HPE “사이버범죄도 기업화…자동화·AI로 공격 규모·속도 증가”

HPE가 발간한 사이버 위협 보고서 ‘인 더 와일드(In The Wild)‘에 따르면, 최근 공격자들은 기업처럼 조직을 꾸리고 자동화와 인공지능(AI)을 활용해 공격의 규모와 속도를 키우고 있다. 특히 정부·금융·기술 분야를 중심으로 실제 공격 사례가 집중되고, 생성형 AI는 음성 합성·딥페이크 기반 사칭 범죄에도 활용된 것으로 나타났다.

보고서는 2025년 1월 1일부터 12월 31일까지 전 세계에서 관찰된 실제 위협 활동 1186건을 분석한 결과를 담았다. HPE는 현재 위협 환경의 특징을 ‘규모, 조직, 속도’ 세 가지 키워드로 정리했다.

보고서에 따르면 최근 사이버 범죄는 점차 산업화하는 흐름을 보이고 있다. 공격자들은 자동화 기술과 방치된 기존 취약점을 활용해 공격 범위를 넓히고, 방어 체계가 제대로 작동하기 전 고부가가치 산업을 지속적으로 노리고 있다. HPE는 공격자들이 재사용 가능한 인프라와 표적화 전략을 바탕으로 효율성을 높이고 있다고 봤다.

실제 표적도 뚜렷해졌다. 가장 많이 공격받은 분야는 정부 기관으로, 연방·주·지방자치단체를 포함해 274건이 확인됐다. 이어 금융과 기술 부문이 각각 211건, 179건으로 뒤를 이었다. 국방, 제조, 통신, 의료, 교육 분야도 주요 표적으로 집계됐다. HPE는 공격자들이 민감 데이터와 핵심 인프라, 경제적 안정성과 맞닿은 영역을 우선 공략하고 있다고 분석했다.

공격 기반도 커졌다. 보고서는 지난해 공격자들이 14만7000개 이상의 악성 도메인과 약 5만8000개의 멀웨어 파일을 배포했고, 549개 취약점을 적극 악용했다고 설명했다. 공격 조직이 전문화되면서 일부 요소를 차단해도 전체 작전이 쉽게 멈추지 않는 구조가 형성되고 있다는 게 HPE의 진단이다.

AI와 자동화 도구의 활용도 눈에 띄었다. 일부 조직은 텔레그램 같은 플랫폼에서 자동화된 ‘어셈블리 라인’ 방식의 워크플로우를 구축해 탈취 데이터를 실시간으로 외부 유출했다. 생성형 AI를 이용한 음성 합성, 딥페이크 영상 제작도 표적형 피싱과 임원 사칭 사기에 쓰인 사례가 확인됐다. 한 랜섬웨어 갈취 조직은 침투 전략을 짜기 위해 VPN 취약점에 대한 사전 시장조사까지 수행한 것으로 나타났다.

HPE는 대응 방향으로 개별 솔루션 추가보다 네트워크 전반의 유기적 연계와 가시성 확보, 대응 속도 향상을 강조했다. 구체적으로는 위협 인텔리전스 공유를 통한 사일로 해소, 가상사설망(VPN)·쉐어포인트·엣지 디바이스 등 주요 진입점 패치, 제로 트러스트와 제로 트러스트 네트워크 엑세스(ZTNA) 적용, AI 기반 탐지와 디셉션 기술 강화, 공급망과 서드파티 도구까지 포함한 보안 범위 확장을 제시했다.

이번 보고서와 함께 HPE는 ‘HPE 위협 연구소(HPE Threat Labs)’도 공식 출범했다고 밝혔다. HPE와 주니퍼 네트웍스의 보안 연구 인력과 위협 인텔리전스를 통합한 조직으로, 실제 공격 식별과 추적, 탐지·차단에 필요한 위협 정보를 자사 보안 제품군에 반영하겠다는 설명이다.

무니르 하하드 HPE 위협 연구소 총괄은 “이번 보고서는 통제된 실험실 환경이 아니라 실제 위협 활동을 기반으로 오늘날 기업이 매일 직면하는 현실을 반영한 것”이라며 “공격자가 현장에서 어떻게 행동하고 적응하는지, 어디서 성과를 내는지를 포착했다”고 밝혔다.

데이비드 휴즈 HPE 네트워킹 SASE 및 보안 부문 수석부사장 겸 총괄은 “현대 사이버 공격자들은 글로벌 대기업 수준의 체계와 규모, 효율성을 갖추고 작전을 수행하고 있다”며 “이에 대응하려면 그에 맞는 통합 전략과 운영 체계가 필요하다”고 말했다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network