“산업화되는 사이버 범죄, 보안·블록체인 결합해 대응해야”
사이버 공격이 분업 체계를 갖춘 산업화 단계에 진입함에 따라, 맞서는 방어 진영도 연합 전선을 구축해야 한다는 제언이 나왔다. 가상자산을 불법 화폐로 활용하는 지하 경제에 대응하기 위해 기존 IT 인프라 중심의 사이버보안에 블록체인 거버넌스를 결합해야 한다는 지적이다.
포티넷코리아는 28일 본사 연구기관인 포티가드 랩스(FortiGuard Labs)의 ‘2026 글로벌 위협 동향 보고서’에 실린 사이버 위협 트렌드를 공유했다. 이번 세션에서는 김영표 포티넷코리아 정보보호최고책임자(CISO)가 사이버보안 시장의 패러다임 변화를 짚었다.
AI 타고 산업화되는 사이버 범죄
최근 포티넷을 포함한 글로벌 보안 기관의 침해 사고 보고서에 산업화라는 표현이 등장하기 시작했다. 그간 보안 위협을 다룰 때 일종의 캠페인 성격인 ‘서비스형(as-a-Service)’이라는 단어를 주로 사용해온 것과 대조된다. 김영표 CISO는 “기관들이 어떤 의미에서 산업화라는 단어를 사용하는지 고찰해볼 필요가 있다”고 말했다.
포티넷은 ‘2026 포티넷 글로벌 위협 동향 보고서’에서 사이버 범죄가 기계의 속도로 자동화·규모화되고 있다며 이를 산업화로 칭했다. 보고서에 따르면, 최근 1년 새 글로벌 랜섬웨어 피해 기업은 7831개로 전년 대비 389%나 늘었다.
노출된 취약점이 실제 공격에 악용되기까지의 시간인 취약점 공격 소요 시간(Time-to-Exploit)은 평균 5.4일에서 24-48시간 이내로 줄었다. 김 CISO는 이 같은 상황에 대해 “기존 방식으로 대응하기에는 공격 표면 노출부터 취약점 돌파까지의 시간이 너무 짧다”고 경고했다.
공격 소요 시간이 이처럼 크게 단축된 배경에는 인공지능(AI)을 이용한 공정 효율화가 자리 잡고 있다. 실제로 무작위 스캐닝 및 정찰 시도는 전년 1.16조건에서 6400억건으로 45% 감소한 반면, 취약점 공격 시도 자체는 전년 대비 25% 증가했다.
김 CISO는 “성공 확률이 낮아 보이는 타깃은 초기 단계에서 빠르게 제외하고, 성공 확률이 일정 수준 이상인 곳만 골라 집중적으로 파고들 수 있도록 AI가 가이드라인을 주기 때문에 스캐닝 횟수가 줄어든 것으로 보인다”고 설명했다. 무차별 타격에서 공격 대상을 특정하는 정밀 타격으로 사이버 공격의 체질이 바뀐 것이다.
가상자산이 만든 지하 경제 생태계
이처럼 고도화된 사이버 범죄에 거대한 생태계 기반을 제공한 것은 가상자산의 익명성이다. 김 CISO는 “범죄 산업화의 가장 큰 요인 중 하나는 블록체인 체계와의 결합”이라며 “자금 흐름의 익명성이 보장되면서 지하 경제의 완벽한 분업화가 가능해졌다”고 진단했다.
범죄자들은 가상자산을 사용하는 사이버 암시장 ‘다크웹’에서 서로 신원을 숨긴 점조직 형태로 해킹에 필요한 재료를 거래한다. 공격자는 초기 접근 브로커(IAB)에게서 유출 정보를, 각 전문 조직으로부터 랜섬웨어 킷·호스팅 서비스·클라우드 스토리지 등을 사들인 후 이를 조립해 해킹에 활용할 수 있다. 김 CISO의 표현대로 “경제 논리에 따라 필요한 모듈을 사고 가상자산을 지불하면 바로 공격 준비가 끝”난다.
