구글 “2025년 제로데이 공격 48%가 기업 대상, 보안·네트워크 제품이 주 표적”

구글 위협 인텔리전스 그룹(GTIG)은 2025년 공개된 제로데이 악용 사례 90건을 분석한 연례 보고서를 통해 “공격 표적이 개인 사용자에서 엔터프라이즈로 이동하는 흐름이 뚜렷해졌다”고 6일 밝혔다. 전체 공격 가운데 43건인 48%는 기업용 소프트웨어와 장비를 겨냥한 것으로, 전년 75건 중 36건(46%)보다 비중이 늘었다.

보고서에 따르면, 2025년 제로데이 공격은 개인용 단말보다 기업 인프라 쪽으로 더 기울었다. 특히 보안·네트워크 제품이 주요 표적이 됐다. GTIG는 기업 환경에서 보안 장비와 네트워크 장비, 서버를 노린 공격이 구조적 흐름으로 자리 잡고 있다고 분석했다.

기업 대상 공격은 보안·네트워킹 분야가 두드러졌다. GTIG는 2025년 기업 대상 제로데이 43건 중 21건이 보안·네트워킹 제품에서 나왔다고 설명했다. 라우터, 스위치, 보안 어플라이언스 같은 에지 장비는 조직 경계에 놓여 있고, 엔드포인트 탐지·대응(EDR) 기능이 충분하지 않은 경우가 많아 공격자에게 가치가 큰 표적이라는 분석이다. 2025년 에지 장비 관련 제로데이는 14건으로 집계됐다.

공격 주체의 변화도 확인됐다. GTIG는 제로데이 악용 추적을 시작한 이후 처음으로 상업용 감시 소프트웨어 제작 업체(CSV)가 기존 국가 지원 사이버 첩보 조직보다 더 많은 제로데이 악용과 연관된 것으로 분석했다. 민간 시장을 통해 제로데이 공격 수단 접근성이 넓어지고 있다는 의미다.

국가 배후 위협 중에서는 중국 연계 그룹이 여전히 가장 활발했다. GTIG는 중국 연계 사이버 첩보 그룹이 2025년에도 가장 많은 제로데이를 사용한 국가 지원 행위자였다고 밝혔다. 이들은 장기 거점 확보를 위해 보안 장비와 에지 장비를 집중적으로 노렸다.

반면 인공지능(AI)는 2026년 공격자와 방어자 모두의 속도를 끌어올릴 변수로 제시됐다. GTIG는 공격자가 AI를 정찰, 취약점 탐색, 익스플로잇 개발에 활용해 공격 주기를 더 짧게 만들 수 있다고 봤다. 동시에 방어 측도 에이전트형 AI를 활용해 알려지지 않은 보안 결함을 먼저 찾고 패치를 앞당기는 방식으로 대응할 것으로 전망했다.

보고서는 제로데이 공격의 새 흐름으로 지식재산 탈취도 짚었다. 일부 공격자가 피해 기업의 소스코드와 개발 문서를 빼낸 뒤, 이를 분석해 새로운 제로데이 취약점을 찾고 다시 공격에 활용하는 방식이 나타났다는 것이다. GTIG는 2025년 브릭스톰 캠페인을 이런 흐름을 보여주는 사례로 제시했다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network