동안에만 약 3,600만 건의 개인정보가 유출되었습니다.
문제점: 현행 「안전성 확보조치 기준」은 기업 규모나 환경을 고려하지 않은 획일적인 '체크리스트'로 작동합니다. 이로 인해 기업들은 실질적인 '위험 관리(Risk Management)'가 아닌, 서류상의 '규제 준수(Compliance)'에만 매몰되기 쉽습니다.
대안: 유럽연합 일반 개인정보보호규정(GDPR)과 같은 '리스크 기반 접근법'으로의 전환이 필요합니다. 또한, 사고 발생 시 '사후적 편향'에 기반한 처벌 중심이 아닌, 합리적 노력을 다한 기업과는 피해 '학습과 회복'에 집중하는 성숙한 문화가 정착되어야 합니다.
2-3. 모델 컨텍스트 프로토콜, 에이전트-투-에이전트 프로토콜: 인공지능 상호운용성의 '양날의 검'
인공지능 기술의 혁신을 이끄는 모델 컨텍스트 프로토콜(MCP)과 에이전트-투-에이전트(A2A) 프로토콜은 인공지능 에이전트 간의 상호작용을 표준화하는 강력한 도구이지만, 동시에 거대한 공격 표면을 노출하는 '양날의 검'입니다.
모델 컨텍스트 프로토콜 (MCP): "인공지능을 위한 USB-C"로 불리며, 인공지능 모델(Host)이 외부 도구 및 데이터(Server)와 쉽게 통합(수직적 통합)되도록 돕습니다.
에이전트-투-에이전트 (A2A): 구글이 주도하며, 여러 인공지능 에이전트들이 팀처럼 협업(수평적 오케스트레이션)하도록 지원합니다.
보안 위협: 이 프로토콜들의 보안 결함은 새로운 것이 아니라, 서버 측 요청 위조(SSRF)나 인젝션 같은 '고전적인 웹 취약점'이 인공지능이라는 새로운 맥락에서 재현된 것입니다.
주요 공격 (도구 오염 공격): 특히 '도구 오염 공격(TPA)'은 사용자는 볼 수 없지만 인공지능은 읽는 '도구 설명(Description)'에 악성 명령을 숨겨, 정보 탈취나 시스템 권한 탈취를 유도합니다.
근본 원인: 인공지능 에이전트를 위한 고유한 '신원(Identity) 모델' 및 '신원 및 접근 관리(IAM)' 체계가 부재하기 때문입니다.
2-4. 탐지되지 않은 침투: '완벽한 예방'은 없다
2025년 상반기의 주요 사고들(GS Shop, Snowflake, Oracle 등)은 크리덴셜 스터핑, 다중 인증(MFA) 미적용, 시스템 취약점 방치 등 가장 기본적인 보안 실패에서 비롯되었습니다.
패러다임 전환: 이제 보안의 목표는 '완벽한 예방'이 아니라, 침해를 상수로 인정하고 신속히 정상 상태로 돌아오는 '회복탄력성(Resilience)'이 되어야 합니다.
핵심 전략: 이를 위해선 '공격자 체류 시간(Dwell-time)'을 최소화해야 합니다.
예방 (Zero Trust): '절대 신뢰하지 않고, 항상 검증한다'는 원칙하에 다중 인증과 마이크로 세그먼테이션을 구현합니다.
탐지 (엔드포인트 탐지 및 대응/확장 탐지 및 대응, 사용자 및 개체 행동 분석): 인공지능 기반 '사용자 및 개체 행동 분석(UEBA)'을 통해 '평소와 다른' 비정상 행위를 식별하고, '엔드포인트 탐지 및 대응(EDR)'/'확장 탐지 및 대응(XDR)'으로 모든 엔드포인트의 위협을 가시화합니다.
대응 (관리형 탐지 및 대응): 24시간 365일 전문가의 모니터링과 대응이 현실적으로 어려운 대다수 기업에 '관리형 탐지 및 대응(MDR)' 서비스는 가장 효과적인 대안입니다. '관리형 탐지 및 대응'은 실시간 대응으로 '골든 타임'을 확보하고, 능동적인 '위협 헌팅(Threat Hunting)'으로 잠복한 위협을 제거합니다.
결론 및 시사점
한국인터넷진흥원의 2025년 상반기 보고서가 우리에게 던지는 메시지는 명확합니다. 사이버 위협은 인공지능을 만나 더욱 지능화되고 있지만, 그 시작점은 여전히 우리의 가장 기본적인 '약한 고리'에 있습니다.
기본으로의 회귀: 모든 사고의 중심에는 다중 인증(MFA) 미적용, 계정 관리 부실, 오프사이트 백업 부재가 있었습니다. 기술 이전에 기본 보안 수칙 준수가 선행되어야 합니다.
새로운 패러다임: 회복탄력성: '완벽한 방어'라는 환상에서 벗어나, 침해를 신속하게 '탐지하고 대응'하는 '관리형 탐지 및 대응(MDR)' 기반의 '회복탄력성' 확보가 핵심 전략이 되어야 합니다.
공격 표면의 확장: 공격은 이제 내부망이 아닌 협력사, 개발자 PC, 연동 서비스 등 공급망(Supply Chain) 전체를 겨냥하고 있습니다. 보안의 경계를 확장해야 합니다.
인공지능의 이중성: 인공지능은 인공지능 기반 피싱, 도구 오염 공격 등 강력한 공격 무기인 동시에, '사용자 및 개체 행동 분석', 인공지능 기반 자동 대응 등 핵심 방어 수단입니다. 인공지능에 대한 통제와 거버넌스(인공지능 기본법)가 시급합니다.
규제의 진화: 획일적인 '체크리스트' 규제는 한계에 도달했습니다. 기업의 자율과 책임을 강화하는 '리스크 기반'의 유연한 규제 체계로의 진화가 필요합니다.
결국, 미래의 보안은 인공지능과 같은 첨단 기술과 가장 기본적인 보안 원칙, 그리고 신뢰할 수 있는 전문가 파트너십(관리형 탐지 및 대응)이 결합될 때 비로소 완성될 수 있을 것입니다.
댓글 없음:
댓글 쓰기