NSHC “작년 전세계 정부기관 겨냥 사이버 공격 342건”

엔에스에이치씨(NSHC) 위협분석연구소(TR랩)는 2025년 전 세계 정부 기관을 겨냥한 사이버 공격이 342건 발생했고, 최소 93개 해킹 그룹이 관여한 것으로 분석했다고 9일 밝혔다.

NSHC가 발표한 ‘정부기관을 대상으로 한 사이버 공격 현황 동향 보고서’에 따르면, 정부 기관 공격은 단순 침해를 넘어 국가 간 정치·군사 경쟁과 연결된 전략적 정보 수집 성격이 강해졌다. 전체 공격 가운데 약 46%는 공격 주체를 특정하지 못한 미확인 그룹이 수행했다. 중국, 러시아, 북한 등 국가 지원 해킹 그룹이 주요 공격 주체로 지목됐다.

공격 대상 국가는 총 1498건으로 집계됐다. 가장 많이 노려진 국가는 미국으로 103건이었다. 한국은 73건으로 두 번째였다. 이어 우크라이나 62건, 인도 59건, 독일 53건 순이었다. 보고서는 이런 분포가 국제 정치와 지정학 갈등 구조를 반영한다고 봤다. 한국 정부 기관 공격은 주로 북한 지원 해킹 그룹이 수행한 것으로 분석됐다.

취약점 악용도 두드러졌다. 2025년 정부 기관 공격에서 확인된 취약점 악용 사례는 206건이었다. 고유 ‘공통 취약점 및 노출(CVE)’은 134개였다. 새로 공개된 취약점과 오래된 취약점이 함께 쓰였다. 특히 쉐어포인트 관련 취약점이 많이 악용됐다. 반면 2017년에 공개된 마이크로소프트 오피스 관련 취약점도 여전히 공격에 활용됐다.

공격 경로로는 마이크로소프트 제품군과 가상사설망(VPN) 장비가 핵심으로 지목됐다. 보고서는 마이크로소프트 쉐어포인트, 윈도우, 오피스가 주요 표적이 됐고, 아이반티 VPN 장비 관련 취약점도 다수 확인됐다고 설명했다. 시스코 IOS XE, 팔로알토네트웍스 PAN-OS, 시트릭스 넷스케일러, F5 빅아이피 취약점도 공격에 쓰였다.

공격 도구는 더 다양해졌다. 보고서는 공격 도구 사용 사례가 445건 이상 확인됐고, 공격자가 텔레그램, 드롭박스, 구글드라이브 같은 정상 클라우드 서비스를 명령제어(C2) 인프라나 데이터 유출 경로로 활용했다고 분석했다. 전체 공격 도구 사용 사례 가운데 52% 이상이 이런 클라우드 기반 서비스와 온라인 플랫폼을 활용한 사례였다. 코발트 스트라이크, 미미카츠, 넷서포트 매니저 같은 도구도 공격에 악용됐다.

보고서는 정부·공공기관 대응 과제로 신규 취약점과 구형 취약점에 대한 동시 관리, 클라우드 서비스 행위 기반 모니터링, 승인되지 않은 원격 관리 도구 통제, 위협 인텔리전스 기반 탐지 체계 고도화를 제시했다. 특히 엔드포인트 탐지·대응(EDR), 확장형 탐지·대응(XDR), 보안 정보 및 이벤트 관리(SIEM)를 연계한 운영 체계가 필요하다고 짚었다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network