자금 출처를 쪼개고 섞어서 추적을 어렵게 만드는 믹싱(Mixing) 서비스 역시 가상자산의 특성을 악용한 기술이다. 결국 가상자산이라는 효율적 거래 수단이 확보되면서, 해커 혼자 전 과정을 전담하는 기존 방식을 넘어 소규모 조직들이 각자 맡은 공정에 집중해 안전하게 수익을 나누는 분업 생태계가 안착한 셈이다.
실제 다크웹에 형성된 생태계 규모는 상당하다. 초기 접근 브로커가 다크웹 마켓에 공유한 계정 정보(스틸러 로그)는 46억2천만건을 돌파해 전년 대비 79% 증가했다.
추적하려면 ‘사이버보안-블록체인’ 거버넌스 융합 필요
김 CISO는 이 같은 범죄 생태계에 대응하기 위한 방안으로 사이버보안과 블록체인 생태계 간 거버넌스 융합이라는 화두를 던졌다. IT 인프라 위협을 분석하는 오프체인 보안과 자금 흐름을 추적하는 온체인 보안이 함께 움직여야 한다는 의미다.
침해 사고 발생 시 해커가 입금을 요구한 지갑 주소(Wallet Address)를 기점으로 자금 이동 경로를 역추적해야 한다. 이때 믹싱 서비스 이용 여부와 해커 신원 등을 파악하려면 온·오프체인 데이터가 모두 필요하다. 다만 김 CISO에 따르면 현재 공공이나 기업 내에 이를 동시에 조망하고 분석할 전담 부서나 협업 체계는 미비한 실정이다.
그는 “사법당국이 5대 원화거래소 등 가상자산 거래소의 실명 인증 길목 감시에만 초점을 맞추고 있어, 범죄자가 국내에서 탈취한 자금을 해외 비트코인 ATM 등을 통해 현금화할 경우 현실적으로 차단할 방법이 없다”고 우려를 표했다.
김 CISO는 이어 “사이버보안과 가상자산은 지하 경제에 대응하기 위해 서로의 반쪽이 필요한 관계”라며 “두 분야 전문가들이 경계를 떠나 각자 지식을 공유하고, 이를 융합해서 전체적인 거버넌스 측면의 방어책을 논의할 기회가 많아지기를 기대한다”고 전했다.
보안 패러다임 개념 이해하고, 보안 내재화도 신경 써야
이날 김 CISO는 보안 솔루션 공급자와 사용자가 최신 보안 패러다임에 대한 이해를 명확히 정렬할 필요에 대해서도 언급했다. 현업에서 제로 트러스트나 SASE(Secure Access Service Edge) 등의 용어를 두고 서로 다른 해석으로 혼선을 빚는 경우가 있기 때문이다.
김 CISO는 “제로 트러스트나 SASE 같은 개념이 솔루션이나 제품이 아닌 일종의 전략이다 보니 이에 대한 이해가 서로 달라지는 면이 있다”며 “고객은 제로 트러스트를 권한 제어 정도로 생각하고 있는데, 벤더는 네트워크 보안에서의 유기적 형태를 이야기한다면 핀트가 어긋난다”고 말했다.
더불어 김 CISO는 접근 권한과 망분리를 설계 단계부터 고려한 보안 내재화(Security by Design)를 현업에서 구현하는 일의 어려움도 전했다. 그는 “수익 창출이 먼저인 비즈니스 환경에서 보안은 후행하는 경향이 있다”며 “보안에 투자하지 않았을 때 더 큰 금전적 손해가 난다는 논리로 경영진을 처음부터 설득해야 하는데 현실적으로 쉽지 않은 면이 있다”고 현장 보안 담당자가 겪는 고충을 짚었다.
글. 바이라인네트워크
<이슬찬 기자>seulbae@byline.network
