KISA “공격자들, 경계망 넘어 검색·공급망까지 겨냥”
“공격 표면이 기하급수적으로 늘어나고 있습니다. 이제는 100% 막을 수 있다고 기대하지 않습니다. 얼마나 빨리 찾을 것인지에 초점을 맞춰야 합니다.”
박용규 한국인터넷진흥원(KISA) 디지털위협대응본부 본부장은 20일 서울 양재에서 열린 ‘CONCERT FORECAST 2026 기업 정보보호 이슈 전망’에서 최근의 사이버 공격 동향을 이렇게 요약했다.
그는 “최근 공격자들이 단일 취약점을 파고드는 데서 나아가 경계망, 단말, 계정, 공급망, 검색 엔진까지 침투 대상을 넓히고 있다”며, “기업도 ‘위협을 빨리 찾고 빨리 막거나 복구하는 보안‘으로 대응 방향을 바꿔야 한다“고 강조했다.
박 본부장이 본 최근 공격의 핵심은 ‘침투 대상 확장’이다. 공격자들은 예전처럼 방화벽이나 특정 서버 하나를 뚫는 데 그치지 않고, 외부와 맞닿은 거의 모든 접점을 공격 경로로 활용하고 있다.
그는 지난해 주요 사고를 돌아보며 개인정보 유출, 랜섬웨어, 오픈소스와 사물인터넷(IoT) 생태계를 노린 공급망 공격이 동시에 이어졌다고 설명했다. 특히 다수 고객사를 둔 기업이나 소프트웨어 개발사를 먼저 공격해 여러 곳으로 피해를 확산하는 흐름이 더 뚜렷해졌다고 진단했다.
공격자는 ‘들어갈 수 있는 모든 곳’을 본다
박 본부장이 꼽은 첫 번째 표적은 ‘경계망 관리 취약점’이다. 웹 아키텍처, 원격접속 체계, 외부 연계 구간처럼 기업 안팎이 만나는 지점이 대표적이다. 공격자는 여기서 계정을 확보하거나, 취약한 웹 구조를 발판으로 내부 침투를 시도한다. 다크웹에서 유통되는 계정 정보를 활용해 로그인 시도를 반복하는 공격도 계속되고 있다고 했다. 특히 원격 근무와 재택근무에 쓰이는 접속 계정 정보는 여전히 공격자에게 가치가 높은 표적이라고 설명했다.
두 번째는 ‘인증 소프트웨어와 중앙관리 솔루션’이다. 기업들은 내부 접속과 인증을 위해 각종 보안 프로그램과 중앙관리 체계를 쓴다. 그런데 공격자도 그 구조를 잘 안다. 인증 소프트웨어 자체의 취약점을 노리거나, 업데이트 서버를 장악해 정상 업데이트 과정에 악성코드를 끼워 넣는 식이다. 온라인 업데이트가 아니더라도 안심할 수 없다고 그는 강조했다. USB나 CD 같은 매체를 통한 오프라인 업데이트 환경도 공격 경로가 될 수 있기 때문이다.
세 번째는 ‘계정과 단말’이다. 오래된 서버에 방치된 계정 정보, 바탕화면이나 파일에 남겨둔 접속 정보, 제대로 관리되지 않는 단말이 모두 공격의 징검다리가 된다. 박 본부장은 사람이 바뀌고 업무가 바뀌는 과정에서 계정과 접속 정보가 허술하게 남아 있는 경우가 많다고 지적했다. 공격자는 그런 흔적을 모아 내부 다른 시스템으로 이동한다는 것이다.
최근 가장 두드러진 공격은 ‘검색 엔진 악용’
최근 가장 늘어나고 있는 공격은 ‘검색 엔진을 악용한 침투 방식’이다. 공격자가 가짜 사이트를 만들어 검색엔진최적화(SEO)를 적용하고, 검색 결과 상단에 노출되게 만든 뒤 사용자를 유인하는 방식이다. 겉으로는 정상 깃허브(GitHub) 저장소나 패키지 배포 페이지처럼 보이기 때문에 개발자나 실무자가 속기 쉽다. 검색, 유입, 다운로드, 감염, 내부 침투로 이어지는 흐름이 자연스럽게 연결된다는 점에서 더 위험하다고 봤다.
박 본부장은 “검색 엔진에 떴으니 안전한 정보라고 믿는 순간 공격이 시작될 수 있다”고 경고했다. 기업 입장에서는 개발자나 실무자가 외부 패키지와 도구를 내려받는 경로까지 보안 관리 범위로 봐야 한다는 뜻이다. 최근에는 이런 공격에 블록체인 기반 통신 같은 은닉 기법까지 결합되는 흐름도 관찰된다고 덧붙였다.
기업 대응 포인트는 ‘자산 식별, 모니터링, 복원력’
박 본부장은 대응의 출발점으로는 ‘자산 관리’를 짚었다. 경계망 자산, 단말 자산, 공급망 자산을 각각 식별하고, 외부에 어떤 노출 지점이 있는지 계속 찾아내야 한다는 것이다. 기업이 의도하지 않은 외부 노출 포인트를 파악하지 못하면 공격자는 그 빈틈을 먼저 찾는다고 했다.
그 다음은 ‘모니터링’이다. 정상적인 계정이 다른 서버를 갑자기 스캔하거나, 평소와 다른 방식으로 접속하는 행위를 얼마나 빨리 잡아낼 수 있느냐가 중요하다는 설명이다. 중앙 로그 수집과 통합 모니터링, 접근 권한 최소화, 개인 메일이나 외부 저장공간에 남아 있는 업무 데이터 정리도 함께 강조했다. 사고를 막지 못하더라도 빨리 이상 징후를 찾으면 피해를 줄일 수 있다는 얘기다.
랜섬웨어 대응에서는 ‘사이버 복원력’을 특히 강조했다. 사고가 나지 않는 것이 가장 좋지만, 실제 현장에서는 사고 뒤 얼마나 빨리 원상 복구하느냐가 더 중요한 경쟁력이 되고 있다는 설명이다. 그는 백업 3-2-1 원칙처럼 복수 사본과 분산 저장 체계를 갖추고, 실제 사고 때 이를 작동시킬 수 있어야 한다고 강조했다. 사고 사실을 무조건 늦게 알리기보다, 사고 이후 어떤 조치를 하고 있는지 투명하게 설명하는 편이 오히려 이용자 신뢰를 높일 수 있다는 점도 짚었다.
AI는 보조 수단…최종 판단은 사람이 해야
박 본부장은 “최근 공격자들이 인공지능(AI)을 공격 전 단계에 더 적극적으로 쓰고 있다”고도 진단했다. 다만 이것이 곧 방어자의 패배를 뜻하는 것은 아니라고 했다. 아울러 그는 “방어자도 AI를 활용할 수 있지만, AI가 모든 문제를 해결해줄 것처럼 기대해서는 안 된다”고 말했다. AI는 분석가의 가시성을 넓히고 판단에 필요한 데이터를 보조하는 수단으로 써야 하며, 최종 판단과 책임은 사람이 져야 한다는 것이다.
끝으로 그는 “기업들이 KISA 지원 수단도 더 적극적으로 활용할 필요가 있다”고 강조했다. 보호나라에 공개된 해킹 진단 도구에는 실제 현장에서 확인된 공격 수법이 반영돼 있어, 현재 유행하는 공격 흔적을 점검하는 데 도움이 된다는 설명이다. 침해사고 조사와 원인 분석, 원격 점검 같은 지원 체계도 함께 활용할 수 있다고도 덧붙였다.
글. 바이라인네트워크
<곽중희 기자> god8889@byline.network

